《医疗健康大数据安全管理指南》2025版

《医疗健康大数据安全管理指南》2025版1适用范围本指南适用于中华人民共和国境内所有处理医疗健康大数据的主体，包括但不限于各级卫生健康行政部门、公立/非公立医疗机构、医保经办机构、疾病预防控制机构、医药研发企业、医疗科技服务企业、可穿戴健康设备服务商、互联网医院运营主体、商业保险机构等，覆盖医疗健康数据采集、存储、传输、使用、共享、销毁全流程，涉及个人主动提交、机构采集、公共卫生监测、真实世界研究等所有数据来源场景。2术语与分类分级2.1术语定义医疗健康大数据指涉及自然人健康状态、诊疗行为、公共卫生服务、医保服务等相关的所有结构化、半结构化、非结构化数据，包含电子病历、检验检查报告、处方、疫苗接种记录、健康监测数据、基因测序数据、医保结算数据、流行病监测数据、真实世界研究数据、数字疗法用户数据等。2.2敏感等级划分按照数据泄露造成的损害程度，将医疗健康大数据分为三级：（1）核心敏感数据：包括公民基因测序数据、生物识别数据、传染病/精神疾病/生殖健康诊疗记录、未成年人医疗健康数据、罕见病患者全量数据、重大公共卫生事件流调原始数据、军人/涉密岗位人员健康数据，此类数据泄露将对个人权益、公共利益、国家安全造成极其严重的损害；（2）重要敏感数据：包括门诊/住院全量诊疗记录、医保结算记录、职业健康检查数据、慢病管理数据、孕产妇保健数据、职业病监测数据，此类数据泄露将对个人权益、行业秩序造成严重损害；（3）一般敏感数据：包括匿名化处理后的公共卫生统计数据、常规健康监测汇总数据、药品耗材采购非涉密数据，此类数据泄露对个人权益、公共利益损害较小。3安全管理体系建设3.1组织架构要求年处理核心敏感数据量超过10T、服务用户量超过100万人次的主体，必须设立独立的数据安全管理部门，配备首席数据安全官（CDSO），CDSO需同时具备医疗信息化中级以上职称、网络安全工程师资质，直接向法定代表人负责，每季度向属地卫生健康、网信部门提交数据安全运行报告；其他主体需配备不少于1名专职数据安全管理人员，明确法定代表人为数据安全第一责任人。3.2制度体系要求各主体需建立9项核心管理制度，包括数据分类分级管控制度、访问权限审批制度、全流程操作留痕制度、安全审计制度、第三方供应商安全评估制度、应急处置制度、人员安全培训制度、数据出境报备制度、个人权益响应制度，所有制度每年至少修订1次，适配新技术、新场景的安全要求，制度文件留存不少于10年。3.3人员管理要求接触核心、重要敏感数据的岗位人员入职前需完成背景审查，确认无网络违法犯罪记录，签订终身保密协议；核心岗位人员离岗需执行不少于6个月的脱密期管理，脱密期内禁止接触任何医疗健康数据，同步取消所有系统访问权限；所有数据相关岗位人员每年接受不少于40学时的安全培训，考核不合格者不得上岗，培训、考核记录留存不少于5年。4全生命周期安全管控4.1采集环节严格遵循最小必要、知情同意原则，不得采集与诊疗、服务无关的数据：互联网医院问诊不得强制要求用户授权读取通讯录、位置信息（急救场景除外），可穿戴设备采集健康数据需明确告知采集范围、用途、留存期限，用户可随时撤回授权；采集核心敏感数据需提前报省级卫生健康、网信部门双审批，审批文件留存不少于10年；所有数据采集时需同步嵌入分类分级标签，标签跟随数据全生命周期流转，不得擅自修改。4.2存储环节核心、重要敏感数据必须境内存储，确需跨境存储的需通过国家数据出境安全评估；核心敏感数据存储采用“两地三中心”冗余备份架构，备份频率不低于1小时/次，重要敏感数据备份频率不低于4小时/次，一般敏感数据备份频率不低于24小时/次；所有数据存储需采用国密算法加密，核心敏感数据采用SM4对称加密+SM2非对称加密混合模式，禁止使用境外加密算法存储核心、重要敏感数据；数据存储期限符合国家相关规定：门诊诊疗数据留存不少于15年，住院诊疗数据留存不少于30年，公共卫生监测原始数据永久留存，超过存储期限的数据需走标准化销毁流程，不得擅自留存。4.3传输环节核心、重要敏感数据传输需采用国密SSL/TLS1.3协议，核心敏感数据传输执行“双人审批+双通道加密”机制，传输发起前需经CDSO签字确认，传输过程全程留痕；禁止在公共网络环境下传输未加密的核心、重要敏感数据，医疗机构内部数据传输采用专属VPN通道，禁止使用微信、QQ等公共社交软件传输患者病历、检验报告、流调记录等敏感数据；跨机构数据传输采用接口对接模式，不得直接发送原始数据集，传输完成后立即校验数据完整性，发现篡改、丢失第一时间启动应急响应。4.4使用环节访问权限采用RBAC（基于角色的访问控制）+ABAC（基于属性的访问控制）双模式，执行最小粒度分配：临床医生仅可访问本人接诊患者的诊疗数据，科研人员仅可访问匿名化处理后的数据集，行政管理人员仅可访问权限范围内的统计数据；禁止将去标识化数据等同于匿名化数据用于公开使用、商业推广，匿名化处理需达到不可复原、不可关联到特定自然人的标准，需经第三方机构评估确认后方可对外提供；使用医疗健康大数据训练生成式AI模型、开展真实世界研究的，需先完成全量数据脱敏，移除所有可识别个人身份的特征字段，训练、研究过程不得留存原始数据，输出结果不得泄露任何个人信息；使用数据开展药品营销、保险产品推送等商业活动的，需获得用户单独授权，禁止采用默认勾选、捆绑授权等方式获取同意。4.5销毁环节数据销毁需提交书面申请，经CDSO审批后方可执行，纸质数据采用粉碎、焚烧方式销毁，电子数据采用不少于7次覆写、物理消磁、存储介质物理破坏方式销毁，禁止采用普通删除、格式化等可恢复操作；销毁过程需2名以上工作人员全程监督，全程录像，录像留存不少于3年，销毁记录包含销毁时间、数据范围、销毁方式、监督人员，留存不少于10年；存储过核心、重要敏感数据的存储介质不得转卖、赠送、丢弃，确需淘汰的需统一销毁。5技术防护体系要求5.1基础网络防护所有处理医疗健康大数据的系统需符合网络安全等级保护2.0要求，核心敏感数据处理系统需达到等保三级要求，每年开展1次等保测评，每季度开展1次全量漏洞扫描，每月开展1次渗透测试，发现高危漏洞需在24小时内完成修复，中危漏洞72小时内修复；部署入侵检测、入侵防御系统，对异常访问、攻击行为实时告警，告警响应时长不超过1小时，日志留存不少于6个月。5.2数据防泄漏防护部署覆盖终端、网络、存储的全场景DLP（数据防泄漏）系统，对核心敏感数据的下载、打印、外发、拷贝操作执行实时监控、审批拦截，终端默认禁用USB接口，确需使用的需走专项审批流程，操作全程留痕；部署数据库审计系统，对数据库的所有查询、修改、删除、导出操作全程记录，日志留存不少于12个月，每月开展1次审计分析，发现异常操作及时处置。5.3新技术场景专项防护采用联邦学习、多方安全计算等技术开展跨机构数据联合分析的，需确保数据不出域、计算过程可审计，不得泄露原始数据，每年开展1次合规评估，评估报告报属地网信部门备案；可穿戴健康设备采集端需内置国密加密模块，数据采集后即时加密，防止传输过程被劫持；互联网医院系统需采用“身份证+人脸核验”双因子身份认证，防止冒领检验报告、冒用身份就诊，问诊记录、处方数据加密存储，仅对接诊医生、用户本人开放权限；数字疗法产品采集的用户健康数据不得用于产品研发以外的用途，不得向第三方共享。6数据共享与出境管理6.1内部共享医疗机构之间开展检查结果互认、跨院复诊等数据共享的，采用接口对接模式，仅传输本次就诊所需的特定数据字段，不得传输用户全量诊疗数据，共享前需获得用户明确授权，用户可随时取消共享权限；公共卫生机构开展疫情防控、慢性病监测、疫苗接种调度等公共服务所需的数据共享，无需个人授权，但需对数据做匿名化处理，不得泄露个人身份信息，共享数据仅用于约定公共服务用途，不得二次流转。6.2外部共享向医药研发企业、商业保险机构、科研院所等第三方主体共享数据的，需签订数据安全协议，明确数据用途、安全责任、销毁要求，禁止超出约定用途使用数据，禁止二次共享；共享核心、重要敏感数据的，需提前报属地卫生健康、网信部门审批，审批通过后方可开展；禁止向境外注册的机构、组织共享核心敏感数据，国家批准的国际公共卫生合作项目除外。6.3数据出境医疗健康大数据出境严格执行《数据出境安全评估办法》《医疗卫生机构网络安全管理办法》相关要求，核心敏感数据原则上禁止出境，确需出境的需通过国家网信部门组织的安全评估，出境前需完成匿名化处理，确保无法关联到特定自然人；每年出境的数据量、用途、接收主体需向国家卫生健康委、国家网信办报备，禁止将我国罕见病患者、特定职业人群、军人等特殊群体的医疗健康数据传输至境外。7应急处置与溯源7.1应急预案与演练各主体需制定数据安全突发事件专项应急预案，覆盖数据泄露、篡改、丢失、勒索攻击等场景，明确处置流程、责任分工、通知要求，每年开展不少于2次应急演练，演练记录留存不少于3年；应急预案每年修订1次，适配新的安全风险。7.2事件响应发生数据安全事件后，需第一时间启动应急预案，采取技术措施阻断风险扩散，在72小时内上报属地卫生健康、网信、公安部门，不得瞒报、迟报、谎报；事件影响范围涉及1000人以上的，需第一时间通过官方渠道告知受影响用户，告知内容包括事件影响、处置措施、个人防护建议。7.3溯源与整改事件处置过程中需配合监管部门开展溯源调查，完整提供操作日志、审计记录、监控录像等证据，不得篡改、销毁相关材料；对造成事件的责任人，按照内部管理制度追责，涉嫌犯罪的移交司法机关；事件处置完成后1个月内提交整改报告，整改完成前暂停所有数据共享、出境业务。8个人权益保障8.1访问与复制权：自然人有权查询、复制本人的全量医疗健康数据，相关主体需在收到申请后10个工作日内免费提供，不得设置不合理门槛；8.2更正与删除权：自然人发现本人医疗健康数据存在错误、遗漏的，有权要求更正，相关主体需在5个工作日内完成核实更正；符合法定删除条件的，需在7个工作日内完成全量删除，所有操作留痕；8.3授权撤回权：自然人有权随时撤回数据处理授权，相关主体收到撤回申请后需立即停止处理该用户的数据，已经共享给第三方的需通知第三方在7个工作日内删除相关数据；8.4投诉响应权：自然人对数据处理行为有异议的，可向属地卫生健康、网信部门投诉，监管部门需在15个工作日内反馈处置结果。9监督与问责9.1内部监督：各主体每月开展1次数据安全自查，每季度开展1次内部审计，审计报告留存不少于5年，发现问题及时整改；9.2行业监管：各级卫生健康、网信、医保、公安部门建立联合监管机制，每年对辖区内医疗健康数据处理主体开展不少于2次抽查，对三级医院、服务用户量超过100万人次的医疗科技企业实现每年全覆盖检查，监管结果向社会公开；9.3问责机制：发生数据安全事件的，对责任主体处以最高1000万元或上一年度营业额5%的罚款，对直接责任人处以最高100万元罚款，终身禁止从事医疗健康数据相关行业；涉嫌侵犯公民个人信息、危害公共利益的，依法追究刑事责任；瞒报、迟报事件的，从重处罚。10差异化适配细则10.1一类主体（三级医院、省级以上疾控机构、年处理数据量超过50T的医疗科技企业、服务用户量超过100万人次的互联网医院）：严格执行本指南所有要求，每年开展1次第三方数据安全