医疗卫生机构数据分类分级指南(试行)

医疗卫生机构数据分类分级指南(试行)第一章总则为规范医疗卫生机构数据管理，提升数据安全保护水平，促进数据合理开发利用，依据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《卫生健康行业网络安全与数据安全工作指引》等法律法规及行业规范，结合医疗卫生机构业务特点，制定本指南。本指南适用于全国各级各类医疗卫生机构（含医院、基层医疗卫生机构、专业公共卫生机构等）在开展医疗服务、公共卫生、科研教学等活动中产生、收集、存储、传输、使用、共享、销毁的各类数据的分类分级管理工作。数据分类分级管理遵循以下原则：1.最小必要原则：以业务需求为导向，仅对必要数据进行分类分级，避免过度扩展范围；2.动态调整原则：根据数据使用场景、敏感程度变化及外部环境影响，及时更新分类分级结果；3.责任明确原则：明确数据分类分级各环节责任主体，确保管理可追溯；4.风险匹配原则：数据保护措施与数据级别、潜在风险程度相适应，实现安全与效率平衡。第二章数据分类方法医疗卫生机构数据分类以数据内容、业务场景及敏感属性为核心维度，通过多维度交叉分析，形成层次化、可扩展的分类体系。分类过程需覆盖数据全生命周期，包括产生、存储、传输、使用、共享、销毁等环节。第一节按业务领域分类根据医疗卫生机构核心业务，数据可分为以下六类：1.患者诊疗数据：指与患者疾病诊断、治疗直接相关的数据，包括但不限于：-患者基本信息（姓名、性别、年龄、联系方式、身份证号等标识信息）；-门诊/住院病历（主诉、现病史、既往史、体格检查、诊断结论等）；-检验检查报告（血常规、影像学检查、病理报告等）；-治疗记录（手术记录、用药记录、护理记录、康复方案等）。2.公共卫生数据：指用于疾病预防控制、健康促进等公共卫生服务的数据，包括：-传染病监测数据（病例报告、流行病学调查记录、密切接触者信息）；-健康档案数据（居民电子健康档案中的个人健康状况、家庭健康史、重点人群管理记录）；-卫生资源数据（区域内医疗机构分布、人员配置、设备物资储备信息）。3.科研教学数据：指用于医学研究、教学培训的数据，包括：-科研数据集（临床研究病例数据、生物样本信息、实验观测记录）；-教学资源数据（典型病例影像、教学视频、模拟诊疗系统数据）；-学术成果数据（论文、专利中涉及的原始实验数据、统计分析结果）。4.运营管理数据：指支撑机构日常运行的管理类数据，包括：-财务数据（收支记录、医保结算信息、药品耗材采购数据）；-人事数据（职工基本信息、职称资质、培训考核记录）；-设备数据（医疗设备采购参数、使用记录、维修维护信息）。5.互联网医疗数据：指通过互联网平台提供医疗服务产生的数据，包括：-在线问诊数据（患者咨询记录、医生回复内容、电子处方信息）；-远程监测数据（可穿戴设备采集的生命体征、慢病管理随访记录）；-健康咨询数据（用户健康问题留言、科普内容浏览记录）。6.其他数据：上述未涵盖的与医疗卫生业务相关的数据，如合作协议数据、捐赠信息、公益项目记录等。第二节按敏感程度分类根据数据泄露或滥用可能对个人、机构或社会造成的影响，数据可分为一般数据、敏感数据和高度敏感数据三类：1.一般数据：指不直接涉及个人隐私、机构核心利益或公共卫生安全，泄露后不会造成明显损害的数据。例如：-非特定患者的统计汇总数据（如某科室月门诊量、年度手术类型分布）；-公开可查的机构基本信息（如医院地址、科室分布、门诊时间）；-非涉密的通用医学知识（如常见疾病诊疗指南、药品通用说明）。2.敏感数据：指涉及个人隐私或机构重要权益，泄露后可能对个人权益（如名誉、财产）或机构正常运营造成一定损害的数据。例如：-患者部分标识信息（如电话号码、居住地址）；-非传染病患者的诊疗记录（如普通慢性病用药方案）；-机构非核心运营数据（如普通设备采购价格、一般职工考勤记录）；-未涉及重大公共卫生事件的健康档案数据（如非重点人群的常规体检结果）。3.高度敏感数据：指涉及个人核心隐私、机构核心利益或公共卫生安全，泄露后可能造成严重损害（如个人尊严侵害、机构重大经济损失、公共卫生事件扩散）的数据。例如：-患者强标识信息（如身份证号、生物识别信息、基因检测结果）；-传染病患者诊疗数据（如艾滋病、鼠疫等法定传染病的病例信息）；-涉及重大科研成果的原始数据（如创新药临床试验核心指标、突破性诊疗技术参数）；-机构核心运营数据（如医保资金结算明细、高级管理人员薪酬信息）；-突发公共卫生事件相关数据（如聚集性疫情的暴露场所、密切接触者轨迹）。第三节按生命周期分类为实现数据全流程管理，可按数据从产生到销毁的生命周期阶段分类：1.产生阶段数据：由业务系统实时采集或人工录入的原始数据（如门诊收费系统生成的费用记录）；2.存储阶段数据：以电子或纸质形式保存的数据（如电子病历数据库、归档的纸质病案）；3.传输阶段数据：在机构内部系统间或与外部机构（如医保部门、协作医院）交互的数据（如通过HIS系统传输的检验申请单）；4.使用阶段数据：被授权人员或系统调用用于诊疗、管理、科研等场景的数据（如医生查看患者电子病历）；5.共享阶段数据：经审批后向第三方提供的数据（如与科研机构共享的去标识化病例数据）；6.销毁阶段数据：完成使用价值后需清除或归档的数据（如超过保存期限的门诊日志）。第三章数据分级标准数据分级是在分类基础上，依据数据一旦泄露、篡改或丢失可能造成的影响程度，将数据划分为一级（低风险）、二级（中风险）、三级（高风险）三个级别，分别对应不同的保护要求。第一节一级数据（低风险）定义：泄露、篡改或丢失后，对个人权益、机构运营或社会公共利益影响轻微或无实质影响的数据。判定标准：-对个人：不涉及隐私或仅涉及非敏感个人信息，无法单独或与其他信息结合识别特定自然人；-对机构：不影响正常业务开展，不会造成经济损失或声誉损害；-对社会：不涉及公共卫生安全、行业发展等重大利益。示例：-匿名化的患者年龄分布统计数据（如“50岁以上患者占比60%”）；-机构公开的节假日门诊调整通知；-通用医学科普文章的浏览量统计。保护要求：-采用基础访问控制（如账户密码登录）；-定期备份，确保数据可恢复；-无需加密存储（但需防止物理损坏）。第二节二级数据（中风险）定义：泄露、篡改或丢失后，可能对个人权益造成一定损害（如隐私泄露、名誉受损），或对机构运营造成局部影响（如部分业务受阻、较小经济损失），或对社会公共利益产生有限影响的数据。判定标准：-对个人：涉及敏感个人信息（如电话号码、居住地址），可能导致骚扰、歧视等后果；-对机构：影响部分业务流程（如某科室电子病历调阅异常），造成5万元以下经济损失或一般声誉负面评价；-对社会：涉及非重大公共卫生事件的局部数据（如某社区高血压患者管理率），可能影响小范围健康干预措施。示例：-患者姓名+疾病类型（如“张三，糖尿病”）；-机构季度药品采购总量（未涉及具体供应商及价格）；-区域内孕妇建档数量统计（未关联具体个人）。保护要求：-实施角色权限控制（如不同岗位设置查看、编辑、下载等差异化权限）；-采用加密传输（如HTTPS协议），存储时敏感字段加密（如电话号码隐藏部分数字）；-建立访问日志，保留至少6个月；-每半年开展一次安全评估。第三节三级数据（高风险）定义：泄露、篡改或丢失后，可能对个人权益造成严重损害（如身份盗用、严重精神伤害），或对机构运营造成重大影响（如核心业务中断、5万元以上经济损失），或对社会公共利益产生重大威胁（如公共卫生事件扩散、行业信任危机）的数据。判定标准：-对个人：涉及强标识信息或高度敏感信息（如身份证号、基因数据、精神疾病诊断结果），可能导致身份盗窃、歧视性对待等严重后果；-对机构：影响核心业务运行（如HIS系统核心数据库故障），造成5万元以上经济损失或重大声誉损害（如被媒体广泛报道的安全事件）；-对社会：涉及重大公共卫生事件数据（如突发传染病的首例病例信息、疫苗接种异常反应统计），可能引发公众恐慌或影响政策决策。示例：-患者身份证号+完整诊疗记录；-机构年度财务报表（含具体收支明细）；-新发传染病的流行病学调查原始记录（含患者活动轨迹）。保护要求：-实施最小权限原则（仅必要人员在必要场景下访问）；-采用高强度加密（如AES-256加密存储，传输使用TLS1.3协议）；-建立双人审核机制（访问需经两名授权人员审批）；-实施实时监控与预警（如异常访问行为自动阻断并报警）；-每季度开展安全评估，每年进行渗透测试；-存储介质需物理隔离（如核心数据库单独部署于加密存储设备）。第四章实施流程数据分类分级管理是动态过程，需按照“数据梳理-分类标识-分级评估-动态调整”的闭环流程实施。第一节数据梳理1.确定范围：由数据管理部门牵头，联合信息科、医务科、疾控科等业务部门，明确需管理的数据范围（包括结构化数据如数据库记录、非结构化数据如PDF病历、纸质档案等）。2.绘制数据地图：通过调研业务系统、访谈关键岗位人员，绘制数据流程图，标注数据来源（如HIS系统、LIS系统、人工录入）、存储位置（如本地服务器、云平台、档案室）、使用场景（如诊疗、统计、科研）及共享对象（如医保、患者、协作单位）。3.建立数据清单：整理形成《医疗卫生机构数据清单》，内容包括数据名称、描述、产生部门、存储介质、生命周期阶段等基础信息。第二节分类标识1.多维度分类：由数据Owner（通常为业务部门负责人）依据第二章分类方法，对数据清单中的每条数据进行业务领域、敏感程度、生命周期阶段分类，形成分类标签（如“患者诊疗数据-高度敏感-存储阶段”）。2.交叉验证：数据管理部门联合信息安全团队对分类结果进行审核，重点核查是否遗漏高敏感数据（如基因检测信息是否被错误分类为一般数据）、分类标签是否准确（如传染病数据是否归入公共卫生数据类别）。3.系统标注：将分类标签录入数据管理系统（如元数据管理平台），实现数据分类的电子化标识，便于后续分级和权限配置。第三节分级评估1.初步定级：数据Owner根据第三章分级标准，结合数据泄露影响分析（可参考《信息安全技术数据安全影响评估指南》），对数据进行初步定级（一级/二级/三级）。-影响分析示例：某患者的基因检测结果，若泄露可能导致其被保险机构拒保，属于对个人权益的严重损害，初步定为三级。2.专家评审：数据管理部门组织跨部门专家小组（包括法律合规、信息安全、临床业务专家）对初步定级结果进行评审。评审重点包括：-影响程度判断是否准确（如某科研数据是否涉及行业核心竞争力）；-定级是否符合“就高不就低”原则（如存在不确定性时按更高级别保护）。3.审批发布：评审通过后，由机构分管领导审批定级结果，形成《医疗卫生机构数据分级目录》，并在内部系统发布。第四节动态调整1.触发条件：当数据出现以下变化时，需重新进行分类分级：-数据内容更新（如一般患者诊疗数据新增基因检测结果）；-使用场景变更（如原用于内部统计的数据需共享给第三方）；-外部环境变化（如国家出台新的隐私保护法规，提升某类数据的敏感等级）；-安全事件发生（如某类数据曾发生泄露，需重新评估风险）。2.调整流程：由数据Owner提出调整申请，数据管理部门组织重新分类分级，经专家评审和领导审批后更新《数据分级目录》，并同步更新数据管理系统中的标签和保护措施。第五章保障措施第一节组织保障1.成立数据安全委员会：由机构主要负责人任组长，成员包括分管信息、医务、科研的院领导及信息科、医务科、疾控科、法务部等部门负责人，负责审议数据分类分级策略、审批高风险数据处理活动。2.明确岗位职责：-数据Owner：业务部门负责人，对本部门数据分类分级的准确性、更新及时性负责；-数据管理员：信息科指定专人，负责数据分类分级系统维护、标签管理及跨部门协调；-安全管理员：信息安全团队成员，负责监督数据保护措施落实，开展安全评估。第二节制度保障1.制定配套制度：-《数据分类分级管理办法》：明确分类分级流程、责任分工及违规处理；-《数据访问权限管理办法》：根据数据级别设置访问权限（如三级数据仅主任医师及以上级别人员可访问）；-《数据安全事件应急预案》：针对不同级别数据泄露制定响应流程（如三级数据泄露需2小时内启动应急响应）。