各省、自治區、直轄市及新疆生產建設兵團衛生健康委、中醫藥局、疾控局：

按照《中華人民共和國基本醫療衛生與健康促進法》《中華人民共和國醫師法》《醫療機構管理條例》及其實施細則等法律法規和部門規章規定，進一步落實醫療質量安全核心製度、醫療機構病曆管理規定、電子病曆係統功能和應用管理規範、醫療衛生機構網絡安全管理辦法等有關要求，現就進一步加強醫療機構電子病曆信息使用管理工作通知如下：

一、加強醫療機構內部管理

（一）明確電子病曆範圍。電子病曆是病曆的一種記錄形式，指醫務人員在醫療活動過程中，使用信息係統生成的文字、符號、圖表、圖形、數字、影像等數字化信息，並能實現存儲、管理、傳輸和重現的醫療記錄，包括門（急）診病曆和住院病曆。

（二）壓實醫療機構主體責任。醫療機構對本單位電子病曆信息使用管理承擔主體責任，要依法依規嚴格保護患者隱私，不得以非醫療、教學、研究目的泄露患者的病曆信息。醫療機構應明確電子病曆信息使用管理的牽頭部門，確定各相關部門和人員的職責分工，統籌協調醫務、科教、信息等相關部門落實管理責任，指導臨床業務部門落實使用主體責任。醫療機構要強化紀檢部門的監督職能，加強對電子病曆信息使用權限濫用、信息泄露等行為的監管。要將電子病曆信息規範使用管理情況納入行政管理人員和醫務人員績效評價，出現違規操作、泄露信息等不良事件，要依法依規追究相應部門和個人責任。

（三）健全醫療機構管理製度。醫療機構應當完善電子病曆信息係統分級管理製度，規範電子病曆的建立、記錄、修改、保存、傳輸等各環節工作流程，以及使用、管理的權限範圍。建立電子病曆信息使用長效監管機製，預防並及時處置不合理調閱、使用、轉發電子病曆信息等情形，確保電子病曆信息使用合法合規、安全可控。建立應急處置製度，建立健全電子病曆信息泄露場景的處置流程。

（四）落實分級管理要求。醫療機構應當根據電子病曆信息的重要程度、敏感級別、使用場景等具體情況，嚴格實施分級分類訪問控製與權限管理。遵循最小可用原則，按照崗位職責、角色任務、使用需求等，明確臨床診療、教學、管理等相關人員分級訪問權限和時限，嚴禁未經授權查閱、複製、傳播或篡改病曆信息。發生就醫診療相關輿情時，要立即封存涉及人員的相關信息，無關人員不得訪問瀏覽記錄轉發。

二、規範電子病曆信息使用

（一）規範相關人員使用權限和行為。醫療機構應當為電子病曆係統操作人員提供專有的身份標識和識別手段，並設置相應權限。明確操作人員對本人身份標識的使用負責，不得違規收集、使用、傳輸、透露、買賣患者病曆信息或通過網絡渠道傳播。醫療機構從業人員均應妥善保管個人身份識別介質，依權限規範使用電子病曆信息，並由醫療機構根據工作崗位和工作內容定期更新調整其使用權限和時限。參與見習實習和培養培訓的學生、進修醫生等短期工作人員，需接受醫療機構組織的相關培訓，依權限在教學學習活動中規範使用電子病曆信息，其使用權限和時限不得超過培訓進修學習範圍和時長。醫療機構應當與提供信息係統維護和數據分析服務等業務的外部服務商簽訂嚴格的保密協議和授權協議，明確其訪問電子病曆係統的範圍、目的和期限，並在服務過程中接受醫療機構監督，確保數據安全。

（二）保障全流程可追溯。醫療機構要確保電子病曆係統曆次操作痕跡、操作時間和操作人員等信息可查詢、可追溯。支持通過數字水印等技術手段，確保使用過程留痕。醫療機構共享電子病曆信息時，應有嚴格的授權機製和審批流程，確保信息的安全性和防篡改性。醫療機構接收外單位提供的電子病曆信息時，應對信息來源的合法性、完整性、安全性進行驗證，並參照內部管理要求建立詳細的接收、存儲、使用記錄，實現數據流向可追溯。

（三）確保數據安全。醫療機構要按照《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國電子簽名法》等法律法規規定，強化數據安全管理。建立電子病曆信息安全防護體係，充分利用信息化手段監測電子病曆信息使用情況。定期開展安全評估，對異常訪問或未經授權的操作及時發出警報並通知上級管理人員，有效防範潛在安全風險。

三、強化衛生健康行政部門監管

地方各級衛生健康行政部門(含中醫藥、疾控部門，下同)要加強對醫療機構規範使用電子病曆信息的指導和監管，定期監測評估。各省級衛生健康行政部門要將醫療機構規範使用電子病曆信息情況作為醫院評審、醫院巡查、智慧醫院建設等相關工作重要評估依據。各辦醫主體單位組織推進落實。

國家衛生健康委辦公廳        國家中醫藥局綜合司

國家疾控局綜合司

2025年6月23日