一份电子病历,记录的不只是患者的一次诊疗过程,更承载着患者隐私、医疗责任、科研价值和医院声誉。随着医疗数字化、区域协同、互联网诊疗、临床科研等场景持续拓展,电子病历早已从“无纸化记录工具”,演变为医院核心敏感、亟需精细化安全治理的数据资产。
与此同时,风险也在不断前移:医护人员是否存在超范围查询?运维人员能否直接看到敏感字段?第三方接口调用是否留痕?科研数据导出后能否追溯?一旦发生泄露、滥用或违规共享,影响的不只是信息系统安全,更可能牵动患者信任、医院管理责任和合规问责。
2025年6月30日,国家卫生健康委员会联合多部门发布《关于进一步加强医疗机构电子病历信息使用管理的通知》(以下简称《通知》),以“压实责任、分级管控、全程追溯”为核心,进一步明确医疗机构在电子病历信息使用管理中的主体责任。电子病历安全由此进入责任界定清晰、权限管控精细、行为全程可追溯的新阶段。
从政策要求来看,《通知》并不是单点强调“系统要安全”,而是围绕着电子病历使用、访问、共享、留痕和追责全环节,提出系统的安全管理要求。对医疗机构而言,这意味着电子病历安全正从技术建设问题,升级为院级数据安全治理与合规运营问题。《通知》明确四层核心要求:
01 压实主体责任:医疗机构对电子病历信息使用管理承担主体责任,明确牵头部门,划分权责,将数据安全纳入相关人员绩效评价,对违规操作依法追责。
02 强化权限管控:实行分级分类管控,根据岗位、角色和使用需求分配权限,严格控制访问范围。规范短期人员及外部服务商权限管理,明确授权范围和期限,建立动态调整与注销机制。
03 行为要看得见:建立电子病历信息安全防护体系,采用加密存储、安全传输等技术手段,确保建立、修改、保存、传输、删除等全环节操作痕迹可查询、可追溯。重要场景支持通过数字水印等技术强化使用留痕。
04 健全管理制度:完善分级管理制度、应急处置和长效监管机制,定期开展安全评估与自查整改,规范数据共享与接收流程。
一句话概括:新规关注的不只是“系统有没有防护”,而是医院能否回答清楚三个问题:谁访问了电子病历?访问和使用是否合规?一旦发生风险能否定位追责?
电子病历安全之所以难,不是因为医院没有数据安全意识,而是因为电子病历天然处在高频访问、多系统交互、多角色使用、多场景流转的复杂环境中。真正的风险,往往不在制度文件里,而是日常业务链路里。
01 权限粗放:不同科室、岗位、临时人员和外部厂商的权限边界不够清晰,容易出现冗余权限、越权查询、账号共用等问题。
02 数据库直连:信息科、系统厂商或运维人员在维护、排障、升级过程中可能直接接触底层数据库,敏感信息暴露风险较高。
03 接口复杂:电子病历需要对接互联网医院、区域健康平台、医保、科研平台等外部系统,接口调用是否异常、数据返回是否过度,容易成为治理盲区。
04 共享频繁:临床科研、医联体协同、保险理赔、质控分析等场景需要数据流转,如果缺少去标识化和水印溯源能力,容易形成外发风险。
05 运营不足:部分医院完成项目建设后,缺乏持续监测、告警处置、策略优化和风险复盘机制,安全能力难以随业务变化持续有效。
围绕《通知》要求和医院真实业务场景,以“建体系、控风险、强运营”三个阶段为主线,分阶段推进电子病历数据安全防护建设。
第一步 建体系:让责任“落得下”
电子病历安全首先不是买一套工具,而是建立一套可执行的管理框架。第一阶段是解决“谁来管、怎么管”的根本问题,为后续技术防护提供制度与组织保障。成立跨部门数据安全管理组织,明确权责分工;建立覆盖电子病历全生命周期的管理制度;开展全员安全培训,重点覆盖医护、信息科、管理层及短期人员、外部服务商,明确数据安全合规红线。
第二步 控风险,让使用“看得见、管得住”
电子病历数据安全管控的核心目标,是把分散在前端应用、数据库、接口和数据共享链路中的风险行为识别出来、管控起来、留痕下来,从而实现“资产有清单、行为可看见、风险可拦截、数据可管控”。
能力一:数据资产梳理与分类分级
电子病历中存储着门诊记录、住院病程、检验结果等多种类型的数据,不同数据敏感程度差异大。通过全面盘点电子病历数据资产,形成动态更新的资产清单。依据数据敏感程度和业务影响建立分级分类标准,为后续精准管控提供清晰依据。
能力二:高危操作监测防护
电子病历数据访问主要来自两类群体——医护人员通过医生工作站、护士工作站等前端应用进行日常业务访问,以及信息科运维人员因系统维护、故障排查等需要直连数据库进行操作,每一次访问都可能涉及敏感数据。通过数据库审计与防火墙协同部署,实时监测数据访问行为,阻断越权、批量导出等高危操作;运维场景下实现敏感数据动态脱敏,实时遮蔽身份证号、诊断详情等信息,真正实现运维可操作、敏感不可见。
能力三:应用访问安全防护
电子病历通过接口对接互联网医院、区域健康平台等第三方,接口泄露隐患突出。通过全面记录每一次接口调用详情,自动识别异常调用行为并实时告警;实施差异化脱敏管控,根据调用方身份和使用场景对返回的敏感数据进行脱敏处理。
能力四:数据对外共享去隐私化
临床科研、医联体协同、保险理赔等场景需共享电子病历数据,易出现隐私泄露、溯源困难的问题。在数据导出、共享前完成去隐私化处理,对患者姓名、身份证号等敏感字段进行置换、遮蔽等处理,嵌入专属水印标识,既满足科研、协同等业务需求,又实现数据泄露溯源追责。
第三步 强运营,让防护“持续有效”
电子病历安全不是一次性项目,而是一项持续运营能力。本阶段要实现从“项目建设”到“能力运营”的转变,确保安全能力随业务变化持续有效。建立常态化安全运营机制,指定专人负责日常监控与告警处置。定期开展数据安全风险评估,优化权限策略,实现安全能力随业务动态演进,持续满足合规要求。
通过持续运营,医院才能把“合规要求”真正沉淀为长期有效的数据安全能力。
电子病历数据安全不只是满足监管要求,是医院高质量发展的基础能力。它一端连接患者隐私保护,一端连接医疗质量、科研创新、区域协同和医院数字化运营。
面对电子病历使用场景复杂、系统接口众多、责任链条长等现实挑战,医疗机构需要把政策要求转化为可执行、可验证、可持续运营的安全能力。昂楷科技将持续深耕医疗数据安全领域,以数据资产梳理、分类分级、操作审计、风险管控、数据脱敏、水印溯源和安全运营等能力,助力医疗机构筑牢电子病历安全防线,让数据在安全合规前提下真正释放价值。
