近日,國家衛(wèi)生健康委��、公安部、國家互聯(lián)網(wǎng)信息辦公室�����、國家中醫(yī)藥管理局、國家疾病預(yù)防控制局五部門聯(lián)合印發(fā)《醫(yī)療衛(wèi)生機(jī)構(gòu)數(shù)據(jù)安全和個人信息保護(hù)管理辦法(試行)》(國衛(wèi)規(guī)劃發(fā)〔2026〕6 號���,以下簡稱《辦法》)�,為醫(yī)療數(shù)據(jù)安全與患者隱私保護(hù)劃定剛性紅線����,商用密碼、分級保護(hù)����、個人信息全流程管控成為核心關(guān)鍵詞。
商用密碼:核心數(shù)據(jù)的“優(yōu)先護(hù)盾”
《辦法》第十一條明確:法律法規(guī)要求使用商用密碼保護(hù)的�,必須嚴(yán)格執(zhí)行;處理核心數(shù)據(jù)在重要數(shù)據(jù)保護(hù)基礎(chǔ)上����,優(yōu)先使用商用密碼進(jìn)行安全防護(hù),同步落實(shí)以下要求:
·優(yōu)先使用安全可信的產(chǎn)品和服務(wù)�。
·優(yōu)先使用第三方評估機(jī)構(gòu)開展風(fēng)險(xiǎn)評估。
·涉及核心數(shù)據(jù)安全事件處置�、溯源的相關(guān)日志留存時間不少于三年�����。
·對相關(guān)關(guān)鍵崗位人員、涉核心數(shù)據(jù)信息系統(tǒng)建設(shè)和運(yùn)維單位等��,提交公安機(jī)關(guān)�、國家安全機(jī)關(guān)進(jìn)行國家安全背景審查。
此外����,存儲處理重要數(shù)據(jù)須落實(shí)三級及以上網(wǎng)絡(luò)安全等級保護(hù);處理核心數(shù)據(jù)若不涉及關(guān)鍵信息基礎(chǔ)設(shè)施��,應(yīng)落實(shí)四級等保要求���。數(shù)據(jù)級別變更后�,應(yīng)及時重新定級備案����。
分級保護(hù):核心、重要�、一般數(shù)據(jù)分類施策
《辦法》第五條規(guī)定:醫(yī)療衛(wèi)生機(jī)構(gòu)數(shù)據(jù)分為核心數(shù)據(jù)、重要數(shù)據(jù)�、一般數(shù)據(jù)。不同類別��、級別數(shù)據(jù)同時處理且難以分別保護(hù)時,按最高級別實(shí)施保護(hù)�����。
省級衛(wèi)健部門組織開展分類分級��,提出重要/核心數(shù)據(jù)目錄建議并上報(bào)���。醫(yī)療衛(wèi)生機(jī)構(gòu)需定期梳理數(shù)據(jù)��,識別重要數(shù)據(jù)并報(bào)送屬地衛(wèi)健部門����。
數(shù)據(jù)內(nèi)容�����、規(guī)模�����、應(yīng)用場景等發(fā)生變化����,或經(jīng)脫敏�、匯聚融合產(chǎn)生衍生數(shù)據(jù)����,均需重新評估數(shù)據(jù)級別�����。
4. 核心數(shù)據(jù)跨主體流動的特殊要求
核心數(shù)據(jù)跨不同法人主體提供�、轉(zhuǎn)移、共享時���,應(yīng)采取安全措施���。若自當(dāng)年度1月1日起可能累計(jì)達(dá)到上一年度該項(xiàng)核心數(shù)據(jù)靜態(tài)總量的30%及以上,須經(jīng)國家衛(wèi)健委報(bào)有關(guān)部門組織風(fēng)險(xiǎn)評估�。
·重要數(shù)據(jù)處理活動日志(安全事件處置、溯源):不少于1年���;
·向他人提供���、委托處理、共同處理重要數(shù)據(jù)的日志:不少于3年;
·核心數(shù)據(jù)安全事件處置����、溯源相關(guān)日志:不少于3年。
第五章及全文中明確禁止行為�����,覆蓋個人信息處理全生命周期�����。
·不得違法收集�����、不得超范圍收集(第二十九條)����。
·收集須遵循合法、正當(dāng)����、必要和誠信原則,限于實(shí)現(xiàn)處理目的的最小范圍�����。
·不得超授權(quán)調(diào)閱個人信息。須制定授權(quán)規(guī)則�,區(qū)分醫(yī)療、教學(xué)�����、科研等合法調(diào)閱情形���。
·重點(diǎn)加強(qiáng)孕產(chǎn)婦、新生兒�����、艾滋病人�、精神障礙患者、逝者及公眾人物等特殊人群信息管理�����。
·實(shí)行動態(tài)授權(quán)����,及時回收離職離崗人員權(quán)限。推廣使用授權(quán)管理、日志存檔���、數(shù)字水印等技術(shù)�����。
·不得違法提供個人信息(除突發(fā)公衛(wèi)事件��、緊急救治或法律另有規(guī)定外)
·不得在電子屏等公共區(qū)域明文顯示患者姓名�����、身份證號���、電話等;確需顯示應(yīng)脫敏�����。
·未經(jīng)本人同意���,不得在新聞報(bào)道�����、公開講座�、社交媒體、學(xué)術(shù)論文等場景公開患者個人信息�����。
·不得通過通訊軟件�、社交媒體傳輸,不得拍照����、截圖公開�����。
·向境外提供個人信息��,須符合《個人信息保護(hù)法》第三十八條條件���,并取得個人單獨(dú)同意���。
·不得將人臉識別作為唯一驗(yàn)證方式,應(yīng)提供其他合理便捷方式���。
·人臉信息原則上存儲于設(shè)備內(nèi)����,不得通過互聯(lián)網(wǎng)對外傳輸,除非法律另有規(guī)定或取得單獨(dú)同意���。
·委托處理個人信息前��,須進(jìn)行個人信息保護(hù)影響評估����,簽訂委托協(xié)議和保密協(xié)議�。
·應(yīng)定期開展個人信息保護(hù)合規(guī)審計(jì)。
·使用人工智能等技術(shù)涉及患者病歷等個人信息的����,必須確保安全。
不得違法采集 / 違法存儲 / 違法傳輸 / 違法出境 / 越權(quán)使用 / 未經(jīng)授權(quán)處理 / 未經(jīng)批準(zhǔn)提供 / 隨意公開 / 未經(jīng)銷毀報(bào)廢設(shè)備 / 隱瞞安全事件���。
醫(yī)療機(jī)構(gòu)主體責(zé)任與違規(guī)后果
主要負(fù)責(zé)人是第一責(zé)任人����,實(shí)行“管業(yè)務(wù)必須管安全”��。
違規(guī)可能導(dǎo)致警告、罰款���、停止執(zhí)業(yè)活動�����、治安處罰�����、侵權(quán)賠償�,甚至刑事責(zé)任���。
特別聲明:智慧醫(yī)療網(wǎng)轉(zhuǎn)載其他網(wǎng)站內(nèi)容,出于傳遞更多信息而非盈利之目的���,內(nèi)容僅供參考����。版權(quán)歸原作者所有��,若有侵權(quán)�,請聯(lián)系我們刪除�����。
凡來源注明智慧醫(yī)療網(wǎng)的內(nèi)容為智慧醫(yī)療網(wǎng)原創(chuàng)���,轉(zhuǎn)載需獲授權(quán)。
