在医疗信息化高速发展的今天，电子病历早已成为医疗机构日常诊疗工作的重要组成部分。然而，随着数据泄露事件频发，电子病历的安全管理迫在眉睫。6月30日，国家卫生健康委、国家中医药局、国家疾控局三部门联合发布《关于进一步加强医疗机构子病历信息使用管理的通知》（以下简称《通知》），对电子病历的规范管理、权限控制、数据安全等提出更严格要求。这是继2017年《电子病历应用管理规范（行）》后，我国医疗信息化领域的又一里程碑式政策。以下是新规的六大核心要点，医疗机构和医务人员必看！

1.压实主体责任：电子病历管理成“一把手工程”

《通知》明确将医疗机构定为电子病历信息管理的“第一责任人”，要求必须建立起一套由牵头部门统筹、多部门协同的管理机制。这意味着医务、科教、信息等部门需要打破壁垒，紧密合作。例如，信息部门负责技术保障，医务部门把控使用规范，科教部门则监督教学科研过程中的病历使用情况。同时，电子病历规范使用还将被纳入绩效考核，从制度层面督促各部门履职尽责。

划重点：医疗机构需设立纪检监督机制，严查权限滥用和泄露行为。一旦出现违规情况，如某医院员工利用职务之便私自查看明星患者病历并泄露信息，不仅直接责任人将受到处罚，管理部门也难辞其咎；电子病历管理情况与医院评审、智慧医院建设直接挂钩，未来在评选优秀医院、智慧医疗示范单位时，电子病历管理水平将是重要的考量因素。

2.权限分级再细化：遵循“最小可用”原则

新规要求医疗机构对电子病历实施分级分类访问控制，按岗位需求设定权限和时限。临床诊疗人员，仅能调阅诊疗必需的病历，这有效避免了无关病历信息的暴露；教学科研人员如需使用病历，必须经过严格审批，且权限范围不能超出培训需要，防止学术研究中出现病历信息滥用；外部服务商，如为医院提供系统维护的公司，必须签订保密协议，其每一次访问电子病历的操作都将受到全程监控。

特别规定：见习医生、进修生等短期人员的使用权限需严格限定，违规将追责。此前就曾有见习医生出于好奇，违规查看患者病历，最终导致信息泄露。新规落地后，此类行为将面临更严厉的处罚。

3.数据安全升级：数字水印+全流程追溯

为防范信息篡改和泄露，《通知》提出两大技术手段。操作留痕方面，所有电子病历的修改、查阅、传输记录均需可追溯，包括时间、操作人员身份。想象一下，若病历被恶意篡改，通过操作留痕功能，能够快速锁定修改时间和人员，为追查提供有力证据。

数字水印技术则是在病历共享或导出时嵌入隐形标识，确保来源可查、责任可究。比如，医院将患者病历导出提供给第三方机构，一旦出现信息泄露，通过数字水印就能追踪到信息最初的流出源头。此外，医疗机构需建立应急处置制度，一旦发生舆情或泄露事件，立即封存相关数据并阻断传播，将损失降到最低。

4.严控外部合作：外包服务纳入监管

如今，许多医疗机构会与信息系统维护、数据分析等外部服务商合作。在合作过程中，医疗机构需明确数据访问范围、目的和期限。例如，邀请服务商进行系统维护时，要限定其仅能访问与维护工作相关的数据，且规定好维护的时间周期。同时，要监督服务商落实保密义务，定期检查其保密措施是否到位；禁止未经授权的数据复制、传播，避免服务商私自留存、传播病历数据。

5.患者隐私保护：非必要不触碰

《通知》重申“非医疗、教学、研究目的不得泄露患者信息”。电子病历系统需通过电子签名和权威时间源确保数据真实性和不可篡改，电子签名就如同手写签名一般，确保每一次操作都能明确责任人；权威时间源则保证病历数据的时间准确性，防止篡改时间逃避责任。

患者隐私泄露将按《数据安全法》《个人信息保护法》追责。此前，某医院因管理不善，导致大量患者病历信息在网上流传，医院不仅面临巨额罚款，相关责任人还被追究刑事责任。新规实施后，此类行为将受到更严格的法律制裁。

6.政策延续性：与电子病历评级挂钩

此次新规与2018年《电子病历系统应用水平分评价标准》形成衔接，要求医疗机构在实现全院信息共享（4级）和医疗决策支持（5级）的基础上，进一步强化安全管理。这意味着，未来医院想要在电子病历评级上取得更高等级，不能只关注信息共享和决策支持功能，更要重视数据安全管理。未来，电子病历应用水平或成医院高质量发展的核心指标，成为衡量医院综合实力的重要标准之一。

此次《通知》通过制度约束+技术赋能双管齐下，既回应了公众对医疗数据安全的关切，也为医疗机构信息化建设提供了明确指引。随着电子病历管理的精细化，医疗质量和患者权益将得到更坚实保障。无论是患者看病就医，还是医院开展科研教学，都将在更安全、规范的环境下进行。

最后，我们是为广大医疗机构提供智慧医疗系统的服务商，如果贵医院需要智慧医疗HIS系统、智慧管理HRP系统、智慧运营HCRM系统，欢迎您随时沟通~