2020年12月14日，國家標準化管理委員會發(fā)布GB/T39725-2020《信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南》（“《安全指南》”），該《安全指南》將于2021年7月1日生效實施。鑒于如今隨著健康醫(yī)療數(shù)據(jù)、“互聯(lián)網(wǎng)+醫(yī)療健康”和智慧醫(yī)療的蓬勃發(fā)展，各類新業(yè)務、新應用層出不窮，健康醫(yī)療數(shù)據(jù)在全生命周期各階段均面臨著越來越多的安全挑戰(zhàn)，為了更好的保護健康醫(yī)療數(shù)據(jù)的安全，規(guī)范和推動健康醫(yī)療數(shù)據(jù)的融合共享和開放應用，《安全指南》應運而生。

　　一、《安全指南》的規(guī)制與適用對象

　　《安全指南》將“健康醫(yī)療數(shù)據(jù)”作為規(guī)制對象，將其定義為“個人健康醫(yī)療數(shù)據(jù)以及由個人健康醫(yī)療數(shù)據(jù)加工處理之后得到的健康醫(yī)療相關(guān)電子數(shù)據(jù)”，具體可分為個人屬性數(shù)據(jù)、健康狀況數(shù)據(jù)、醫(yī)療應用數(shù)據(jù)、醫(yī)療支付數(shù)據(jù)、衛(wèi)生資源數(shù)據(jù)、公共衛(wèi)生數(shù)據(jù)六大類。

　　使用“健康醫(yī)療數(shù)據(jù)”的名詞表述也是本《安全指南》的獨創(chuàng)之處，在《安全指南》發(fā)布之前，對于此類相關(guān)數(shù)據(jù)，《人口健康信息管理辦法（試行）》中表述為“人口健康信息”；《信息安全技術(shù) 個人信息安全規(guī)范》中表述為“個人健康生理信息”；《國家健康醫(yī)療大數(shù)據(jù)標準、安全和服務管理辦法（試行）》中表述為“健康醫(yī)療大數(shù)據(jù)”。在本《安全指南》中統(tǒng)稱為個人健康醫(yī)療數(shù)據(jù)或健康醫(yī)療數(shù)據(jù)。

　　《安全指南》的適用對象為“健康醫(yī)療數(shù)據(jù)控制者”及其他角色，所謂“健康醫(yī)療數(shù)據(jù)控制者”是指“能夠決定健康醫(yī)療數(shù)據(jù)處理目的、方式及范圍等的組織或個人”，比如提供健康醫(yī)療服務的組織、醫(yī)保機構(gòu)、政府機構(gòu)、健康醫(yī)療科學研究機構(gòu)、個體診所等。除了“健康醫(yī)療數(shù)據(jù)控制者”，《安全指南》中還規(guī)定了個別的相關(guān)角色，比如“健康醫(yī)療數(shù)據(jù)處理者”（健康醫(yī)療信息系統(tǒng)供應商、健康醫(yī)療數(shù)據(jù)分析公司、輔助診療解決方案供應商等）及“健康醫(yī)療數(shù)據(jù)使用者”等。

　　二、《安全指南》的主要內(nèi)容

　　《安全指南》共分為11個章節(jié)，除了定義和介紹部分，主體內(nèi)容包括分類體系、使用披露原則、安全措施要點、安全管理指南、安全技術(shù)指南和典型場景數(shù)據(jù)安全等內(nèi)容。其內(nèi)容的幾大特色之處在于：

　　首先，《安全指南》對于規(guī)制對象和適用對象有獨創(chuàng)的劃分體系，具體表現(xiàn)為：

　　第一，《安全指南》將“健康醫(yī)療數(shù)據(jù)”分為六個類別，并對各個類別中具體包含的內(nèi)容進行了明確列舉：

　　第二，《安全指南》根據(jù)數(shù)據(jù)的重要程度和可能造成損害和影響的級別對上述“健康醫(yī)療數(shù)據(jù)”分為五個級別，針對不同級別，控制者可使用和披露的范圍及采取的安全措施有所不同：

　　第三，《安全指南》將參與健康醫(yī)療數(shù)據(jù)使用和處理的角色分為四大類，即個人健康醫(yī)療數(shù)據(jù)主體、健康醫(yī)療數(shù)據(jù)控制者、健康醫(yī)療數(shù)據(jù)處理者和健康醫(yī)療數(shù)據(jù)使用者。并對各角色之間相互傳輸、使用、存儲健康醫(yī)療數(shù)據(jù)的方式和技術(shù)措施進行了規(guī)定，多角度全方面的保障了健康醫(yī)療數(shù)據(jù)的安全。

　　其次，《安全指南》要求控制者在使用和披露健康醫(yī)療數(shù)據(jù)的同時，需要遵循基本的披露原則，包括但不限于：

　　1. 控制者宜告知主體并獲得授權(quán)，但存在例外情形

　　《安全指南》要求控制者在使用和披露個人健康醫(yī)療數(shù)據(jù)時，需要采取通俗易懂的方式對主體就披露使用的數(shù)據(jù)內(nèi)容、接收方、用途、使用方式等進行告知，取得主體授權(quán)。但在涉及向主體本人提供、涉及公共利益或法律法規(guī)要求、涉及科學研究等目的時，控制者可以無需取得主體的授權(quán)。同時，控制者不得將個人健康醫(yī)療數(shù)據(jù)用于市場營銷活動，即不得用于商業(yè)目的，如果需要用于商業(yè)目的，需要主體明確知悉，并自主同意。

　　2. 控制者可以向第三方

相關(guān)知識

健康醫(yī)療大數(shù)據(jù)的安全與應用
ISO27799 醫(yī)療健康信息安全管理體系
區(qū)塊鏈+大數(shù)據(jù)=醫(yī)療行業(yè)的數(shù)據(jù)安全和患者隱私的革命
論新時代醫(yī)療衛(wèi)生信息技術(shù)和大數(shù)據(jù)應用發(fā)展及未來
關(guān)于落實衛(wèi)生健康行業(yè)網(wǎng)絡信息與數(shù)據(jù)安全責任的通知
國家醫(yī)療質(zhì)量安全改進目標權(quán)威解讀⑥
科技資迅｜電子健康檔案里的信息安全
全球健康醫(yī)療大數(shù)據(jù)報告
電子健康檔案，保障你的醫(yī)療信息安全與隱私
2023年中國健康醫(yī)療大數(shù)據(jù)行業(yè)發(fā)展現(xiàn)狀分析 政策積極推進醫(yī)療數(shù)據(jù)安全治理

網(wǎng)址: 《信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南》之解讀 http://www.u1s5d6.cn/newsview334691.html