---
title: "Patient Privacy PIPL（患者隐私合规）"
type: concept
tags: [healthcare, compliance, privacy, data, china]
sources: [healthcare-marketing-compliance]
last_updated: 2026-04-25
---

## Definition
患者隐私 PIPL 合规是指医疗健康企业在收集、存储、使用、传输患者个人健康信息时，遵守《个人信息保护法》（PIPL）、《数据安全法》、《网络安全法》等数据安全法规的合规义务。

## Core Legal Framework
- **《个人信息保护法》(PIPL)**：将个人医疗健康信息认定为"敏感个人信息"，须获得单独授权方可处理
- **《数据安全法》**：对医疗健康数据进行分类分级管理
- **《网络安全法》**：医疗机构信息系统的等级保护要求
- **《人类遗传资源管理条例》**：基因检测/遗传信息的收集、存储和跨境传输限制

## Sensitive Personal Information Classification
根据《个人信息保护法》第28条，医疗健康信息属于敏感个人信息，处理须满足：
- 须告知个人处理敏感个人信息的必要性及对个人权益的影响
- **须取得个人的单独同意**（不得与一般授权合并）
- 须进行个人信息保护影响评估（PIPL Impact Assessment）

## Key Compliance Requirements

### 营销场景
- 不得在未获授权情况下使用患者就诊信息、诊断结果、检验报告用于营销
- 患者案例推广须取得书面知情同意并充分脱敏

### 数据安全
- 患者数据管理须加密存储
- 分级访问控制
- 定期安全审计
- 涉及跨境数据传输须通过数据出境安全评估

### 违规处罚
> "患者健康数据属于《个人信息保护法》认定的'敏感个人信息'——违规最高罚款5000万元或上年度营收5%。" — PIPL 第66条

## Related Concepts
- [[Healthcare-Marketing-Compliance]]：患者隐私合规是医疗营销合规的重要组成部分
- [[Compliance-Risk-Matrix]]：违规处理患者敏感信息属 Critical Risk
- [[Evidence-Based-Merge-Proposal]]（跨概念关联）：医疗数据的脱敏处理与身份识别技术相关