數(shù)據(jù)安全治理白皮書

5.0中關村網(wǎng)絡安全與信息化產(chǎn)業(yè)聯(lián)盟數(shù)據(jù)安全治理專業(yè)委員會?

編著2023醫(yī)療數(shù)據(jù)安全治理實踐醫(yī)院實踐篇致謝感謝以下人員及單位為《數(shù)據(jù)安全治理白皮書

5.0—醫(yī)療數(shù)據(jù)安全治理實踐（醫(yī)院實踐篇）》編制付出的辛勤勞動。指導專家王才有?

肖革新?

衡反修編審專家楊海峰?

高?

松?

包國峰?

孫立淼?

崔媛媛參編專家（按姓氏筆畫

排序，排名不分先后）于建鵬?

于?

皓?

王?

峰?

王?

瑋?

田?

娜?

田博文?

白?

倩?

朱元元?

朱洪濤?

朱曉東劉方斌?

劉?

楊?

劉春雷?

劉?

翀?

劉?

暢?

李永在?

邱?

峰?

楊學穎?

宋博強?

張小亮張?

敏?

張?

鑫?

陳江江?

陳?

鋼?

金?

晨?

鐘?

強?

侯德智?

袁?

成?

欒秀梅?

夏杰峰曹阿龍?

彭?

遠?

景慎旗?

程?

蕾?

雷嘉賓參編單位國家衛(wèi)生健康委醫(yī)院管理研究所?

北京安華金和科技有限公司?

山東第一醫(yī)科大學附屬省立醫(yī)院?

江蘇省人民醫(yī)院?

南京江北醫(yī)院?

中日友好醫(yī)院?

山東大學齊魯醫(yī)院?

中南大學湘雅二醫(yī)院?

江蘇省中醫(yī)院?

南方醫(yī)科大學第七附屬醫(yī)院?

東部戰(zhàn)區(qū)總醫(yī)院?

臨沂市人民醫(yī)院?

濟南市康養(yǎng)事業(yè)發(fā)展中心?

天翼安全科技有限公司?

北京數(shù)字認證股份有限公司?

北京深思軟件股份有限公司

版權(quán)聲明白皮書版權(quán)屬于中關村網(wǎng)絡安全與信息化產(chǎn)業(yè)聯(lián)盟數(shù)據(jù)安全治理專業(yè)委員會（簡稱數(shù)據(jù)安全治理專業(yè)委員會），并受法律保護。轉(zhuǎn)載、摘編或利用其他方式使用本白皮書文字或觀點的，應注明“來源：中關村網(wǎng)絡安全與信息化產(chǎn)業(yè)聯(lián)盟數(shù)據(jù)安全治理專業(yè)委會編著《數(shù)據(jù)安全治理白皮書

5.0》”，違者將被追究法律責任。目錄Catalog1.

序言

………………………12.

醫(yī)療數(shù)據(jù)安全現(xiàn)狀及痛點

………………22.1.

醫(yī)院數(shù)據(jù)安全建設現(xiàn)狀

…………22.1.1.

累積了大量高敏感患者信息

………………22.1.2.

醫(yī)院業(yè)務走向智慧互聯(lián)，數(shù)據(jù)邊界更為模糊

……………22.1.3.

安全建設以網(wǎng)絡安全為主，數(shù)據(jù)安全建設剛剛起步

……22.1.4.

患者信息泄露事件和違規(guī)事件頻發(fā)，醫(yī)院數(shù)據(jù)安全挑戰(zhàn)巨大

…………22.1.5.

數(shù)據(jù)安全政策要求日趨完善

………………32.2.

醫(yī)院數(shù)據(jù)安全建設痛點與難點

…………………32.2.1.

診療數(shù)據(jù)開發(fā)利用與個人信息安全保護的矛盾如何處理

………………32.2.2.

智慧互聯(lián)與個人信息保護法之間的沖突如何解決

………42.2.3.

醫(yī)院數(shù)據(jù)的分類分級缺乏可落地的策略與方法

…………42.2.4.

數(shù)據(jù)安全建設缺乏標準與最佳實踐參考

…………………43.

醫(yī)療數(shù)據(jù)安全治理思路

…………………53.1.

整體思路

…………53.2.

數(shù)據(jù)安全治理框架

………………63.3.

治理建議和實踐

…………………73.3.1.

提出可落地的醫(yī)院醫(yī)療數(shù)據(jù)分類分級建議

………………73.3.2.

提出醫(yī)院數(shù)據(jù)場景安全指南建議

…………73.3.3.

提出醫(yī)院數(shù)據(jù)安全檢查評估工作建議

……73.3.4.

提出可落地的醫(yī)院數(shù)據(jù)安全綜合方案及實踐參考

………84.

醫(yī)院數(shù)據(jù)分類分級建議

…………………94.1.

范圍

………………94.2.

定級目標和范圍

…………………94.3.

醫(yī)院數(shù)據(jù)分類

……………………94.3.1.

個人信息

……………………94.3.2.

電子病歷診療數(shù)據(jù)

………

104.4.

醫(yī)院數(shù)據(jù)分級

…………………

104.4.1.

分級思路

…………………

104.4.2.

個人信息字段分級

………

114.4.3.

電子病歷診療數(shù)據(jù)字段分級

……………

124.4.4.

數(shù)據(jù)集合分級

……………

124.5.

醫(yī)院數(shù)據(jù)脫敏降級處理建議

…………………

134.6.

醫(yī)院數(shù)據(jù)分類分級實踐參考

…………………

165.

醫(yī)院數(shù)據(jù)安全管理體系建設指南

……………………

175.1.

組織建設

………………………

175.2.

管理體系建設

…………………

176.

醫(yī)院數(shù)據(jù)場景安全指南

………………

206.1.

醫(yī)院數(shù)據(jù)安全場景綜述

………

206.2.

數(shù)據(jù)資產(chǎn)和分類分級管理

……………………

206.3.

數(shù)據(jù)采集安全

…………………

206.3.1.

概述

………………………

206.3.2.

從外部采集數(shù)據(jù)

…………

216.3.3.

從患者個人主體采集數(shù)據(jù)

………………

216.4.

數(shù)據(jù)傳輸安全

…………………

226.4.1.

概述

………………………

226.4.2.

院內(nèi)數(shù)據(jù)傳輸

……………

226.4.3.

院外數(shù)據(jù)傳輸

……………

236.5.

數(shù)據(jù)存儲安全

…………………

236.5.1.

概述

………………………

236.5.2.

存儲安全

…………………

236.5.3.

備份恢復

…………………

256.6.

數(shù)據(jù)內(nèi)部使用安全

……………

256.6.1.

概述

………………………

256.6.2.

診療過程數(shù)據(jù)訪問

………

256.6.3.

特權(quán)賬號數(shù)據(jù)訪問

………

266.6.4.

醫(yī)療數(shù)據(jù)導出

……………

266.6.5.

客戶端、自助終端展示

…………………

276.6.6.

服務對象告知（叫號等）

………………

276.6.7.

醫(yī)療數(shù)據(jù)集成平臺

………

286.6.8.

醫(yī)生查閱數(shù)據(jù)

……………

286.7.

數(shù)據(jù)內(nèi)部開發(fā)利用

……………

296.7.1.

概述

………………………

296.7.2.

病歷分析

…………………

296.7.3.

數(shù)據(jù)匯聚加工

……………

296.7.4.

數(shù)據(jù)統(tǒng)計

…………………

306.7.5.

疾病研究

…………………

306.8.

數(shù)據(jù)開放共享

…………………

316.8.1.

概述

………………………

316.8.2.

公開披露

…………………

316.8.3.

醫(yī)聯(lián)體數(shù)據(jù)共享

…………

316.8.4.

醫(yī)保報銷結(jié)算

……………

326.8.5.

商保查詢分析

……………

326.8.6.

科研機構(gòu)研究

……………

336.9.

數(shù)據(jù)第三方委托

………………

336.9.1.

數(shù)據(jù)委托處理

……………

336.9.2.

開發(fā)測試

…………………

346.9.3.

運維保障

…………………

346.10.

互聯(lián)網(wǎng)醫(yī)療

……………………

356.11.

數(shù)據(jù)上報

………………………

366.12.

數(shù)據(jù)出境

………………………

367.

醫(yī)院數(shù)據(jù)安全檢查評估建議

…………

377.1.

數(shù)據(jù)安全檢查評估的目標和原則

……………

377.2.

數(shù)據(jù)安全檢查評估方法和評價機制

…………

377.2.1.

數(shù)據(jù)安全檢查評估框架

…………………

377.2.2.

數(shù)據(jù)安全檢查評估方法

…………………

387.2.3.

數(shù)據(jù)安全檢查的結(jié)果評價

………………

397.3.

數(shù)據(jù)安全管理檢查評估

………

407.3.1.

組織架構(gòu)檢查

……………

417.3.2.

安全管理制度和規(guī)范檢查

………………

417.3.3.

數(shù)據(jù)資產(chǎn)管理狀況檢查

…………………

457.3.4.

數(shù)據(jù)分類分級狀況檢查

…………………

457.4.

數(shù)據(jù)安全能力建設檢查評估

…………………

467.4.1.

邊界防護

…………………

467.4.2.

數(shù)據(jù)存儲訪問控制

………

477.4.3.

數(shù)據(jù)脫敏

…………………

477.4.4.

數(shù)據(jù)訪問審計

……………

487.4.5.

數(shù)據(jù)安全監(jiān)測

……………

497.4.6.

數(shù)據(jù)分類分級

……………

507.4.7.

數(shù)據(jù)加密

…………………

507.5.

數(shù)據(jù)安全執(zhí)行落地狀況安全檢查

……………

517.5.1.

數(shù)據(jù)采集場景安全檢查

…………………

517.5.2.

數(shù)據(jù)傳輸場景安全檢查

…………………

527.5.3.

數(shù)據(jù)存儲場景安全檢查

…………………

537.5.4.

內(nèi)部使用場景安全檢查

…………………

547.5.5.

內(nèi)部開發(fā)利用場景安全檢查

……………

567.5.6.

外部開放共享場景安全檢查

……………

587.5.7.

委托處理場景安全檢查

…………………

607.5.8.

聯(lián)網(wǎng)應用和

API

場景安全檢查

…………

627.5.9.

數(shù)據(jù)出境管理安全檢查

…………………

648.

醫(yī)院數(shù)據(jù)安全治理實踐和解決方案

…………………

658.1.

醫(yī)院數(shù)據(jù)安全案例實踐

………

658.1.1.

醫(yī)院數(shù)據(jù)分類分級實踐

…………………

658.1.2.

醫(yī)院數(shù)據(jù)運維安全管控實踐

……………

688.1.3.

醫(yī)院數(shù)據(jù)開發(fā)利用安全（數(shù)據(jù)脫敏）實踐

……………

708.1.4.

醫(yī)院聯(lián)網(wǎng)應用和

API

數(shù)據(jù)安全實踐

……

738.1.5.

醫(yī)院數(shù)據(jù)加密保護實踐

…………………

758.1.6.

醫(yī)院數(shù)據(jù)分類分級安全實踐

……………

788.2.

醫(yī)院數(shù)據(jù)安全整體建設方案

…………………

828.2.1.

數(shù)據(jù)安全建設背景

………

828.2.2.

數(shù)據(jù)資產(chǎn)和使用和流轉(zhuǎn)場景介紹

………

828.2.3.

數(shù)據(jù)安全狀況評估

………

838.2.4.

數(shù)據(jù)安全建設整體規(guī)劃

…………………

848.2.5.

數(shù)據(jù)安全運營管理方案

…………………

878.2.6.

數(shù)據(jù)安全建設的步驟規(guī)劃

………………

889.

附錄

……………………

909.1.

附錄

A—醫(yī)院數(shù)據(jù)分類分級實踐參考…………

909.2.

參考文獻

………………………

94數(shù)據(jù)安全治理白皮書

5.01.序言醫(yī)療行業(yè)是我國基礎民生行業(yè)，是國家大力進行保障的行業(yè)，涵蓋了衛(wèi)生健康相關的醫(yī)院、藥品、器械、健康管理等一系列領域。經(jīng)過多年大規(guī)模的信息化建設，醫(yī)療行業(yè)沉淀形成了規(guī)模巨大的數(shù)據(jù)集合，這些數(shù)據(jù)價值巨大、風險巨大，關系著億萬公民的個人隱私，也關系著社會運行的安全、穩(wěn)定。過去若干年，醫(yī)療行業(yè)的發(fā)展與信息化、互聯(lián)網(wǎng)化的發(fā)展密不可分，未來也將與醫(yī)療數(shù)據(jù)的開發(fā)利用密不可分，互聯(lián)網(wǎng)醫(yī)院、醫(yī)聯(lián)體建設、?？坡?lián)盟建設、聯(lián)合診療、醫(yī)療健康信息互聯(lián)互通、臨床醫(yī)學研究、可穿戴健康監(jiān)測、公共衛(wèi)生監(jiān)測等工作都與醫(yī)療數(shù)據(jù)的共享交換密不可分，醫(yī)療數(shù)據(jù)的共享、流動使用是必然趨勢；與此同時，醫(yī)療行業(yè)的數(shù)據(jù)泄露風險必然加大，數(shù)據(jù)安全管理與防護工作將面臨更大的挑戰(zhàn)，數(shù)據(jù)安全不再僅僅是信息化負責人的工作責任，更是各醫(yī)療單位管理者的重要責任。醫(yī)療行業(yè)的數(shù)據(jù)安全建設迫在眉睫，但其數(shù)據(jù)安全建設基礎較弱，涉及的范圍廣泛，難度很大；醫(yī)療行業(yè)的數(shù)據(jù)不僅包括醫(yī)院的患者診療數(shù)據(jù)，還包括疾控數(shù)據(jù)、居民健康檔案數(shù)據(jù)、互聯(lián)網(wǎng)醫(yī)療平臺數(shù)據(jù)、醫(yī)藥平臺數(shù)據(jù)、衛(wèi)健委統(tǒng)計上報數(shù)據(jù)、人類遺傳數(shù)據(jù)等等；要同時把這些數(shù)據(jù)的安全建設思路都梳理清楚，挑戰(zhàn)巨大。數(shù)據(jù)安全治理白皮書從

5.0

開始推出行業(yè)實踐分冊，其中醫(yī)療行業(yè)作為本期的一個重要行業(yè)方向進行調(diào)研和規(guī)劃；凡事都很難一蹴而就，面對醫(yī)療行業(yè)龐大的數(shù)據(jù)應用方向，我們先選擇了醫(yī)院這一與百姓日常關系最為密切、個人數(shù)據(jù)相對敏感、數(shù)據(jù)泄露風險相對嚴峻的領域作為我們醫(yī)療實踐專冊第一期的研究方向，希望在這個方向上形成一些成果，再推動其他醫(yī)療數(shù)據(jù)應用領域的行業(yè)調(diào)研和規(guī)劃事宜。為了將這項工作做好，我們特地邀請了國家衛(wèi)生健康委醫(yī)院管理研究所的專家、地方衛(wèi)健委的專家、醫(yī)院單位的信息化主管專家共同組建了醫(yī)療行業(yè)專家團隊，共同對醫(yī)院數(shù)據(jù)的分類分級、醫(yī)院數(shù)據(jù)應用場景的安全要求、醫(yī)院數(shù)據(jù)安全檢查評估等三個重要方面進行研究建議，并對一些醫(yī)院已經(jīng)落地的數(shù)據(jù)安全實踐進行介紹，希望能夠為醫(yī)院的數(shù)據(jù)安全建設帶來借鑒意義。未來，我們將持續(xù)跟蹤國家網(wǎng)信部門出臺的數(shù)據(jù)安全評估檢查要求、國家衛(wèi)健委關于數(shù)據(jù)安全的具體指導文件，進一步對白皮書醫(yī)院實踐篇進行完善；并在未來的

2~3

期中逐漸覆蓋疾控、居民健康檔案、互聯(lián)網(wǎng)醫(yī)療等領域的數(shù)據(jù)安全實踐工作的梳理和建議。1數(shù)據(jù)安全治理白皮書

5.02.

醫(yī)療數(shù)據(jù)安全現(xiàn)狀及痛點2.1.醫(yī)院數(shù)據(jù)安全建設現(xiàn)狀2.1.1.

累積了大量高敏感患者信息醫(yī)院經(jīng)過多年的信息化建設，已經(jīng)具備了

HIS（醫(yī)院信息系統(tǒng)）、PACS（醫(yī)學影像系統(tǒng)）、LIS（檢驗信息系統(tǒng)）、RIS（放射信息系統(tǒng)）、CIS（臨床信息系統(tǒng)）、EMR（電子病歷系統(tǒng)）、CDSS（臨床輔助決策支持系統(tǒng)）等與患者診療密切相關的

IT

系統(tǒng)，這些信息系統(tǒng)后端存儲著大量的患者個人信息（如身份證號、家庭住址、家庭關系、醫(yī)?？ㄌ枴y行卡號等）以及患者診療信息（檢查、檢驗、病癥、處方等），這些信息對于個人來講非常隱私，信息泄露會造成患者的家庭糾紛、社會歧視甚至人身安全；這些信息具有巨大商業(yè)價值，是醫(yī)藥、保健、保險、廣告等商業(yè)機構(gòu)高度關注的數(shù)據(jù)。2.1.2.

醫(yī)院業(yè)務走向智慧互聯(lián)，數(shù)據(jù)邊界更為模糊我國的醫(yī)療體系正在深化改革，為了更好地便民服務、提高醫(yī)療效率、提升醫(yī)療資源的平衡利用問題，國家正在加強互聯(lián)網(wǎng)醫(yī)療、區(qū)域醫(yī)療、聯(lián)合診療、醫(yī)藥統(tǒng)籌等措施，再加上原本就需要的醫(yī)保聯(lián)網(wǎng)、衛(wèi)健信息上報、健康信息平臺數(shù)據(jù)上報等要求，醫(yī)院的信息不僅在院內(nèi)存儲，還要大量的流動到上級管理部門、兄弟單位、第三方醫(yī)療合作機構(gòu)。2.1.3.

安全建設以網(wǎng)絡安全為主，數(shù)據(jù)安全建設剛剛起步經(jīng)過等保的推動與落地，大多數(shù)醫(yī)院系統(tǒng)已經(jīng)有明確的等保定級，再加上醫(yī)院系統(tǒng)定級必須要通過等保整改評估，在過去的十多年，醫(yī)院在網(wǎng)絡安全建設上投入較大，在邊界網(wǎng)絡防護、攻擊風險監(jiān)測、防病毒、身份認證、通訊加密等維度上都已經(jīng)有了大量的投入和成果，使醫(yī)院的網(wǎng)絡防護體系系能力的建設相對成熟。但在數(shù)據(jù)安全上，尚處于起步階段，在過去主要是與等級保護要求相關的數(shù)據(jù)庫審計有了較為普遍的建設落地，個別領先的醫(yī)院在數(shù)據(jù)脫敏和數(shù)據(jù)的運維管控上有了投入；但從整體來看，符合《個人信息保護法》、《數(shù)據(jù)安全法》以及《網(wǎng)絡數(shù)據(jù)安全管理條例（征求意見稿）》的數(shù)據(jù)安全體系建設還相較甚遠。2.1.4.

患者信息泄露事件和違規(guī)事件頻發(fā)，醫(yī)院數(shù)據(jù)安全挑戰(zhàn)巨大醫(yī)院的信息泄露問題是個頑疾，主要是由于醫(yī)院的信息具有巨大商業(yè)價值，在這里既有黑客入侵醫(yī)院信息系統(tǒng)或設備，非法獲取數(shù)據(jù)到暗網(wǎng)售賣的案例；也有與醫(yī)院有關系的醫(yī)藥機構(gòu)，與內(nèi)部2數(shù)據(jù)安全治理白皮書

5.0人員或第三方運維人員勾結(jié)，對信息進行交易；也有第三方的保健機構(gòu)或廣告機構(gòu)，與內(nèi)部人員串通，獲得重點人群信息，形成利益共同體。同時也有醫(yī)院內(nèi)部人員的數(shù)據(jù)安全意識薄弱造成的違規(guī)事件，包括網(wǎng)上直播手術(shù)過程，把患者信息發(fā)送到微信群中，以及過度收集患者標識信息；同時加上互聯(lián)網(wǎng)醫(yī)療等新形態(tài)，互聯(lián)網(wǎng)

APP

違規(guī)收集患者手機信息；以及臨床數(shù)據(jù)進行科研過程中的數(shù)據(jù)出境等，這些共同構(gòu)成了醫(yī)院數(shù)據(jù)安全合規(guī)新挑戰(zhàn)。2.1.5.

數(shù)據(jù)安全政策要求日趨完善隨著《中華人民共和國網(wǎng)絡安全法》、《中華人民共和國數(shù)據(jù)安全法》、《中華人民共和國個人信息保護法》等法律法規(guī)相繼出臺，醫(yī)療行業(yè)迫切需要統(tǒng)一規(guī)范指引，健全完善網(wǎng)絡安全、數(shù)據(jù)安全相關防控協(xié)同機制。2022

年

8

月

29

日，國家衛(wèi)生健康委、國家中醫(yī)藥局、國家疾控局印發(fā)《醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡安全管理辦法》，要求“各醫(yī)療衛(wèi)生機構(gòu)應履行數(shù)據(jù)安全保護義務，堅持保障數(shù)據(jù)安全與發(fā)展并重，健全數(shù)據(jù)安全和個人信息保護制度，建立本單位數(shù)據(jù)分類分級標準，加強數(shù)據(jù)全生命周期安全管理工作?！贝送?，2021

年

7

月

1

日實施的《信息安全技術(shù)—健康醫(yī)療數(shù)據(jù)安全指南》（GB/T?39725-2020）給出了健康醫(yī)療數(shù)據(jù)控制者在保護健康醫(yī)療數(shù)據(jù)時可采取的安全措施?，F(xiàn)行的《電子病歷系統(tǒng)應用水平分級評價管理辦法及評價標準》、《醫(yī)院智慧服務分級評估標準體系》、《醫(yī)院信息互聯(lián)互通標準化成熟度測評體系》三大主流測評體系中也強調(diào)了數(shù)據(jù)安全的重要性。2.2.

醫(yī)院數(shù)據(jù)安全建設痛點與難點2.2.1.

診療數(shù)據(jù)開發(fā)利用與個人信息安全保護的矛盾如何處理數(shù)據(jù)要素在我國被定義為第五生產(chǎn)要素，通過發(fā)揮數(shù)據(jù)的價值提升社會的運行效率和社會組織效率，通過數(shù)據(jù)的開發(fā)利用促進數(shù)字經(jīng)濟的發(fā)展，成為新時代國家和社會的共識?；颊咴\療信息具有巨大的價值，通過對海量病患信息的利用分析實現(xiàn)新的治療方案、新的藥物研究、人工智能診療等新的醫(yī)學實踐，從而改善治療的手段、醫(yī)藥的有效性、治療的效率等。另一方面，在醫(yī)學領域科研背景下需要通過數(shù)據(jù)共享，與其它機構(gòu)共同利用數(shù)據(jù)進行科研和

AI

模型訓練，這就可能會涉及到與國際組織的數(shù)據(jù)交換等。但這些行為必然促使數(shù)據(jù)分享給第三方、數(shù)據(jù)流動到安全域外；這些流動到第三方的數(shù)據(jù)如何被監(jiān)管、被保護成為新的難點。沒有合理的數(shù)據(jù)安全保護制度與措施，必然造成患者隱私信息的無序、無保護擴散。如何既滿足數(shù)據(jù)的開發(fā)利用又滿足個人信息的安全保護，成為巨大挑戰(zhàn)。3數(shù)據(jù)安全治理白皮書

5.02.2.2.

智慧互聯(lián)與個人信息保護法之間的沖突如何解決為了提升醫(yī)療資源的利用效率、減輕患者負擔、提高醫(yī)療資源的公平分配，互聯(lián)網(wǎng)醫(yī)療、醫(yī)聯(lián)體以及健康信息平臺的建設，都將極大地促使患者信息在不同醫(yī)療機構(gòu)間的信息共享與交換。從個人信息保護法的角度，對于患者信息的采集和利用要有患者同意，必須在同意的必要范圍內(nèi)使用；從醫(yī)院信息采集的維度，默認用于在本院的治療過程中；但并不意味著能夠賦予醫(yī)院將患者個人信息和診療信息賦予給第三方使用的權(quán)力。若是患者同意信息提供給第三方，還要求對第三方的數(shù)據(jù)使用進行監(jiān)管。當前的醫(yī)療行業(yè)的相關規(guī)定，并未對此有明確的要求與規(guī)定，使這一部分的數(shù)據(jù)開放利用的合規(guī)性和安全要求處于模糊的狀態(tài)。醫(yī)院在這種情況下，如何把握安全措施與建立對應的管理手段，以規(guī)避潛在的違法違規(guī)和患者隱私數(shù)據(jù)濫用風險，將構(gòu)成挑戰(zhàn)。2.2.3.

醫(yī)院數(shù)據(jù)的分類分級缺乏可落地的策略與方法《數(shù)據(jù)安全法》和《網(wǎng)絡數(shù)據(jù)安全管理條例》中都明確了，要建立數(shù)據(jù)分類分級制度，要基于數(shù)據(jù)的分類分級給予數(shù)據(jù)不同的安全保護措施，以促進數(shù)據(jù)的開放利用和數(shù)據(jù)安全之間的平衡。但目前對于醫(yī)院的數(shù)據(jù)分類分級缺乏明確細致的指導和標準；對于數(shù)據(jù)的分類分級要考慮三個要素，一個是國家重要數(shù)據(jù)的要求，一個是個人信息保護的要求，另一個就是醫(yī)院自己的商業(yè)秘密保護的要求；三者在分類分級時如何統(tǒng)一形成明確的分類分級原則，將是一個巨大挑戰(zhàn)。同時，分類分級打標后，如何在數(shù)據(jù)使用的不同生命周期和不同場景進行安全要求，也無明確的指導要求。2.2.4.

數(shù)據(jù)安全建設缺乏標準與最佳實踐參考當前，醫(yī)療行業(yè)的數(shù)據(jù)安全要求在《電子病歷應用等級評價管理辦法及評價標準》、《醫(yī)院智慧服務分級評估標準體系》、《醫(yī)院信息互聯(lián)互通標準化成熟度測評體系》略有呈現(xiàn)，以及衛(wèi)健委下發(fā)的《醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡安全管理辦法》、《國家健康醫(yī)療大數(shù)據(jù)標準、安全和服務管理辦法》都有一定呈現(xiàn)。但關于醫(yī)院的數(shù)據(jù)安全建設缺乏更為詳盡的明確要求，包括數(shù)據(jù)安全管理組織如何建立數(shù)據(jù)安全管理規(guī)范都由哪些構(gòu)成、在數(shù)據(jù)生命周期和不同應用場景的具體化安全要求和技術(shù)要求都是什么。同時，醫(yī)療行業(yè)的數(shù)據(jù)安全監(jiān)管機構(gòu)也面臨挑戰(zhàn)，對于醫(yī)院的數(shù)據(jù)安全檢查評估的要求和方法是什么，缺少明確的可操作的規(guī)范。另外，醫(yī)院如何進行數(shù)據(jù)安全建設的統(tǒng)籌規(guī)劃、投資預算、建設周期等，當前看也在摸索中，急需成功的示范。4數(shù)據(jù)安全治理白皮書

5.03.

醫(yī)療數(shù)據(jù)安全治理思路3.1.

整體思路數(shù)據(jù)安全治理是一個長期的工作，是以推動數(shù)據(jù)有序而安全的使用為目標；推動醫(yī)院的數(shù)據(jù)安全治理工作，我們必須依托于國家的《數(shù)據(jù)安全法》、《個人信息保護法》、《數(shù)據(jù)出境安全評估辦法》等國家層面的法規(guī)制度，同時按照衛(wèi)健委頒布的《醫(yī)療衛(wèi)生機構(gòu)網(wǎng)絡安全管理辦法》要求推進。在這些制度要求中，我們認為最迫切需要關注的是《個人信息保護法》，因為醫(yī)院的核心數(shù)據(jù)主要是由患者隱私和與患者相關的電子病歷數(shù)據(jù)構(gòu)成，未來大概率會成為個人信息保護的重點評估檢查單位。另外從當前來看醫(yī)院大概率不會作為關鍵信息基礎設施單位來要求，也暫時不用作為國家重要數(shù)據(jù)進行安全要求（與國家安全、經(jīng)濟發(fā)展以及公共利益密切相關的數(shù)據(jù)），但是隨著《網(wǎng)絡數(shù)據(jù)安全管理條例》正式發(fā)布，存儲

100

萬以上個人信息的醫(yī)院，將按照國家重要數(shù)據(jù)來進行安全要求。最后，醫(yī)院作為個人信息的重要存儲單位，需要滿足數(shù)據(jù)出境合規(guī)的要求。為了本次數(shù)據(jù)安全治理白皮書的注意力更為聚焦，我們暫時放棄了醫(yī)院的商業(yè)數(shù)據(jù)保護維度的數(shù)據(jù)安全要求，并不以此進行數(shù)據(jù)分類分級實踐。但患者信息的存儲、訪問已經(jīng)基本能夠覆蓋醫(yī)院的絕大多數(shù)應用場景和

IT

環(huán)境，因此對于患者信息保護的全面加強也將對醫(yī)院商業(yè)數(shù)據(jù)的保護起到顯著提升的效果。在基于患者信息保護的數(shù)據(jù)安全體系建設完畢后，我們將把醫(yī)院商業(yè)數(shù)據(jù)的保護要求逐步的并入，形成一個更為完善的醫(yī)院數(shù)據(jù)安全治理體系建設建議。因此在本實踐的后續(xù)內(nèi)容，我們將主要以醫(yī)院患者信息保護為中心，來闡述醫(yī)院數(shù)據(jù)的分類分級原則、結(jié)合患者數(shù)據(jù)生命周期和應用場景的安全保護要求、相關制度與規(guī)范的建立等。同時，為了降低醫(yī)院數(shù)據(jù)安全合規(guī)的復雜度，符合法規(guī)要求的同時提升數(shù)據(jù)利用的便利性，我們建議國家衛(wèi)健委就一些行業(yè)默認執(zhí)行的規(guī)則進行顯性的行業(yè)規(guī)定下發(fā)，以減少醫(yī)院數(shù)據(jù)安全工作者在執(zhí)行落地中的法規(guī)困惑，包括如下：1、明確醫(yī)院在診療過程中收集的個人信息和診療信息可以用于醫(yī)院的診療過程中，不需要與患者另行簽署個人信息處理同意書。2、明確醫(yī)院在診療過程中收集的個人信息和診療信息，出于醫(yī)療檔案留存需要，可以長久保存?（如

30

年），不用遵循患者刪除權(quán)。3、明確醫(yī)院在診療過程中收集的個人信息和診療信息，在采用去標識化手段后，可以進行網(wǎng)上聯(lián)合診療。4、明確醫(yī)院在診療過程中收集的個人信息和診療信息，在醫(yī)聯(lián)體中，不需要與患者另行簽署同意書。5、明確醫(yī)院收集的診療信息在去除標識化后，可以用于醫(yī)學研究中，不需要與個人另行簽署同意書。6、明確醫(yī)院收集的個人信息和診療必要信息在進行醫(yī)保申請時，可以傳遞給醫(yī)保機構(gòu)，不需要與個人另行簽署同意書。7、明確醫(yī)院收集的個人信息和診療必要信息在上報給衛(wèi)健委備案時，不需要與個人另行簽署同5數(shù)據(jù)安全治理白皮書

5.0意書。8、面向商業(yè)保險查詢個人電子病歷信息時，需要出示紙質(zhì)或電子的個人同意書。9、其余的未涉及的，遵循《個人信息保護法》中的一般要求。同時，我們將在假定這些原則的前提下，進行后續(xù)的數(shù)據(jù)安全相關措施的落地建議，并以此為目標，形成醫(yī)院數(shù)據(jù)安全治理的整體思路如下：1.

以患者隱私數(shù)據(jù)安全管理和保護為目標，以電子病歷數(shù)據(jù)分類分級保護為核心，面向醫(yī)院數(shù)據(jù)應用場景，構(gòu)建醫(yī)院數(shù)據(jù)安全基礎能力；2.

以平衡數(shù)據(jù)安全與開發(fā)利用、提升醫(yī)院數(shù)據(jù)應用效率為目標，完善醫(yī)院數(shù)據(jù)安全和檢查評估體系。3.2.

數(shù)據(jù)安全治理框架對于醫(yī)院的患者信息保護，需要結(jié)合醫(yī)院常見數(shù)據(jù)使用場景，如患者診療、健康檢查、和出入院管理的過程中，并結(jié)合患者和治療過程的數(shù)據(jù)采集、傳輸、存儲、使用、開發(fā)利用、開放共享、委托處理、互聯(lián)網(wǎng)醫(yī)療、數(shù)據(jù)刪除和銷毀的整個生命周期進行統(tǒng)籌思考。醫(yī)院數(shù)據(jù)安全治理框架整體示意如下圖所示，將以醫(yī)院電子病歷數(shù)據(jù)分級為基礎，建立患者數(shù)據(jù)生命周期安全防護體系，并通過完善數(shù)據(jù)安全組織建設、明確醫(yī)院數(shù)據(jù)各場景的數(shù)據(jù)安全需求、完善管理和技術(shù)體系建設，全面保障醫(yī)院數(shù)據(jù)安全。圖

3-1?

醫(yī)院數(shù)據(jù)安全治理框架患者數(shù)據(jù)生命周期和數(shù)據(jù)場景安全防護要求是數(shù)據(jù)生命周期安全框架的核心，針對不同級別的數(shù)據(jù)，明確其在數(shù)據(jù)生命周期各個環(huán)節(jié)的安全防護要求，是醫(yī)院開展數(shù)據(jù)安全防護工作的基本依據(jù)。結(jié)合患者數(shù)據(jù)使用場景及電子病歷數(shù)據(jù)的特點，建立覆蓋醫(yī)院數(shù)據(jù)生命周期和數(shù)據(jù)使用全場景安全防護機制，是保障醫(yī)院數(shù)據(jù)安全的必經(jīng)之路。同時，組織保障、管理體系也是醫(yī)院數(shù)據(jù)安全框架必不可少的組成部分，確保數(shù)據(jù)安全工作具有自決策層、管理層、執(zhí)行層到監(jiān)督層的完善組織體系，為數(shù)據(jù)安全相關工作奠定制度、規(guī)范基礎；6數(shù)據(jù)安全治理白皮書

5.0在醫(yī)院日常的診療過程中，數(shù)據(jù)安全技術(shù)體系的建設非常重要，加強在邊界管控、安全監(jiān)測、安全審計、訪問控制、數(shù)據(jù)脫敏、檢查評估，能夠有力保障數(shù)據(jù)安全防護機制的有效執(zhí)行，以及在數(shù)據(jù)安全事件發(fā)生時能夠及時發(fā)現(xiàn)與響應、處置。3.3.

治理建議和實踐結(jié)合前面的整體思路和安全框架，針對醫(yī)院目前普遍存在的數(shù)據(jù)安全建設痛點問題，本白皮書提出了以下四個方面的建議和實踐方向，作為醫(yī)院數(shù)據(jù)安全治理的重點方向：3.3.1.

提出可落地的醫(yī)院醫(yī)療數(shù)據(jù)分類分級建議如前面整體思路所述，醫(yī)院數(shù)據(jù)分類分級，以患者數(shù)據(jù)為目標，通過對醫(yī)院電子病歷數(shù)據(jù)進行分類分級，并且對不同級別的數(shù)據(jù)進行不同程度的保護和管理，是實現(xiàn)醫(yī)院數(shù)據(jù)安全和開發(fā)利用平衡的有效途徑。為了幫助醫(yī)院準確、有效的完成醫(yī)院數(shù)據(jù)的分類分級工作，迫切需要形成一套可落地的、覆蓋醫(yī)院電子病歷數(shù)據(jù)的分類分級建議和實踐指導。3.3.2.

提出醫(yī)院數(shù)據(jù)場景安全指南建議以醫(yī)院數(shù)據(jù)分類分級為基礎，結(jié)合醫(yī)院數(shù)據(jù)使用場景及電子病歷數(shù)據(jù)的特點，建立覆蓋醫(yī)院數(shù)據(jù)生命周期和數(shù)據(jù)使用全場景安全防護機制，是保障醫(yī)院數(shù)據(jù)安全的必經(jīng)之路。為了實現(xiàn)構(gòu)建覆蓋醫(yī)院數(shù)據(jù)應用場景的數(shù)據(jù)安全基礎能力這一目標，迫切需要形成一套以數(shù)據(jù)生命周期為指引，覆蓋醫(yī)院數(shù)據(jù)內(nèi)部使用、開發(fā)利用、開放共享、委托處理、互聯(lián)網(wǎng)醫(yī)療等場景的安全指南建議。3.3.3.

提出醫(yī)院數(shù)據(jù)安全檢查評估工作建議當前醫(yī)院數(shù)據(jù)安全管理能力參差不齊，醫(yī)院整體數(shù)據(jù)安全保護需要進一步統(tǒng)籌和指導，從而逐步實現(xiàn)規(guī)范化和標準化。開展醫(yī)院數(shù)據(jù)安全檢查評估，一方面能夠推動醫(yī)院落實數(shù)據(jù)安全主體責任，提升醫(yī)院數(shù)據(jù)安全保護的規(guī)范化和標準化程度；另一方面有助于及時、全面掌握醫(yī)院數(shù)據(jù)安全管理水平，提前發(fā)現(xiàn)可能面臨的數(shù)據(jù)安全威脅和風險，為醫(yī)院和管理機構(gòu)制定防范措施及應對安全事件提供科學依據(jù)和指導，從而有效防控數(shù)據(jù)安全事件風險和危害，為平衡數(shù)據(jù)安全與開發(fā)利用、促進醫(yī)院數(shù)據(jù)的應用和流動、提升醫(yī)院數(shù)據(jù)應用效能提供有力保障。數(shù)據(jù)安全檢查評估應以三法一條例為核心，以醫(yī)療數(shù)據(jù)分類分級為基礎，圍繞醫(yī)療用數(shù)場景開展，具體可包括數(shù)據(jù)安全管理、數(shù)據(jù)分類分級、個人醫(yī)療信息保護合規(guī)、醫(yī)療數(shù)據(jù)開發(fā)利用和共享交換安全合規(guī)、個人醫(yī)療信息離境等方面的數(shù)據(jù)安全檢查內(nèi)容。7數(shù)據(jù)安全治理白皮書

5.03.3.4.

提出可落地的醫(yī)院數(shù)據(jù)安全綜合方案及實踐參考《個人信息保護法》和《數(shù)據(jù)安全法》出臺后，對于醫(yī)療數(shù)據(jù)的共享、交換和內(nèi)部開發(fā)利用，關鍵數(shù)據(jù)使用商用密碼進行加密存儲保護等，目前缺乏可落地的數(shù)據(jù)安全實踐參考；更加缺少具有長效性、覆蓋數(shù)據(jù)生命周期和數(shù)據(jù)應用場景、能夠平衡數(shù)據(jù)安全和數(shù)據(jù)開發(fā)利用的整體數(shù)據(jù)安全解決方案，本白皮書將研究提出可落地的醫(yī)院數(shù)據(jù)安全建設綜合方案及典型實踐，為醫(yī)院的數(shù)據(jù)安全建設提供參考借鑒。8數(shù)據(jù)安全治理白皮書

5.04.

醫(yī)院數(shù)據(jù)分類分級建議4.1.

范圍本建議是面向醫(yī)院電子病歷數(shù)據(jù)分級范圍，以及電子病歷數(shù)據(jù)定級的要素、規(guī)則和定級過程的建議。希望通過本建議，對國家、行業(yè)、區(qū)域的相關標準和規(guī)范提供一定的參考，并幫助實現(xiàn)醫(yī)院數(shù)據(jù)分類分級落地。4.2.

定級目標和范圍對醫(yī)院數(shù)據(jù)資產(chǎn)進行全面梳理，并針對診療過程中產(chǎn)生的患者電子病歷數(shù)據(jù)進行適當?shù)亩?，是醫(yī)院實施數(shù)據(jù)分級管理的基礎，是實現(xiàn)醫(yī)院數(shù)據(jù)安全和開發(fā)利用平衡的有效途徑。醫(yī)院數(shù)據(jù)的分級管理是建立統(tǒng)一的數(shù)據(jù)安全框架的基礎工作，目標是為制定有針對性的數(shù)據(jù)安全措施提供支撐。醫(yī)院數(shù)據(jù)定級工作所涉及的數(shù)據(jù)主要包括：進行診療服務過程中直接或間接采集、產(chǎn)生的電子病歷數(shù)據(jù)，包括診療信息、影像檢查信息、檢驗信息、健康查體信息等。4.3.

醫(yī)院數(shù)據(jù)分類醫(yī)院數(shù)據(jù)的分類，一方面可以圍繞電子病歷數(shù)據(jù)進行分類，從而能夠適合醫(yī)院業(yè)務場景和過程，便于數(shù)據(jù)分類管理。另一方面，醫(yī)院電子病歷數(shù)據(jù)是圍繞患者就醫(yī)過程進行采集和產(chǎn)生的，因此將個人信息標識數(shù)據(jù)作為分類的一部分，能夠更加適合個人信息保護的要求。4.3.1.

個人信息根據(jù)

HIPPA《健康保險可攜性和責任法案》、和我國頒布的《個人信息保護法》、《（GB/T?35273-2020）信息安全技術(shù)—個人信息安全規(guī)范》的要求，都提出了保護個人信息的要求，特別是保護個人可識別信息。因此對于“個人可識別信息”的確定，需要作為一個專門的分類：1、個人信息標識性的數(shù)據(jù)（個人標識數(shù)據(jù)）個人標識數(shù)據(jù)姓名說明個人的完整姓名地址所有小于縣市的地理細分，例如區(qū)、鎮(zhèn)、街道地址所有與個人直接相關的日期元素

(

除年份外

)，包括出生日期、入院日期、出院日期、死亡日期日期電話號碼手機號碼9數(shù)據(jù)安全治理白皮書

5.0個人標識數(shù)據(jù)傳真號碼說明電子郵件地址身份證號碼居民健康卡號碼健康檔案編號賬戶號碼患者持有的全國統(tǒng)一的居民健康卡的編號城鄉(xiāng)居民個人健康檔案的編號微信號、支付寶號碼等支付賬戶信息車輛標識符、序列號或車牌號設備標識符和序列號生物標識符個人圖像基因、指紋、聲紋、掌紋、耳廓、虹膜、面部特征全臉攝影圖像和任何類似的圖像可識別個人的遺傳信息遺傳信息2、個人屬性或統(tǒng)計性信息（弱標識）指的是無法唯一標識個人信息，只能標識一定“范圍”的患者個人。包括：年齡、性別、血型、籍貫、學歷、職業(yè)、民族、國籍、婚姻狀況、工作單位。4.3.2.

電子病歷診療數(shù)據(jù)電子病歷數(shù)據(jù)是體現(xiàn)患者就醫(yī)過程的完整數(shù)據(jù)，電子病歷數(shù)據(jù)的分類可以結(jié)合診療過程收集、產(chǎn)生、處理的數(shù)據(jù)進行分類，包括掛號、處方、用藥、健康狀況（病史、過敏史等）、醫(yī)囑信息、檢查檢驗信息、手術(shù)麻醉信息、助產(chǎn)信息、護理信息、出入院記錄信息等，覆蓋完整的電子病歷數(shù)據(jù)。4.4.

醫(yī)院數(shù)據(jù)分級電子病歷數(shù)據(jù)的定級，應該從患者個人隱私數(shù)據(jù)泄露和患者診療隱私數(shù)據(jù)泄露的維度，并遵循平衡數(shù)據(jù)安全和開發(fā)利用的目標，對數(shù)據(jù)字段和數(shù)據(jù)集進行敏感級別定義。4.4.1.

分級思路醫(yī)院電子病歷數(shù)據(jù)分級的主要思路如下：1、醫(yī)院在業(yè)務開展過程中存在較多的個人基礎數(shù)據(jù)，這些數(shù)據(jù)屬于個人隱私，需要保護。2、患者在診療過程中，存儲記錄有患者的病癥、病情、檢查、臨床數(shù)據(jù)等個人診療隱私數(shù)據(jù)需10數(shù)據(jù)安全治理白皮書

5.0要保護。3、無論是個人基礎數(shù)據(jù)還是患者診療數(shù)據(jù)，都有對個人進行強標識的標識數(shù)據(jù)。對于個人隱私保護和數(shù)據(jù)利用平衡的關鍵點，就在于能否切斷隱私數(shù)據(jù)與個人標識數(shù)據(jù)之間的聯(lián)系：越是對外，越是公開場合，對于將個人信息和診療隱私數(shù)據(jù)的聯(lián)系的切割要求越強烈，也就是去標識化的要求越強烈。綜上，電子病歷數(shù)據(jù)分類分級的關鍵就是合理地對個人屬性（字段）信息規(guī)定出對應的標識級別，以及診療隱私數(shù)據(jù)屬性（字段）信息的級別；同時定義出這些不同級別的個人標識數(shù)據(jù)和診療隱私數(shù)據(jù)組合產(chǎn)生的數(shù)據(jù)集（表和數(shù)據(jù)組合）的敏感級別；最后可以根據(jù)不同的應用場景，定義出所能訪問的敏感數(shù)據(jù)集級別，以及該場景所適合的去標識化或脫敏的要求。例如：導出下載臨床數(shù)據(jù)，用于疾病研究，需要對患者的個人標識數(shù)據(jù)進行去標識化處理。4.4.2.

個人信息字段分級針對電子病歷數(shù)據(jù)中的個人信息的分級，建議根據(jù)個人信息的標識程度進行分級。例如：1）身份證號、手機號能夠唯一的關聯(lián)到患者個人，其對個人信息的標識程度屬于“強標識”。2）在診療過程中采集的生物標識、設備號、姓名等個人信息，無法直接關聯(lián)，但很容易通過其他數(shù)據(jù)關聯(lián)到具體的個人身份。3）患者的出生日期等信息能夠關聯(lián)到一定“范圍”的個人，屬于“弱標識”信息。4）患者的年齡、血型、學歷等信息屬于患者的“特征”性質(zhì)的數(shù)據(jù)，與具體個人的關聯(lián)更加弱。綜上，我們對電子病歷數(shù)據(jù)中的對和個人信息相關的表字段的具體分級建議如下：1、A4

數(shù)據(jù)個人身份標識性信息。屬于個人信息的強標識數(shù)據(jù)，能夠唯一關聯(lián)到個人，包含證件號碼、電話號碼、健康卡號、城鄉(xiāng)居民健康檔案編號、地址

(

詳細到門牌號

)、電子郵件地址等。2、A3

數(shù)據(jù)個人間接標識性信息。屬于個人信息的標識數(shù)據(jù)，能夠間接關聯(lián)到個人，包括姓名、生物標識（如基因）、（個人手機

/

設備）設備標識符和序列號、IP

地址（個人設備地址）、全臉攝影圖像和任何類似的圖像等。3、A2

數(shù)據(jù)個人弱標識性信息。能夠確定較小范圍的個人弱標識數(shù)據(jù)，包括出生日期、所屬行政區(qū)域、郵政編碼、單位電話號碼、單位名稱等。4、A1

數(shù)據(jù)個人特征性、統(tǒng)計性信息。包括年齡、血型、性別、學歷、籍貫等，以及相應的代碼。11數(shù)據(jù)安全治理白皮書

5.04.4.3.

電子病歷診療數(shù)據(jù)字段分級針對電子病歷數(shù)據(jù)中的診療數(shù)據(jù)的分級，建議根據(jù)患者數(shù)據(jù)隱私程度進行分級。例如：1）門診號、住院號等可以檢索到患者的整個診療記錄的數(shù)據(jù)，能夠唯一關聯(lián)到患者的診療記錄。2）患者的病癥、用藥、醫(yī)囑、檢驗數(shù)據(jù)等反映患者的病情和身體特征的隱私數(shù)據(jù)、臨床數(shù)據(jù)，這些數(shù)據(jù)體現(xiàn)了患者的隱私。3）麻醉、測量、護理、耗材、交費金額等數(shù)據(jù)，是患者在診療過程中產(chǎn)生的過程數(shù)據(jù)，這些數(shù)據(jù)不體現(xiàn)患者診療隱私信息。4）設備信息、藥品信息等數(shù)據(jù)，屬于診療無關的醫(yī)院基礎資源和管理信息，與個人隱私無關。綜上，我們對電子病歷中除個人信息以外的患者診療數(shù)據(jù)字段的具體分級建議如下：1、C4

數(shù)據(jù)門診號、處方號、住院號等可以檢索到患者的整個診療記錄的強標識數(shù)據(jù)。2、C3

數(shù)據(jù)病癥、用藥、醫(yī)囑、檢驗等反映患者的病情和身體特征的隱私數(shù)據(jù)、臨床數(shù)據(jù)的字段。3、C2

數(shù)據(jù)麻醉、測量、護理、耗材等診療的過程產(chǎn)生的數(shù)據(jù)，不體現(xiàn)患者診療隱私信息的字段。4、C1

數(shù)據(jù)醫(yī)院的設備、藥品等診療無關的醫(yī)院基礎資源和管理信息數(shù)據(jù)字段。4.4.4.

數(shù)據(jù)集合分級前面我們對電子病歷中的個人信息和診療數(shù)據(jù)的字段進行了分級，更關鍵的，所有對數(shù)據(jù)的存儲和數(shù)據(jù)的訪問都將以數(shù)據(jù)集合的形式存在，單一字段的數(shù)據(jù)通常不會泄露患者的隱私數(shù)據(jù)。因此，對數(shù)據(jù)集合的定級更為關鍵。因此，建議從患者個人隱私數(shù)據(jù)泄露和患者診療隱私數(shù)據(jù)泄露的維度，對數(shù)據(jù)集也就是數(shù)據(jù)表、數(shù)據(jù)訪問集合進行敏感級別定義。1、L4

級數(shù)據(jù)L4

級數(shù)據(jù)屬于高敏感數(shù)據(jù)，會直接地泄露患者的個人隱私數(shù)據(jù)（A3

及以上數(shù)據(jù)）和個人診療敏感數(shù)據(jù)（C3

數(shù)據(jù)）；例如：電話號碼

+

姓名、電話號碼

+

現(xiàn)病史等。2、L3

級數(shù)據(jù)L3

級數(shù)據(jù)屬于敏感數(shù)據(jù)，會對個人隱私數(shù)據(jù)（A3

及以上）和個人診療敏感數(shù)據(jù)（C3

數(shù)據(jù)）提供較為直接的引導；例如：IP+

生物標識、姓名

+

門診號等。3、L2

級數(shù)據(jù)L2

級數(shù)據(jù)屬于弱敏感數(shù)據(jù)，直接或間接地泄露患者的就診過程數(shù)據(jù)（C2

數(shù)據(jù)）或者個人一般數(shù)據(jù)

(A2

及以下

)；會引起對患者某方面病癥的猜測；或者會對發(fā)現(xiàn)個人高度隱私數(shù)據(jù)（A3

及以上）和個人診療敏感數(shù)據(jù)（C3

數(shù)據(jù)）提供較為間接的引導；例如：姓名

+

出生日期、姓名

+

護理記錄。12數(shù)據(jù)安全治理白皮書

5.04、L1

級數(shù)據(jù)L1

級數(shù)據(jù)是非敏感數(shù)據(jù)，不會泄露個人隱私和患者隱私；例如：出生日期

+

性別、年齡

+

病癥。根據(jù)上述的數(shù)據(jù)集合分級原則，數(shù)據(jù)集合的具體分級建議如下：數(shù)據(jù)集合類型數(shù)據(jù)集合A4+A4A4+A3A3+A3A4+A2A4+A1A3+A2A3+A1其他數(shù)據(jù)集合示例身份證號

+

電話號碼電話號碼

+

姓名姓名

+

虹膜數(shù)據(jù)級別L4L4L3身份證號

+

出生日期身份證號

+

年齡姓名

+

出生日期姓名

+

年齡L3患者個人信息數(shù)據(jù)集L3L2L2出生日期

+

學歷門診號

+

醫(yī)囑L1L3C4+C3C4+C2其他無個人信息的醫(yī)療數(shù)據(jù)集合門診號

+

護理記錄醫(yī)囑

+

體檢結(jié)果電話號碼

+

醫(yī)囑電話號碼

+

門診號姓名

+

門診號L2L1L4A4+C3A4+C4A3+C4A3+C3A4+C2A3+C2A3+C1A2+C4A2+C3其他L3L3姓名

+

醫(yī)囑L3電話號碼

+

護理記錄姓名

+

護理記錄姓名

+

設備信息出生日期

+

門診號出生日期

+

醫(yī)囑出生日期

+

護理記錄L2個人信息與醫(yī)療數(shù)據(jù)集合L2L2L2L2L1表：電子病歷數(shù)據(jù)集合分級建議4.5.

醫(yī)院數(shù)據(jù)脫敏降級處理建議為了實現(xiàn)在保護個人信息和患者隱私的同時，讓醫(yī)療數(shù)據(jù)可以得到充分的利用，可以通過對敏感數(shù)據(jù)脫敏、匿名化處理，實現(xiàn)個人標識數(shù)據(jù)和診療數(shù)據(jù)降級，降級后的數(shù)據(jù)，不再具備標識性和敏感性。個人信息降級處理，是通過將

A4、A3

級別的個人信息進行脫敏或匿名化處理，經(jīng)過處理后的個人信息無法再標識到患者個人。具體建議如下：1、身份證號脫敏格式：十八位數(shù)字，六位數(shù)字地址碼，八位數(shù)字出生日期碼，三位數(shù)字順序碼和一位數(shù)字校驗碼。13數(shù)據(jù)安全治理白皮書

5.0脫敏前級別：A4脫敏方法規(guī)則示例脫敏后級別A2建議場景替換前

換后

發(fā)測試統(tǒng)計分析替換日期內(nèi)容替換前

換后

發(fā)測試統(tǒng)計分析仿真替換掩碼遮蔽替換地址內(nèi)容A2A2替換前

換后

發(fā)測試統(tǒng)計分析替換順序碼和校驗碼數(shù)據(jù)展示運維保障數(shù)據(jù)導出遮蔽前

蔽后

:1201021983*******0遮蔽日期和順序碼A1病例分析、研究2、手機號脫敏格式：11

位數(shù)字，號段

3

位

+

歸屬地編號

4

位

+

流水號

4

位。脫敏前級別：A4脫敏方法規(guī)則示例脫敏后級別A2建議場景替換前

換后

發(fā)測試統(tǒng)計分析替換歸屬地編號內(nèi)容替換替換前

換后

發(fā)測試統(tǒng)計分析替換流水號內(nèi)容遮蔽歸屬地編號A2數(shù)據(jù)展示運維保障數(shù)據(jù)導出遮蔽前

蔽后

:138****7832A1病例分析、研究掩碼遮蔽數(shù)據(jù)展示運維保障數(shù)據(jù)導出遮蔽前

蔽后

:1382034****遮蔽流水號A1病例分析、研究3、地址脫敏格式：包含省、市、區(qū)縣、街道和門牌號的詳細地址脫敏前級別：A4脫敏方法仿真替換規(guī)則示例脫敏后級別A3建議場景替換前

:

北京市海淀區(qū)花園路

1

號替換后

:

北京市海淀區(qū)花園路

22

號開發(fā)測試統(tǒng)計分析替換門牌號替換前

:

北京市海淀區(qū)花園路

1

號替換后

:

北京市海淀區(qū)紫竹院

22

號開發(fā)測試統(tǒng)計分析替換街道和門牌號A2A2替換前

:

北京市海淀區(qū)花園路

1

號替換后

:

北京市朝陽區(qū)呼家樓

17

號開發(fā)測試統(tǒng)計分析替換區(qū)縣和街道門牌號14數(shù)據(jù)安全治理白皮書

5.0脫敏方法截斷規(guī)則示例脫敏后級別建議場景數(shù)據(jù)展示運維保障數(shù)據(jù)導出截斷前

:

北京市海淀區(qū)花園路

1

號截斷后

:

北京市海淀區(qū)花園路截斷到街道A3A1A1病例分析、研究數(shù)據(jù)展示運維保障數(shù)據(jù)導出截斷前

:

北京市海淀區(qū)花園路

1

號截斷后

:

北京市海淀區(qū)截斷到區(qū)縣遮蔽到區(qū)縣病例分析、研究數(shù)據(jù)展示運維保障數(shù)據(jù)導出遮蔽前

:

北京市海淀區(qū)花園路

1

號遮蔽后

:

北京市海淀區(qū)

*********掩碼遮蔽病例分析、研究4、電子郵件地址脫敏格式：郵箱名

@

郵件服務器地址脫敏前級別：A4脫敏方法規(guī)則示例脫敏后級別A2建議場景替換前

:?zhangsan@替換后

:?lisi@開發(fā)測試統(tǒng)計分析替換郵箱名仿真替換掩碼遮蔽替換前

:?zhangsan@替換后

:?zhangsan@123.com開發(fā)測試統(tǒng)計分析替換郵件服務器遮蔽郵箱名A3數(shù)據(jù)展示運維保障數(shù)據(jù)導出替換前

:?zhangsan@替換后

:?zh*******@A1病例分析、研究5、姓名脫敏格式：若干漢字脫敏前級別：A3脫敏方法規(guī)則示例脫敏后級別A2建議場景替換前

:?張三豐替換后

:?張二嘎開發(fā)測試統(tǒng)計分析替換名仿真替換掩碼遮蔽替換前

:?張三豐替換后

:?郭靖開發(fā)測試統(tǒng)計分析替換完整姓名遮蔽名字A2數(shù)據(jù)展示運維保障數(shù)據(jù)導出遮蔽前

:?張三豐遮蔽后

:?張

**?或?張某某A1病例分析、研究15數(shù)據(jù)安全治理白皮書

5.06、診療標識號脫敏診療標識號包含了患者診療過程中的過程中的門診號、住院號等可以檢索到患者的診療記錄的各種唯一性標識號。格式：若干位的字符

+

數(shù)字編碼，一般包含了日期和順序號，不同機構(gòu)的定義不同。脫敏前級別：C4脫敏方法規(guī)則示例脫敏后級別建議場景替換前

:?20230112019625412821替換后

:?20220321019625412821開發(fā)測試統(tǒng)計分析替換日期內(nèi)容C2仿真替換替換前

:?20230112019625412821替換后

:?20230112019627367634開發(fā)測試統(tǒng)計分析替換順序號內(nèi)容遮蔽順序號內(nèi)容C2數(shù)據(jù)展示運維保障數(shù)據(jù)導出遮蔽前

:?20230112019625412821遮蔽后

:?2023011201962*******掩碼遮蔽C1病例分析、研究綜上，數(shù)據(jù)脫敏和匿名化處理能夠有效降低數(shù)據(jù)的敏感度級別，消除診療數(shù)據(jù)和個人的關聯(lián)。但是，隨著數(shù)據(jù)量的增加和數(shù)據(jù)的多樣化、復雜化，可能會出現(xiàn)脫敏處理后的數(shù)據(jù)存在“重標識”的風險，對于在脫敏數(shù)據(jù)規(guī)模大、數(shù)據(jù)內(nèi)容復雜多樣的情況下，要進行脫敏后數(shù)據(jù)重標識風險的評估。同時要重點關注數(shù)據(jù)的多方聚合的場景，多種單一業(yè)務用途的數(shù)據(jù)經(jīng)過集中、清洗、轉(zhuǎn)換、重組、關聯(lián)分析等處理之后，相對于原始聚合前的數(shù)據(jù)，其安全級別可能會發(fā)生上升，例如數(shù)據(jù)融合、多學科會診聚合多種患者數(shù)據(jù)等數(shù)據(jù)聚合場景。因此，建議對此種聚合場景的數(shù)據(jù)的安全級別要進行更為嚴格的定級評估。4.6.

醫(yī)院數(shù)據(jù)分類分級實踐參考參考附錄

A—醫(yī)院數(shù)據(jù)分類分級實踐參考16數(shù)據(jù)安全治理白皮書

5.05.

醫(yī)院數(shù)據(jù)安全管理體系建設指南醫(yī)院數(shù)據(jù)安全管理體系建設應包括以下建設內(nèi)容：5.1.

組織建設1、數(shù)據(jù)安全領導小組設立由醫(yī)院高級管理層組成的領導小組，總體負責數(shù)據(jù)安全工作的統(tǒng)籌組織、指導推進和協(xié)調(diào)落實，明確數(shù)據(jù)安全管理部門，協(xié)調(diào)機構(gòu)內(nèi)部數(shù)據(jù)安全管理資源調(diào)配。2、數(shù)據(jù)安全管理委員會設立數(shù)據(jù)安全管理委員會，成員應至少包含主要部門的主要負責人，負責數(shù)據(jù)安全相關工作的實施、相關政策和制度的制定評審工作，保障數(shù)據(jù)安全管理工作所需資源，并設立數(shù)據(jù)安全管理專職崗位，負責日常數(shù)據(jù)安全管理工作。主要的職責包括：1）制定、發(fā)布和更新數(shù)據(jù)安全管理制度、規(guī)程與細則，并定期審核和修訂。2）組織開展數(shù)據(jù)分類分級工作，識別并維護數(shù)據(jù)資產(chǎn)、數(shù)據(jù)分類分級清單。3）制定、更新隱私政策和相關規(guī)程。4）監(jiān)督內(nèi)部，以及與外部合作方的數(shù)據(jù)安全管理情況。5）在系統(tǒng)或

API

上線發(fā)布前組織開展數(shù)據(jù)安全評估，避免違規(guī)或不當?shù)臄?shù)據(jù)采集、使用、共享等風險情況。3、數(shù)據(jù)安全崗位（執(zhí)行層）由信息部門、業(yè)務部門、數(shù)據(jù)部門設立數(shù)據(jù)安全崗位，作為數(shù)據(jù)安全管理的執(zhí)行層。主要的職責包括：1）根據(jù)數(shù)據(jù)安全相關策略和規(guī)程，落實本部門數(shù)據(jù)安全防護措施。2）負責權(quán)限分配，為經(jīng)授權(quán)審批程序后獲得授權(quán)的相關方分配數(shù)據(jù)權(quán)限的相關工作。3）對數(shù)據(jù)脫敏處理、對外提供等關鍵活動的數(shù)據(jù)安全措施的有效性進行確認。4）根據(jù)上級要求，定期執(zhí)行數(shù)據(jù)安全評估及技術(shù)檢測工作。5）制定數(shù)據(jù)安全應急預案，并定期開展數(shù)據(jù)安全應急演練，依據(jù)演練結(jié)果，修訂數(shù)據(jù)安全應急預案。6）對數(shù)據(jù)安全事件進行處置。7）依據(jù)數(shù)據(jù)安全管理有關制度規(guī)范，記錄數(shù)據(jù)活動審計日志。5.2.

管理體系建設醫(yī)院數(shù)據(jù)安全管理的建設包含了數(shù)據(jù)安全管理總則和制度、數(shù)據(jù)資產(chǎn)管理制度、數(shù)據(jù)分類分級規(guī)范、數(shù)據(jù)安全檢查評估制度、事件處置和應急響應規(guī)范、第三方管理制度、人員管理制度、數(shù)據(jù)生命周期場景安全要求、數(shù)據(jù)安全技術(shù)規(guī)范等內(nèi)容。17數(shù)據(jù)安全治理白皮書

5.0圖

5-1?

醫(yī)院數(shù)據(jù)安全管理體系建設內(nèi)容建議1、數(shù)據(jù)安全管理總則依據(jù)國家與行業(yè)主管和監(jiān)管部門要求，結(jié)合機構(gòu)自身風險管控策略、安全建設預算等因素，制定數(shù)據(jù)安全總體安全策略、方針、目標、原則。建立數(shù)據(jù)安全管理制度體系，明確相關部門與崗位數(shù)據(jù)安全工作職責，規(guī)范和工作流程。2、數(shù)據(jù)資產(chǎn)管理制度建立數(shù)據(jù)資產(chǎn)管理制度，覆蓋數(shù)據(jù)存儲、平臺、數(shù)據(jù)應用和

API。明確數(shù)據(jù)資產(chǎn)定期梳理和更新要求，明確數(shù)據(jù)梳理更新的條件和頻率，明確數(shù)據(jù)資產(chǎn)使用、留存及報廢管理流程。3、數(shù)據(jù)分類分級規(guī)范建立數(shù)據(jù)安全分級相關制度規(guī)范，明確數(shù)據(jù)分級中的具體工作內(nèi)容。明確數(shù)據(jù)分級目標和原則、涉及的角色、部門及職責、分級方法和具體要求、日常管理流程和操作規(guī)程、相關績效考核和評價機制、分級結(jié)果的發(fā)布、備案和管理規(guī)定以及數(shù)據(jù)分類分級清單審核與修訂的原則和周期等內(nèi)容。4、數(shù)據(jù)安全檢查評估建立數(shù)據(jù)安全檢查評估機制，制定數(shù)據(jù)安全檢查評估規(guī)范、計劃、具體要求。包括：在系統(tǒng)或API

發(fā)布前；在國家及行業(yè)主管部門的相關要求發(fā)生變化時；在業(yè)務流程、系統(tǒng)運行環(huán)境發(fā)生重大變更時；發(fā)生重大數(shù)據(jù)安全事件時；應進行數(shù)據(jù)安全檢查評估。對檢查評估過程中發(fā)現(xiàn)的問題，應指定責任部門，制定適宜的整改計劃，并跟蹤落實。5、安全事件處置和應急響應制定應急響應與事件處置規(guī)范，建立完善的應急響應與事件處置和問責機制。依據(jù)國家及行業(yè)主管部門規(guī)定、事件性質(zhì)、影響范圍等，對安全事件進行分級管理。制定應急預案和安全策略，對不同級別的安全事件進行相應處置，對重大事件發(fā)生后及時啟動應急響應機制。確定數(shù)據(jù)安全事件上報機制，按照國家及行業(yè)的規(guī)定對相應級別的數(shù)據(jù)安全事件及處置情況進行上報。6、第三方（合作方）管理建立第三方機構(gòu)管理制度，應包含以下內(nèi)容：明確第三方機構(gòu)審查與評估機制，評估其數(shù)據(jù)安全保護能力。并建立監(jiān)督機制，定期對第三方機構(gòu)的數(shù)據(jù)安全保護措施落實情況進行確認。明確應通過合同協(xié)議等方式，對第三方機構(gòu)的數(shù)據(jù)使用行為進行約束，并明確雙方在數(shù)據(jù)安全方面的責任及義務，明確第三方機構(gòu)應具備的數(shù)據(jù)安全保護能力要求。18數(shù)據(jù)安全治理白皮書

5.0明確對可能訪問數(shù)據(jù)的第三方機構(gòu)及人員，應要求第三方機構(gòu)向有關人員傳達數(shù)據(jù)安全要求，與其簽署保密協(xié)議，并對協(xié)議履行情況進行監(jiān)督。明確對接入的第三方系統(tǒng)和服務（API、SDK

等）進行專門的數(shù)據(jù)安全管理，確保不因第三方的應用接入而危害數(shù)據(jù)安全，并對數(shù)據(jù)處理活動進行必要的監(jiān)視。明確與第三方機構(gòu)解除合作關系時，應要求第三方機構(gòu)不再以任何方式保存獲取的數(shù)據(jù)及相關衍生數(shù)據(jù)（國家及行業(yè)主管部門另有規(guī)定的除外）。7、人員管理建立對數(shù)據(jù)相關人員進行管理的制度、流程，對數(shù)據(jù)安全相關崗位和人員進行管理。包括：制定統(tǒng)一的保密協(xié)議，并與可能接觸

3

級及以上數(shù)據(jù)的員工，以及數(shù)據(jù)安全相關崗位的員工簽署保密協(xié)議。明確在發(fā)生人員調(diào)離崗位時，立即完成相關人員數(shù)據(jù)訪問、使用等權(quán)限的配置調(diào)整，并明確相關人員的數(shù)據(jù)保護管理權(quán)限和保密責任。明確數(shù)據(jù)安全相關崗位人員終止勞動合同時，應立即終止并收回其對數(shù)據(jù)的訪問權(quán)限，明確并告知其繼續(xù)履行有關信息的保密義務要求，并簽訂保密承諾書。建立外部人員管理制度，對外部人員可能訪問的系統(tǒng)、網(wǎng)絡、數(shù)據(jù)資源建立數(shù)據(jù)存取控制機制、認證機制；明確要求列明所有外部用戶名單及其權(quán)限；明確對外部人員的數(shù)據(jù)安全要求和培訓，必要時簽署保密協(xié)議。明確數(shù)據(jù)安全相關崗位人員的專項培訓相關要求。明確對數(shù)據(jù)庫管理員、系統(tǒng)管理員、操作員及安全審計人員等崗位設立專人專崗，并實行職責分離。8、數(shù)據(jù)生命周期場景安全要求根據(jù)數(shù)據(jù)安全管理總則、制度和流程規(guī)范，結(jié)合醫(yī)院數(shù)據(jù)使用的需求和數(shù)據(jù)安全級別，建立覆蓋數(shù)據(jù)生命周期和醫(yī)院數(shù)據(jù)應用場景的安全要求。（參考“6.

醫(yī)院數(shù)據(jù)場景安全指南”章節(jié)）9、數(shù)據(jù)安全技術(shù)規(guī)范根據(jù)數(shù)據(jù)安全管理總則、制度和流程規(guī)范以及數(shù)據(jù)生命周期場景安全要求，建立數(shù)據(jù)安全技術(shù)規(guī)范，明確數(shù)據(jù)安全技術(shù)的基本能力要求和指標。具體的技術(shù)規(guī)范應包括：邊界防護、身份鑒別和訪問控制、數(shù)據(jù)分類分級、數(shù)據(jù)脫敏、數(shù)據(jù)庫審計、應用和

API

審計、數(shù)據(jù)安全監(jiān)測、數(shù)據(jù)加密等。19數(shù)據(jù)安全治理白皮書

5.06.

醫(yī)院數(shù)據(jù)場景安全指南6.1.

醫(yī)院數(shù)據(jù)安全場景綜述醫(yī)院數(shù)據(jù)安全場景是以數(shù)據(jù)生命周期為核心，關鍵是要結(jié)合醫(yī)院常見的數(shù)據(jù)使用場景，確保醫(yī)院數(shù)據(jù)在其生命周期各階段的安全性；所以通過針對生命周期各階段常見的數(shù)據(jù)場景采取相應措施，將數(shù)據(jù)安全性遭受破壞后可能帶來的安全影響降至最低。其中，1

級數(shù)據(jù)為非敏感數(shù)據(jù)，原則上無保密性要求，只需考慮數(shù)據(jù)完整性及可用性相關要求；2

級至

4

級數(shù)據(jù)，應平衡安全合規(guī)需求與業(yè)務和數(shù)據(jù)開發(fā)利用需求的基礎上，依據(jù)數(shù)據(jù)安全級別不同，有側(cè)重地對數(shù)據(jù)進行適當保護安全防護，例如

2

級數(shù)據(jù)應優(yōu)先考慮業(yè)務需求和數(shù)據(jù)開發(fā)利用，4

級數(shù)據(jù)應優(yōu)先考慮安全合規(guī)需求，從而促進數(shù)據(jù)安全流動，充分發(fā)揮醫(yī)院數(shù)據(jù)的價值。6.2.

數(shù)據(jù)資產(chǎn)和分類分級管理數(shù)據(jù)資產(chǎn)的管理和數(shù)據(jù)分類分級是醫(yī)院落實數(shù)據(jù)安全的基礎，應通過定期開展數(shù)據(jù)梳理和分類分級，形成全面、準確的數(shù)據(jù)資產(chǎn)清單和分類分級清單。1、數(shù)據(jù)資產(chǎn)管理應定期梳理數(shù)據(jù)資產(chǎn)情況，對數(shù)據(jù)資產(chǎn)進行盤點、梳理，形成統(tǒng)一的數(shù)據(jù)資產(chǎn)清單，并進行定期更新。可通過數(shù)據(jù)資產(chǎn)管理系統(tǒng)或工具，對數(shù)據(jù)資產(chǎn)進行統(tǒng)一管理。對數(shù)據(jù)資產(chǎn)上線使用、留存及下線報廢等狀態(tài)進行管理，并能做到及時梳理、更新。2、數(shù)據(jù)分類分級管理應對存量、增量的數(shù)據(jù)資產(chǎn)進行數(shù)據(jù)分類分級梳理、打標，將數(shù)據(jù)分類分級的結(jié)果形成分類分級清單。并對結(jié)果進行評審、更新和發(fā)布?？赏ㄟ^數(shù)據(jù)分類分級系統(tǒng)或工具，對數(shù)據(jù)進行分類分級打標和管理。對分級清單進行維護、更新。6.3.

數(shù)據(jù)采集安全6.3.1.

概述醫(yī)院作為國家的關鍵信息基礎設施，涉及了大量的敏感及重要數(shù)據(jù)，這些數(shù)據(jù)價值高且種類豐富，如科研數(shù)據(jù)、藥品數(shù)據(jù)、患者個人基本信息數(shù)據(jù)、可穿戴終端采集數(shù)據(jù)、醫(yī)患數(shù)據(jù)，醫(yī)護人員數(shù)據(jù)等，醫(yī)院這些數(shù)據(jù)來源主要包括從外部采集、從患者個人主體采集、從內(nèi)部員工主體采集。數(shù)據(jù)采集過程，存在敏感數(shù)據(jù)泄露、數(shù)據(jù)源偽造、特權(quán)賬戶濫用等安全風險

/

問題，應采取技術(shù)措施加強數(shù)據(jù)采集過20數(shù)據(jù)安全治理白皮書

5.0程的安全防護。6.3.2.

從外部采集數(shù)據(jù)目前醫(yī)院從外部采集的數(shù)據(jù)主要包括科研數(shù)據(jù)，主要是按照研究類型進行人工填報。醫(yī)院從外部采集數(shù)據(jù)，安全要求如下：1）從外部第三方采集數(shù)據(jù)，應采用合同協(xié)議等方式，明確雙方在數(shù)據(jù)安全方面的責任及義務，確保第三方所提供數(shù)據(jù)的合法合規(guī)性和真實性。2）制定數(shù)據(jù)采集的操作規(guī)程，規(guī)范外部采集數(shù)據(jù)的目的和用途，數(shù)據(jù)源、數(shù)據(jù)采集范圍、數(shù)量、頻度、采集流程，不應超范圍采集數(shù)據(jù)。3）數(shù)據(jù)采集傳輸過程采用加密的方式進行傳輸。4）采集

3

級及以上數(shù)據(jù)時，應結(jié)合身份鑒別、終端控制、訪問源

IP

控制、設備物理位置、網(wǎng)絡接入方式等多種因素對數(shù)據(jù)采集設備或系統(tǒng)的真實性進行增強驗證，防止假冒和偽造。5）對數(shù)據(jù)采集過程進行日志記錄，并采取技術(shù)措施確保信息來源的可追溯性。6）對批量采集的數(shù)據(jù)，應采取消息驗證碼、消息摘要等技術(shù)手段確保采集過程數(shù)據(jù)的完整性。7）對采集的數(shù)據(jù)設置訪問控制策略、數(shù)據(jù)加解密策略進行保護。8）對采集的

4

級數(shù)據(jù)應使用符合相關要求的國密密碼算法進行加密存儲。6.3.3.

從患者個人主體采集數(shù)據(jù)目前醫(yī)院從患者個人主體采集的數(shù)據(jù)包括：患者基本信息，包括姓名、性別、年齡、家庭住址、電話號碼、聯(lián)系人號碼、身份證號以及患者診斷、手術(shù)史等；患者院內(nèi)診療數(shù)據(jù)，包括傳統(tǒng)檢測項目結(jié)果

(

生化、免疫、PCR

等

)、檢查結(jié)果（放射檢查、超聲、心電、DSA

檢查等）、新興檢測項目結(jié)果

(

基因測序等

)

等。患者在院外的行為和感官產(chǎn)生的數(shù)據(jù)，主要采集終端可穿戴設備收集的體征類健康管理數(shù)據(jù)和各類網(wǎng)上輕醫(yī)療平臺收集的診療數(shù)據(jù)。醫(yī)院從患者個人主體采集數(shù)據(jù)，安全要求如下：1）除滿足醫(yī)療管理要求相關規(guī)定外，建議采集數(shù)據(jù)的業(yè)務系統(tǒng)、APP

等終端在業(yè)務完成后不應留存、緩存

3

級及以上數(shù)據(jù)，避免數(shù)據(jù)殘留風險。2）對重點業(yè)務系統(tǒng)（如掛號系統(tǒng)、影像系統(tǒng)）的安全性以及相關軟件的安全性，確保不存在數(shù)據(jù)庫安全漏洞。3）對可穿戴終端采集的患者個人主體數(shù)據(jù)應與約定采集的內(nèi)容保持一致，不應超范圍采集數(shù)據(jù)。4）數(shù)據(jù)采集過程應符合

6.3.2

中?3)~8)

所述要求。21數(shù)據(jù)安全治理白皮書

5.06.4.

數(shù)據(jù)傳輸安全6.4.1.

概述數(shù)據(jù)傳輸是指醫(yī)院將數(shù)據(jù)從一個實體傳輸?shù)搅硪粋€實體的過程，存在傳輸中斷、篡改、偽造及竊取等安全風險，應采取數(shù)據(jù)傳輸加密、身份認證等技術(shù)措施加強數(shù)據(jù)傳輸過程的安全防護。按照傳輸模式，可分為醫(yī)院內(nèi)部數(shù)據(jù)傳輸、醫(yī)院與外部機構(gòu)間的數(shù)據(jù)傳輸和醫(yī)院與患者間的數(shù)據(jù)傳輸三種形式，不同傳輸形式和不同傳輸對象間所采用的數(shù)據(jù)傳輸技術(shù)方式也不同。6.4.2.

院內(nèi)數(shù)據(jù)傳輸院內(nèi)數(shù)據(jù)傳輸，安全要求如下：1）應結(jié)合院內(nèi)分類分級制度，明確不同級別數(shù)據(jù)傳輸安全策略和操作規(guī)程，制定和明確不同級別數(shù)據(jù)傳輸過程中的相關安全措施，保障數(shù)據(jù)在傳輸過程中的保密性和完整性。2）嚴格限定不同部門、區(qū)域間的賬號級別的分配權(quán)限，特別針對敏感數(shù)據(jù)較多的重要系統(tǒng)進行賬號限制及數(shù)據(jù)查看、提取相關控制。3）應加強軟件開發(fā)安全管理，保障數(shù)據(jù)傳輸工具的安全性，工具上線前應開展必要的滲透測試、漏洞掃描等工作，以防止工具使用過程中遭受惡意破壞、功能篡改、信息竊取、勒索攻擊等攻擊。4）應對通信雙方進行身份認證，確保數(shù)據(jù)傳輸雙方是可信任的。5）應定期檢查或評估數(shù)據(jù)傳輸?shù)陌踩院涂煽啃浴?）記錄數(shù)據(jù)傳輸日志，具備對傳輸?shù)脑?、目的、重要?nèi)容可回溯性分析。7）根據(jù)最小化原則，必要時可對敏感數(shù)據(jù)進行脫敏傳輸，進一步保障數(shù)據(jù)安全傳輸。8）通過內(nèi)部無線網(wǎng)絡傳輸數(shù)據(jù)，還應滿足以下要求

:a)

采用綁定設備序列號或硬件地址

(MAC

地址

)

等管控措施對無線接入點進行準入控制。并對終端的接入進行審核和審核日志留存。b)SSID

采用規(guī)范的命名規(guī)則，不泄露機構(gòu)名稱、網(wǎng)絡特性、物理位置等信息，禁止使用缺省的SSID，生產(chǎn)環(huán)境應禁用?SSID?廣播，避免攻擊者通過掃描直接獲取無線網(wǎng)絡信息。c)

采用安全、可靠的加密協(xié)議，對無線通信信道進行安全加密。d)

確保無線網(wǎng)絡設備的物理安全，禁用不必要的服務。e)

強化無線網(wǎng)絡設備的管理賬號和口令安全，禁止使用弱口令。f)

加強無線網(wǎng)絡用戶管理，禁止多人使用同一賬號，建議采用雙因素認證方式對接入用戶進行身份校驗。g)

采取措施控制移動智能終端在內(nèi)網(wǎng)和互聯(lián)網(wǎng)交叉使用的風險，防范惡意代碼傳播。h)

明確短期使用及臨時搭建的無線網(wǎng)絡使用期限，期滿后應及時拆除或關閉。22數(shù)據(jù)安全治理白皮書

5.06.4.3.

院外數(shù)據(jù)傳輸院外數(shù)據(jù)傳輸，安全要求如下：1）與外部機構(gòu)之間傳輸數(shù)據(jù)應事先進行申請，通過審批流程后可進行數(shù)據(jù)訪問或調(diào)用；2）與外部機構(gòu)之間的數(shù)據(jù)傳輸應優(yōu)先選擇專線、VPN

等技術(shù)；3）采取虛擬專網(wǎng)技術(shù)，應對

VPN

用戶和權(quán)限進行嚴格管理，采取適當強度的用戶認證方式，防范非法接入；4）外部數(shù)據(jù)傳輸應采用符合國家要求的密碼技術(shù)，以保障數(shù)據(jù)傳輸安全；5）應對通信雙方進行身份認證，確保數(shù)據(jù)傳輸雙方是可信任的；6）3

級數(shù)據(jù)外部傳輸應經(jīng)過授權(quán)審批，并使用加密協(xié)議進行通道加密或使用數(shù)據(jù)加密；7）4

級數(shù)據(jù)原則上不應對外傳輸，若因業(yè)務需