去医院做个检查，你的病历、化验单、影像报告——这些数据去了哪里？谁有权限看？能不能卖给保险公司？2026年，国家卫健委等五部门联合发布的《医疗卫生机构数据安全和个人信息保护管理办法（试行）》给出了明确答案。

医疗数据，不是“谁都能看”的公开资源。

新规将医疗数据分为三级：核心数据、重要数据和一般数据，不同级别对应不同保护措施。你的基因信息、传染病史、精神疾病记录属于“核心数据”，受到最严格的保护。医院处理这些数据时，必须“就高不就低”——只要有核心数据，就得按最高标准防护。

你以为“只是问一声”的授权，法律要求必须“单独同意”。

诊室里护士问“要不要参加科研项目”，你随口说“好”——这不够。根据《个人信息保护法》第二十八条，医疗健康信息属于敏感个人信息，处理前必须取得你的单独书面同意，禁止用格式条款“一揽子”打包授权。

最严红线：这些事绝对不能做。

新规明确列出十项“禁止”行为，你至少需要记住三条：

1）不得通过微信、网盘、社交软件传输病历数据——医生用微信发你的检查报告，违法；

2）不得向保险公司、药企提供可识别个人的医疗数据——除非你单独授权；

3）不得将患者数据上传境外云平台——医疗数据出境须经双重审批。

违规的代价，比你想象的重。

医院泄露数据的，最高可罚1000万元，甚至吊销执业许可。个人私自倒卖“统方”（处方数据）的，获利5000元以上即触犯《刑法》第253条，面临3年以下有期徒刑。2025年湖北某医院运维人员出售“统方”数据，团伙获利36万元，主犯被判3年有期徒刑。

你的权利，法律给了你“武器”。

你有权随时查阅自己的病历被谁看过、用于什么目的；有权要求医院更正错误信息、删除不再需要的数据；发现违规处理，可向卫生健康行政部门投诉举报。

下次去医院，多问一句：“我的数据，你们准备怎么用？”——这是法律给你的底气。

以上依据《医疗卫生机构数据安全和个人信息保护管理办法（试行）》（国卫规划发〔2026〕6号）、《个人信息保护法》、《数据安全法》、《刑法》第253条等现行法律法规整理。

作者：凛

校验：麦田

封面制作：宸熙

本文内容综合官方媒体，仅代表个人观点