編者按:2026年����,國(guó)家衛(wèi)生健康委、公安部�����、國(guó)家互聯(lián)網(wǎng)信息辦公室��、國(guó)家中醫(yī)藥管理局��、國(guó)家疾病預(yù)防控制局聯(lián)合印發(fā)《關(guān)于印發(fā)醫(yī)療衛(wèi)生機(jī)構(gòu)數(shù)據(jù)安全和個(gè)人信息保護(hù)管理辦法(試行)的通知》(國(guó)衛(wèi)規(guī)劃發(fā)〔2026〕6號(hào))���,標(biāo)志著我國(guó)醫(yī)療衛(wèi)生行業(yè)數(shù)據(jù)安全和個(gè)人信息保護(hù)進(jìn)入制度化����、規(guī)范化��、標(biāo)準(zhǔn)化新階段�。這是繼《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》之后,醫(yī)療衛(wèi)生行業(yè)在數(shù)據(jù)安全領(lǐng)域的又一重磅政策���。
長(zhǎng)三角醫(yī)院聯(lián)盟本期聚焦《醫(yī)療衛(wèi)生機(jī)構(gòu)數(shù)據(jù)安全和個(gè)人信息保護(hù)管理辦法(試行)》����,系統(tǒng)解讀政策要點(diǎn)�,為聯(lián)盟成員醫(yī)院提供合規(guī)指引和實(shí)踐建議。
近年來,隨著醫(yī)療衛(wèi)生信息化建設(shè)的深入推進(jìn)和"互聯(lián)網(wǎng)+醫(yī)療健康"的快速發(fā)展��,醫(yī)療衛(wèi)生機(jī)構(gòu)產(chǎn)生的數(shù)據(jù)規(guī)模呈指數(shù)級(jí)增長(zhǎng)��。臨床數(shù)據(jù)���、科研數(shù)據(jù)�����、管理數(shù)據(jù)�、醫(yī)療設(shè)備數(shù)據(jù)等海量數(shù)據(jù)��,在推動(dòng)醫(yī)療服務(wù)模式創(chuàng)新���、提升診療效率的同時(shí),也面臨著嚴(yán)峻的安全挑戰(zhàn)���。數(shù)據(jù)泄露��、濫用���、出境等安全事件時(shí)有發(fā)生,個(gè)人隱私保護(hù)問題日益凸顯。
2021年以來���,《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》《個(gè)人信息保護(hù)法》相繼施行����,構(gòu)建了我國(guó)數(shù)據(jù)安全和個(gè)人信息保護(hù)的法律框架����。但這些法律主要是原則性、框架性規(guī)定�,醫(yī)療衛(wèi)生行業(yè)缺乏具體可操作的實(shí)施細(xì)則。
在此背景下����,國(guó)家衛(wèi)生健康委會(huì)同公安部、國(guó)家網(wǎng)信辦等部門聯(lián)合制定《醫(yī)療衛(wèi)生機(jī)構(gòu)數(shù)據(jù)安全和個(gè)人信息保護(hù)管理辦法(試行)》�,旨在將法律要求轉(zhuǎn)化為醫(yī)療衛(wèi)生行業(yè)的具體規(guī)范,明確管理要求�、落實(shí)保護(hù)責(zé)任、提升防護(hù)能力�,為醫(yī)療衛(wèi)生機(jī)構(gòu)的數(shù)據(jù)安全和個(gè)人信息保護(hù)工作提供制度保障。
核心要點(diǎn):分類分級(jí)����、全生命周期管理、十個(gè)"不得"
《辦法》共6章32條,構(gòu)建了醫(yī)療衛(wèi)生機(jī)構(gòu)數(shù)據(jù)安全和個(gè)人信息保護(hù)的全流程管理體系�����。其核心要點(diǎn)可以概括為"三大制度����、十項(xiàng)禁止"。
制度一:數(shù)據(jù)分類分級(jí)保護(hù)制度
《辦法》明確規(guī)定��,醫(yī)療衛(wèi)生機(jī)構(gòu)數(shù)據(jù)分為核心數(shù)據(jù)����、重要數(shù)據(jù)和一般數(shù)據(jù)三類,落實(shí)分類分級(jí)保護(hù)制度�。不同類別�����、級(jí)別數(shù)據(jù)同時(shí)被處理且難以分類采取保護(hù)措施的���,按照其中級(jí)別最高的要求實(shí)施保護(hù)���。
省級(jí)衛(wèi)生健康行政部門負(fù)責(zé)組織開展本省內(nèi)醫(yī)療衛(wèi)生機(jī)構(gòu)數(shù)據(jù)的分類分級(jí)工作,提出重要數(shù)據(jù)具體目錄和核心數(shù)據(jù)目錄建議并報(bào)國(guó)家衛(wèi)生健康委。醫(yī)療衛(wèi)生機(jī)構(gòu)應(yīng)當(dāng)定期梳理本單位數(shù)據(jù)��,識(shí)別重要數(shù)據(jù)�,并按屬地衛(wèi)生健康行政部門報(bào)送,內(nèi)容包括但不限于數(shù)據(jù)來源�、類別、級(jí)別�、規(guī)模、處理目的和方式��、責(zé)任主體����、跨境傳輸、安全保護(hù)措施等基本情況�����。
制度二:數(shù)據(jù)全生命周期安全管理制度
《辦法》對(duì)數(shù)據(jù)的收集���、存儲(chǔ)��、使用���、加工���、傳輸、提供�、公開、刪除等全生命周期環(huán)節(jié)提出了明確要求���,強(qiáng)調(diào)通過管理和技術(shù)手段保障數(shù)據(jù)安全和數(shù)據(jù)應(yīng)用的有效平衡���。
醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)強(qiáng)化制度保障、人員保障�、管理保障、技術(shù)保障�、應(yīng)急保障等五大保障措施。處理重要數(shù)據(jù)的醫(yī)療機(jī)構(gòu)����,應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機(jī)構(gòu),落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任����,每年度對(duì)其數(shù)據(jù)處理活動(dòng)開展風(fēng)險(xiǎn)評(píng)估��。醫(yī)療機(jī)構(gòu)在存儲(chǔ)處理重要數(shù)據(jù)時(shí)要落實(shí)三級(jí)及以上網(wǎng)絡(luò)安全等級(jí)保護(hù)要求��,存儲(chǔ)處理核心數(shù)據(jù)的,涉及關(guān)鍵信息基礎(chǔ)設(shè)施的����,要在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,落實(shí)關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)要求�����。
制度三:個(gè)人信息保護(hù)制度
《辦法》強(qiáng)調(diào)個(gè)人信息是特別重要的一種數(shù)據(jù)����,當(dāng)達(dá)到一定精度、規(guī)模時(shí)個(gè)人信息要按照數(shù)據(jù)分類分級(jí)管理要求����,納入國(guó)家重要數(shù)據(jù)目錄進(jìn)行重點(diǎn)保護(hù)。
醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)自行或者委托專業(yè)機(jī)構(gòu)定期開展個(gè)人信息保護(hù)合規(guī)審計(jì)工作�。委托處理個(gè)人信息時(shí),應(yīng)當(dāng)事前進(jìn)行個(gè)人信息保護(hù)影響評(píng)估并與受托方簽訂委托協(xié)議和保密協(xié)議�。醫(yī)療機(jī)構(gòu)使用人工智能等新技術(shù)處理患者病歷時(shí),必須確保個(gè)人信息安全��。
《辦法》明確列出了醫(yī)療衛(wèi)生機(jī)構(gòu)及其人員不得有的十種行為����,為醫(yī)療機(jī)構(gòu)劃定了紅線��。
禁止一:不得違法采集數(shù)據(jù)
醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)數(shù)據(jù)收集的合法性管理���,明確業(yè)務(wù)部門和管理部門在數(shù)據(jù)收集合法性中的主體責(zé)任,不得超范圍采集數(shù)據(jù)����,不得竊取或者以其他非法方式采集數(shù)據(jù)。
禁止二:不得違法存儲(chǔ)數(shù)據(jù)
醫(yī)療機(jī)構(gòu)在我國(guó)境內(nèi)收集和產(chǎn)生的重要數(shù)據(jù)�����,應(yīng)當(dāng)在境內(nèi)存儲(chǔ)���,并采取備份�、加密等措施加強(qiáng)數(shù)據(jù)的存儲(chǔ)安全��。
禁止三:不得違法傳輸數(shù)據(jù)
醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)明確不同安全級(jí)別數(shù)據(jù)的加密傳輸要求�,不得通過微信、網(wǎng)盤����、社交軟件傳輸核心數(shù)據(jù)、重要數(shù)據(jù)和敏感數(shù)據(jù)�����。
禁止四:不得違法向境外提供數(shù)據(jù)
醫(yī)療機(jī)構(gòu)采集的數(shù)據(jù)需向境外提供的�����,具有《促進(jìn)和規(guī)范數(shù)據(jù)跨境流動(dòng)規(guī)定》第七條規(guī)定情形之一的��,應(yīng)當(dāng)先行開展自評(píng)估工作����,經(jīng)本單位網(wǎng)絡(luò)安全和信息化工作領(lǐng)導(dǎo)小組或領(lǐng)導(dǎo)班子同意并報(bào)屬地衛(wèi)生健康行政部門審核通過后,由省級(jí)網(wǎng)信部門向國(guó)家網(wǎng)信部門申報(bào)數(shù)據(jù)出境安全評(píng)估����。
禁止五:不得違規(guī)使用數(shù)據(jù)
醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)規(guī)定數(shù)據(jù)使用權(quán)限,加強(qiáng)數(shù)據(jù)使用過程中的情況及審批流程管理����,加強(qiáng)日志留存及管理工作,不得暴露���、泄露��,確保數(shù)據(jù)在可控范圍內(nèi)使用�����。
禁止六:不得未經(jīng)授權(quán)處理數(shù)據(jù)
未經(jīng)醫(yī)療機(jī)構(gòu)授權(quán)����,信息系統(tǒng)建設(shè)運(yùn)維人員不得處理數(shù)據(jù);建設(shè)運(yùn)維期間�����,收集產(chǎn)生的數(shù)據(jù)未經(jīng)授權(quán)不得用于其他用途�����,服務(wù)完成后按照約定對(duì)數(shù)據(jù)予以返還或銷毀�。
禁止七:不得未經(jīng)批準(zhǔn)提供數(shù)據(jù)
未經(jīng)醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)安全和信息化工作領(lǐng)導(dǎo)小組或領(lǐng)導(dǎo)班子批準(zhǔn),任何部門和個(gè)人不得將未對(duì)外公開的信息和數(shù)據(jù)傳遞至醫(yī)療機(jī)構(gòu)之外����,不得以任何方式將其泄露。
禁止八:不得隨意公開數(shù)據(jù)
醫(yī)療機(jī)構(gòu)在對(duì)數(shù)據(jù)公開前�����,應(yīng)當(dāng)分析研判可能對(duì)國(guó)家安全、經(jīng)濟(jì)社會(huì)安全��、公共利益��、個(gè)人信息安全及醫(yī)療機(jī)構(gòu)運(yùn)行產(chǎn)生的影響�,存在重大影響的不得公開����。
禁止九:不得未經(jīng)銷毀報(bào)廢設(shè)備
醫(yī)療機(jī)構(gòu)在設(shè)備報(bào)廢或變更用途前,應(yīng)當(dāng)按照電子產(chǎn)品信息清除技術(shù)要求對(duì)數(shù)據(jù)進(jìn)行徹底清除處理����,不得未經(jīng)處置直接報(bào)廢或轉(zhuǎn)移他用。
禁止十:不得隱瞞數(shù)據(jù)安全事件
醫(yī)療機(jī)構(gòu)發(fā)生數(shù)據(jù)安全事件時(shí)��,應(yīng)當(dāng)立即啟動(dòng)應(yīng)急預(yù)案��,采取措施防止危害擴(kuò)大���,消除安全隱患�����,并按照規(guī)定向?qū)俚匦l(wèi)生健康行政部門等有關(guān)主管部門報(bào)告�。
醫(yī)療機(jī)構(gòu)應(yīng)對(duì):六大舉措筑牢安全防線
面對(duì)《辦法》的嚴(yán)格要求,醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)采取六大舉措���,筑牢數(shù)據(jù)安全防線����。
舉措一:完善組織架構(gòu)�����,落實(shí)主體責(zé)任
縣級(jí)以上醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)成立網(wǎng)絡(luò)安全和信息化工作領(lǐng)導(dǎo)小組���,由單位主要負(fù)責(zé)人擔(dān)任組長(zhǎng)�����,每年至少召開一次數(shù)據(jù)安全和個(gè)人信息保護(hù)會(huì)議����,部署數(shù)據(jù)安全和個(gè)人信息保護(hù)工作�����,研究制定相關(guān)制度規(guī)范����。醫(yī)療機(jī)構(gòu)主要負(fù)責(zé)人是本單位數(shù)據(jù)安全和個(gè)人信息保護(hù)管理第一責(zé)任人�����,分管負(fù)責(zé)人是直接責(zé)任人�����。按照"管業(yè)務(wù)必須管安全""誰主管誰負(fù)責(zé)、誰運(yùn)營(yíng)誰負(fù)責(zé)��、誰使用誰負(fù)責(zé)"的原則��,明確本單位業(yè)務(wù)部門與信息化部門的職責(zé)�。
舉措二:開展數(shù)據(jù)分類分級(jí),明確保護(hù)重點(diǎn)
醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)依據(jù)有關(guān)法律和衛(wèi)生健康行業(yè)數(shù)據(jù)分類分級(jí)有關(guān)要求�����,定期梳理本單位數(shù)據(jù)�����,識(shí)別重要數(shù)據(jù)�,并按屬地衛(wèi)生健康行政部門報(bào)送。對(duì)于達(dá)到一定精度、規(guī)模的個(gè)人信息��,應(yīng)當(dāng)納入國(guó)家重要數(shù)據(jù)目錄進(jìn)行重點(diǎn)保護(hù)�����。
舉措三:建立健全管理制度���,規(guī)范數(shù)據(jù)處理流程
醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)建立數(shù)據(jù)安全管理制度���、操作規(guī)程及技術(shù)規(guī)范,針對(duì)不同類別和級(jí)別的數(shù)據(jù)���,明確收集��、存儲(chǔ)���、使用、加工���、傳輸�����、提供��、公開等環(huán)節(jié)的具體保護(hù)要求���。建立完善數(shù)據(jù)使用申請(qǐng)及批準(zhǔn)流程���,遵循"誰主管、誰審查"��,堅(jiān)持事前申請(qǐng)批準(zhǔn)�、事中監(jiān)管、事后審核的原則�。
舉措四:強(qiáng)化技術(shù)防護(hù)能力�,提升安全防護(hù)水平
醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)在數(shù)據(jù)的收集、存儲(chǔ)�、使用、加工���、傳輸����、提供���、公開�、刪除等環(huán)節(jié),針對(duì)不同場(chǎng)景綜合運(yùn)用加密�、鑒權(quán)、認(rèn)證��、脫敏�����、去標(biāo)識(shí)化��、數(shù)字水印����、校驗(yàn)、審計(jì)等技術(shù)手段進(jìn)行安全保護(hù)����。存儲(chǔ)處理重要數(shù)據(jù)的要落實(shí)三級(jí)及以上網(wǎng)絡(luò)安全等級(jí)保護(hù)要求。
舉措五:加強(qiáng)人員培訓(xùn)教育���,提升安全意識(shí)
醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)數(shù)據(jù)安全管理人員隊(duì)伍建設(shè)�,定期開展數(shù)據(jù)安全教育和培訓(xùn)���,提高全員數(shù)據(jù)安全��、個(gè)人信息保護(hù)意識(shí)和水平�����。區(qū)分不同崗位和人員�,實(shí)行動(dòng)態(tài)授權(quán)管理,及時(shí)回收離職離崗��、轉(zhuǎn)崗人員權(quán)限�����。
舉措六:制定應(yīng)急預(yù)案���,開展應(yīng)急演練
醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)根據(jù)工作實(shí)際與應(yīng)對(duì)數(shù)據(jù)安全事件的需要,制定完善應(yīng)急預(yù)案����,并定期開展演練。發(fā)生數(shù)據(jù)安全事件時(shí)���,應(yīng)當(dāng)按照應(yīng)急預(yù)案及時(shí)開展應(yīng)急處置��,涉及重要數(shù)據(jù)和核心數(shù)據(jù)的安全事件�,及時(shí)向?qū)俚匦l(wèi)生健康行政部門報(bào)告。
長(zhǎng)三角行動(dòng):協(xié)同推進(jìn)數(shù)據(jù)安全一體化建設(shè)
長(zhǎng)三角地區(qū)作為醫(yī)療衛(wèi)生信息化建設(shè)的先行區(qū)����,應(yīng)當(dāng)在全國(guó)率先貫徹落實(shí)《辦法》要求,協(xié)同推進(jìn)區(qū)域數(shù)據(jù)安全一體化建設(shè)����。
協(xié)同建立長(zhǎng)三角數(shù)據(jù)安全協(xié)調(diào)機(jī)制
建議建立長(zhǎng)三角地區(qū)數(shù)據(jù)安全協(xié)調(diào)機(jī)制,定期召開工作會(huì)議���,交流數(shù)據(jù)安全工作情況和經(jīng)驗(yàn)做法����,共同研究數(shù)據(jù)安全政策和標(biāo)準(zhǔn)�,協(xié)調(diào)解決跨區(qū)域數(shù)據(jù)安全問題。
協(xié)同開展長(zhǎng)三角數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)建設(shè)
建議聯(lián)合三省一市衛(wèi)生健康部門��,共同制定長(zhǎng)三角地區(qū)數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)��,實(shí)現(xiàn)區(qū)域數(shù)據(jù)分類分級(jí)標(biāo)準(zhǔn)的統(tǒng)一和互認(rèn)����。
協(xié)同構(gòu)建長(zhǎng)三角數(shù)據(jù)安全監(jiān)測(cè)預(yù)警體系
建議構(gòu)建長(zhǎng)三角地區(qū)數(shù)據(jù)安全監(jiān)測(cè)預(yù)警體系���,實(shí)現(xiàn)區(qū)域數(shù)據(jù)安全風(fēng)險(xiǎn)的監(jiān)測(cè)、預(yù)警����、處置、溯源等能力�,加強(qiáng)區(qū)域間信息共享和協(xié)同處置。
協(xié)同開展長(zhǎng)三角數(shù)據(jù)安全人才培養(yǎng)
建議聯(lián)合區(qū)域內(nèi)高校���、科研院所���、企業(yè),共同開展數(shù)據(jù)安全人才培養(yǎng)�,建設(shè)專業(yè)化數(shù)據(jù)安全人才隊(duì)伍,為區(qū)域數(shù)據(jù)安全工作提供人才支撐��。
《醫(yī)療衛(wèi)生機(jī)構(gòu)數(shù)據(jù)安全和個(gè)人信息保護(hù)管理辦法(試行)》的發(fā)布實(shí)施����,標(biāo)志著我國(guó)醫(yī)療衛(wèi)生行業(yè)數(shù)據(jù)安全和個(gè)人信息保護(hù)工作進(jìn)入了制度化�����、規(guī)范化、標(biāo)準(zhǔn)化新階段�。對(duì)于醫(yī)療機(jī)構(gòu)而言,這既是挑戰(zhàn)����,更是機(jī)遇——挑戰(zhàn)在于合規(guī)要求更加嚴(yán)格,機(jī)遇在于規(guī)范管理將為數(shù)據(jù)開發(fā)利用提供制度保障�����。
春風(fēng)化雨�����,潤(rùn)物無聲�����。在數(shù)據(jù)安全的道路上�����,長(zhǎng)三角醫(yī)院聯(lián)盟將始終與醫(yī)療同仁同呼吸��、共命運(yùn),筑牢數(shù)據(jù)安全"防火墻"�����,守護(hù)患者個(gè)人信息安全��,讓醫(yī)療數(shù)據(jù)更好地服務(wù)人民健康����!
數(shù)據(jù)來源: 國(guó)家衛(wèi)生健康委《關(guān)于印發(fā)醫(yī)療衛(wèi)生機(jī)構(gòu)數(shù)據(jù)安全和個(gè)人信息保護(hù)管理辦法(試行)的通知》(國(guó)衛(wèi)規(guī)劃發(fā)〔2026〕6號(hào))
特別聲明:智慧醫(yī)療網(wǎng)轉(zhuǎn)載其他網(wǎng)站內(nèi)容,出于傳遞更多信息而非盈利之目的��,同時(shí)并不代表贊成其觀點(diǎn)或證實(shí)其描述�,內(nèi)容僅供參考。版權(quán)歸原作者所有���,若有侵權(quán)�����,請(qǐng)聯(lián)系我們刪除�。
凡來源注明智慧醫(yī)療網(wǎng)的內(nèi)容為智慧醫(yī)療網(wǎng)原創(chuàng)�����,轉(zhuǎn)載需獲授權(quán)。
