近年來(lái)，隨著《國(guó)務(wù)院辦公廳關(guān)于促進(jìn)和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見》《國(guó)務(wù)院辦公廳關(guān)于促進(jìn)“互聯(lián)網(wǎng)+醫(yī)療健康”行業(yè)發(fā)展的意見》《關(guān)于深入開展“互聯(lián)網(wǎng)+醫(yī)療健康”便民惠民活動(dòng)的通知》《關(guān)于進(jìn)一步推動(dòng)互聯(lián)網(wǎng)醫(yī)療服務(wù)發(fā)展和規(guī)范管理的通知》《關(guān)于深入推進(jìn)“互聯(lián)網(wǎng)+醫(yī)療健康”“五個(gè)一”服務(wù)行動(dòng)的通知》等政策文件的出臺(tái)，以及大數(shù)據(jù)、人工智能等新型技術(shù)的發(fā)展，健康醫(yī)療數(shù)據(jù)應(yīng)用、“互聯(lián)網(wǎng)+醫(yī)療健康”和智慧醫(yī)療蓬勃發(fā)展。與此同時(shí)，各種新業(yè)務(wù)、新應(yīng)用的不斷出現(xiàn)也使得健康醫(yī)療數(shù)據(jù)在全生命周期各階段面臨著越來(lái)越多的安全挑戰(zhàn)。例如在新冠肺炎疫情期間，國(guó)內(nèi)醫(yī)療影像AI公司匯醫(yī)慧影遭黑客入侵，[1]青島膠州6000余人就診名單信息泄露[2]等等。

健康醫(yī)療數(shù)據(jù)具有普遍的真實(shí)性和隱私性，從微觀上包含個(gè)體身體健康情況、醫(yī)療就診情況等數(shù)據(jù)，從宏觀上包含疾病傳播、區(qū)域人口健康狀況等數(shù)據(jù)，健康醫(yī)療數(shù)據(jù)安全事關(guān)患者生命安全、個(gè)人信息安全、社會(huì)公共利益和國(guó)家安全。為了更好地保護(hù)健康醫(yī)療數(shù)據(jù)安全，規(guī)范和推動(dòng)健康醫(yī)療數(shù)據(jù)的融合共享、開放應(yīng)用，促進(jìn)健康醫(yī)療事業(yè)發(fā)展，《信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南》（GB/T 39725-2020，以下簡(jiǎn)稱《安全指南》）經(jīng)多次修訂完善、驗(yàn)證試點(diǎn)、修改名稱后已對(duì)外發(fā)布，將于2021年7月1日起正式實(shí)施。

本文將圍繞健康醫(yī)療數(shù)據(jù)安全的實(shí)現(xiàn)，從健康醫(yī)療數(shù)據(jù)的概念出發(fā)，結(jié)合典型場(chǎng)景對(duì)健康醫(yī)療數(shù)據(jù)的安全目標(biāo)及其實(shí)現(xiàn)的基礎(chǔ)、原則、措施要點(diǎn)和具體方式進(jìn)行體系化解讀。

一、健康醫(yī)療數(shù)據(jù)的概念

《安全指南》對(duì)健康醫(yī)療數(shù)據(jù)進(jìn)行了較為明確的界定，“包括個(gè)人健康醫(yī)療數(shù)據(jù)以及由個(gè)人健康醫(yī)療數(shù)據(jù)加工處理之后得到的健康醫(yī)療相關(guān)電子數(shù)據(jù)?！逼渲校皞€(gè)人健康醫(yī)療數(shù)據(jù)”與《信息安全技術(shù) 個(gè)人信息安全規(guī)范》（GB/T 35273—2020，以下簡(jiǎn)稱《個(gè)人信息安全規(guī)范》）中的“個(gè)人信息”基本保持同樣的邏輯基礎(chǔ)，是指“單獨(dú)或者與其他信息結(jié)合后能夠識(shí)別特定自然人或者反映特定自然人生理或心理健康的相關(guān)電子數(shù)據(jù)?！笨梢岳斫鉃椤皞€(gè)人健康醫(yī)療數(shù)據(jù)”是一種特殊的“個(gè)人信息”。而“由個(gè)人健康醫(yī)療數(shù)據(jù)加工處理之后得到的健康醫(yī)療相關(guān)電子數(shù)據(jù)”則包括群體總體分析結(jié)果、趨勢(shì)預(yù)測(cè)、疾病防治統(tǒng)計(jì)數(shù)據(jù)等。值得注意的是，《安全指南》中對(duì)健康醫(yī)療數(shù)據(jù)的界定僅限于電子數(shù)據(jù)，主要是基于“互聯(lián)網(wǎng)+醫(yī)療健康”的快速發(fā)展擴(kuò)大了電子數(shù)據(jù)的應(yīng)用，并提升了電子數(shù)據(jù)安全保護(hù)的重要性和迫切性，而且，縱覽《安全指南》，其內(nèi)容也基本是圍繞電子數(shù)據(jù)展開的。

此外，在我國(guó)現(xiàn)有法律法規(guī)以及其他標(biāo)準(zhǔn)中，對(duì)健康醫(yī)療數(shù)據(jù)相關(guān)的術(shù)語(yǔ)表述及內(nèi)涵也各有差異，此次《安全指南》通過(guò)定義和劃分類別及范圍（詳見三、（一）健康醫(yī)療數(shù)據(jù)分類分級(jí)）的方式，已基本將下述數(shù)據(jù)納入并統(tǒng)一整合。

二、健康醫(yī)療數(shù)據(jù)安全目標(biāo)

與立法目的相似，安全目標(biāo)是制定《安全指南》所要達(dá)到的任務(wù)目的，決定了《安全指南》的具體內(nèi)容并統(tǒng)領(lǐng)其價(jià)值取向。在《安全指南》中，健康醫(yī)療數(shù)據(jù)保護(hù)的安全目標(biāo)共分為三個(gè)層次：一是從數(shù)據(jù)本身的角度，確保其保密性、完整性和可用性；二是從數(shù)據(jù)使用和披露安全性角度，確保合法合規(guī)性，保護(hù)個(gè)人信息安全、公眾利益和國(guó)家安全；三是從業(yè)務(wù)的角度，確保在符合安全要求的前提下滿足業(yè)務(wù)發(fā)展需求。

可以看出，在目標(biāo)設(shè)計(jì)上，《安全指南》兼顧了安全需要和發(fā)展需要，并且安全的含義不僅僅是技術(shù)上的保密性、完整性和可用性要求，也包含了對(duì)其他主體合法權(quán)益的保護(hù)要求。

三、安全目標(biāo)實(shí)現(xiàn)的基礎(chǔ)與指導(dǎo)原則

（一）基礎(chǔ)：健康醫(yī)療數(shù)據(jù)分類分級(jí)

1.  健康醫(yī)療數(shù)據(jù)分類

《安全指南》參考健康醫(yī)療數(shù)據(jù)的應(yīng)用場(chǎng)景、特征等因素，將健康醫(yī)療數(shù)據(jù)分為如下類別，并劃定相應(yīng)范圍：

2.健康醫(yī)療數(shù)據(jù)分級(jí)

《安全指南》根據(jù)數(shù)據(jù)重要程度、風(fēng)險(xiǎn)級(jí)別以及對(duì)個(gè)人健康醫(yī)療數(shù)據(jù)主體可能造成的損害和影響的級(jí)別進(jìn)行分級(jí)，具體如下：

盡管《安全指南》僅為推薦性標(biāo)準(zhǔn)，但此處分類分級(jí)對(duì)于相關(guān)組織開展數(shù)據(jù)分類分級(jí)工作具有重要現(xiàn)實(shí)意義，一方面可以滿足遵從性的合規(guī)要求，另一方面也可以提升其自身信息化水平和運(yùn)營(yíng)能力。具體而言，數(shù)據(jù)分類可以更好地將數(shù)據(jù)資產(chǎn)化，保護(hù)數(shù)據(jù)的可用性，以便持續(xù)性提供精準(zhǔn)的數(shù)據(jù)服務(wù)；數(shù)據(jù)分級(jí)可以從安全角度保駕護(hù)航，明確不同等級(jí)數(shù)據(jù)在不同場(chǎng)景的安全策略，以實(shí)現(xiàn)聚焦和資源的合理化配置，更好地保護(hù)數(shù)據(jù)的完整性、保密性。此外，健康醫(yī)療數(shù)據(jù)分類分級(jí)是安全目標(biāo)實(shí)現(xiàn)的基礎(chǔ)，數(shù)據(jù)開放形式劃分和使用披露原則也是基于數(shù)據(jù)分類分級(jí)而確定，從而實(shí)現(xiàn)更精細(xì)化的管理。

（二）原則之一：數(shù)據(jù)開放形式劃分

數(shù)據(jù)開放形式是相對(duì)于《健康醫(yī)療數(shù)據(jù)安全指南（征求意見稿）》（2019年4月4日）增加的內(nèi)容，《安全指南》根據(jù)數(shù)據(jù)公開共享類型劃分為完全公開共享、受控公開共享、領(lǐng)地公開共享，相應(yīng)確定常見數(shù)據(jù)開放形式及其適用的公開共享類型。具體而言，《安全指南》列出常見的數(shù)據(jù)開放形式有：網(wǎng)站公開（完全公開共享）、文件共享（受控公開共享）、API接入（受控公開共享）、在線查詢（匿名查詢：完全公開共享；用戶查詢：受控公開共享）、數(shù)據(jù)分析平臺(tái)（領(lǐng)地公開共享）?？梢钥闯?，完全公開共享可對(duì)應(yīng)數(shù)據(jù)分級(jí)中的第1級(jí)，受控公開共享和領(lǐng)地公開共享可以對(duì)應(yīng)數(shù)據(jù)分級(jí)中的第2級(jí)至第5級(jí)，其中，受控公開共享強(qiáng)調(diào)通過(guò)數(shù)據(jù)使用協(xié)議對(duì)數(shù)據(jù)使用進(jìn)行約束，領(lǐng)地公開共享則強(qiáng)調(diào)將數(shù)據(jù)限定在物理或虛擬的領(lǐng)地范圍內(nèi)。

（三）原則之二：使用披露原則

《安全指南》共列出18條健康醫(yī)療數(shù)據(jù)使用披露原則，包含數(shù)據(jù)收集、使用、委托處理、提供、存儲(chǔ)、匯聚融合、跨境傳輸、主體權(quán)利等方面，基本覆蓋數(shù)據(jù)全生命周期環(huán)節(jié)。值得注意的是，由于健康醫(yī)療數(shù)據(jù)的特殊性，《安全指南》中提出的部分使用披露原則相對(duì)現(xiàn)有法律法規(guī)、標(biāo)準(zhǔn)具有一定特別之處，鑒于《安全指南》僅為推薦性標(biāo)準(zhǔn)，仍建議在實(shí)踐中遵照現(xiàn)有生效的法律法規(guī)規(guī)定予以執(zhí)行。對(duì)相關(guān)使用披露原則列舉如下：

（1）數(shù)據(jù)授權(quán)同意的例外?！栋踩改稀访鞔_了四種可以使用或披露相應(yīng)個(gè)人健康醫(yī)療數(shù)據(jù)的授權(quán)同意例外情形，具體為：1)向主體提供其本人健康醫(yī)療數(shù)據(jù)；2)治療、支付或保健護(hù)理；3)涉及公共利益或法律法規(guī)要求；4)受限制數(shù)據(jù)集用于科學(xué)研究、醫(yī)學(xué)/健康教育、公共衛(wèi)生目的。并指出控制者可依靠法律法規(guī)要求、職業(yè)道德、倫理和專業(yè)判斷來(lái)確定哪些個(gè)人健康醫(yī)療數(shù)據(jù)允許被使用或披露。

其中，受限制數(shù)據(jù)集是指“經(jīng)過(guò)部分去標(biāo)識(shí)化處理，但仍可識(shí)別相應(yīng)個(gè)人并因此需要保護(hù)的個(gè)人健康醫(yī)療數(shù)據(jù)集”?！睹穹ǖ洹芬?guī)定經(jīng)過(guò)加工無(wú)法識(shí)別特定個(gè)人且不能復(fù)原的個(gè)人信息才可向他人提供，《個(gè)人信息安全規(guī)范》中規(guī)定在個(gè)人信息控制者為學(xué)術(shù)研究機(jī)構(gòu)，出于公共利益開展統(tǒng)計(jì)或?qū)W術(shù)研究所必要，且其對(duì)外提供學(xué)術(shù)研究或描述的結(jié)果時(shí)，對(duì)結(jié)果中所包含的個(gè)人信息進(jìn)行去標(biāo)識(shí)化處理的，才可不必征得主體的授權(quán)同意?！栋踩改稀穼⒖勺R(shí)別相應(yīng)個(gè)人的受限數(shù)據(jù)集用于科學(xué)研究、醫(yī)學(xué)/健康教育、公共衛(wèi)生目的作為授權(quán)同意的例外，可以看出是在健康醫(yī)療數(shù)據(jù)的可用性與公共利益保護(hù)之間尋求平衡。此外，《安全指南》指出控制者可依靠法律法規(guī)要求、職業(yè)道德、倫理和專業(yè)判斷來(lái)確定哪些個(gè)人健康醫(yī)療數(shù)據(jù)允許被使用或披露，提出了一種具有一定操作性的豁免同意的實(shí)現(xiàn)路徑，但鑒于健康醫(yī)療數(shù)據(jù)本身的復(fù)雜性、敏感性，依靠職業(yè)道德、倫理等判斷是否可在未取得個(gè)人授權(quán)同意的情況下使用或披露存在較大不確定性，也有可能被司法、行政機(jī)關(guān)認(rèn)定為非法提供數(shù)據(jù)行為而具有一定風(fēng)險(xiǎn)。因此，穩(wěn)妥的做法仍然是遵照現(xiàn)有生效法律法規(guī)要求。

（2）限制使用或披露的主體權(quán)利。對(duì)于數(shù)據(jù)主體要求控制者限制使用或披露、限制向相關(guān)人員披露數(shù)據(jù)，《安全指南》明確控制者沒(méi)有義務(wù)同意該限制請(qǐng)求，但一旦同意，除非法律法規(guī)要求以及醫(yī)療緊急情況下，控制者宜遵守約定的限制?！睹穹ǖ洹贰毒W(wǎng)絡(luò)安全法》《個(gè)人信息安全規(guī)范》等并未明確規(guī)定主體要求控制者限制使用、披露的權(quán)利，但主體有權(quán)撤回授權(quán)同意，控制者應(yīng)提供撤回授權(quán)同意的方法并對(duì)主體提出的請(qǐng)求及時(shí)響應(yīng)。《安全指南》規(guī)定控制者可以不響應(yīng)數(shù)據(jù)主體的限制請(qǐng)求，很可能是基于健康醫(yī)療數(shù)據(jù)個(gè)體性與群體性相結(jié)合的特殊之處，出于維護(hù)公共安全、公共衛(wèi)生等公共利益的考量，但結(jié)合現(xiàn)有規(guī)定，建議控制者在不同意主體限制請(qǐng)求時(shí)同時(shí)說(shuō)明理由，且該理由應(yīng)出于維護(hù)國(guó)家利益、公共利益等的需要。

（3）歷史回溯查詢的主體權(quán)利?！栋踩改稀芬?guī)定，主體有權(quán)對(duì)控制者或處理者使用或披露數(shù)據(jù)的情況進(jìn)行歷史回溯查詢，最短回溯期為6年?！睹穹ǖ洹贰秱€(gè)人信息安全規(guī)范》等并未對(duì)主體的歷史回溯查詢的權(quán)利進(jìn)行明確規(guī)定，且在《安全指南》中歷史回溯查詢的權(quán)利并不同于訪問(wèn)的權(quán)利。此外，最短回溯期的時(shí)間也不完全等同于數(shù)據(jù)存儲(chǔ)時(shí)間，《個(gè)人信息安全規(guī)范》明確個(gè)人信息存儲(chǔ)期限應(yīng)為實(shí)現(xiàn)個(gè)人信息主體授權(quán)使用的目的所必需的最短時(shí)間，但回溯期則要求了最短時(shí)限，并未限制健康醫(yī)療機(jī)構(gòu)可存儲(chǔ)數(shù)據(jù)的最長(zhǎng)期限。主體可查詢歷史數(shù)據(jù)主要是基于對(duì)既往病史等健康醫(yī)療信息了解的需要，值得注意的是，《電子病歷應(yīng)用管理規(guī)范（試行）》規(guī)定門（急）診電子病歷保存時(shí)間自患者最后一次就診之日起不少于15年，住院電子病歷保存時(shí)間自患者最后一次出院之日起不少于30年。針對(duì)不同規(guī)定中的不同時(shí)限要求，建議在實(shí)際操作中同時(shí)結(jié)合現(xiàn)有法律法規(guī)的規(guī)定予以執(zhí)行。

（4）健康醫(yī)療數(shù)據(jù)的跨境傳輸。根據(jù)《安全指南》，基于學(xué)術(shù)研討需要的健康醫(yī)療數(shù)據(jù)跨境傳輸宜進(jìn)行必要的去標(biāo)識(shí)化處理，經(jīng)數(shù)據(jù)安全委員會(huì)（關(guān)于“數(shù)據(jù)安全委員會(huì)”見五、（一）安全管理要求）討論審批同意，且數(shù)量在250條以內(nèi)的非涉密非重要數(shù)據(jù)可以提供。對(duì)于不涉及國(guó)家秘密、重要數(shù)據(jù)或者其他禁止或限制向境外提供的數(shù)據(jù)，宜經(jīng)主體授權(quán)同意和數(shù)據(jù)安全委員會(huì)討論審批同意，且累計(jì)數(shù)據(jù)量控制在250條以內(nèi)。

關(guān)于重要數(shù)據(jù)的概念，《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》中規(guī)定，重要數(shù)據(jù)是指“與國(guó)家安全、經(jīng)濟(jì)發(fā)展，以及社會(huì)公共利益密切相關(guān)的數(shù)據(jù)，具體范圍參照國(guó)家有關(guān)標(biāo)準(zhǔn)和重要數(shù)據(jù)識(shí)別指南?！钡刂聊壳埃瑖?guó)家尚未出臺(tái)重要數(shù)據(jù)識(shí)別指南相關(guān)法律文件或標(biāo)準(zhǔn)，重要數(shù)據(jù)的概念和范圍仍待明確。

健康醫(yī)療數(shù)據(jù)普遍具有重要性，對(duì)其是否可以跨境傳輸更需謹(jǐn)慎。根據(jù)《個(gè)人信息和重要數(shù)據(jù)出境安全評(píng)估辦法（征求意見稿）》，出境數(shù)據(jù)中包含人口健康領(lǐng)域數(shù)據(jù)的，應(yīng)報(bào)請(qǐng)行業(yè)主管或監(jiān)管部門組織安全評(píng)估?！秶?guó)家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法（試行）》規(guī)定，“健康醫(yī)療大數(shù)據(jù)應(yīng)當(dāng)存儲(chǔ)在境內(nèi)安全可信的服務(wù)器上，因業(yè)務(wù)需要確需向境外提供的，應(yīng)當(dāng)按照相關(guān)法律法規(guī)及有關(guān)要求進(jìn)行安全評(píng)估審核”?！度丝诮】敌畔⒐芾磙k法（試行）》明確要求“不得將人口健康信息存儲(chǔ)于境外服務(wù)器，不得托管、租賃在境外的服務(wù)器”。《生物安全法》（尚未生效）和《人類遺傳資源管理?xiàng)l例》均規(guī)定，將我國(guó)人類遺傳資源信息向境外提供或者開放使用的，應(yīng)當(dāng)向國(guó)務(wù)院科學(xué)技術(shù)部門事先報(bào)告（或備案）并提交信息備份。

首先，健康醫(yī)療數(shù)據(jù)中的非涉密非重要數(shù)據(jù)認(rèn)定本身就具有較大的不確定性，其次，將250條以內(nèi)不涉及國(guó)家秘密、重要數(shù)據(jù)或者其他禁止或限制的數(shù)據(jù)允許跨境傳輸中“其他禁止或限制的數(shù)據(jù)”的兜底規(guī)定也給操作帶來(lái)了困難。因此，在實(shí)踐層面，完整執(zhí)行《安全指南》關(guān)于健康醫(yī)療數(shù)據(jù)跨境傳輸?shù)囊?guī)定的可行性仍有待時(shí)間考驗(yàn)。

四、安全目標(biāo)實(shí)現(xiàn)的措施要點(diǎn)

根據(jù)前述健康醫(yī)療數(shù)據(jù)安全目標(biāo)實(shí)現(xiàn)的基礎(chǔ)和原則，《安全指南》分別相應(yīng)確定了分級(jí)安全措施要點(diǎn)、場(chǎng)景安全措施要點(diǎn)和開放安全措施要點(diǎn)。

（一）分級(jí)安全措施要點(diǎn)

分級(jí)安全措施要點(diǎn)針對(duì)不同級(jí)別的數(shù)據(jù)實(shí)施不同安全保護(hù)措施，重點(diǎn)在于授權(quán)管理、身份鑒別、訪問(wèn)控制管理。具體而言，對(duì)于第1級(jí)數(shù)據(jù)僅需評(píng)審是否可公開；對(duì)于第2級(jí)數(shù)據(jù)宜進(jìn)行去標(biāo)識(shí)化處理，通過(guò)協(xié)議或領(lǐng)地公開共享模式管控，確保數(shù)據(jù)的完整性和真實(shí)性；對(duì)于第3級(jí)數(shù)據(jù)需部分遮蔽個(gè)人信息，環(huán)境與接收人數(shù)量需受到限制；對(duì)于第4級(jí)數(shù)據(jù)宜嚴(yán)格管控環(huán)境與接收人，高標(biāo)準(zhǔn)保證數(shù)據(jù)完整性和可用性；對(duì)于第5級(jí)數(shù)據(jù)需采取嚴(yán)格的身份鑒別、訪問(wèn)控制等措施。

（二）場(chǎng)景安全措施要點(diǎn)

結(jié)合健康醫(yī)療數(shù)據(jù)實(shí)際場(chǎng)景，《安全指南》將相關(guān)組織或個(gè)人劃分為四類角色，具體包括：1）個(gè)人健康醫(yī)療數(shù)據(jù)主體（簡(jiǎn)稱“主體”），即個(gè)人健康醫(yī)療數(shù)據(jù)所標(biāo)識(shí)的自然人；2）健康醫(yī)療數(shù)據(jù)控制者（簡(jiǎn)稱“控制者”），即能夠決定健康醫(yī)療數(shù)據(jù)處理目的、方式及范圍等的組織或個(gè)人；3）健康醫(yī)療數(shù)據(jù)處理者（簡(jiǎn)稱“處理者”），即代表控制者采集、傳輸、存儲(chǔ)、使用、處理或披露其掌握的健康醫(yī)療數(shù)據(jù)，或?yàn)榭刂普咛峁┥婕敖】滇t(yī)療數(shù)據(jù)的使用、處理或者披露服務(wù)的相關(guān)組織或個(gè)人；4）健康醫(yī)療數(shù)據(jù)使用者（簡(jiǎn)稱“使用者”），即對(duì)健康醫(yī)療數(shù)據(jù)進(jìn)行利用的相關(guān)組織或個(gè)人。對(duì)于任何組織或個(gè)人而言，首先需要圍繞特定數(shù)據(jù)，結(jié)合所處的特定場(chǎng)景或特定的數(shù)據(jù)使用處理行為來(lái)判斷自身角色定位，且只能定位為其中一個(gè)角色。

《安全指南》基于不同角色之間的數(shù)據(jù)流動(dòng)，劃分了6類數(shù)據(jù)流通使用場(chǎng)景，并針對(duì)不同場(chǎng)景以及各角色在健康醫(yī)療數(shù)據(jù)使用過(guò)程中所涉及的不同安全環(huán)節(jié)與責(zé)任，明確相應(yīng)安全措施要點(diǎn)（如下圖表所示）。需要明確的是，在控制者與控制者之間的數(shù)據(jù)流通使用場(chǎng)景，雙方均需要滿足數(shù)據(jù)傳輸、存儲(chǔ)、使用相關(guān)要求。另外，《安全指南》區(qū)分了采集與收集的內(nèi)涵，將控制者從外部獲取數(shù)據(jù)的過(guò)程界定為“采集”，將控制者內(nèi)部數(shù)據(jù)使用過(guò)程中的數(shù)據(jù)獲取界定為“收集”。值得注意區(qū)別的一點(diǎn)是，《民法典》《網(wǎng)絡(luò)安全法》僅僅規(guī)定了“收集”這一概念，并未使用“采集”的概念。

 （三）開放安全措施要點(diǎn)

開放安全措施要點(diǎn)針對(duì)健康醫(yī)療數(shù)據(jù)開放形式，明確所有開放形式均宜：1）遵循“最少必要原則”；2）確保符合合法性、正當(dāng)性和必要性要求；3）根據(jù)使用目的盡可能去標(biāo)識(shí)化；4）明確數(shù)據(jù)開發(fā)和使用目的、使用方需承擔(dān)的安全責(zé)任、安全措施等，涉及出境的宜依規(guī)進(jìn)行安全評(píng)估，涉及重要數(shù)據(jù)的宜依規(guī)進(jìn)行評(píng)估審批。此外，針對(duì)前述五類不同的數(shù)據(jù)開放形式，還需要滿足對(duì)應(yīng)的安全措施要點(diǎn)。

五、安全目標(biāo)實(shí)現(xiàn)的方式

（一）安全管理要求

為實(shí)現(xiàn)安全目標(biāo)，健康醫(yī)療機(jī)構(gòu)進(jìn)行數(shù)據(jù)分類分級(jí)，采取有針對(duì)性的安全措施后，需對(duì)實(shí)施措施后的效果進(jìn)行檢查，并持續(xù)改進(jìn)。在安全管理方面，《安全指南》明確了組織、過(guò)程和應(yīng)急處置相關(guān)的管理要求。

在組織上，宜建立完善的組織保障體系，組織架構(gòu)中至少包括健康醫(yī)療數(shù)據(jù)安全委員會(huì)和健康醫(yī)療數(shù)據(jù)安全工作辦公室，其中委員會(huì)應(yīng)是健康醫(yī)療數(shù)據(jù)安全的最高領(lǐng)導(dǎo)機(jī)構(gòu)，全面負(fù)責(zé)相關(guān)工作并討論決定重大事項(xiàng)，辦公室則負(fù)責(zé)健康醫(yī)療數(shù)據(jù)安全日常執(zhí)行工作。在過(guò)程上，《安全指南》劃分規(guī)劃、實(shí)施、檢查、改進(jìn)階段，并明確各階段的主要工作，將健康醫(yī)療數(shù)據(jù)安全工作覆蓋事前、事中、事后全過(guò)程，實(shí)現(xiàn)全流程的數(shù)據(jù)安全管理。在應(yīng)急處置上，包含建立應(yīng)急預(yù)案，制定專門應(yīng)急支撐隊(duì)伍、專家隊(duì)伍，制定災(zāi)難恢復(fù)計(jì)劃，數(shù)據(jù)安全事件報(bào)告，以及綜合評(píng)估等工作，保證在遇到數(shù)據(jù)安全事件時(shí)能夠及時(shí)有序地應(yīng)對(duì)。

（二）安全技術(shù)要求

針對(duì)健康醫(yī)療數(shù)據(jù)的安全技術(shù)要求，《安全指南》在明確通用安全技術(shù)的基礎(chǔ)上，結(jié)合健康醫(yī)療數(shù)據(jù)的特殊性進(jìn)一步規(guī)范了去標(biāo)識(shí)化工作。關(guān)于通用安全技術(shù)，宜對(duì)承載健康醫(yī)療數(shù)據(jù)的信息系統(tǒng)和網(wǎng)絡(luò)實(shí)施以及云平臺(tái)等進(jìn)行安全保護(hù)，針對(duì)數(shù)據(jù)生命周期的各項(xiàng)活動(dòng)實(shí)施安全措施，建立安全的數(shù)據(jù)管理基礎(chǔ)設(shè)施，實(shí)施身份鑒別、訪問(wèn)控制、安全審計(jì)、入侵防范、介質(zhì)使用管理、備份恢復(fù)、剩余信息保護(hù)等安全措施等等。關(guān)于去標(biāo)識(shí)化，《安全指南》明確宜去除個(gè)人屬性數(shù)據(jù)中可唯一識(shí)別到個(gè)人的信息或披露后會(huì)給個(gè)人造成重大影響的信息，對(duì)于個(gè)人屬性數(shù)據(jù)中可間接關(guān)聯(lián)到個(gè)人的信息宜進(jìn)行泛化、轉(zhuǎn)換等處理，數(shù)據(jù)集中所有屬性值相同的人數(shù)最低宜在5人以上，控制者內(nèi)部建立患者代碼索引，去標(biāo)識(shí)化中使用的參數(shù)配置僅限于內(nèi)部專人管理，禁止使用者參與去標(biāo)識(shí)化相關(guān)工作等。

六、典型場(chǎng)景數(shù)據(jù)安全

《安全指南》列舉了8個(gè)典型場(chǎng)景中的重點(diǎn)數(shù)據(jù)安全措施，分別為醫(yī)生調(diào)閱、患者查詢、臨床研究、二次利用、健康傳感、移動(dòng)應(yīng)用、商業(yè)保險(xiǎn)對(duì)接、醫(yī)療器械。這8個(gè)場(chǎng)景是健康醫(yī)療數(shù)據(jù)實(shí)際使用或披露過(guò)程中的常見場(chǎng)景，對(duì)于健康醫(yī)療數(shù)據(jù)安全保護(hù)的實(shí)踐具有指導(dǎo)意義。相較于《健康醫(yī)療數(shù)據(jù)安全指南（征求意見稿）》（2019年4月4日），《安全指南》刪除了互聯(lián)互通、遠(yuǎn)程醫(yī)療場(chǎng)景，增加了醫(yī)生調(diào)閱場(chǎng)景，將器械維護(hù)修改為醫(yī)療器械場(chǎng)景，器械維護(hù)作為醫(yī)療器械場(chǎng)景中的一部分。

以商業(yè)保險(xiǎn)對(duì)接安全場(chǎng)景為例，購(gòu)買商業(yè)保險(xiǎn)的主體在定點(diǎn)醫(yī)療機(jī)構(gòu)就醫(yī)時(shí)，商業(yè)保險(xiǎn)公司通過(guò)與醫(yī)療機(jī)構(gòu)建立連接的醫(yī)療信息系統(tǒng)，及時(shí)掌握主體就診情況以及相關(guān)費(fèi)用，從而根據(jù)規(guī)則進(jìn)行理賠業(yè)務(wù)。在該場(chǎng)景中，涉及的數(shù)據(jù)有個(gè)人屬性數(shù)據(jù)、健康狀況數(shù)據(jù)、醫(yī)療應(yīng)用數(shù)據(jù)、醫(yī)療支付數(shù)據(jù)、衛(wèi)生資源數(shù)據(jù)。醫(yī)療機(jī)構(gòu)與商業(yè)保險(xiǎn)公司建立連接時(shí)，可在醫(yī)療信息系統(tǒng)對(duì)接前、對(duì)接中、對(duì)接后三個(gè)階段采取相應(yīng)安全措施（如下表所示）?？梢钥闯?，數(shù)據(jù)分類分級(jí)貫穿于整個(gè)安全場(chǎng)景，分權(quán)管理、訪問(wèn)權(quán)限和限制、不同加密傳輸方式等措施則是對(duì)數(shù)據(jù)分級(jí)、數(shù)據(jù)開放形式劃分的體現(xiàn)。結(jié)合前述場(chǎng)景安全措施要點(diǎn)，在商業(yè)保險(xiǎn)對(duì)接安全場(chǎng)景中，針對(duì)醫(yī)療機(jī)構(gòu)向商業(yè)保險(xiǎn)公司傳輸?shù)奈孱愊嚓P(guān)數(shù)據(jù)，醫(yī)療機(jī)構(gòu)為控制者，商業(yè)保險(xiǎn)公司為使用者，下述重點(diǎn)安全措施也是對(duì)控制者-使用者間數(shù)據(jù)流通使用場(chǎng)景安全措施要點(diǎn)的細(xì)化。此外，安全管理要求和技術(shù)要求也被落實(shí)在具體措施之中，從而實(shí)現(xiàn)在確保數(shù)據(jù)保密性、完整性和可用性，以及數(shù)據(jù)使用和披露合法合規(guī)的基礎(chǔ)上，滿足商業(yè)保險(xiǎn)理賠業(yè)務(wù)的發(fā)展需求。

七、結(jié)語(yǔ)

《安全指南》確立了健康醫(yī)療數(shù)據(jù)安全目標(biāo)，并圍繞安全目標(biāo)的實(shí)現(xiàn)，在明確數(shù)據(jù)分類分級(jí)、數(shù)據(jù)開放形式以及使用披露原則等原則性要求的基礎(chǔ)上，針對(duì)健康醫(yī)療數(shù)據(jù)應(yīng)用過(guò)程中出現(xiàn)的安全問(wèn)題，提出相應(yīng)數(shù)據(jù)安全措施要點(diǎn)，以及管理和技術(shù)兩方面要求，并結(jié)合典型場(chǎng)景予以說(shuō)明，對(duì)于實(shí)踐中健康醫(yī)療數(shù)據(jù)安全的保護(hù)具有較強(qiáng)的指導(dǎo)作用，也為監(jiān)管部門、第三方測(cè)評(píng)機(jī)構(gòu)等開展監(jiān)督管理和評(píng)估等工作提供了指南和依據(jù)。

對(duì)于相關(guān)企業(yè)單位，建議在《安全指南》的指導(dǎo)下，按照現(xiàn)有相關(guān)法律法規(guī)開展健康醫(yī)療數(shù)據(jù)安全合規(guī)檢視工作，以保證在業(yè)務(wù)發(fā)展的同時(shí)確保實(shí)現(xiàn)數(shù)據(jù)安全。

注釋：

[1] 王峰：《AI公司匯醫(yī)慧影回應(yīng)“黑客入侵”傳言 啟示數(shù)據(jù)安全立法應(yīng)加速》，中國(guó)網(wǎng)科學(xué)，

http://science.china.com.cn/2020-05/06/content_41142404.htm，最后訪問(wèn)日期2021年3月14日。

[2] 張靜姝：《青島膠州6000余人就診名單泄露，3人被行拘》，新京報(bào)，

https://www.bjnews.com.cn/detail/158729505815284.html，最后訪問(wèn)日期2021年3月14日。

本文作者：

吳衛(wèi)明律師

wuweiming@allbrightlaw.com

劉昀東律師：

 james.liu@allbrightlaw.com

毛彤 律師助理

maotong@allbrightlaw.com

相關(guān)知識(shí)

健康醫(yī)療大數(shù)據(jù)的安全與應(yīng)用
2023年中國(guó)健康醫(yī)療大數(shù)據(jù)行業(yè)發(fā)展現(xiàn)狀分析 政策積極推進(jìn)醫(yī)療數(shù)據(jù)安全治理
健康醫(yī)療+數(shù)據(jù)中心，又一座健康醫(yī)療大數(shù)據(jù)中心在湖南落地
全球健康醫(yī)療大數(shù)據(jù)報(bào)告
醫(yī)療健康數(shù)據(jù)分析
區(qū)塊鏈+大數(shù)據(jù)=醫(yī)療行業(yè)的數(shù)據(jù)安全和患者隱私的革命
大數(shù)據(jù)時(shí)代的健康醫(yī)療
醫(yī)療健康大數(shù)據(jù)分析：從數(shù)據(jù)到療法創(chuàng)新1.背景介紹 醫(yī)療健康大數(shù)據(jù)分析是一種利用大規(guī)模數(shù)據(jù)集和高級(jí)計(jì)算技術(shù)來(lái)解決醫(yī)療和健康
醫(yī)療大數(shù)據(jù)：數(shù)據(jù)驅(qū)動(dòng)的健康未來(lái)
北方健康醫(yī)療大數(shù)據(jù)怎么樣;北方健康醫(yī)療大數(shù)據(jù)中心

網(wǎng)址: 健康醫(yī)療數(shù)據(jù)安全的實(shí)現(xiàn)新工具《健康醫(yī)療數(shù)據(jù)安全指南》解讀 http://m.u1s5d6.cn/newsview407083.html