医疗卫生机构数据分类分级指南(试行)

医疗卫生机构数据分类分级指南(试行)为规范医疗卫生机构数据管理，保障数据安全与合理利用，促进数据资源在医疗服务、公共卫生、科研教学等领域的科学应用，依据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国基本医疗卫生与健康促进法》《医疗质量安全管理办法》等法律法规及相关政策要求，结合医疗卫生行业特点，制定本指南。本指南适用于开展医疗卫生服务的各级各类机构（以下简称“机构”），包括医院、基层医疗卫生机构、专业公共卫生机构等，旨在明确数据分类分级的原则、方法及管理要求，指导机构建立覆盖数据全生命周期的分类分级管理体系。一、数据分类分级的基本原则（一）合法性与合规性原则。严格遵循国家法律法规及行业规范，确保数据分类分级过程符合个人信息保护、数据安全等要求，不得侵害自然人、法人及其他组织的合法权益。（二）业务驱动与风险导向原则。以机构实际业务需求为导向，结合数据在业务场景中的作用及潜在风险，动态评估数据的重要性与敏感性，确保分类分级结果与业务实际紧密关联。（三）最小必要与精准管理原则。根据数据的敏感程度和影响范围，采取差异化的管理措施，避免过度保护或保护不足，实现数据安全与利用效率的平衡。（四）动态调整原则。数据的业务价值、敏感程度可能随时间、业务场景变化而改变，需建立定期评估机制，及时更新分类分级结果，确保管理措施的有效性。二、数据分类方法与具体类别数据分类是根据数据的来源、内容、用途及业务属性，将数据划分为不同类别，以便针对性管理。结合医疗卫生机构业务特点，数据可分为以下五大类：（一）患者诊疗数据指机构在提供诊疗服务过程中产生或收集的与患者健康相关的数据，是机构核心业务数据。具体包括：1.基本信息：患者姓名、性别、年龄、身份证号、联系方式、住址等标识类信息（需注意，其中身份证号、联系方式等属于个人敏感信息）；2.诊疗记录：门诊病历、住院病历、手术记录、麻醉记录、护理记录、查房记录等诊疗过程信息；3.检查检验数据：医学影像（如X光、CT、MRI）、实验室检查（如血液、尿液、病理）、功能检查（如心电图、肺功能）等结果数据；4.用药与治疗数据：处方信息、用药记录、治疗方案（如放疗、化疗、康复治疗）等数据；5.健康评估数据：疾病诊断、病情评估、预后判断、健康风险评估等结论性数据。（二）公共卫生数据指机构在开展公共卫生服务中产生或收集的与人群健康相关的数据，服务于疾病预防控制、健康促进等公共卫生目标。具体包括：1.疾病监测数据：传染病报告数据（如病例的症状、发病时间、传播途径）、慢性病监测数据（如高血压、糖尿病患者的随访记录）、死因监测数据等；2.健康档案数据：居民电子健康档案（涵盖个人基本健康信息、家族病史、免疫接种、健康体检等）；3.卫生应急数据：突发公共卫生事件的事件信息（如时间、地点、类型）、处置记录（如隔离措施、物资调配）、监测预警数据等；4.健康影响因素数据：环境健康监测（如水质、空气质量）、行为危险因素（如吸烟、饮酒、运动习惯）等数据。（三）机构管理数据指机构为保障正常运行、提升管理效能而产生或收集的数据，涉及内部运营与资源配置。具体包括：1.人力资源数据：员工基本信息（姓名、岗位、职称）、薪酬福利、培训考核、执业资格等数据；2.物资设备数据：药品、耗材、医疗器械的采购记录、库存管理、使用登记、维护保养等数据；3.财务运营数据：收入支出记录、预算执行、成本核算、医保结算（如医保编码、结算金额）等数据；4.质量安全数据：医疗质量指标（如手术并发症率、病历书写合格率）、安全事件记录（如医疗事故、院感事件）、投诉处理等数据；5.信息化管理数据：信息系统日志（如访问日志、操作日志）、网络安全监测数据（如入侵检测记录）、设备配置信息等数据。（四）科研教学数据指机构在医学科研、教学培训活动中产生或收集的数据，用于知识创新与人才培养。具体包括：1.科研原始数据：实验记录（如细胞培养、动物实验）、临床研究数据（如临床试验的入组标准、疗效指标）、组学数据（如基因组、蛋白质组）等；2.科研成果数据：论文、专利、技术报告等成果信息；3.教学培训数据：教学课件、课程记录、学生实习日志、考核成绩、带教评价等数据；4.学术交流数据：学术会议资料、合作研究协议、专家咨询记录等数据。（五）其他数据指上述类别未涵盖的其他数据，包括但不限于与外部机构合作产生的协作数据（如与药企的临床试验合作数据）、社会捐赠数据、公益活动记录等。三、数据分级标准与具体级别数据分级是根据数据一旦遭到篡改、泄露、破坏或非法利用后，可能对个人权益、机构运营、社会公共利益或国家安全造成的影响程度，将数据划分为不同级别。结合医疗卫生行业特点，数据分为三级：一般数据、重要数据、核心数据。（一）一般数据指泄露、篡改或破坏后，仅对个人权益造成轻微影响，或对机构运营、社会公共利益无明显影响的数据。具体特征包括：-不包含个人敏感信息（如身份证号、生物识别信息、健康敏感信息）或仅包含非敏感个人信息（如姓名、性别、年龄）；-不涉及机构核心业务流程或关键资源（如普通设备维护记录、非涉密培训资料）；-对公共卫生安全、社会稳定无直接影响（如非传染病的常规健康体检统计数据）。示例：机构内部非涉密的会议通知、普通办公用品采购记录、公开科普文章的阅读量统计等。（二）重要数据指泄露、篡改或破坏后，可能对个人权益造成较严重影响（如导致个人隐私泄露、名誉受损或经济损失），或对机构运营（如业务中断、声誉受损）、社会公共利益（如引发局部公共卫生风险）造成较大影响的数据。具体特征包括：-包含个人敏感信息（如联系方式、住址、部分健康信息）但未达到核心数据标准；-涉及机构关键业务流程（如医保结算数据、高值耗材库存数据）或重要资源（如中级职称以上人员的考核记录）；-对局部公共卫生安全有影响（如区域内非甲类传染病的聚集性病例数据）；-一旦泄露可能引发机构法律纠纷或社会关注事件（如医疗质量投诉处理记录）。示例：患者的普通门诊病历（未包含严重疾病诊断）、医院二级库的药品库存数据、区域内高血压患者的患病率统计（不涉及具体患者）等。（三）核心数据指泄露、篡改或破坏后，可能对个人权益造成严重损害（如导致生命健康危险、重大名誉或经济损失），或对机构核心竞争力（如业务瘫痪、重大经济损失）、社会公共利益（如引发公共卫生事件、影响社会稳定）、国家安全造成重大影响的数据。具体特征包括：-包含高度敏感的个人信息（如患者的基因检测结果、严重精神障碍诊断记录、传染病确诊信息）；-涉及机构核心业务或关键资源（如医院核心信息系统的访问权限数据、特级/一级手术的麻醉记录）；-直接关系公共卫生安全（如甲类传染病的病例数据、突发公共卫生事件的处置方案）；-一旦泄露可能引发重大社会恐慌或国家安全风险（如国家层面的罕见病队列研究数据）。示例：艾滋病患者的确诊记录及随访信息、三级医院核心业务系统的管理员账号与权限数据、某地区霍乱疫情的首例病例流调报告等。四、数据分类分级的实施流程数据分类分级是动态管理过程，需遵循“全面梳理—科学评估—明确标识—动态调整”的实施流程。（一）数据资产梳理机构应成立由信息管理部门、业务部门、法务部门、安全部门组成的专项工作组，通过数据盘点工具或人工核查，全面梳理本机构数据资产，形成《数据资产清单》。清单内容应包括数据名称、数据描述、数据来源、存储位置、关联业务系统、责任部门/责任人等信息，确保数据覆盖全业务场景、全生命周期。（二）分类分级评估工作组根据本指南第二、第三部分的分类分级标准，结合机构实际业务需求，制定《数据分类分级实施细则》（可细化到具体数据字段或数据集）。评估过程需遵循以下步骤：1.初步分类：根据数据的来源与业务属性，将数据归入患者诊疗数据、公共卫生数据等五大类别；2.风险评估：针对每类数据，分析其在泄露、篡改、破坏后可能造成的影响，从个人权益、机构运营、社会公共利益、国家安全四个维度进行量化评估（可采用定性与定量结合的方法，如赋值评分）；3.确定级别：根据风险评估结果，将数据划分为一般数据、重要数据、核心数据，并在《数据资产清单》中标注分类分级结果。（三）数据标识与记录机构应对已分类分级的数据进行明确标识，标识方式包括但不限于元数据标签（如在数据库表或字段中添加“分类=患者诊疗数据；级别=核心数据”）、文件命名规则（如“[核心]2023年霍乱病例流调报告”）、系统权限控制（如通过访问控制系统关联数据级别与用户权限）。同时，建立《数据分类分级管理台账》，记录数据分类分级的依据、评估时间、责任部门等信息，确保可追溯。（四）动态调整与更新机构应每年度对数据分类分级结果进行重新评估，当出现以下情况时，需及时调整：-数据业务场景发生变化（如普通门诊数据因关联传染病筛查转为公共卫生数据）；-数据敏感程度提升（如患者的常规体检数据因新增基因检测项目转为核心数据）；-法律法规或行业规范更新（如国家出台新的个人信息保护标准）；-发生数据安全事件（如某类数据泄露后被评估为影响程度升级）。五、分类分级数据的全生命周期管理要求数据分类分级的核心目的是实现差异化保护。机构应根据数据的类别与级别，在采集、存储、传输、处理、共享、销毁等全生命周期环节采取相应管理措施。（一）采集环节-一般数据：遵循“最小必要”原则，仅采集业务所需的基本信息，无需额外审批；-重要数据：需明确采集目的、范围，经业务部门负责人审批，留存采集记录；-核心数据：需经机构数据安全委员会审批，制定专项采集方案，确保采集过程可审计，涉及个人信息的需取得患者明确同意（法律另有规定的除外）。（二）存储环节-一般数据：可存储于机构常规数据库或文件服务器，采用基础访问控制（如账号密码）；-重要数据：需存储于加密数据库或专用存储设备，实施访问权限最小化（如仅允许授权岗位访问），定期备份且备份数据需加密；-核心数据：应存储于符合国家等级保护要求的三级及以上信息系统，采用加密存储（如AES-256加密）、多副本异地备份，访问需经双因素认证（如账号+动态令牌）。（三）传输环节-一般数据：通过机构内部网络传输时可使用普通协议（如HTTP），跨机构传输需采用SSL/TLS加密；-重要数据：无论内外网传输，均需采用加密协议（如HTTPS），跨机构传输需签订数据安全协议；-核心数据：需通过专用加密通道（如VPN）传输，传输过程需全程监控，记录发送方、接收方、时间、数据摘要等信息，跨机构传输需经机构负责人审批并报上级主管部门备案。（四）处理环节-一般数据：可由授权业务人员直接处理（如统计分析），无需额外审批；-重要数据：处理操作（如修改、删除）需经业务部门负责人审批，留存处理日志；-核心数据：处理操作需经数据安全委员会审批，由双人复核执行，日志需记录操作时间、内容、操作人员、审批人等信息，保存期限不少于5年。（五）共享环节-一般数据：在不涉及个人信息的情况下，可向内部其他部门或外部合法机构共享（如公开统计报告），需明确共享范围；-重要数据：内部共享需经数据所有者部门审批，外部共享需签订数据使用协议（明确使用目的、责任），并报信息管理部门备案；-核心数据：原则上不对外共享；确需共享的（如科研合作、公共卫生应急），需经机构数据安全委员会审核，报上级卫生健康行政部门批准，共享时需去标识化处理（如删除姓名、身份证号等可识别信息），并限定使用范围与期限。（六）销毁环节-一般数据：可采用常规删除或覆盖方式销毁，留存销毁记录；-重要数据：需采用安全删除工具（如DBAN）彻底擦除存储介质数据，或物理销毁存储设备（如消磁、粉碎），销毁过程需双人监督；-核心数据：需通过专业数据销毁服务机构实施，销毁后由第三方机构出具销毁证明，相关记录保存不少于10年。六、保障措施（一）组织保障。机构应明确数据分类分级管理的责任主体，由主要负责人牵头，设立数据安全委员会（或类似机构），统筹协调分类分级管理工作；信息管理部门负责技术实施，业务部门负责本领域数据的分类分级申报与日常管理，安全部门负责监督检查。（二）制度保障。机构应制定《数据分类分级管理办法》《数据安全责任制度》《数据访问控制规则》等配套制度，明确各环节操作流程与责任，将分类分级管理要求纳入员工岗位职责与绩效考核。（三）技术保障。机构应部署数据分类分级自动化工具（如数据分类引擎