医疗卫生机构数据分类分级指南(试行)

医疗卫生机构数据分类分级指南(试行)为规范医疗卫生机构数据管理，保障数据安全与合理利用，依据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《医疗质量安全管理办法》等法律法规，结合医疗卫生行业特点，制定本指南。本指南适用于各级各类医疗卫生机构（含医院、基层医疗卫生机构、专业公共卫生机构等）对内部产生、采集、存储、传输及使用的电子数据进行分类分级管理，旨在通过科学分类、精准分级，实现数据安全防护与业务需求的平衡，促进数据资源的高效利用与合规共享。一、数据分类原则与方法医疗卫生机构数据分类以“业务驱动、属性明确、便于管理”为核心原则，结合数据的产生场景、内容属性及业务价值，从业务场景维度与数据属性维度进行双维度分类，确保覆盖机构全业务链条数据，同时体现数据的本质特征。（一）业务场景维度分类根据数据产生的核心业务场景，将数据划分为患者诊疗数据、公共卫生数据、机构管理数据、科研教学数据四大类，具体如下：1.患者诊疗数据：指在患者就诊、治疗、康复全过程中产生的与个体健康相关的数据，是医疗卫生机构最核心的数据资产。-基础信息：患者姓名、性别、年龄、身份证号、联系方式、住址等身份标识信息；-诊疗记录：门急诊病历、住院病历、病程记录、诊断结论、出院小结等；-检查检验数据：医学影像（如CT、MRI、X光片）、实验室检测报告（如血常规、生化指标）、病理检查结果等；-治疗干预数据：用药记录（含药品名称、剂量、用法、不良反应）、手术/操作记录（含术式、麻醉方式、术中风险）、护理记录（含生命体征监测、护理措施）等；-健康管理数据：慢性病随访记录、康复评估报告、健康档案（含个人健康史、家族病史）等。2.公共卫生数据：指为预防控制疾病、促进公众健康而采集或生成的数据，具有社会公共属性。-疫情监测数据：传染病病例报告（含病例类型、发病时间、传播途径）、疫点信息（含地理位置、暴露人群）、疫苗接种数据（含疫苗种类、接种时间、接种者信息）等；-健康影响因素数据：环境卫生监测结果（如水质、空气质量）、食品药品安全风险数据、职业健康危害因素检测数据等；-群体健康统计数据：区域人口健康状况分析（如出生率、死亡率、慢性病患病率）、重点人群健康干预效果评估数据（如儿童营养改善、老年人健康管理）等。3.机构管理数据：指支撑机构运营管理的内部数据，涉及人、财、物等资源配置与效率评估。-人力资源数据：医务人员信息（含职称、执业范围、培训记录）、行政后勤人员信息、绩效考核数据等；-财务运营数据：医疗收入（含项目收费、医保结算）、成本支出（含药品耗材采购、设备维护）、预算执行数据等；-物资设备数据：药品库存（含品种、数量、效期）、医疗器械管理（含注册证号、使用状态）、固定资产台账等；-质量安全数据：医疗质量指标（如手术切口感染率、平均住院日）、安全事件记录（如医疗差错、患者跌倒）、院感监测数据（如消毒效果、病原体耐药性）等。4.科研教学数据：指用于医学研究、教学培训的实验性或参考性数据，通常具有探索性与共享价值。-科研原始数据：临床研究病例数据（含入排标准、疗效指标）、基础医学实验数据（如细胞培养记录、基因测序结果）、流行病学调查数据等；-教学资源数据：教学查房记录、典型病例库（含影像、病理资料）、模拟训练系统数据（如虚拟手术操作记录）等；-学术成果数据：论文发表数据（含研究结论、统计分析）、专利信息（含技术方案、应用场景）、标准规范草案（如诊疗指南、操作规范）等。（二）数据属性维度分类从数据的敏感程度与使用限制出发，将数据分为个人敏感数据、机构敏感数据、公共敏感数据及非敏感数据四类，与业务场景分类形成交叉验证，确保分类结果的全面性。-个人敏感数据：一旦泄露或滥用可能对个人权益造成严重损害的数据，包括患者生物识别信息（如指纹、声纹、DNA序列）、重大疾病诊断结果（如恶性肿瘤、遗传病）、精神疾病诊疗记录、基因检测隐私信息等；-机构敏感数据：可能影响机构正常运营或竞争优势的数据，包括核心技术方案（如自主研发的临床决策支持系统算法）、未公开的财务报表、采购合同关键条款、医务人员绩效核心指标等；-公共敏感数据：可能引发社会恐慌或影响公共利益的数据，包括未公布的传染病疫情趋势预测、群体性不明原因疾病调查进展、重大公共卫生事件应急响应方案等；-非敏感数据：经过脱敏处理后无法识别特定个体或机构，且公开后无安全风险的数据，如匿名化的门诊量统计、去标识化的疾病谱分布、已公开的设备采购中标公告等。二、数据分级标准与判定数据分级以“风险导向、影响评估”为原则，根据数据泄露、篡改或丢失后可能造成的影响对象（个人、机构、社会）与影响程度（轻微、一般、严重、特别严重），将数据划分为一级（一般数据）、二级（重要数据）、三级（核心数据）三个等级，分级越高，安全防护要求越严格。（一）一级数据（一般数据）定义：泄露、篡改或丢失后仅对个体或机构造成轻微影响，且可通过常规手段恢复或补救的数据。判定标准：-影响对象：单个个体或机构局部业务；-影响程度：导致个体信息骚扰（如普通联系方式泄露）、机构非核心业务短暂停滞（如某科室设备维修记录丢失）；-典型示例：已脱敏的门诊患者年龄分布统计、非涉密的行政会议纪要、过期的普通药品采购订单（超过3年且无纠纷）等。（二）二级数据（重要数据）定义：泄露、篡改或丢失后可能对个体权益、机构运营或社会公共利益造成较大影响，需采取强化保护措施的数据。判定标准：-影响对象：多个个体（10人以上）、机构核心业务或局部社会公共利益；-影响程度：导致个体隐私侵害（如普通诊疗记录泄露引发歧视）、机构经济损失（如单月医保结算数据错误导致资金追回困难）、局部社会恐慌（如未核实的群体性健康异常传闻数据）；-典型示例：未完全脱敏的慢性病患者随访记录（可关联至少量个体）、科室级医疗质量指标（如某病区平均住院日）、区域疫苗接种覆盖率统计（未标注具体乡镇）等。（三）三级数据（核心数据）定义：泄露、篡改或丢失后可能对个体权益造成严重损害（如生命健康威胁）、机构核心竞争力丧失或社会公共利益遭受重大损失的数据，需实施最高级别保护。判定标准：-影响对象：特定个体（如重大疾病患者）、机构整体运营或广泛社会公共利益；-影响程度：导致个体人身安全威胁（如精神疾病患者住址泄露）、机构重大经济损失（如年度财务报表泄露引发信誉危机）、社会恐慌（如未发布的传染病暴发预警数据）；-典型示例：患者基因检测原始数据（可直接关联个体健康风险）、医院核心信息系统登录权限数据、未公布的突发公共卫生事件处置方案、甲类传染病病例的详细流调信息（含密切接触者名单）等。三、分类分级实施流程医疗卫生机构应建立“梳理-识别-评估-确认-动态调整”的全流程分类分级管理机制，确保数据状态与业务需求同步更新。（一）数据资产梳理由信息化部门牵头，联合医务、护理、公卫、科研、财务等业务部门，通过数据清单编制、系统日志分析、业务流程调研等方式，全面梳理机构内数据资产。数据清单应包含以下要素：-数据名称（如“2023年呼吸科住院患者电子病历”）；-数据类型（对应业务场景分类，如“患者诊疗数据-诊疗记录”）；-存储位置（如电子病历系统数据库、HIS服务器、移动存储设备）；-责任部门（如医务科、信息中心）；-关联业务（如临床诊疗、医保结算）；-生命周期（生成时间、保留期限、归档/销毁规则）。（二）数据类型识别业务部门根据数据产生场景，对照分类标准（业务场景维度与数据属性维度），初步判定数据所属类别。对跨场景数据（如科研使用的患者诊疗数据），需标注主类别与关联类别（如主类别为“科研教学数据”，关联类别为“患者诊疗数据-基础信息”）。（三）数据等级评估由数据安全管理委员会（或指定的跨部门评估小组）负责等级评估，采用“定性+定量”方法：-定性评估：根据数据定义与判定标准，初步判断数据可能的影响对象与影响程度；-定量评估：通过风险矩阵模型（概率×影响）计算风险值，风险值=泄露概率（低/中/高）×影响程度（1-4分），风险值≥8分的判定为三级数据，5-7分为二级数据，≤4分为一级数据；-争议处理：对评估结果有异议的，需提交机构分管领导或学术委员会复核，必要时邀请外部专家参与论证。（四）分级结果确认与发布评估通过的分类分级结果需形成《数据分类分级目录》，经机构法定代表人或授权负责人审批后生效，并在内部信息平台公示。目录应包含数据名称、分类类别、安全等级、责任部门、访问权限、安全措施等内容，作为数据管理的核心依据。（五）动态调整机制数据分类分级并非静态过程，需根据以下情形及时调整：-业务场景变化：如新增互联网医院业务，产生线上问诊数据，需纳入“患者诊疗数据”并评估等级；-政策法规更新：如国家出台新的个人信息保护规定，需重新评估个人敏感数据范围；-安全事件触发：如发生二级数据泄露事件，需对同类数据升级保护等级；-数据生命周期演进：如科研数据从“原始数据”归档为“成果数据”，其敏感程度可能降低，需重新分级。动态调整应遵循“申请-审核-审批-更新”流程，调整记录需留存备查，确保可追溯。四、分类分级后管理要求分类分级的最终目标是实现“精准防护、合理利用”。医疗卫生机构需针对不同类别、等级的数据，制定差异化的管理策略，涵盖访问控制、存储传输、共享使用、安全审计等环节。（一）访问控制-一级数据：开放至机构内所有授权用户，访问无需额外审批，但需记录访问日志；-二级数据：仅限业务相关部门人员访问，访问需经部门负责人审批，审批记录与访问日志保留至少3年；-三级数据：实行“最小授权”原则，仅允许经数据安全管理委员会审批的特定人员访问，访问需双因素认证（如账号+动态令牌），日志需加密存储并保留至少5年。（二）存储与传输-一级数据：可存储于普通业务系统，备份至本地或云端非敏感存储区，传输使用HTTPS等基础加密协议；-二级数据：需存储于加密数据库，本地与异地双备份，传输需采用AES-128及以上加密算法，关键字段（如患者姓名）脱敏处理；-三级数据：必须存储于物理隔离的专用服务器，采用国密SM4等高强度加密算法，传输需通过专线网络，全程加密且无明文落地，备份需离线存储并定期校验。（三）共享与使用-一级数据：可在机构内部公开共享，对外共享需匿名化处理（如去除姓名、身份证号），无需额外审批；-二级数据：内部共享需明确使用范围与期限，对外共享需签订数据安全协议，经分管领导审批，共享内容需去标识化（如用编号代替姓名）；-三级数据：原则上不对外共享，确需共享的（如疫情防控需要），需经机构数据安全管理委员会审核、法定代表人批准，共享前进行安全风险评估，共享过程全程监控，接收方需具备同等安全防护能力。（四）安全审计与责任追究信息化部门需定期（每季度）对数据分类分级执行情况进行审计，重点检查访问日志完整性、存储传输合规性、共享使用记录等。对违反分类分级管理要求的行为（如越权访问三级数据、未加密传输二级数据），需按机构内部规定追究责任，涉及违法的依法移送司法机关处理。五、保障措施为确保分类分级工作有效落地，医疗卫生机构需从组织、制度、技术、人员四方面提供保障：-组织保障：成立数据安全管理委员会（由主要负责人、分管信息化/医务/公卫的领导、信息中心主任、法务专员等组成），统筹分类分级政策制定与重大事项决策；-制度保障：制定《数据分类分级管