医疗卫生机构数据分类分级管理指南(试行)

医疗卫生机构数据分类分级管理指南(试行)为规范医疗卫生机构数据管理，保障数据安全与合理利用，促进数据价值释放，依据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《医疗卫生机构网络安全管理办法》《卫生健康数据管理办法（试行）》等法律法规及政策要求，结合医疗卫生行业特点，制定本指南。本指南适用于各级各类医疗卫生机构（含医院、基层医疗卫生机构、专业公共卫生机构等）对其在业务开展、运营管理、科研教学等活动中产生、收集、存储、传输、使用、共享的电子数据（以下简称“医疗卫生数据”）的分类分级管理工作。一、基本原则（一）科学性与规范性结合。以业务场景为基础，结合数据特征、敏感程度及潜在影响，建立符合医疗卫生行业规律的分类分级体系，确保分类标准清晰、分级依据明确，与国家及行业相关规范有效衔接。（二）最小必要与动态调整。遵循“最小够用”原则，在满足业务需求的前提下，严格控制数据采集、使用的范围和层级；根据数据生命周期变化（如新增、归档、销毁等）及外部环境变动（如政策更新、风险升级），动态调整分类分级结果。（三）责任清晰与协同管理。明确数据产生、管理、使用各环节的责任主体，建立跨部门（如信息管理、医务、质控、伦理、安全等）协同机制，形成“分类有依据、分级有标准、管理有责任”的闭环管理模式。二、数据分类方法医疗卫生数据分类以“业务场景-数据内容-敏感程度”为维度，结合数据来源、用途及关联关系，分为以下五类：（一）诊疗业务数据指直接反映患者诊疗过程的原始记录及衍生数据，是医疗卫生机构核心业务数据。具体包括：1.门诊诊疗数据：门诊病历（主诉、现病史、既往史等）、门诊处方、门诊检查检验报告（如超声、影像、化验结果）、门诊诊断结论等。2.住院诊疗数据：住院病历（入院记录、病程记录、手术记录、麻醉记录、出院记录等）、住院医嘱（长期/临时医嘱）、住院费用明细（药品、耗材、诊疗项目费用）、多学科会诊记录、危重症患者监护数据（生命体征、用药反应等）。3.检查检验数据：医学影像数据（CT、MRI、X光片等数字化影像）、实验室检测数据（血尿常规、生化指标、基因检测结果）、病理诊断数据（组织学/细胞学检查报告）等。4.患者健康状态数据：身高体重、血压血糖、心电监测、睡眠监测等连续或离散的健康指标数据。（二）公共卫生数据指用于疾病预防控制、健康促进、突发公共卫生事件应对的相关数据，具有群体性、社会性特征。具体包括：1.疾病监测数据：传染病报告数据（病例登记、流行病学调查记录）、慢性病监测数据（高血压/糖尿病患者随访记录）、死因监测数据（死亡原因、年龄分布）。2.健康影响因素数据：环境健康数据（水质、空气、职业暴露监测结果）、行为健康数据（吸烟、饮酒、运动习惯调查）、营养健康数据（膳食结构、微量元素水平）。3.突发公共卫生事件数据：疫情/事件报告数据（时间、地点、病例数）、应急处置数据（隔离措施、物资调配、疫苗接种）、风险评估数据（传播模型、影响范围预测）。（三）健康管理数据指针对特定人群（如孕产妇、儿童、老年人、慢性病患者）提供健康指导、干预服务产生的数据，侧重连续性健康跟踪。具体包括：1.健康档案数据：个人基本信息（姓名、身份证号、联系方式）、健康史（过敏史、遗传病史）、健康评估结果（健康风险等级、生活方式评分）。2.健康干预数据：个性化健康计划（饮食/运动指导方案）、随访记录（电话/面访反馈）、健康改善指标（体重下降幅度、血压控制率）。3.健康教育数据：健康教育材料（科普文章、视频）、参与记录（讲座attendance、在线学习时长）、效果评估数据（知识知晓率、行为改变率）。（四）科研教育数据指用于医学研究、教学培训的相关数据，需符合伦理规范及数据使用授权。具体包括：1.科研原始数据：临床试验数据（受试者入组信息、疗效指标、不良反应记录）、基础研究数据（细胞/动物实验结果、基因测序数据）、真实世界研究数据（多中心病例汇总分析）。2.教学培训数据：典型病例库（匿名化病例资料）、操作视频库（手术/护理操作示范）、考核评估数据（学员理论/技能考试成绩）。（五）运营管理数据指支撑机构运行的管理类数据，涉及人、财、物等资源调配。具体包括：1.人力资源数据：员工基本信息（姓名、岗位、职称）、绩效考核数据（工作量、服务质量评分）、培训记录（继续教育学分、技能认证）。2.财务资产数据：收支明细（医疗收入、药品耗材支出）、固定资产台账（设备采购时间、使用状态）、医保结算数据（报销金额、基金使用情况）。3.后勤保障数据：物资库存数据（药品/耗材库存量、有效期）、设备运维数据（故障记录、维修次数）、环境监测数据（医疗废物处理量、空气质量达标率）。三、数据分级标准数据分级以“数据一旦泄露、篡改或破坏可能造成的影响程度”为核心依据，结合《数据安全法》中“一般数据、重要数据、核心数据”的分类框架，将医疗卫生数据分为三级：（一）一般数据指对个人权益、机构运营或公共利益影响较小的数据。其泄露、篡改或破坏后，可能导致：-个人信息轻度泄露（如非敏感联系方式、非关键健康指标）；-机构局部业务短暂受阻（如单一科室设备维修记录）；-公共利益无显著损害（如年度无关紧要的统计报表）。示例：已匿名化处理的教学病例（无身份关联）、普通办公用品采购记录、非涉密的学术会议通知。（二）重要数据指对个人权益、机构运营或公共利益有较大影响的数据。其泄露、篡改或破坏后，可能导致：-个人权益受损（如诊疗隐私泄露影响正常生活、健康敏感信息被滥用）；-机构核心业务受干扰（如关键设备运维数据丢失导致诊疗停滞）；-公共利益受威胁（如区域性传染病监测数据泄露引发社会恐慌）。判定标准：涉及500人以上个人敏感信息（如身份证号、病历号）；影响3个以上科室正常运转的管理数据；可能引发局部公共卫生风险的监测数据。示例：未完全匿名的科研队列数据（含部分可识别信息）、医院核心设备（如MRI机）的运维日志、某社区高血压患者群体的随访汇总数据。（三）核心数据指对个人权益、机构运营或公共利益有重大影响的数据。其泄露、篡改或破坏后，可能导致：-个人生命健康受到直接威胁（如患者过敏史、用药禁忌信息丢失或错误）；-机构核心功能瘫痪（如电子病历系统关键数据损毁导致诊疗全面中断）；-公共卫生安全重大风险（如全国传染病疫情数据泄露引发大规模社会恐慌、疫苗接种数据篡改影响免疫规划实施）。判定标准：涉及1000人以上个人高度敏感信息（如基因检测结果、精神疾病诊断记录）；直接影响医疗质量安全的诊疗数据（如手术麻醉记录、危重症患者监护数据）；关系国家或区域公共卫生安全的关键数据（如突发公共卫生事件核心处置方案、国家级慢性病基线调查数据）。示例：患者电子病历中的过敏史及用药禁忌字段、三级医院手术麻醉系统的实时监护数据、省域传染病直报系统的原始病例报告数据。四、分类分级实施流程（一）数据资产梳理医疗卫生机构应建立数据资产清单，全面梳理数据的产生部门、存储位置（如数据库、服务器、移动存储设备）、存储格式（结构化/非结构化）、生命周期（生成-使用-归档-销毁）。梳理范围覆盖信息系统（如电子病历系统、LIS、PACS、公共卫生信息平台）、移动端应用（如患者服务APP）及纸质档案数字化成果。（二）分类分级标识1.初评：由数据产生部门联合信息管理部门，依据本指南分类标准，对数据资产清单中的每条数据记录（或数据集合）进行初步分类；结合数据影响评估表（见附件），判定其分级等级。2.复评：成立跨部门评审小组（成员包括信息安全专家、临床专家、法务人员、患者隐私保护专员），对初评结果进行复核。重点审核高风险数据（重要数据、核心数据）的分级准确性，确保符合“就高不就低”原则。3.标识：对通过复评的数据，采用元数据标签（如“分类：诊疗业务数据-门诊病历；分级：核心数据”）进行标注，并在数据管理系统中建立分类分级字段，实现数据全生命周期可追溯。（三）审核与备案1.内部审核：分类分级结果需经机构分管领导审批，形成《医疗卫生数据分类分级目录》，作为数据安全管理的基础依据。2.外部备案：涉及重要数据和核心数据的，应按照《卫生健康数据管理办法（试行）》要求，向属地卫生健康行政部门备案，备案内容包括数据类别、数量、存储方式、安全防护措施等。（四）动态更新1.定期评估：每年度对数据分类分级结果进行全面复核，重点关注新增数据（如新业务系统产生的数据）、归档数据（如超过保存期限的历史数据）及外部环境变化（如政策法规更新、新型安全威胁出现）。2.即时调整：当数据用途变更（如从内部使用转为对外共享）、关联关系变化（如多源数据融合后敏感性提升）或发生安全事件（如数据泄露导致影响升级）时，应在5个工作日内重新评估并调整分类分级标识。五、安全防护要求数据分类分级结果是确定安全防护措施的核心依据，机构应按照“分级保护、重点突出”原则，针对不同级别数据制定差异化防护策略。（一）一般数据采用基础安全防护措施，确保数据可获取、可追溯。具体要求：-存储：使用常规存储介质，定期备份（建议每周1次全量备份，每日增量备份）；-访问：设置角色权限（如行政人员仅访问运营管理数据），记录访问日志（保留6个月以上）；-传输：通过机构内部局域网传输，或使用符合国家密码标准的加密协议（如HTTPS）；-销毁：采用安全擦除或物理破坏方式，确保数据不可恢复。（二）重要数据采用增强安全防护措施，防范数据非法获取、篡改或滥用。具体要求：-存储：采用冗余存储（如双活数据中心），敏感字段加密存储（如患者身份证号使用AES-256加密）；-访问：实施最小权限原则（如仅授权主任医师访问本科室重要诊疗数据），启用多因素认证（如账号+动态验证码）；-传输：通过专用安全通道（如虚拟专用网络VPN）传输，全程加密并校验完整性；-使用：建立数据使用审批流程（如跨部门共享需经分管领导签字），记录操作痕迹（包括查询、导出、修改等行为）；-共享：对外共享前需进行脱敏处理（如去标识化），签订数据安全协议，明确使用范围和责任。（三）核心数据采用最高级别安全防护措施，确保数据“不泄露、不篡改、可追溯”。具体要求：-存储：部署专用加密存储设备（如符合国密标准的数据库加密系统），核心字段（如过敏史、用药禁忌）采用“一域一密”加密；-访问：实行严格的权限审批（如访问核心诊疗数据需经医务科、信息科、分管院长三方审批），限制访问终端（仅允许固定IP设备访问）；-传输：通过物理隔离网络（如内网专线）传输，使用国密算法（如SM4）加密，传输过程中实时监测异常流量；-使用：禁止直接导出至移动存储设备，确需使用时需通过可信计算环境（如安全沙箱）进行操作，全程录像留痕；-共享：原则上不对外共享，确需共享的（如参与国家重大科研项目），需经伦理委员会审查、患者知情同意（或匿名化处理并经第三方机构认证），报属地卫生健康行政部门批准。六、监督与改进（一）机构内部监督1.责任主体：明确信息管理部门为数据分类分级管理的牵头部门，负责组织实施、技术支撑；医务部门、公共卫生部门、科研管理部门等业务部门负责数据分类初评及使用合规性；安全管理部门负责监督防护措施落实情况。2.自查机制：每季度开展数据安全自查，重点检查核心数据和重要数据的访问日志、防护措施有效性，形成自查报告并向分管领导汇报。3.隐患整改：对自查中发现的问题（如分类不准确、权限管理漏洞），应在10个工作日内制定整改方案，明确责任人和完成时限，整改结果需经安全管理部门复核。（二）外部监督1.卫生健康行政部门应将数据分类分级管理纳入医疗卫生机构考核评价体系，通过现场检查、数据抽查等方式，每年至