2026年4月2日,中央网信办、工业和信息化部、公安部联合发布《关于开展2026年个人信息保护系列专项行动的公告》,在《个人信息保护法》施行基础上,进一步聚焦七大重点领域违法违规收集使用个人信息问题。
其中卫生健康领域将医院、卫生服务中心、疾控中心等医疗卫生机构列为重点治理对象,明确6类违法违规行为:
1、网站、App超范围收集位置等个人信息,身份验证不严导致病历可被无关人员查询;
2、未经患者同意公开含个人信息的影像图片、文字描述等信息;
3、可用非人脸识别技术验证患者身份,却将人脸识别作为唯一方式,未落实人脸识别技术应用安全管理要求;
4、未建立专门个人信息保护管理制度,未设置有效访问权限,未明确保护职责;
5、内部信息系统未采取加密、去标识化等技术防护手段;
6、第三方技术运维人员管理不到位,存在信息泄露风险隐患。
此外,专项行动特别强调要严惩侵犯个人信息的行业“内鬼”,围绕信息泄露、倒卖、使用全环节开展打击治理,这对智慧医院的内部数据管控提出了更高要求。
智慧医院作为个人健康信息的核心处理主体,其线上服务平台、AI辅助诊断、电子病历系统、远程诊疗工具等均涉及海量患者个人信息,此次专项行动的治理要求与智慧医院的建设场景高度契合。
从合规要求来看,智慧医院需重点把握四大核心:
一是App与集成的第三方SDK需遵循 “公开规则、完整告知、用户同意、最小必要” 原则,完善账号注销、投诉举报渠道,杜绝超范围收集位置等非必要信息;
二是身份验证应规范化,刷脸就医、门禁等应用不得将人脸识别作为唯一方式,需提供身份证、医保卡等替代方案;
三是升级数据安全防护,电子病历系统、数据中心等核心设施需落实加密存储、访问控制、去标识化等技术手段;
四是第三方合作也需守住合规底线,与互联网医疗平台、AI供应商等合作时,明确数据保护责任,提前获得用户知情同意并告知合作细节。
个人信息保护是智慧医院高质量发展的基石,合规建设与技术创新同等重要。智慧医院可从以下五个方面推进合规建设:
首先要开展全面自查,对照公告六大重点问题,排查网站、App、信息系统的合规隐患,建立台账并限期整改;
同时完善制度流程,制定专门的个人信息保护管理制度,落实“事前审批、事中监管、事后审核”全流程管理;
还要强化技术防护,对敏感信息加密存储,部署数据脱敏系统,实时监控异常访问行为,采用隐私计算技术保障数据共享安全;
此外,需优化用户体验,尊重用户信息自主权,提供多种身份验证方式和清晰的隐私权限管理界面;
最后是加强人员管理,对内部员工及第三方运维人员开展安全培训,实施最小权限原则,防范“内鬼”泄露风险。
个人信息保护是智慧医院建设不可逾越的合规底线,也是赢得患者信任的关键。
「信息来源」
中央网信办、工业和信息化部、公安部关于开展2026年个人信息保护系列专项行动的公告:
https://www.cac.gov.cn/2026-04/02/c_1776867645836849.htm
— END —
分享
发表评论
登录
手机
验证码
手机/邮箱/用户名
密码
立即登录即可访问所有OFweek服务
还不是会员?免费注册
忘记密码其他方式
请输入评论内容...
请输入评论/评论长度6~500个字
暂无评论
暂无评论