医疗卫生信息数据安全与隐私保护规范（标准版）

医疗卫生信息数据安全与隐私保护规范（标准版）第1章总则1.1（目的与依据）本规范旨在贯彻落实国家关于数据安全与个人信息保护的法律法规，如《中华人民共和国网络安全法》《个人信息保护法》及《数据安全法》，确保医疗卫生信息数据在采集、存储、传输、使用等全生命周期中的安全与合规。通过制定统一的规范，明确医疗卫生机构在数据处理过程中应遵循的法律义务与技术要求，防范数据泄露、篡改、滥用等风险。本规范依据《数据安全管理办法》《医疗数据安全规范》等国家相关标准，结合医疗卫生行业实际，构建科学、系统的数据安全与隐私保护体系。本规范的制定与实施，是为了保障患者隐私权，维护医疗数据的完整性与可用性，促进医疗信息化与数字化转型的健康发展。本规范适用于医疗卫生机构、医疗数据提供者、数据处理服务商及相关方在数据安全与隐私保护方面的活动。1.2（适用范围）本规范适用于医疗卫生机构（如医院、疾控中心、体检中心等）及其合作单位在医疗数据采集、存储、传输、共享、使用等环节中的数据安全与隐私保护工作。适用于医疗数据的、处理、传输、存储、归档、销毁等全过程，涵盖电子病历、诊疗记录、检验报告、影像数据等各类医疗数据。适用于医疗数据的授权使用、共享、跨境传输及数据出境等场景，确保数据在不同主体间的合法流转。适用于医疗数据的加密存储、访问控制、审计追踪、安全评估等技术措施的实施与管理。适用于医疗数据安全事件的应急响应、报告、调查与处置，确保数据安全事件得到及时有效处理。1.3（定义与术语）医疗数据：指与医疗卫生活动相关的各类电子或非电子数据，包括但不限于患者基本信息、诊疗过程记录、检验结果、影像资料、用药记录等。数据安全：指通过技术和管理手段，保障数据的机密性、完整性、可用性、可控性及不可否认性，防止数据被非法访问、篡改、泄露或破坏。隐私保护：指通过技术、管理、法律等手段，确保个人敏感信息不被非法获取、使用或披露，保护个人隐私权。个人信息：指与个人身份相关联的、能够单独或与其他信息结合识别特定自然人的信息，如姓名、身份证号、医保信息、电子健康档案等。数据主体：指数据的合法持有者或控制者，包括患者、医疗机构、数据提供方及数据处理方等。1.4（数据安全与隐私保护原则的具体内容）数据安全与隐私保护应遵循最小化原则，仅在必要范围内收集、使用和共享医疗数据，避免过度采集和滥用。数据处理应采用加密技术、访问控制、身份认证等手段，确保数据在传输、存储、使用等环节中的安全。数据主体有权知悉其数据的收集、使用、共享及销毁情况，医疗机构应提供清晰的隐私政策与数据处理说明。数据安全与隐私保护应建立全过程管理机制，包括数据分类分级、权限管理、审计追踪、安全评估等，确保数据处理的可追溯性与可控性。数据安全与隐私保护应结合技术手段与管理措施，形成“技术+管理”双轮驱动的防护体系，提升整体安全防护能力。第2章数据安全规范2.1数据分类与分级数据分类应依据《信息安全技术信息安全风险评估规范》（GB/T22239-2019）中的分类原则，将数据划分为公开、内部、保密、机密、绝密等类别，确保不同类别的数据在处理和存储时采取相应的保护措施。数据分级应参考《数据安全技术个人信息安全规范》（GB/T35273-2020）中提出的分级标准，根据数据的敏感性、重要性、使用范围等因素进行分级，如核心数据、重要数据、一般数据等。通过数据分类与分级，可以实现对数据的精准管理，确保关键数据在传输、存储、使用等全生命周期中受到充分保护，避免因分类不清导致的泄露风险。实施数据分类与分级管理时，应结合数据生命周期管理，确保数据在不同阶段的分类和分级要求得到满足，避免因分类错误引发的数据安全事件。数据分类与分级应纳入组织的管理制度中，定期进行评估和更新，确保其与业务发展和安全需求保持一致。2.2数据存储与传输安全数据存储应遵循《信息安全技术数据安全能力成熟度模型》（CMMI-DSP）中的安全存储原则，采用加密存储、访问控制、审计日志等技术手段，确保数据在存储过程中不被非法访问或篡改。数据传输过程中应采用安全协议，如TLS1.3、等，确保数据在传输过程中不被窃听或篡改，防止中间人攻击和数据泄露。数据存储应设置访问权限控制，依据最小权限原则，确保只有授权人员才能访问特定数据，防止未授权访问和数据泄露。建立数据存储的审计机制，记录数据访问日志，定期审查访问记录，及时发现和处置异常行为。数据存储应结合物理安全与网络安全双重防护，确保数据在物理环境和网络环境中的安全，防止数据被物理破坏或网络攻击。2.3数据访问控制与权限管理数据访问控制应依据《信息安全技术数据安全能力成熟度模型》（CMMI-DSP）中的访问控制原则，采用基于角色的访问控制（RBAC）和基于属性的访问控制（ABAC）等机制，确保用户仅能访问其授权范围内的数据。权限管理应结合《个人信息保护法》和《数据安全法》的相关要求，明确数据主体的权利与义务，确保数据的合法使用和保护。权限应遵循“最小权限原则”，避免因权限过高导致的数据泄露风险，同时确保关键数据的访问权限得到严格管控。建立权限变更审批流程，确保权限的动态调整符合安全策略，防止权限滥用或误操作。数据访问控制应与身份认证、多因素认证等技术结合，提升访问安全等级，确保用户身份真实有效，防止非法入侵。2.4数据加密与脱敏技术的具体内容数据加密应采用对称加密和非对称加密相结合的方式，如AES-256、RSA-2048等，确保数据在存储和传输过程中不被窃取或篡改。脱敏技术应根据《个人信息保护法》和《数据安全法》的要求，对敏感信息进行脱敏处理，如姓名、身份证号、医疗记录等，防止因数据泄露导致隐私泄露。脱敏技术应结合数据分类与分级管理，对不同级别的数据采用不同的脱敏策略，如低敏感数据采用简单替换，高敏感数据采用加密脱敏。加密技术应与数据生命周期管理结合，确保数据在存储、传输、使用等全过程中均处于加密状态，防止数据在不同环节被非法访问。数据加密与脱敏应定期进行安全评估，确保加密算法和脱敏策略符合最新的安全标准，防止因技术落后导致的安全漏洞。第3章隐私保护规范3.1个人信息保护原则个人信息保护遵循“最小必要”原则，即仅收集与实现服务目的直接相关的最小范围的个人信息，避免过度收集或存储。该原则可参考《个人信息保护法》第13条，强调数据处理应以合法、正当、必要为前提。个人信息处理应遵循“目的限定”原则，即信息的收集、使用和存储应严格限定于明确、具体的目的，并不得超出该目的范围。此原则在《个人信息保护法》第14条中有所体现。个人信息处理应遵循“知情同意”原则，即数据主体应在充分知情的前提下，自主决定是否同意个人信息的收集与使用。该原则与《个人信息保护法》第15条相呼应，要求数据处理者提供清晰、明确的告知内容。个人信息处理应遵循“数据最小化”原则，即在实现服务功能的前提下，仅收集必要的信息，避免因技术或管理原因导致的数据过度收集。此原则在《个人信息保护法》第16条中有所规定。个人信息保护应遵循“透明性”原则，即数据处理者应公开其数据处理规则，确保数据主体能够了解其个人信息被处理的情况，保障其知情权和选择权。3.2个人信息收集与使用规范个人信息的收集应通过合法、正当的途径，如用户注册、在线服务、医疗记录等，确保收集过程符合《个人信息保护法》第24条的规定，不得以任何形式非法获取个人信息。个人信息的收集应遵循“明示同意”原则，即数据主体需在明确知晓信息收集目的后，自愿同意信息的收集与使用，且同意应以书面或电子形式记录，确保可追溯性。个人信息的使用应严格限定于法律授权或合同约定的范围，不得用于与服务无关的用途，如商业营销、身份识别等。此规定可参考《个人信息保护法》第25条。个人信息的使用应遵循“数据安全”原则，确保在收集、存储、传输、处理过程中采取必要的技术措施和管理措施，防止信息泄露或被滥用。个人信息的使用应建立在数据主体的知情同意基础上，并定期向其提供使用情况的说明，确保其有权对信息的使用进行监督和异议处理。3.3个人信息存储与使用期限个人信息的存储应遵循“安全存储”原则，确保数据在存储过程中采取加密、权限控制、访问日志等措施，防止未经授权的访问或泄露。此原则可参考《个人信息保护法》第26条。个人信息的存储期限应根据其用途和相关法律法规确定，一般不得超过法律规定的最长期限，如医疗记录可能需保存至患者退休或死亡后一定年限。个人信息的存储应遵循“分类管理”原则，根据信息的敏感程度和用途，分别设置不同的存储期限和安全措施，确保不同类别的信息得到适当的保护。个人信息的存储应定期进行安全评估，确保数据存储系统符合国家信息安全等级保护制度的要求，避免因系统漏洞导致数据泄露。个人信息的存储应建立数据生命周期管理机制，包括收集、存储、使用、传输、销毁等各阶段的管理流程，确保数据在全生命周期内得到妥善处理。3.4个人信息泄露应急响应机制的具体内容个人信息泄露事件发生后，数据处理者应立即启动应急响应机制，按照《个人信息保护法》第38条的规定，采取紧急措施防止信息进一步泄露。应急响应应包括对泄露信息的隔离、封存、删除等处理，确保泄露信息不被进一步扩散，同时通知相关权利人并采取补救措施。应急响应应建立在数据安全事件分类分级基础上，根据泄露的严重程度，制定相应的处理流程和责任分工，确保响应效率和有效性。应急响应应包括对泄露事件原因的调查和分析，明确责任归属，并采取整改措施防止类似事件再次发生。应急响应应建立定期演练机制，确保数据处理者能够及时应对各类数据泄露事件，提升整体数据安全防护能力。第4章数据共享与交换规范4.1数据共享原则与要求数据共享应遵循“最小必要”原则，确保仅在合法、正当、必要且充分的范围内共享数据，避免过度暴露个人信息。数据共享需遵循“知情同意”原则，数据提供方应明确告知数据使用目的、范围及潜在风险，确保数据主体的知情权与选择权。数据共享应符合《医疗卫生信息数据安全与隐私保护规范（标准版）》中的相关要求，确保数据在共享过程中的完整性、保密性和可用性。数据共享应建立在数据分类分级的基础上，对不同敏感等级的数据采取差异化的共享策略，防止数据滥用或泄露。数据共享应通过合法合规的渠道进行，如通过数据共享平台或授权协议，确保数据流动的可追溯性和可审计性。4.2数据交换流程与标准数据交换应遵循统一的数据标准和格式，如HL7（HealthLevelSeven）或FHIR（FastHealthcareInteroperabilityResources）等，确保数据在不同系统间可兼容与互操作。数据交换应建立在数据安全传输机制之上，如使用、TLS等加密协议，确保数据在传输过程中的机密性与完整性。数据交换应明确数据交换的流程与责任分工，包括数据提供方、接收方、数据管理者及监管机构的职责边界，确保流程透明、可追溯。数据交换应建立数据质量评估机制，包括数据准确性、时效性、完整性等指标，确保交换数据的可用性与可靠性。数据交换应建立数据版本控制与变更记录机制，确保数据在交换过程中的可追溯性与可回溯性。4.3数据共享中的安全措施数据共享应采用加密传输技术，如AES-256等，确保数据在传输过程中的机密性。数据共享应实施访问控制机制，如基于角色的访问控制（RBAC）或属性基加密（ABE），确保只有授权用户才能访问特定数据。数据共享应建立数据脱敏与匿名化机制，对敏感信息进行处理，防止数据泄露风险。数据共享应采用数据水印或数字签名技术，确保数据来源可追溯，防止数据篡改与伪造。数据共享应建立数据安全审计机制，定期对数据共享过程进行安全评估与风险排查。4.4数据共享的合规性审查的具体内容数据共享前应进行合规性评估，确保符合《医疗卫生信息数据安全与隐私保护规范（标准版）》中的相关要求，包括数据分类、权限管理、数据使用范围等。数据共享应通过第三方安全审计机构进行合规性审查，确保数据共享流程符合国家及行业标准。数据共享应建立合规性审查记录，包括审查时间、审查内容、审查结论及责任人，确保审查过程可追溯。数据共享应制定并实施数据共享合规性管理制度，明确各环节的合规责任与操作流程。数据共享应定期进行合规性审查与更新，根据法律法规变化及业务发展动态调整合规性要求。第5章信息系统安全规范5.1信息系统建设与管理信息系统建设应遵循国家信息安全等级保护制度，按照《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019）开展安全设计与实施，确保系统具备相应的安全防护能力。建设过程中需建立完善的管理制度，包括系统规划、开发、测试、部署、运维等各阶段的规范流程，确保信息系统的全生命周期管理符合安全要求。信息系统应具备可追溯性，通过日志记录、权限管理、审计追踪等手段实现操作行为的可追溯，保障系统运行的透明度与可控性。信息系统建设应结合业务需求，采用分阶段、分层次的建设模式，确保系统功能与安全要求相匹配，避免因功能过剩或不足导致的安全隐患。信息系统应定期进行安全评估与风险分析，依据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019）中的安全测评标准，评估系统安全等级并进行持续改进。5.2信息系统安全防护措施信息系统应采用多层防护机制，包括网络边界防护、终端安全防护、应用安全防护和数据安全防护，确保不同层面的安全防护相互协同。网络边界应部署防火墙、入侵检测系统（IDS）和入侵防御系统（IPS），依据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）中的安全防护标准进行配置。终端设备应安装防病毒、防恶意软件、数据加密等安全工具，依据《信息安全技术信息安全技术术语》（GB/T24239-2019）中的术语定义，确保终端设备的安全性。应用系统应采用加密传输、身份认证、访问控制等技术，依据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019）中的应用安全要求进行设计与实施。数据存储与传输应采用数据加密、访问控制、数据脱敏等技术，依据《信息安全技术数据安全能力要求》（GB/T35273-2019）中的数据安全标准进行保障。5.3信息系统安全审计与评估安全审计应覆盖系统运行全过程，包括用户操作、系统访问、数据变更、安全事件等，依据《信息安全技术安全审计通用要求》（GB/T22239-2019）进行规范实施。安全评估应采用定量与定性相结合的方法，依据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019）中的评估标准，对系统安全等级进行分级评估。安全审计应定期开展，形成审计报告，依据《信息安全技术安全审计通用要求》（GB/T22239-2019）中的审计流程与报告规范进行编制。安全评估应结合系统运行情况，采用风险评估、安全测试、漏洞扫描等手段，依据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019）中的评估方法进行实施。安全审计与评估结果应作为系统安全整改与优化的重要依据，依据《信息安全技术安全审计通用要求》（GB/T22239-2019）中的整改要求进行跟踪与落实。5.4信息系统安全责任划分的具体内容信息系统安全责任应明确各级人员的职责，依据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019）中的责任划分原则，明确系统管理员、安全审计员、数据管理员等角色的职责。安全责任应覆盖系统建设、运行、维护、审计、整改等全过程，依据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019）中的责任划分标准，确保责任到人、落实到位。安全责任应与绩效考核、岗位晋升等挂钩，依据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019）中的管理要求，建立完善的责任追究机制。安全责任应纳入组织的管理体系，依据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019）中的管理要求，确保安全责任与组织管理相匹配。安全责任应定期进行培训与考核，依据《信息安全技术信息系统安全等级保护基本要求》（GB/T22239-2019）中的培训与考核标准，提升人员的安全意识与能力。第6章监督与检查6.1监督机制与职责分工根据《医疗卫生信息数据安全与隐私保护规范（标准版）》，监督工作由国家卫生健康委员会牵头，联合国家网信部门、公安部门、市场监管总局等多部门共同实施，形成跨部门协同监管机制。监督职责分工明确，国家卫生健康委员会负责全国范围内的数据安全与隐私保护工作统筹，国家网信部门负责网络空间安全监管，公安部门负责数据泄露事件的应急处置与调查，市场监管总局则负责医疗数据应用的合规性审查。建立“属地管理、分级负责”的监督体系，地方各级卫生健康行政部门负责辖区内医疗机构的数据安全与隐私保护工作日常监督，确保责任落实到具体单位和个人。引入第三方评估机构参与监督，提升监督的客观性与专业性，确保数据安全与隐私保护措施的有效性。建立数据安全与隐私保护的“黑名单”制度，对违规机构进行通报、处罚或纳入信用评价体系，形成有效的震慑作用。6.2监督检查内容与方法监督检查内容涵盖数据存储、传输、处理、共享等全生命周期环节，重点审查数据分类分级、权限管理、加密传输、访问控制等关键环节是否符合相关标准。检查方法包括现场检查、非现场监测、数据审计、第三方评估等多种形式，结合信息化手段实现动态监测与预警。建立数据安全与隐私保护的“双随机一公开”检查机制，随机抽取医疗机构进行检查，确保监管的公平性与透明度。引入大数据分析技术，对医疗数据流动路径、访问频率、异常行为等进行分析，提升监督的精准性和效率。对重点行业、重点机构、重点数据进行专项检查，确保关键环节的合规性与安全性。6.3检查结果处理与反馈检查结果分为“合规”“整改”“停业”等类别，根据严重程度采取相应处理措施，确保问题整改到位。对于发现的违规行为，由相关监管部门出具整改通知书，并督促整改单位限期完成整改。整改完成后，需提交整改报告并经复查确认，确保问题彻底解决。检查结果纳入医疗机构的年度考核与信用评价体系，作为其执业资格与资金使用的重要依据。对整改不力或屡次违规的机构，依法依规进行行政处罚或纳入行业黑名单，形成有效约束。6.4举报与投诉机制的具体内容建立“群众举报-部门受理-调查处理-结果反馈”全流程举报机制，鼓励公众通过官方渠道反映数据安全与隐私保护问题。举报内容包括数据泄露、非法访问、信息篡改、隐私侵犯等，由网信、公安、卫健等部门联合受理。对举报内容进行核实后，依法依规处理，确保举报人信息保密，防止信息泄露。举报处理结果应在规定时间内反馈，确保举报人知情并获得合理答复。建立举报人奖励机制，对提供有效线索的举报人给予表彰或奖励，鼓励更多社会力量参与监督。第7章附则1.1规范解释权本规范的解释权归属于国家卫生健康委员会，依据《数据安全法》第17条，明确规范的解释权归属国家主管部门。任何对本规范的疑问或争议，应通过正式渠道向国家卫生健康委员会提出，不得擅自解释或引用。本规范的术语解释应参照《个人信息保护法》第13条及《数据安全法》第24条的相关定义。本规范的实施过程中，若出现新出台的法律法规或政策，应以最新规定为准，确保规范的连续性和有效性。本规范的解释权与修订权由国家卫生健康委员会统一行使，不得由任何单位或个人擅自修改。1.2规范实施时间本规范自2025年10月1日起正式实施，依据《医疗卫生信息数据安全与隐私保护规范（标准版）》发布通知。实施前，国家卫生健康委员会将组织相关部门开展全面培训与宣贯，确保各单位理解并落实相关要求。本规范的实施时间与《医疗数据安全管理办法》（国家卫生健康委员会令第号）同步，确保政策衔接。实施过程中，若出现执行偏差，应依据《行政处罚法》第58条进行处理，确保规范的严肃性。本规范的实施时间将根据国家政策调整，适时发布修订通知，确保规范的动态更新。1.3修订与废止程序的具体内容本规范的修订应遵循《标准化法》第18条，由国家卫生健康委员会组织专家委员会进行技术审查。修订内容需经国家卫生健康委员会批准后，方可发布新版本，确保修订过程的合法性和权威性。修订程序应包括技术评估、征求意见、专家评审、公示公告等环节，确保修订的科学性和公正性。本规范的废止需依据《标准化法》第20条，由国家卫生健康委员会发布废止公告，明确废止时间及生效日期。修订或废止后的规范应同步更新信息系统，确保数据一致性，避免因规范变更导致的信息安全风险。第8章附件8.1数据分类与分级标准根据《医疗卫生信息数据安全与隐私保护规范（标准版）》，数据应按照其敏感性、使用场景和影响范围进行分类与分级，确保不同层级的数据采取相应的保护措施。例如，涉及患者身份信息的数据应归为高敏感级，而一般诊疗记录可归为中敏感级。数据分类应遵循“最小必要原则”，即仅收集和处理必要的信息，避免过度采集。根据《信息安全技术个人信息安全规范》（GB/T35273-2020），数据分类需结合数据用途、处理方式和潜在风险进行综合评估。数据分级应采用“风险等级”方法，依据数据的敏感性、泄露后的影响程度和恢复难度进行划分。例如，涉及患者生命健康的医疗数据应列为高风险级，而常规体检数据可列为中风险级。在分类与分级过程中，需参考《医疗卫生数据分类分级指南》（WS/T6433-2021），明确不同级别的数据应采取的保护措施，如高风险数据需采用加密、访问控制等技术手段。实