安全制度-24xxx个人信息及重要数据管理制度.docx

xxx 个人信息及重要数据管理制度 一、目的 为充分保护用户的个人隐私、 保障用户数据安全，进一步保障和 规范 xxx 系统有关业务正常运转和持续发展，特制订个人信息和重要 数据管理制度。 二、适用范围 本规范适用于 xxx 采集、存储的个人信息。 三、管理规范 3.1 用户个人信息保护 1、 APP 和小程序等新媒体平台匿名用户应严格遵守“前台匿名， 后台实名”措施，在注册和使用环节，应与用户达成用户隐私保护协 议，并公开个人信息收集、使用规则，明确告知用户收集、使用个人 信息的目的、方式和范围。 2、新媒体平台将尽一切合理努力保护其获得的用户个人信息，并 由数据安全部门对个人信息进行保护。为防止用户个人信息在意外的、 未经授权的情况下被非法访问、复制、修改、传送、遗失、破坏、处 理或使用，新媒体平台已经并将继续采取以下措施保护你的个人信息： 令 通过采取加密技术对用户个人信息进行加密保存，并通过隔 离技术进行隔离。 令 在个人信息使用时，例如个人信息展示、 个人信息关联计算， 我们会采用包括内容替换、加密脱敏等多种数据脱敏技术增 强个人信息在使用中安全性。 令 设立严格的数据使用和访问制度，采用严格的数据访问权限 控制和多重身份认证技术保护个人信息，避免数据被违规使 用。 3、保护个人信息采取的其他安全措施 令 通过建立数据分类分级制度、数据安全管理规范、数据安全 开发规范来管理规范个人信息的存储和使用。 令 建立数据安全专项部门，负责安全应急响应组织来推进和保 障个人信息安全。 4、个人信息的存储 APP 和小程序等新媒体平台 会采取合适的安全措施和技术手段 存储及保护用户的个人信息，以防止丢失、被误用、受到未授权访问 或泄漏、 被篡改或毁坏。 个人信息存放在有密码控制的位于中国境内 的服务器中， 访问均是受到限制的。 APP 和小程序等新媒体平台会依照个人信息的不同等级存储不 同期限，存储期限严格按照法律及相关法规规定，最低期限不少于6 个月。 5、尊重并保护用户的个人隐私，除了在与用户签署的隐私保护协 议和网站服务条款以及其他公布的准则规定的情况下，未经用户授权 不得随意公布和泄露用户个人信息。 6、对用户的个人信息严格保密，并承诺未经用户授权，不得编辑 或透露其个人信息及保存在本网站中的非公开内容，但下列情况除外： 令 违反相关法律法规或本网站服务协议规定； 令 按照主管部门的要求，有必要向相关法律部门提供备案的内 容； 令 因维护社会个体和公众的权利、财产或人身安全的需要； 令 被侵害的第三人提出合法的权利主张； 令 为维护用户及社会公共利益、本网站的合法权益的需要； 令 事先获得用户的明确授权或其它符合需要公开的相关要求。 7、用户应当严格遵守网站用户账号使用登记和操作权限管理制 度，并对自己的用户账号、 密码妥善保管，定期或不定期修改登录密 码，严格保密，严禁向他人泄露。 8、每个用户都要对其账号中的所有活动和事件负全责。用户可随 时改变用户的密码和图标，也可以结束旧的账号而重新申请注册一个 新账号。用户同意若发现任何非法使用用户账号或安全漏洞的情况， 有义务立即通告本网站。 9、如用户不慎泄露登录账号和密码，应当及时与网站管理员联系， 请求管理员及时锁定用户的操作权限，防止他人非法操作；在用户提 供有效身份证明和有效凭据并审查核实后，重新设定密码恢复正常使 用。 3.2 用户个人信息验证及查询 APP 和小程序等公众平台，在进行个人用户注册时，应对个人用 户进行信息验证，需做到如下要求： 1、在注册环节应提供真实身份信息，如通过采用实名认证登录方 式保障审核提交信息的真实性。 2、用户以虚假信息骗取账号注册的，应采取通知限期改正、 暂停 使用、注销等管理措施。 3、对冒用关联机构或社会名人注册账号的，应注销其账号，留存 相关信息以备相关主管部门查询。 针对平台不同业务内容，应安排其对应数量的业务人员，相关人 员数量不得低于 2 人。 非患者本人(患者亲属或患者委托人)获取患者信息的流程： 1.由患者本人向医院提出提档请求，并向医院告知委托人的姓名， 身份证号等基本信息。 2.由患者书写提档申请，上面注明自己住院时期的住院号、住院 科室以及请求提取的信息种类，并由患者本人签字(按手印)加以确 认。 3.被委托人手持提档申请，来到医院病案室，将提档申请上交， 在医院工作人员进行核对无误后，收押委托人的证件，将病人档案进 行复印。复印完毕，被委托人需将档案原件归还医院病案室，病案室 将收押证件交还给委托人。 4.医院病案室应将提档申请妥善保管，防止因个人疏忽造成的丢 失损坏。 社会组织(公检法以及患者本人单位)获取患者信息的流程： 1.由社会组织向医院提出提档请求，并向医院告知患者的姓名， 身份证号等基本信息。 2.由社会组织书写提档证明，上面注明获取患者诊疗信息的原因， 患者住院时期的住院号、 住院科室以及请求提取的信息种类，并由患 者单位加盖公章，负责人签字并加以确认。 3.社会组织工作人员手持提档证明，来到医院病案室，将提档证 明上交，在医院工作人员进行核对无误后，将病人档案进行复印。复 印完毕，社会组织工作人员需将档案原件归还医院病案室。 4.医院病案室应将提档证明妥善保管，防止因个人疏忽造成的丢 失损坏。 患者本人获取诊疗信息的流程 1.由患者本人提出书面申请，注明本人的手机号、身份证号、住 院科室等信息并注明提档原因，由本人签字确认。 2.患者手持提档申请，来到医院病案室，将提档申请上交，在医 院工作人员进行核对无误后，收押患者的证件，将病人档案进行复印。 复印完毕，被委托人需将档案原件归还医院病案室，病案室将收押的 证件交还给患者本人。 3. 医院病案室应将提档证明妥善保管，防止因个人疏忽造成的 丢失损坏。 3.3 用户个人信息修改/删除 个人用户注册 APP 和小程序等公众平台时，应遵守《用户个人信 息保护制度》，医院信息中心负责对所有 APP 和小程序等公众平台用 户个人信息进行管理。为保障医院业务正常开展，需做到以下要求： 1、配备与用户个人信息变更业务规模相匹配的后台审核、前台巡 查、技术保障等专业人员，保障业务稳定运行，相关人员数量 不得低于 2 人。 2、对已经进行真实身份信息验证的用户，定期核查与用户捆绑关 联的身份信息，确保其真实有效。 对用户个人信息变更做好审核，配备与业务规模相适应的专业人 员和必要技术手段，对变更信息进行审核，对含有违法和不良信息的， 不予变更。 医院患者信息包括患者的姓名、年龄、性别、住址等基本信息包 括：患者的诊断、病历、病程、医嘱、知情同意书等诊疗信息。 患者信息的修改方法分为前台软件修改和后台数据库修改，前者 由医院分管职能部门进行修改，后者由医院信息管理部门负责进行。 原则上，尽量用前台软件进行修改。 为保障患者医疗安全，维护患者的合法权益，门诊和住院登记收 费处在患者入院登记时，提醒患者核对其个人信息是否准确无误，并 由患者签字确认，从源头上杜绝错误信息的产生。 由患者原因所造成 的信息错误，原则上不予修改。 因医院原因导致患者信息错误的，院方应申请对个人信息进行更 正。 患者信息特别是诊疗信息是患者住院期间最敏感的信息，修改患 者信息应严格按照本规则规定的程序办理。 因农合报销或医疗保险报销的需要，患者可能需要修改本人的基 本信息，应按照以下流程： 1.由患者本人填写《患者本人信息修正申请表》 ，签字确认。 2.病人所在科室审核病人的身份证、 户口本、 农合本(医保卡)， 在确认该病人申请无误后，所在科室主治医师和科主任签字确认， 一 下分为两种情况： (一)该病人的信息可在前台软件进行修改： ( 1 )患者将签字确认的修改申请表提交给住院登记部门进 行修改。 ( 2 )住院登记部门根据申请表，对患者本人的信息加以修 改。 ( 3 )住院登记部门将《患者本人信息修正申请表》归档并 妥善保管。 (二)该病人的信息不能再前台原件进行修改必须在后台数据库 进行修改： ( 1 )本院医护人员需将签字确认的申请表提交给信息管理 部门。 ( 2 )信息管理部门根据申请表，打开数据库管理系统，并 调出该患者的基本资料，使用数据库修改语句进行修正。 ( 3 )修改无误，信息管理部门将申请表归档并妥善保管， 作为绩效和工作量的统计依据。 因本院医护人员的疏忽或病人病情急剧变化，需要修改医嘱、 诊 断等敏感信息的情形，应按照以下流程： 1.由当事医生填写《患者医疗信息申请表》，在申请表中注明需 要修改的住院号，患者姓名，旧医嘱名称，组数，执行时间并注明新 医嘱的名称，由本人签字，并提交给本科室主任审阅并签字确认。 2.本科室主任在审阅并签字确认无误后，由当事人将《医疗信息 申请表》提交给医务部，由医务部主任进行审阅并签字。 3.在完成上述步骤后，当事人应将《医疗信息申请表》提交给医 院信息管理部门，由专业人员打开数据库管理系统，调取病人的医嘱 信息进行修改。 4.修改完毕，医院信息管理部门应将《医疗信息申请表》归档并 进行妥善保管，以便于医院绩效统计和防止医疗纠纷的产生。 拟更正的个人信息与原信息有显著差异的，必须由患者户口所在 地公安机关出示相关证明后方可修改。 患者敏感信息删除途径： 1.由患者本人填写《医疗信息申请表》 ，签字确认。 2.病人所在科室审核病人的身份证、 户口本、 农合本(医保卡)， 在确认该病人申请无误后，所在科室主治医师和科主任签字确认。 3.申请表中注明需要删除的住院号，患者姓名等，并提交给本科 室主任审阅并签字确认。 4. 《医疗信息申请表》提交到信息中心进行确认，并由科室主 任审阅并签字确认。 5.在完成上述步骤后，当事人应将《医疗信息申请表》提交给医 院信息管理部门，由专业人员打开数据库管理系统，调取病人的信息 进行删除。 6.修改完毕，医院信息管理部门应将《医疗信息申请表》归档并 进行妥善保管，以便于医院绩效统计和防止医疗纠纷的产生。 3.4 用户个人信息第三方管理流程和制度 1. 接入前期准备阶段 第三方产品或服务接入前需取得三级等保证书。 与第三方产品或服务提供者通过合同等形式明确双方的安全责任 及应实施的个人信息安全措施。 妥善留存平台第三方接入有关合同和管理记录，确保可供相关方 查阅。 2. 使用阶段 向用户明确标识产品或服务由第三方提供。 第三方收集个人信息时，必须告知收集信息的目的、范围、期限 等，征得用户的授权同意，并通过加密的方式进行。 第三方产品或服务应建立相应用户请求和投诉等机制，以供用户 查询、修改、删除等。 3. 监督 医院监督第三方产品或服务提供者加强个人信息安全管理，发现 第三方产品或服务没有落实安全管理要求和责任的，应及时督促 整改，必要时停止接入。 产品或服务嵌入或接入第三方自动化工具(如代码、 脚本、 接口、 算法模型、软件开发工具包、小程序等)的，应采取以下措施： ( 1 )开展技术检测确保其个人信息收集、使用行为符合约定要求； ( 2 )对第三方嵌入或接入的自动化工具收集个人信息的行为进行 审计，发现超出约定的行为，及时切断接入。