2020年12月14日，國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)發(fā)布GB/T39725-2020《信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南》（“《安全指南》”），該《安全指南》將于2021年7月1日生效實(shí)施。鑒于如今隨著健康醫(yī)療數(shù)據(jù)、“互聯(lián)網(wǎng)+醫(yī)療健康”和智慧醫(yī)療的蓬勃發(fā)展，各類新業(yè)務(wù)、新應(yīng)用層出不窮，健康醫(yī)療數(shù)據(jù)在全生命周期各階段均面臨著越來(lái)越多的安全挑戰(zhàn)，為了更好的保護(hù)健康醫(yī)療數(shù)據(jù)的安全，規(guī)范和推動(dòng)健康醫(yī)療數(shù)據(jù)的融合共享和開(kāi)放應(yīng)用，《安全指南》應(yīng)運(yùn)而生。

　　一、《安全指南》的規(guī)制與適用對(duì)象

　　《安全指南》將“健康醫(yī)療數(shù)據(jù)”作為規(guī)制對(duì)象，將其定義為“個(gè)人健康醫(yī)療數(shù)據(jù)以及由個(gè)人健康醫(yī)療數(shù)據(jù)加工處理之后得到的健康醫(yī)療相關(guān)電子數(shù)據(jù)”，具體可分為個(gè)人屬性數(shù)據(jù)、健康狀況數(shù)據(jù)、醫(yī)療應(yīng)用數(shù)據(jù)、醫(yī)療支付數(shù)據(jù)、衛(wèi)生資源數(shù)據(jù)、公共衛(wèi)生數(shù)據(jù)六大類。

　　使用“健康醫(yī)療數(shù)據(jù)”的名詞表述也是本《安全指南》的獨(dú)創(chuàng)之處，在《安全指南》發(fā)布之前，對(duì)于此類相關(guān)數(shù)據(jù)，《人口健康信息管理辦法（試行）》中表述為“人口健康信息”；《信息安全技術(shù) 個(gè)人信息安全規(guī)范》中表述為“個(gè)人健康生理信息”；《國(guó)家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法（試行）》中表述為“健康醫(yī)療大數(shù)據(jù)”。在本《安全指南》中統(tǒng)稱為個(gè)人健康醫(yī)療數(shù)據(jù)或健康醫(yī)療數(shù)據(jù)。

　　《安全指南》的適用對(duì)象為“健康醫(yī)療數(shù)據(jù)控制者”及其他角色，所謂“健康醫(yī)療數(shù)據(jù)控制者”是指“能夠決定健康醫(yī)療數(shù)據(jù)處理目的、方式及范圍等的組織或個(gè)人”，比如提供健康醫(yī)療服務(wù)的組織、醫(yī)保機(jī)構(gòu)、政府機(jī)構(gòu)、健康醫(yī)療科學(xué)研究機(jī)構(gòu)、個(gè)體診所等。除了“健康醫(yī)療數(shù)據(jù)控制者”，《安全指南》中還規(guī)定了個(gè)別的相關(guān)角色，比如“健康醫(yī)療數(shù)據(jù)處理者”（健康醫(yī)療信息系統(tǒng)供應(yīng)商、健康醫(yī)療數(shù)據(jù)分析公司、輔助診療解決方案供應(yīng)商等）及“健康醫(yī)療數(shù)據(jù)使用者”等。

　　二、《安全指南》的主要內(nèi)容

　　《安全指南》共分為11個(gè)章節(jié)，除了定義和介紹部分，主體內(nèi)容包括分類體系、使用披露原則、安全措施要點(diǎn)、安全管理指南、安全技術(shù)指南和典型場(chǎng)景數(shù)據(jù)安全等內(nèi)容。其內(nèi)容的幾大特色之處在于：

　　首先，《安全指南》對(duì)于規(guī)制對(duì)象和適用對(duì)象有獨(dú)創(chuàng)的劃分體系，具體表現(xiàn)為：

　　第一，《安全指南》將“健康醫(yī)療數(shù)據(jù)”分為六個(gè)類別，并對(duì)各個(gè)類別中具體包含的內(nèi)容進(jìn)行了明確列舉：

　　第二，《安全指南》根據(jù)數(shù)據(jù)的重要程度和可能造成損害和影響的級(jí)別對(duì)上述“健康醫(yī)療數(shù)據(jù)”分為五個(gè)級(jí)別，針對(duì)不同級(jí)別，控制者可使用和披露的范圍及采取的安全措施有所不同：

　　第三，《安全指南》將參與健康醫(yī)療數(shù)據(jù)使用和處理的角色分為四大類，即個(gè)人健康醫(yī)療數(shù)據(jù)主體、健康醫(yī)療數(shù)據(jù)控制者、健康醫(yī)療數(shù)據(jù)處理者和健康醫(yī)療數(shù)據(jù)使用者。并對(duì)各角色之間相互傳輸、使用、存儲(chǔ)健康醫(yī)療數(shù)據(jù)的方式和技術(shù)措施進(jìn)行了規(guī)定，多角度全方面的保障了健康醫(yī)療數(shù)據(jù)的安全。

　　其次，《安全指南》要求控制者在使用和披露健康醫(yī)療數(shù)據(jù)的同時(shí)，需要遵循基本的披露原則，包括但不限于：

　　1. 控制者宜告知主體并獲得授權(quán)，但存在例外情形

　　《安全指南》要求控制者在使用和披露個(gè)人健康醫(yī)療數(shù)據(jù)時(shí)，需要采取通俗易懂的方式對(duì)主體就披露使用的數(shù)據(jù)內(nèi)容、接收方、用途、使用方式等進(jìn)行告知，取得主體授權(quán)。但在涉及向主體本人提供、涉及公共利益或法律法規(guī)要求、涉及科學(xué)研究等目的時(shí)，控制者可以無(wú)需取得主體的授權(quán)。同時(shí)，控制者不得將個(gè)人健康醫(yī)療數(shù)據(jù)用于市場(chǎng)營(yíng)銷活動(dòng)，即不得用于商業(yè)目的，如果需要用于商業(yè)目的，需要主體明確知悉，并自主同意。

　　2. 控制者可以向第三方

相關(guān)知識(shí)

健康醫(yī)療大數(shù)據(jù)的安全與應(yīng)用
ISO27799 醫(yī)療健康信息安全管理體系
區(qū)塊鏈+大數(shù)據(jù)=醫(yī)療行業(yè)的數(shù)據(jù)安全和患者隱私的革命
論新時(shí)代醫(yī)療衛(wèi)生信息技術(shù)和大數(shù)據(jù)應(yīng)用發(fā)展及未來(lái)
關(guān)于落實(shí)衛(wèi)生健康行業(yè)網(wǎng)絡(luò)信息與數(shù)據(jù)安全責(zé)任的通知
國(guó)家醫(yī)療質(zhì)量安全改進(jìn)目標(biāo)權(quán)威解讀⑥
科技資迅｜電子健康檔案里的信息安全
全球健康醫(yī)療大數(shù)據(jù)報(bào)告
電子健康檔案，保障你的醫(yī)療信息安全與隱私
2023年中國(guó)健康醫(yī)療大數(shù)據(jù)行業(yè)發(fā)展現(xiàn)狀分析 政策積極推進(jìn)醫(yī)療數(shù)據(jù)安全治理

網(wǎng)址: 《信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南》之解讀 http://m.u1s5d6.cn/newsview334691.html