根据《中华人民共和国网络安全法》,互联网医院收集患者个人信息时,应当遵循的原则不包括以下哪一项?
合法、正当、必要原则
公开收集、使用规则原则
明示收集、使用信息的目的、方式和范围原则
无需征得被收集者同意原则
以下哪些技术措施是保障电子病历传输过程安全的有效手段?(多选)
使用SSL/TLS协议进行链路加密
对存储的电子病历文件进行明文备份
采用数字签名技术确保数据完整性与不可否认性
在公共Wi-Fi下直接传输未加密的病历数据
依据《个人信息保护法》,互联网医院在处理敏感个人信息(如电子病历中的疾病信息)前,必须取得患者的______同意。
互联网医院的电子病历系统在遭受勒索软件攻击,数据被加密无法访问时,最直接有效的恢复措施是什么?
立即支付赎金以换取解密密钥
断开受感染系统与网络的连接,并从可靠的离线备份中恢复数据
尝试自行破解加密算法
忽略攻击,等待系统自动恢复
为保护患者隐私,互联网医院电子病历系统的访问控制策略应包含哪些核心要素?(多选)
基于角色的访问控制(RBAC),确保医护人员只能访问其职责范围内的病历
对所有内部员工的访问行为进行无差别的、全程的录音录像
实施最小权限原则,仅授予完成工作所必需的最低级别访问权限
建立详细的访问日志,记录何人、何时、以何种方式访问了哪些病历信息
当互联网医院需要将电子病历数据用于医学研究时,在符合特定条件的前提下,可以不经患者个人同意。这些条件通常包括:数据已经进行______处理,无法识别特定个人且不能复原。
以下关于电子病历数据存储安全的描述,哪一项是错误的?
核心电子病历数据应在境内进行存储
为应对灾难,可在境外建立实时同步的数据备份中心
存储数据的服务器应部署在物理安全受控的环境中
对长期不访问的归档病历,也应采取与在线数据同等级别的加密保护
患者通过互联网医院App查询自己的电子病历后,系统应提供哪些隐私保护功能?(多选)
允许患者查看完整的访问日志
提供“隐私内容屏蔽”功能,允许患者自主选择隐藏部分敏感诊断结果
在患者设备本地缓存病历全文且无法删除
支持通过人脸识别等生物特征进行强身份验证后访问
互联网医院的信息系统在正式上线前,必须通过由第三方测评机构实施的______测评,以确保其安全保护措施符合国家等级保护要求。
某互联网医院医生将自己的系统账号借给实习医生使用,以方便其学习病历书写。这种行为主要违反了哪项安全原则?
数据备份原则
权限分离原则
责任认定原则
账户专用原则
当发生涉及超过______份电子病历数据的泄露、毁损、丢失等安全事件时,互联网医院除采取补救措施外,还应按照规定向相关主管部门和受影响的个人报告。
在互联网医院在线问诊环节,为保护患者隐私,以下哪些做法是适当的?(多选)
问诊结束后自动清空聊天记录和视频缓存
在医生端界面,默认隐藏患者的真实姓名,以昵称或编号代替
允许患者上传病情照片,但系统应自动扫描并过滤可能暴露个人身份信息的背景
为方便医生,将同一科室所有患者的问诊记录汇总在一个公开文档中供学习
对于互联网医院平台上的第三方合作服务商(如药品配送、保险理赔),在获取必要的患者信息时,平台方最应关注以下哪项合规义务?
确保服务商有最低的价格
与服务商签订严格的数据保护协议,明确其责任和义务,并对其数据处理活动进行监督
要求服务商将数据存储在境外以利用全球资源
将患者信息直接提供给服务商,无需额外告知患者
《民法典》第一千二百二十六条规定,医疗机构及其医务人员应当对患者的______和______予以保密。泄露该信息或未经同意公开病历资料,造成患者损害的,应承担侵权责任。
在电子病历的生命周期管理中,“数据留存”阶段结束后,应对病历数据进行哪种处理?
永久保存,以备不时之需
立即彻底删除所有副本
根据法律法规要求以及医院内部政策,进行安全、不可逆的销毁或匿名化归档
转移到公开的学术研究数据库
为构建“以患者为中心”的隐私保护文化,互联网医院可采取以下哪些措施?(多选)
定期对全体员工进行隐私保护政策与法规的培训
设立便捷的患者隐私投诉与反馈渠道
将隐私保护绩效纳入部门和员工的考核指标
仅在发生重大泄露事件后对员工进行一次性警示教育
从技术架构上看,保障互联网医院业务连续性和数据安全性的关键基础设施,通常包括同城______中心和异地______中心。
以下哪项不属于患者对其电子病历享有的法定权利?
查阅、复制权
更正、补充权
删除权(即“被遗忘权”)
无条件要求医院将病历转让给其他指定机构的权利
未来,利用______技术,可以在不直接接触原始电子病历数据的情况下,对加密后的密文数据进行统计分析,从而在保障隐私的前提下促进医疗科研。