医疗卫生机构数据分类分级指南(试行)

医疗卫生机构数据分类分级指南(试行)1适用范围与编制依据1.1编制依据本指南依据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国基本医疗卫生与健康促进法》《中华人民共和国传染病防治法》《中华人民共和国保守国家秘密法》《医疗卫生机构网络安全管理办法》《健康医疗大数据标准、安全和服务管理办法（试行）》《数据出境安全评估办法》等法律法规及规范性文件制定，用于指导各级各类医疗卫生机构开展数据分类分级管理，提升数据安全防护能力。1.2适用范围本指南适用于各级各类公立医院、民营医院、基层医疗卫生机构（社区卫生服务中心、乡镇卫生院、村卫生室等）、专业公共卫生机构（疾病预防控制中心、妇幼保健机构、职业病防治机构、精神卫生机构等）、独立设置的医学检验机构、医学影像机构、互联网医院等所有医疗卫生机构，覆盖上述机构在开展公共卫生服务、医疗服务、内部运营管理、行业监管、外部协同等活动中产生、采集、存储、使用、传输、共享的所有结构化、半结构化、非结构化健康医疗数据的分类分级管理。医疗卫生机构与第三方机构开展合作涉及数据处理活动的，应当遵循本指南要求。2术语和定义2.1医疗卫生机构数据指医疗卫生机构在履行法定职能、提供医疗卫生服务、开展内部运营管理、参与外部业务协同过程中，产生、采集、获取、加工的所有数据资源，包括原始数据和衍生加工数据，涵盖个人健康信息、业务数据、运营管理数据等各类形态。2.2数据分类指根据数据的来源、业务属性、敏感程度、用途等特征，按照一定规则将数据划分为不同类别的管理过程。2.3数据分级指根据数据的敏感程度、一旦遭到篡改、破坏、泄露或者非法利用后，可能对国家安全、公共利益、个人合法权益造成的危害程度，将数据划分为不同级别的管理过程。2.4敏感个人信息指一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，医疗卫生领域的敏感个人信息包括生物识别、基因、特定疾病诊疗、生殖健康、未成年人健康医疗等信息。2.5重要数据指一旦遭到篡改、破坏、泄露或者非法获取、非法利用，可能危害国家安全、公共利益或者多数个人合法权益的数据，符合国家及卫生健康领域重要数据目录规定的范畴。3数据分类3.1分类原则3.1.1科学性原则：以数据的本质属性、业务特征为核心依据，确保分类结果科学合理，符合医疗卫生行业业务规律。3.1.2实用性原则：满足数据安全管理、业务使用、共享开放的实际需求，便于落地实施，兼顾安全与效率。3.1.3稳定性原则：以相对固定的业务属性为分类基础，避免频繁调整，保障分类体系的连续性。3.1.4扩展性原则：预留分类扩展空间，适应医疗卫生业务发展、数据类型创新的需求。3.2分类体系按照业务属性，将医疗卫生机构数据划分为5个一级大类，每个一级大类下设若干二级子类，具体如下：3.2.1公共卫生数据指医疗卫生机构开展公共卫生服务、突发公共卫生事件处置过程中产生的各类数据，主要包括：（1）传染病防控数据：法定传染病病例信息、密切接触者信息、流行病学调查数据、疫苗接种全流程数据、疫点疫区处置数据、传染病监测预警数据；（2）慢性病防控数据：慢性病患者登记信息、随访管理数据、人群慢性病筛查数据、慢性病干预数据、慢性病监测数据；（3）妇幼健康数据：孕产妇系统管理数据、0-6岁儿童健康管理数据、出生缺陷防治数据、妇女常见病筛查数据、母婴安全监测数据；（4）职业病与地方病防控数据：职业病病例登记信息、职业健康检查数据、职业病诊断与鉴定数据、地方病病例信息、地方病监测数据；（5）突发公共卫生事件应急数据：突发公共卫生事件预案、事件报告信息、医疗救援数据、流调溯源数据、密切接触者管控数据、防控物资调配数据、疫苗接种调度数据；（6）健康教育与健康促进数据：健康宣教内容资源、重点人群健康教育干预数据、健康促进项目数据、健康素养监测数据。3.2.2医疗服务数据指医疗卫生机构开展各类医疗服务活动中产生的核心业务数据，主要包括：（1）门急诊诊疗数据：门急诊患者基本信息、主诉与现病史、体格检查记录、诊断结果、处方、医嘱、检验检查申请单与结果、门急诊收费记录、病案首页信息；（2）住院诊疗数据：住院患者基本信息、入院记录、病程记录、手术麻醉记录、护理记录、出院小结、病理报告、医学影像资料、医嘱处方、费用清单、住院病案首页信息、转院转诊记录；（3）专科医疗服务数据：精神卫生诊疗数据、生殖健康与不孕不育诊疗数据、医疗美容诊疗数据、口腔诊疗数据、眼科诊疗数据、肿瘤诊疗数据等专科业务数据；（4）医技检查数据：X线、CT、MRI、超声等各类医学影像原始数据与报告数据，临床生化、免疫、微生物等检验结果与质控数据，病理切片、病理诊断报告，心电图、脑电图、肺功能等功能检查数据；（5）中医药服务数据：中医四诊记录、辨证论治信息、中药处方、中医适宜技术操作记录、中医养生保健服务数据；（6）采供血与输血数据：献血者基本信息、血液检测数据、血液存储与调配数据、临床用血记录、输血不良反应监测数据；（7）互联网医疗与远程医疗数据：在线问诊记录、远程影像诊断数据、远程会诊记录、在线处方数据、互联网医疗收费数据。3.2.3个人健康信息数据指基于居民全周期健康管理产生的综合健康数据，主要包括：（1）居民电子健康档案数据：个人基本信息、健康体检记录、重点人群健康管理记录、历次医疗卫生服务记录；（2）健康管理数据：健康体检数据、亚健康监测数据、慢病自主管理数据、运动健康数据、营养健康数据、睡眠监测数据；（3）出生与死亡登记数据：出生医学证明信息、出生统计数据、死亡医学证明信息、死亡原因统计数据。3.2.4医疗卫生机构运营管理数据指医疗卫生机构开展内部运营管理活动产生的各类数据，主要包括：（1）人力资源数据：员工基本信息、人事档案信息、劳动合同信息、薪酬福利信息、职称聘任信息、培训考核信息、招聘信息；（2）财务管理数据：预算决算数据、收支明细数据、资产负债数据、财务报表、收费票据信息、政府采购信息、医保结算对账数据；（3）行政管理数据：机构章程、内部管理制度、会议纪要、公文信息、资质证件信息、行政审批事项信息、舆情监测信息；（4）后勤与物资管理数据：药品耗材采购、存储、调配数据，医用设备信息、基础设施信息、安全保卫数据、后勤运维数据、医疗废物处置数据；（5）科教管理数据：科研项目申报与立项信息、论文专利等科研成果信息、临床试验研究数据、临床教学培训数据、重点学科与专科建设数据；（6）信息化管理数据：信息系统基础配置信息、网络拓扑结构信息、用户权限配置信息、系统操作日志、接口文档、容灾备份配置信息、网络安全监测数据。3.2.5行业监管与外部协同数据指医疗卫生机构对接行业监管、跨部门业务协同产生的数据，主要包括：（1）行业监管数据：上报卫生健康行政部门的各类统计数据、医疗质量控制数据、不良事件上报数据、行政审批申请数据；（2）跨部门协同数据：与医保部门交互的医保结算数据、与民政部门交互的救助对象医疗数据、与公安部门交互的人口信息核对数据、与政务服务平台交互的业务协同数据；（3）衍生加工数据：基于原始数据加工生成的各类统计分析报告、研究成果、公开数据集等。所有衍生加工数据应当根据其内容属性归入对应一级大类，本分类体系未涵盖的新增数据类型，由医疗卫生机构根据业务属性归入对应大类，或者新增一级大类。4数据分级4.1分级原则4.1.1敏感度匹配原则：根据数据敏感程度、可能造成的危害等级匹配对应级别，确保分级与风险程度相一致。4.1.2就高不就低原则：同一数据同时符合多个级别判定标准的，按照最高级别确定分级。4.1.3权责一致原则：数据处理责任主体负责本机构数据的分级认定，对分级结果承担相应责任。4.1.4动态适配原则：根据法律法规变化、业务调整、数据处理方式变化及时调整分级结果。4.2分级标准本指南将医疗卫生机构数据从高到低划分为3个级别，分别为1级（敏感数据）、2级（重要数据）、3级（一般数据），具体判定标准如下：4.2.11级（敏感数据）指一旦遭到篡改、破坏、泄露或者非法利用，会直接危害国家安全，对公民人身财产安全造成严重损害，或者对公共利益造成重大影响的数据，具体包括：（1）依照《中华人民共和国保守国家秘密法》界定的属于国家秘密的医疗卫生数据；（2）未经脱敏脱密处理的所有敏感个人信息，包括：个人生物识别数据（基因、指纹、人脸、虹膜、声纹等）、人类遗传资源数据、艾滋病/性病/精神疾病/遗传病等特殊疾病诊疗信息、生殖健康信息、所有未满14周岁未成年人的健康医疗信息、能够识别到特定个人的流调行踪轨迹信息；（3）未公开的突发公共卫生事件核心病例信息、涉密流调数据；（4）未公开的国家级重大医疗卫生科研项目、临床试验项目的核心原始数据；（5）医疗卫生机构核心信息系统的网络拓扑结构、核心权限配置、核心运维信息等涉及核心网络安全的数据；（6）国家卫生健康领域重要数据目录中明确列为核心敏感的其他数据。4.2.22级（重要数据）指一旦遭到篡改、破坏、泄露或者非法利用，会对个人合法权益造成较大损害，或者对医疗卫生机构正常运营、公共卫生秩序造成影响，危害公共利益，未达到1级敏感数据标准的数据，具体包括：（1）经过去标识化处理，但仍存在重新识别到特定个人可能性的健康医疗数据；（2）除1级敏感数据外，能够直接或间接识别到特定自然人的一般健康医疗信息，包括普通疾病诊疗信息、常规健康档案信息、普通健康体检信息；（3）医疗卫生机构未公开的运营管理数据，包括未公开的财务数据、人力资源数据、科教项目数据、信息化基础配置数据；（4）公共卫生领域非涉密的未公开数据，包括大规模人群筛查汇总数据、疫苗接种汇总数据、慢性病监测未公开数据；（5）本机构承担的地方、省部级医疗卫生科研项目的未公开非核心数据，非涉密临床试验数据；（6）跨部门协同交互的非涉密未公开业务数据、上报行业监管部门的未公开统计数据；（7）互联网医疗、远程医疗的非敏感业务数据；（8）其他未达到1级标准，一旦泄露会造成较大危害的数据。4.2.33级（一般数据）指可以依法公开，泄露后不会对国家安全、公共利益、个人合法权益造成损害的数据，具体包括：（1）已经按照法定程序主动公开的医疗卫生机构基础信息，包括机构简介、诊疗科目、医师简介、出诊信息、收费标准、预约挂号信息、招聘公示信息等；（2）经过彻底脱敏处理，完全无法识别到特定个人，也不存在重新识别可能性的公开健康医疗数据集；（3）已经依法公开的行业统计数据、科研成果数据、健康宣教内容资源、公开的行政管理文件与制度规范；（4）其他经认定不会造成任何危害的可公开数据。4.3特殊分级规则（1）去标识化数据：若处理后仍可识别或重新识别特定个人，分级与原数据保持一致；若彻底无法识别，可根据内容判定为3级；（2）聚合统计数据：若聚合后仍可识别出特定个人，按照对应个人数据的级别定；无法识别的，根据聚合数据内容的敏感程度定级；（3）涉密数据：已经定密的国家秘密数据，除遵守本指南外，同时执行国家保密管理规定，统一定为1级；（4）第三方委托处理的数据：分级与本机构同类型数据保持一致，不得擅自降低分级。5分级分类防护要求5.11级（敏感数据）防护要求（1）存储：必须存储在符合网络安全等级保护三级及以上要求的涉密或非涉密信息系统内，禁止存储在互联网公开服务器、个人移动终端、私人云存储等非安全环境；必须采用端到端加密存储，访问控制采用双因素身份认证；（2）访问：实行最小权限授权，遵循“按需授予、一人一号”，权限开通需经数据责任部门负责人、信息化部门负责人、机构分管负责人三级审批；所有访问操作全程留痕，操作日志留存时间不少于1年，定期开展访问审计，禁止内部越权访问，访问敏感数据需签订保密协议；（3）传输：必须采用加密传输通道（如合规VPN、HTTPS加密），禁止通过普通微信、QQ、邮箱等未加密公共通道传输；跨机构传输敏感数据需经本机构主要负责人批准，签订数据安全共享协议，明确安全责任，向境外提供敏感数据需符合国家数据出境安全管理规定，依法开展安全评估；（4）使用：禁止超出授权范围使用，批量导出敏感数据需经审批，导出数据必须加密存储，使用完成后及时销毁，不得私自留存；对外共享、公开敏感数据必须进行合规脱敏脱密处理，经保密审查后方可开展；（5）备份与容灾：实行两地三中心容灾备份策略，备份数据分级与原数据一致，每半年至少开展一次备份恢复演练；（6）销毁：需销毁的敏感数据必须采用不可恢复销毁方式，包括存储介质物理粉碎、消磁、多次覆写等，禁止随意丢弃存储敏感数据的介质。5.22级（重要数据）防护要求（1）存储：存储在符合网络安全等级保护二级及以上要求的信息系统内，鼓励采用加密存储，落实身份访问控制措施；（2）访问：按需授权，权限开通由数据责任部门负责人审批，操作全程留痕，日志留存不少于6个月，每季度开展一次抽样审计；（3）传输：采用加密传输方式，禁止明文传输，跨机构共享需经数据责任部门负责人批准，签订数据共享协议明确安全责任；（4）使用：批量导出需经审批，对外共享必须落实去标识化处理，未经审批不得擅自对外提供；（5）备份与容灾：定期开展数据备份，每年至少开展一次备份恢复测试；（6）销毁：采用不可恢复方式销毁，禁止随意丢弃存储介质。5.33级（一般数据）防护要求按照公开信息管理要求落实常规安全防护，存储在符合安全要求的公开信息系统，可依法对社会开放，定期开展安全巡检即可，无需采取特殊防护措施。5.4分类特殊防护要求涉及传染病病例的个人信息，严格按照《传染病防治法》要求管理，不得擅自泄露；涉及人类遗传资源的数据，严格遵守《人类遗传资源管理条例》要求，未经批准不得向境外提供；公共卫生应急数据严格按照应急管理要求管控，未公开信息不得擅自发布。6组织管理与动态调整6.1组织职责医疗卫生机构主要负责人是数据分类分级管理第一责任人，负责统筹本机构数据分类分级工作，审批本机构数据分类分级目录，保障人员、经费投入；信息化管理部门作为牵头部门，负责组织实施数据分类分级工作，制定本机构实施细则，维护更新分