首页 > 资讯 > 《信息安全技术健康医疗数据安全指南》之解读

《信息安全技术健康医疗数据安全指南》之解读

泰然健康网
2024-12-07 09:56

　　2020年12月14日，国家标准化管理委员会发布GB/T39725-2020《信息安全技术健康医疗数据安全指南》（“《安全指南》”），该《安全指南》将于2021年7月1日生效实施。鉴于如今随着健康医疗数据、“互联网+医疗健康”和智慧医疗的蓬勃发展，各类新业务、新应用层出不穷，健康医疗数据在全生命周期各阶段均面临着越来越多的安全挑战，为了更好的保护健康医疗数据的安全，规范和推动健康医疗数据的融合共享和开放应用，《安全指南》应运而生。

　　一、《安全指南》的规制与适用对象

　　《安全指南》将“健康医疗数据”作为规制对象，将其定义为“个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据”，具体可分为个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据、公共卫生数据六大类。

　　使用“健康医疗数据”的名词表述也是本《安全指南》的独创之处，在《安全指南》发布之前，对于此类相关数据，《人口健康信息管理办法（试行）》中表述为“人口健康信息”；《信息安全技术个人信息安全规范》中表述为“个人健康生理信息”；《国家健康医疗大数据标准、安全和服务管理办法（试行）》中表述为“健康医疗大数据”。在本《安全指南》中统称为个人健康医疗数据或健康医疗数据。

　　《安全指南》的适用对象为“健康医疗数据控制者”及其他角色，所谓“健康医疗数据控制者”是指“能够决定健康医疗数据处理目的、方式及范围等的组织或个人”，比如提供健康医疗服务的组织、医保机构、政府机构、健康医疗科学研究机构、个体诊所等。除了“健康医疗数据控制者”，《安全指南》中还规定了个别的相关角色，比如“健康医疗数据处理者”（健康医疗信息系统供应商、健康医疗数据分析公司、辅助诊疗解决方案供应商等）及“健康医疗数据使用者”等。

　　二、《安全指南》的主要内容

　　《安全指南》共分为11个章节，除了定义和介绍部分，主体内容包括分类体系、使用披露原则、安全措施要点、安全管理指南、安全技术指南和典型场景数据安全等内容。其内容的几大特色之处在于：

　　首先，《安全指南》对于规制对象和适用对象有独创的划分体系，具体表现为：

　　第一，《安全指南》将“健康医疗数据”分为六个类别，并对各个类别中具体包含的内容进行了明确列举：

　　第二，《安全指南》根据数据的重要程度和可能造成损害和影响的级别对上述“健康医疗数据”分为五个级别，针对不同级别，控制者可使用和披露的范围及采取的安全措施有所不同：

　　第三，《安全指南》将参与健康医疗数据使用和处理的角色分为四大类，即个人健康医疗数据主体、健康医疗数据控制者、健康医疗数据处理者和健康医疗数据使用者。并对各角色之间相互传输、使用、存储健康医疗数据的方式和技术措施进行了规定，多角度全方面的保障了健康医疗数据的安全。

　　其次，《安全指南》要求控制者在使用和披露健康医疗数据的同时，需要遵循基本的披露原则，包括但不限于：

　　1. 控制者宜告知主体并获得授权，但存在例外情形

　　《安全指南》要求控制者在使用和披露个人健康医疗数据时，需要采取通俗易懂的方式对主体就披露使用的数据内容、接收方、用途、使用方式等进行告知，取得主体授权。但在涉及向主体本人提供、涉及公共利益或法律法规要求、涉及科学研究等目的时，控制者可以无需取得主体的授权。同时，控制者不得将个人健康医疗数据用于市场营销活动，即不得用于商业目的，如果需要用于商业目的，需要主体明确知悉，并自主同意。

　　2. 控制者可以向第三方