中医数据安全管理规范

中医数据安全管理规范第一章中医数据分类与分级当前中医药数字化转型进入深水区，电子病历系统普及、四诊数字化设备广泛应用、中医药大数据科研项目持续推进、互联网中医医疗服务快速发展，积累了海量具有中医药特色的数据资产。不同于普通医疗数据，中医数据兼具个人隐私保护、中医药知识产权保护、国家中医药资源安全多重属性，价值密度更高、影响范围更广，开展安全管理的前提是明确数据的分类与分级标准。1.1中医数据分类结合中医药业务属性和数据特点，将中医数据划分为三大类：第一类为中医核心业务数据，是中医药行业最具价值也最需要重点防护的数据，细分为四个子类：一是中医临床诊疗数据，包括患者的中医四诊原始数据（舌诊图像、脉诊波形、面诊特征信息等）、辨证论治结论、中医处方、中医理疗方案、中医体质评估报告、中医病历档案等，既包含可识别个人的隐私信息，也包含中医诊疗的核心业务信息；二是中医药科研数据，包括名老中医学术经验整理数据、中医药临床试验数据、中药新药研发数据、针灸推拿等非遗技艺数字化数据、中医AI模型训练数据集等；三是中医药资源数据，包括道地药材种质资源基因数据、濒危药用动植物分布数据、中药资源普查数据、中药种质库资源信息等，这类数据涉及国家生物资源安全，防护等级要求极高；四是中医知识产权数据，包括未公开的古籍抄本、孤本数字化成果、民间秘方验方、授权专利的核心技术数据、未上市的中医药新品种核心信息等。第二类为中医管理数据，指中医医疗机构、科研机构、中医药企业内部运营管理产生的数据，包括机构人事信息、财务数据、医保结算数据、行业监管上报数据、供应链管理数据等，这类数据和普通行业管理数据属性类似，但部分涉及医保基金安全和公众利益，也需要做好防护。第三类为中医对外服务数据，指互联网中医诊疗平台、中医药科普平台对外服务产生的数据，包括用户交互数据、线上问诊记录、线上处方流转数据、公开科普内容数据等，其中线上问诊和处方数据涉及患者隐私，需要纳入重点防护范围。1.2中医数据分级根据数据泄露后对个人权益、机构利益、国家利益可能造成的危害程度，将中医数据划分为四个安全级别：一级：公开数据，指可以对外公开、不会造成任何危害的数据，包括已经正式出版的中医古籍、公开发表的学术论文、公开的中医药科普内容、对外发布的行业统计公报、公开的机构招聘信息等，此类数据无需特殊防护，仅需保证内容完整性和准确性即可。二级：内部数据，指仅限机构内部使用、不对外公开，泄露后不会造成严重危害的数据，包括机构内部工作通知、未公开的常规行政会议纪要、一般性科研项目的进度报告、公开采购之前的招标内部信息等，此类数据仅需限制外部访问，不需要高强度加密防护。三级：敏感中医数据，指泄露后会侵害个人合法权益、造成机构经济损失或者名誉损害的数据，具体包括所有可以识别到特定自然人的中医临床诊疗数据、未公开的一般性中医药科研项目数据、非核心的道地药材资源数据、中医机构的财务明细数据、未对外发布的行业监管数据等，此类数据需要严格限制访问范围，采取加密防护措施。四级：核心敏感中医数据，指泄露后会造成重大知识产权损失、威胁国家生物资源安全、损害公共利益的核心数据，具体包括：名老中医未公开的独家学术经验、秘方验方、中医药非遗项目的核心技艺数据；道地药材核心种质资源基因数据、濒危药用动植物的核心分布区数据；国家级涉密中医药科研项目数据、大规模中医药健康人群队列的全量可识别数据；未公开的孤本、珍本中医古籍数字化成果；中药新药研发的核心临床试验数据、核心育种技术数据等，此类数据是中医数据安全防护的重中之重，必须采取最高等级的防护措施。第二章中医数据全生命周期安全管控中医数据安全管理贯穿从产生到销毁的全流程，针对不同环节的风险点制定差异化管控要求，实现全流程可追溯、全环节可管控。2.1数据采集环节安全管控所有中医数据采集必须遵循“合法、正当、必要、授权”四大原则：第一，个人诊疗数据采集，必须明确告知患者采集目的、数据用途、保存期限、共享范围，获得患者的书面或者电子知情同意，患者有权随时撤回同意、要求删除本人的全部数据，不得强制要求患者授权超范围的数据采集，不得在采集诊疗数据的同时私自采集与诊疗无关的个人隐私信息；针对当前互联网中医平台普遍存在的超范围采集问题，明确禁止平台私自存储患者的四诊原始数据用于未经授权的AI模型训练，不得将患者诊疗数据出售或者共享给无资质的第三方机构。第二，核心敏感数据采集，采集名老中医学术经验、未公开秘方、中医药非遗技艺数据，必须获得知识产权所有人或者传承权利方的书面授权，明确知识产权归属和使用范围，不得私自采集、整理未公开的核心传承数据；采集国家管控的药用动植物资源数据，必须获得林业、草原、中医药管理部门的审批，禁止未经审批私自采集核心资源数据，禁止境外机构或者境外资本控制的机构直接或者间接采集我国核心中医药资源数据。第三，所有数据采集完成后，必须在1个工作日内完成分级分类标记，录入机构的数据资产台账，明确数据的责任主体，避免出现数据“谁都管、谁都不管”的问题。2.2数据存储环节安全管控根据数据分级实行差异化存储要求：一级公开数据可以存储在公有云或者公开服务器；二级内部数据可以存储在机构内部私有云或者加密的公有云存储空间；三级敏感数据必须存储在机构内部私有云，禁止存储在境外服务器和未获得安全资质的公有云平台；四级核心敏感中医数据必须存储在机构本地离线存储设备，禁止接入公共互联网，禁止存储在任何公有云平台和境外服务器。所有三级及以上数据必须采用端到端加密存储，非结构化数据（图像、视频、文本、波形等）除了加密原始数据，还需要对元数据进行加密处理，防止元数据泄露引发的安全风险；核心敏感数据必须采用双层加密机制，即存储加密加访问密钥二次加密，密钥由两名不同岗位的管理人员分别保管，实现双人管控。核心敏感数据必须落实“三地三备份”制度，即一份本地在线存储、一份同城异址离线备份、一份异省异址离线备份，备份数据采用和原始数据相同级别的加密防护；所有报废的存储介质必须经过物理粉碎或者专业消磁处理，禁止将存储过三级及以上数据的旧存储介质随意丢弃或者出售，报废过程必须有两名工作人员在场见证，记录报废信息并存档。明确禁止个人私自存储三级及以上中医数据，禁止将患者诊疗数据、核心传承数据存储在个人手机、私人硬盘等个人设备上，所有业务数据必须统一存储在机构的官方存储系统。2.3数据传输环节安全管控一级和二级数据可以通过公共互联网传输，三级敏感数据传输必须采用VPN加密通道，四级核心敏感数据传输必须采用机构内部专用专线，禁止通过公共互联网传输核心敏感数据；明确禁止通过微信、QQ、钉钉等公共即时通讯工具传输三级及以上中医数据，禁止通过普通邮件传输敏感和核心敏感数据。所有三级及以上数据传输必须做完整性校验，防止数据在传输过程中被篡改，尤其是处方数据、种质基因数据这类对完整性要求极高的数据，一旦篡改可能引发严重的医疗风险或者科研损失，必须在传输完成后比对校验码，确认数据完整无误后才能接收。2.4数据使用与共享环节安全管控数据使用必须遵循“最小必要”原则，业务开展需要多少数据就调取多少数据，禁止一次性调取全量敏感数据，禁止超出业务范围使用数据；使用核心敏感数据开展科研或者临床研究，必须经过机构伦理审查委员会和数据安全管理委员会双重审查，获得批准后方可使用，审查过程需要留存完整的记录。对外共享数据必须签订正式的数据安全共享协议，明确双方的安全责任、使用范围、知识产权归属，明确违约追责条款；核心敏感数据原则上不对外共享，确因科研或者业务需要共享的，必须做不可逆去标识化处理，移除所有可以识别到个人和核心资源的标识信息，并且经过省级以上中医药主管部门和网信部门的安全审查，获得批准后方可共享。训练中医人工智能大模型，必须确保训练数据的来源合法，所有用于训练的个人诊疗数据必须获得用户授权，核心敏感数据不得用于公开可访问的大模型训练，防止核心数据泄露。2.5数据销毁环节安全管控对于超过保存期限、不再需要使用的中医数据，必须按照分级要求进行销毁：一级数据可以直接删除；二级数据需要删除后覆盖存储区域三次以上；三级和四级数据必须进行物理销毁或者专业消磁处理，确保数据无法被恢复；所有数据销毁必须留存完整的销毁记录，包括销毁时间、销毁数据的清单、操作人员姓名、见证人员姓名，记录保存期限不低于10年。第三章中医数据角色权限安全管理中医数据业务涉及多类角色，权限划分不清、越权访问是当前中医数据安全的主要风险点，必须遵循“最小权限、权限隔离、双人复核、动态调整”的原则，明确不同角色的访问权限和安全责任，具体划分如下：角色分类核心负责范围数据访问权限等级核心安全责任数据安全超级管理员全机构数据安全体系整体配置、权限管理仅可配置角色权限，仅可查看核心数据操作日志，不可直接访问任何原始核心敏感数据负责权限体系的整体规划，所有权限变更必须经过双人复核签字，对权限配置的合规性负总责专职数据安全管理员日常数据分级标记、安全检查、日志审计可访问1-3级数据，核心敏感数据仅可审计访问日志，不可访问原始数据定期更新数据资产台账，每月开展一次安全检查，及时上报安全隐患，配合开展审计工作临床一线业务人员日常中医诊疗业务开展仅可访问本人接诊患者的三级诊疗数据，不可下载存储至个人设备，仅可在机构业务系统内查看使用对本人权限下的数据安全负责，不超范围获取数据，不私自传输、泄露患者隐私数据中医药科研人员本机构立项科研项目研究开发仅可访问项目审批授权范围内的去标识化数据，确需访问原始可识别数据需经二次审批严格按照审批范围使用数据，不超范围共享数据，不违规将数据用于项目以外的用途中医药传承研究人员名老中医经验整理、非遗技艺研究仅可访问授权范围内的传承数据，未公开核心敏感数据需经传承人书面授权、数据安全委员会审批才可访问负责传承数据的日常保管，不私自复制、外传未公开学术经验和秘方，明确知识产权归属外部合作研究人员合作项目研究开发仅可访问合作协议约定范围内的去标识化1-2级数据，禁止访问核心敏感数据，确需访问三级数据需经审批遵守合作协议的安全约定，接受我方安全审计，不超范围使用、不对外泄露合作获取的数据基础设施运维人员数据中心、存储系统硬件运维保障仅可访问系统运行日志，不可访问任何业务数据原始内容负责硬件设施的安全运行，不违规拷贝数据，不泄露系统配置信息，不私自开放系统权限权限实行动态调整机制，每半年开展一次全机构权限梳理，岗位调整、人员离职的，必须在1个工作日内收回原有权限；核心敏感数据访问实行临时权限机制，确需访问的提交申请，经部门负责人和数据安全管理员双重审批后开通不超过7天的临时权限，访问完成后立即收回权限。第四章中医数据特色安全防护技术体系结合中医数据的特点，构建适配中医数据属性的技术防护体系，不同于通用医疗数据防护，重点针对中医核心数据的知识产权保护和资源安全防护强化技术措施：第一，核心数据区块链存证溯源技术，将名老中医经验、秘方验方、古籍数字化成果、核心种质数据等核心敏感数据上传至联盟链存证，所有访问、修改、使用操作都会留下不可篡改的时间戳记录，既可以保护知识产权，发生权属纠纷时可以作为有效法律凭证，也可以追溯违规访问的操作主体，解决了核心数据泄露后难以溯源的问题。第二，数据水印溯源技术，针对中医大量非结构化数据（四诊图像、处方文本、经验整理文档等），在系统输出任何数据时自动添加包含操作人员信息、访问时间、机构标识的隐形数字水印，水印不会影响数据的正常使用，但是无法轻易去除，一旦核心数据被泄露到外部，可以通过水印快速定位泄露责任人，大幅提升内部违规泄露的查处效率。第三，零信任访问控制技术，针对所有三级及以上数据访问采用零信任架构，落实“永不信任、始终验证”的原则，无论访问者是内部人员还是外部人员，每次访问都需要进行多因素身份认证（密码+U盾+人脸验证），核心数据访问还需要额外的授权验证，避免了账号泄露后引发的大规模数据泄露风险。第四，数据泄露监测技术，在公共互联网、暗网持续监测本机构的敏感和核心敏感数据特征，一旦发现泄露可以及时预警，及时采取处置措施，降低泄露带来的损失；针对内部终端采取数据防泄露管控，禁止核心数据终端外接U盘、移动硬盘等存储设备，禁止核心数据终端截屏、录屏，从源头阻断内部泄露渠道。第五，古籍特色数据安全防护，针对孤本、珍本中医古籍的数字化成果，除了落实核心数据的加密存储和多备份要求，还需要定期进行格式迁移，避免因为存储格式过时导致数据无法读取，每五年对备份数据进行一次校验，确保数据完整可用。第五章监督审计与应急响应建立常态化的监督审计机制，机构设立数据安全管理委员会，由机构主要负责人担任主任，每季度召开一次数据安全工作会议，每季度开展一次全机构数据安全专项检查，核心敏感数据每月开展一次访问日志核查；所有数据操作都必须留存完整的操作日志，日志内容包括操作人员身份、操作时间、操作内容、操作IP地址、操作结果，日志不得修改、不得删除，保存期限不低于10年；每年开展一次内部数据安全审计，每两年邀请具有资质的第三方数据安全机构开展一次外部审计，审计结果纳入机构年度考核，发现的安全隐患必须在15个工作日内完成整改。针对数据安全事件建立分级应急响应机制，按照事件的影响范围和危害程度划分为一般事件（少量二级内部数据泄露，未造成危害）、较大事件（批量三级敏感数据泄露，造成一定影响）、重大事件（核心敏感数据泄露或者批量个人隐私数据泄露，造成重大危害）三个等级，不同等级对应不同的响应流程：一般事件由数据安全管理员牵头处置，一周内完成整改上报；较大事件由数据安全管理委员会牵头处置，24小时内上报属地中医药主管部门和网信部门；重大事件立即启动应急预案，1小时内上报属地主管部门，及时采取止损措施。每年至少开展一次数据安全应急演练，针对核心数据泄露、系统被攻击等常见场景开展演练，演练后总结问题，更新完善应急预案；发生数据安全事件后，必须及时开展根源分析，完