從患者的個人隱私方面來看，電子病歷包括兩方面的內容，一是患者的個人信息，包括姓名、性別、年齡等基本身份信息，父母、配偶、子女等家庭生活與社會關系的信息，教育程度、職業、政治面貌等社會政治信息，家族史、病史、過敏史等基本健康信息，新農合、商業保險、公費等參保信息。；二是醫護人員記錄的診療信息，包括入院記錄、病程記錄、手術記錄、出院記錄、醫囑記錄、耗材記錄、生命征象記錄、會診記錄、相關的檢查資料與報告、醫生對患者的診斷結果以及治療的方案、知情告知書等方面的資料。患者電子病歷信息安全指的是患者有權要求數據處理者和使用者避免個人病歷信息的丟失、不當訪問、破壞、利用、修改、泄露等風險，并應采取合理的安全保障措施。《中華人民共和國民法典》正式實施以后，對隱私權做了法律上的界定，患者的隱私權，是指患者醫療機構接受醫療服務時表現出的，涉及患者自身因診療服務需要而被醫療機構及醫務人員合法獲悉，不愿他人知悉的個人情況。數字經濟時代的三駕馬車《網絡安全法》《數據安全法》《個人信息保護法》，也明確界定了個人敏感信息的處理原則，醫生和醫院作為信息的處理者，一旦泄露患者的個人敏感信息，涉及侵犯患者隱私權，要承擔相應的民事責任。

從醫院管理方面來看，醫院要承擔承擔數據安全和數據合規義務，對于患者個人電子病歷中涉及的敏感信息，醫院應當妥善地保管，盡到管理的職責。以一家大型三甲醫院為例，平均門診量高達7000—10000人次/天，一年的門診量高達240萬—250萬人次/年，電子病歷系統里存放大量的病歷數據，當患者就診時，醫生通過電子病歷系統從200多萬份數據中快速、準確地找到該患者的數據。在使用這些數據時，醫院應當做到合理使用、妥善保管，避免泄露患者的個人信息。如果醫院未履行此義務，就要承擔相關主管部門的行政處罰，甚至涉及刑事犯罪，單位和相關負責人要承擔刑事責任。

一是醫療數據共享問題，在醫療大數據共享系統下，患者每次就診便自動將個人所有疾病信息共享給主治醫生，甚至是特殊敏感的疾病信息，如性病、艾滋病等。那么是否有必要如此共享？患者是否有權決定共享的范圍？某些醫院在給第三方機構調取患者數據時，并沒有對患者個人的敏感信息進行脫敏處理，這就違反了《網絡安全法》、《數據安全法》等相關法律。

二是有關數據處理問題，醫院是患者個人信息處理的主要機構。當前，醫院尚未形成體系性的個人信息保護的管理制度，個人隱私保護措施主要體現在各個具體的信息系統管理制度當中。患者電子病歷數據的保存、利用、共享、刪除，保密機制是否有完善，這是一個全生命周期數據合規體系的搭建問題，是否對數據安全、數據出境進行評估，以及患者的個人信息安全影響評估機制，醫院是否對防火墻機制進行了評估，從這些角度來看，目前還是有所缺乏的。國內亟需依法對患者隱私信息進行嚴格管控保護，設立脫敏、去標識化的具體標準和規定，這樣才能在促進健康醫療大數據應用發展過程中保護個人隱私和維護信息安全。

它們的不同點在于，線下的電子病歷是醫院和患者進行線下溝通，經過醫生的診斷，再經由醫生系統上傳數據；而互聯網診療過程中形成的電子病歷完全符合全生命周期的概念，所有的數據從提取、存儲、共享都是在互聯網診療機構里面進行的，是可追溯的，這一特點符合數字化時代的特征，互聯網醫療領域是醫療數據過度采集和不當使用的重災區。互聯網醫療機構通過計算機網絡為個人信息主體提供相應的服務時，可能作為個人信息控制者收集用戶的個人信息并加以利用，而在該過程中更加存在數據合規風險。在這樣的背景下，合規管理體系就顯得尤為重要。

未來，健康醫療大數據的會朝著互通、互享、共治、共享的方向發展，數據的流通會更加順暢，防止數據的泄露也是很重要的議題。因此，院方要尤其注意對醫療健康數據的處理，建立全生命周期的數據合規管理體系，并進行認證，才能更好地規避信息安全的問題。