《通知》将电子病历安全责任直接落实到医疗机构，要求加强医疗机构内部管理，并提出诸多管理细节，包括医疗机构对本单位电子病历信息使用管理承担主体责任，要依法依规严格保护患者隐私，不得以非医疗、教学、研究目的泄露患者的病历信息。要将电子病历信息规范使用管理情况纳入行政管理人员和医务人员绩效评价，出现违规操作、泄露信息等不良事件，要依法依规追究相应部门和个人责任。医疗机构应当完善电子病历信息系统分级管理制度，规范电子病历的建立、记录、修改、保存、传输等各环节工作流程，以及使用、管理的权限范围。建立电子病历信息使用长效监管机制，预防并及时处置不合理调阅、使用、转发电子病历信息等情形，确保电子病历信息使用合法合规、安全可控。医疗机构应当根据电子病历信息的重要程度、敏感级别、使用场景等具体情况，严格实施分级分类访问控制与权限管理。遵循最小可用原则，按照岗位职责、角色任务、使用需求等，明确临床诊疗、教学、管理等相关人员分级访问权限和时限，严禁未经授权查阅、复制、传播或篡改病历信息。发生就医诊疗相关舆情时，要立即封存涉及人员的相关信息，无关人员不得访问浏览记录转发等。

在电子病历的使用方面，《通知》也给出了更加严格的规定。

《通知》提出，医疗机构不得违规收集、使用、传输、透露、买卖患者病历信息或通过网络渠道传播。医疗机构从业人员均应妥善保管个人身份识别介质，依权限规范使用电子病历信息，并由医疗机构根据工作岗位和工作内容定期更新调整其使用权限和时限。参与见习实习和培养培训的学生、进修医生等短期工作人员，需接受医疗机构组织的相关培训，依权限在教学学习活动中规范使用电子病历信息，其使用权限和时限不得超过培训进修学习范围和时长。

与此同时，《通知》还要求医疗机构要确保电子病历系统历次操作痕迹、操作时间和操作人员等信息可查询、可追溯。支持通过数字水印等技术手段，确保使用过程留痕。医疗机构共享电子病历信息时，应有严格的授权机制和审批流程，确保信息的安全性和防篡改性。医疗机构接收外单位提供的电子病历信息时，应对信息来源的合法性、完整性、安全性进行验证，并参照内部管理要求建立详细的接收、存储、使用记录，实现数据流向可追溯。

附：《关于进一步加强医疗机构电子病历信息使用管理的通知》政策解读

一、制定背景和目的

自2010年起，我委先后制定《电子病历基本规范（试行）》《电子病历应用管理规范（试行）》《电子病历系统功能规范（试行）》《医疗机构临床决策支持系统应用管理规范（试行）》等文件，明确电子病历建立、管理要求及系统功能标准，强化技术及质量要求，维护医患双方的合法权益，持续推进以电子病历为核心的医疗机构信息化建设。为进一步加强医疗机构和医务人员管理，规范患者医疗信息使用，国家卫生健康委会同国家中医药局、国家疾控局制定《关于进一步加强医疗机构电子病历信息使用管理的通知》（以下简称《通知》），旨在通过压实医疗机构主体责任，强化监管措施，进一步保障患者医疗信息和医疗质量安全。

二、《通知》内容

（一）加强医疗机构内部管理。医疗机构需明确电子病历范围，压实主体责任，依法依规严格保护患者隐私，将电子病历信息规范使用管理情况纳入绩效评价。健全管理制度，建立电子病历使用长效监管机制和应急处置制度。落实分级管理要求，遵循最小可用原则，明确临床诊疗、教学、管理等相关人员分级访问权限和时限。

（二）规范电子病历信息使用。医疗机构需规范相关人员使用权限和行为，不得违规收集、传输或泄露患者信息。加强短期人员培训与管理，确保权限与职责匹配，并与外部服务商签订保密协议。保障全流程可追溯，采用数字水印等技术，确保使用过程留痕。确保数据安全，建立电子病历信息安全防护体系，防范潜在安全风险。

（三）强化卫生健康行政部门监管。地方各级卫生健康行政部门(含中医药、疾控部门，下同)要加强对医疗机构指导和监管，组织推进落实，定期监测评估。各省级卫生健康行政部门要将医疗机构规范使用电子病历信息情况作为医院评审、医院巡查、智慧医院建设等相关工作重要评估依据。

三、抓好文件落实

各地要按照《通知》要求结合实际抓好落实，做好教育培训和政策解读，定期对医疗机构电子病历信息的使用管理情况进行监测和评估，规范医疗机构电子病历信息使用，保障患者医疗信息和医疗质量安全。