2021年8月20日，十三届全国人大常委会第三十次会议表决通过了《中华人民共和国个人信息保护法》（以下简称《个人信息保护法》），并于2021年11月1日起施行。

    《个人信息保护法》第29条规定：处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息，应取得个人的单独同意。法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。

    医疗机构在进行诊疗活动过程中，会接收或处理大量患者敏感个人信息，那么医疗机构的相关部门该如何履行义务，依法保护患者敏感个人信息呢？

    结合日常的监督执法经验，卫监君提醒如下：

    一、患者健康信息属于敏感信息

    敏感个人信息是指一旦泄露或者非法使用容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括：生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等，以及不满十四周岁未成年人的个人信息。

    患者在医疗机构登记或生成挂号凭证、就诊须知、入院通知单、知情同意书等与患者就医接诊有关的个人医疗健康信息，医疗机构应当给予相关的必要提示、提醒，并向患者承诺保障患者的个人信息安全。

    二、患者个人信息处理的相关权利

    《个人信息保护法》第四十四条、第四十五条、第四十六条规定，个人对其个人信息的处理享有知情权、决定权，有权限制或者拒绝他人对其个人信息进行处理。个人有权向个人信息处理者查阅、复制其个人信息，个人请求查阅、复制其个人信息的，个人信息处理者应当及时提供。个人请求更正、补充其个人信息的，个人信息处理者应当对其个人信息予以核实，并及时更正、补充。

    依据上述规定，患者有权查阅、复制其个人信息（如患者本人病历资料、检验/检查报告等），医疗机构应当及时提供。如患者请求更正、补充其个人信息的，医疗机构应当对其个人信息予以核实，并及时更正、补充。

    三、医疗机构应当加强对患者信息保护的评估和管理

    医疗机构应当定期对诊疗工作中涉及患者个人信息的业务流程节点进行审计，并对个人信息保护情况进行评估。提升个人信息安全意识，制定关于个人信息安全的管理制度，落实数据应用过程中的信息安全审计工作。通过对个人信息实行分类管理，采取加密等技术手段，防止个人信息泄露、被篡改及丢失，并定期组织个人信息安全教育和培训。

    根据《个人信息保护法》，如果个人信息遭到泄露或盗用，可向县级以上地方人民政府有关部门进行投诉举报。

（本文部分信息来源于江苏省人民医院信息处微信公众号）