为进一步加强医疗机构和医务人员管理，规范患者医疗信息使用，国家卫生健康委会同国家中医药局、国家疾控局制定《关于进一步加强医疗机构电子病历信息使用管理的通知》，旨在通过压实医疗机构主体责任，强化监管措施，进一步保障患者医疗信息和医疗质量安全。

《通知》明确的思想是将电子病历安全责任直接落实到医疗机构。重点内容如下：

一、权限管理：分级授权，责任到人：

分级访问控制：

医疗机构需根据岗位职责、角色任务及使用需求，对临床诊疗、教学、管理等相关人员实施分级访问权限管理，遵循“最小可用原则”。严禁未经授权查阅、复制、传播或篡改病历信息，违规操作将依法追责。

医生需严格按权限调阅病历，避免超范围使用；教学活动中，进修生、实习生权限需与学习范围匹配，防止信息滥用。

身份标识与责任绑定：

医务人员需使用专有身份标识访问电子病历系统，并对本人标识的使用负责。不得违规收集、传输患者信息或通过网络渠道传播，否则将纳入绩效评价扣分项

二、操作规范：全流程可追溯，共享需审批：

操作留痕与追溯：

医疗机构需确保电子病历系统的操作痕迹、时间及人员信息可查询、可追溯，支持数字水印等技术手段留痕。病历修改、调阅等操作将留下明确记录，医疗纠纷取证更清晰，倒逼医务人员规范操作。

信息共享与接收规范：

①共享要求：电子病历信息共享需经严格授权审批，确保信息防篡改。

②接收验证：接收外部电子病历时，需验证来源合法性、完整性及安全性，并建立详细接收、存储、使用记录。

三、数据安全：强化防护，严控外部风险

安全防护体系：

医疗机构需依据《网络安全法》《数据安全法》等法规，建立电子病历信息安全防护体系，定期开展安全评估，防范异常访问及未授权操作。系统稳定性提升，但医务人员需适应更严格的安全验证流程（如频繁登录验证）。

外部服务商管理：

与提供信息系统维护、数据分析等服务的外部服务商签订保密协议，明确访问范围、目的及期限，并接受医疗机构监督。

四、监督与考核：纳入绩效，违规追责

内部监督机制：

医疗机构纪检部门需加强对电子病历信息使用权限滥用、信息泄露等行为的监管。违规操作将纳入医务人员绩效评价，出现信息泄露等不良事件，依法追究部门及个人责任。

外部监管评估：

地方卫健行政部门将医疗机构电子病历管理情况纳入医院评审、医院巡查、智慧医院建设等评估体系，倒逼医疗机构落实主体责任。

本次《通知》通过分级授权、全流程追溯、数据安全加固等措施，既保障了患者隐私与医疗质量安全，也为医务人员划定了清晰的操作边界。临床工作中，需重点关注权限合规性、操作留痕意识及外部合作风险，避免因疏忽引发法律责任。