新规发布，医院怎样做好个人信息保护

近日，国家互联网信息办公室发布《个人信息保护合规审计管理办法》（以下简称《办法》），自2025年5月1日起正式施行。医疗卫生机构，尤其是大型公立医院作为重要的个人信息处理者，需深刻认识个人信息保护合规审计的必要性和重要性，提前谋划、积极开展相关工作，为机构可持续运行、高质量发展提供法治保障。

更系统更全面更严格

个人信息保护合规审计，是指对个人信息处理者的个人信息处理活动是否遵守法律、行政法规的情况进行审查和评价的监督活动。《办法》的颁布，体现了政府监管和行业自律二者并重的治理思路，也预示着医疗卫生机构个人信息处理活动、个人信息保护合规审计工作有了更系统、更全面、更严格的要求。

《办法》第三条规定，个人信息处理者自行开展个人信息保护合规审计的，应当由个人信息处理者内部机构或者委托专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。这明确了，合规审计的主体是个人信息处理者的内部机构或者委托的专业机构。

《办法》第五条规定，个人信息处理活动可能侵害众多个人的权益的，国家网信部门和其他履行个人信息保护职责的部门，可以要求个人信息处理者委托专业机构对个人信息处理活动进行合规审计。这明确了，合规审计的行政主管部门是国家网信部门和其他履行个人信息保护职责的部门。

《办法》第四条规定，处理超过1000万人个人信息的个人信息处理者，应当每两年至少开展一次个人信息保护合规审计。这明确了重点机构开展个人信息保护合规审计的频率要求。

《办法》第十二条规定，处理100万人以上个人信息的个人信息处理者，应当指定个人信息保护负责人，负责个人信息处理者的个人信息保护合规审计工作；提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者，应当成立主要由外部成员组成的独立机构对个人信息保护合规审计情况进行监督。这既强调了内部人员责任的落实，又强调了外部监督工作的必要性。

同时，《办法》后附《个人信息保护合规审计指引》，从26个方面列举了重点事项，保障了个人信息保护合规审计工作的科学性和可操作性。

意识能力体系均待改变

乍一看，《办法》的发布给医疗卫生机构带来了新的工作、提出了新的要求，是一项增量改革。但从长远看，这将有力推动医疗卫生机构提升个人信息保护水平，切实维护患者合法权益。医疗卫生机构应积极主动采取措施，尽快适应新的要求，实现个人信息保护与服务质量提升的良性互动。

第一，合规审计意识亟待加强。

2023年，笔者参与了某直辖市开展的一项大样本的医疗信息安全应用调查。该调查从网络安全、数据安全、信息处理管理安全、个人信息保护四个维度，对多家医疗卫生机构相关行为进行了分析总结。结果显示，医疗卫生机构网络安全评分最高，其次为数据安全、信息处理管理安全，这三方面评分均达到优或良。而个人信息保护评分相对较低，处在及格与良之间。

这提示相关主管部门和医疗卫生机构，有必要通过普法、培训、竞赛、考核等方式，加强机构及人员的个人信息保护和合规审计意识，强化其对个人信息保护和合规审计相关法律法规的了解与应用，进而更好地保护患者个人信息权益。

第二，合规审计能力亟待提升。

要全面落实《办法》规定的个人信息保护合规审计义务，仅有合规审计意识和意愿是不够的，完善的组织体系、配套的技术措施、有力的人才队伍均必不可少。

在组织体系方面，医疗卫生机构，尤其是大型公立医院需设立专门岗位、组建专业团队，负责个人信息保护合规审计工作。专业团队的职责包括但不限于与审计机构密切对接，确保审计工作的顺利开展；整理提供审计所需的各类资料，保证资料的完整性和真实性；及时跟进审计问题的整改情况，确保问题得到有效解决；定期组织内部员工培训，提高员工的个人信息保护意识和合规操作能力。

在技术措施方面，医疗卫生机构需对现有的信息系统进行必要升级，强化数据加密技术，确保患者信息在传输、存储、使用等过程中的安全性，防止信息被窃取或篡改；构建更精细、更智能的数据访问权限管理系统，根据不同员工的职责和工作需要，精准控制访问级别，实现最小权限原则。

在人才队伍方面，由于医疗卫生机构内部人员大多专注于医疗相关专业，对个人信息保护合规审计的理解和实践经验均相对不足。因此，建议在医学院校人才培养体系中，增加医疗卫生机构个人信息保护合规审计的相关课程；在毕业后医学教育中，增加个人信息保护合规审计方面的学分要求。同时，建议由医学院校和法学院校联合开展交叉型、复合型人才培养，多途径、多渠道解决医疗卫生机构个人信息保护合规审计专业人才短缺问题。

第三，法治建设体系亟待健全。

个人信息保护合规审计涉及医疗卫生机构内部多个部门，如信息科、医务科、护理部、病案室等。由于各部门的工作重点、信息流通方式和职责划分等存在差异，实际工作中容易出现沟通不畅、协调困难的问题。例如，各部门在提供审计资料时，可能出现资料不完整、格式不一致甚至内容相互矛盾的情况。又如，对于一些涉及多部门的复杂问题，可能出现部门之间相互推诿责任的情况，导致整改工作进展缓慢。

这些问题其实不仅出现于个人信息保护合规审计领域，在医疗卫生机构的其他法务工作中也同样存在。因此，建议医疗卫生机构加强法治建设，尤其是大型公立医院应单独或联合设立法务合规部门，设置专职或兼职法务合规岗位，统筹机构内部包括医务人员合规执业、个人信息保护合规审计等在内的法务工作，以此切实落实医疗卫生机构法治建设相关规定，以及《办法》提出的各项个人信息保护合规审计职责。