来源:泰和泰律师
发布日期:2026年01月13日
摘 要
在数字经济时代,数据已成为关键生产要素,而医疗健康数据因其高度敏感性、强人身属性和重大社会价值,成为数据合规治理中最为复杂和严峻的领域之一。从医院日常诊疗到前沿医学研究,从商业保险理赔到人工智能辅助诊断,医疗数据的合规处理不仅关乎个体隐私与安全,更影响着医疗行业的创新发展和公共健康体系的现代化进程。本文结合实践难点,探讨如何在严守安全底线的前提下,探索医疗数据合规路径。基于医疗数据的 个人数据属性 和公共数据属性的二元分置特点,本文仅讨论如何保障 个人信息的 合规 。
一
医疗监管处罚案例
近年来,监管执法已呈高压、精准、常态化态势。
案例 1 : 衡南县医院数据保护不力造成医院数据泄露,衡南县网信办开出 6.2 万元罚单
案例 2 : 盐城某医药公司不履行数据安全保护义务,盐城公安网安部门予以行政警告并责令限期改正
案例 3 : 宿迁某医学检验机构不履行数据安全保护义务,宿迁公安机关对该机构予以行政警告并处罚款 10 万元
案例 4 : 贵州某医院信息系统网络安全防护技术措施不到位,兴义市公安局网安大队给予该医院警告处罚,并责令限期整改。
从因安全措施不到位,到因大规模数据泄露被重罚,一系列案例昭示:医疗数据合规不再是“选择题”,而是关乎机构生存与发展的“必答题”和“高压线”。前瞻性的机构正超越“合规即成本”的视角,将其视为构建信任品牌、驱动业务创新、获取市场准入的战略投资与核心竞争优势。个人数据保护之所以至关重要,不仅仅因为它关乎隐私,更因为它直接维系着数字时代公民的尊严、财产安全乃至社会信任的基石。严苛的罚款与监管绝非目的,而是手段。其最终指向是构建一个数据被合法、正当、必要地收集与使用的数字环境。在这个环境中,技术进步不应以牺牲个人权利为代价,商业创新必须建立在安全与信任的根基之上。保护个人数据,实质上就是保护我们每个人在数字世界中的基本权利与自由,守护现代文明得以有序运行的信任基础。
二
医疗数据的概念和范围
数据是指任何以电子或者其他方式对信息的记录,数据是信息的外在表现。医疗数据则是指 在医疗就诊和保健过程中产生的所有与患者健康、疾病状态及医疗服务相关的信息,涵盖从个人诊疗到公共卫生管理的多种类型数据。
医疗健康数据涵盖范围广泛,不仅记录了个体患者的身份信息、通讯信息等社会属性的信息,更是包含了患者生物识别信息、健康状况等具有强人身关联生理属性的信息。 这些数据通常来源于医疗健康相关 的医院信息系统( HIS )、电子病历系统( EMR )等信息系统及临床治疗、药物销售等活动。
2025 年发布卫健委发布《 2024 年全国卫生健康事业发展统计公报》显示, 2024 年全国医疗卫生机构总诊疗人数达 101.5 亿人次,三级医院占比 28.3% ,高达 28.7 亿人次,医疗覆盖人数众多,因此,大型医疗健康数据规模大,信息密度高,类型庞杂,对于医疗健康数据的保护也应当不断加强。
根据国标《信息安全技术健康医疗数据安全指南》( GB/T 3 9 7 2 5 — 2 0 2 0 )分类,医疗数据包含个人属性数据,健康状况数据,医疗应用数据,医疗支付数据,卫生资源数据,公共卫生数据等,可以为患者个人信息,就诊过程信息,诊疗信息,费用信息,其他信息等等。
值得注意的是, 个人属性数据 主要包括人口统计信息、个人身份信息、个人通讯信息、个人生物识别信息、个人健康监测传感设备 ID 等五个部分。其中,人口统计信息包括 包括姓名、出生日期、性别、民族、国籍、职业、住址、工作单位、家庭成员信息、联系人信息、收入、婚姻状态等。
个人健康状况数据包括: 主诉、现病史,既往病史,体格检查(体征),家族史,症状,检验检查数据,遗传咨询数据,、可穿戴设备采集的健康相关数据、生活方式、基因测序、转录产物测序、蛋白质分析测定、代谢小分子检测、人体微生物检测等。
医疗应用数据包括: 门(急)诊病历、住院医嘱、检查检验报告、用药信息、病程记录、手术记录、麻醉记录、输血记录、护理记录、入院记录、出院小结、转诊(院)记录、知情告知信息等。
医疗支付数据 分为医疗交易信息和保险信息。其中的医疗交易信息是指医保支付信息、交易金额、交易记录等;保险信息则是指保险状态、保险金额等。
卫生资源数据包括: 医院基本数据和医院运营数据等。
公共卫生数据包括: 环境卫生数据、传染病疫情数据、疾病监测数据、疾病预防数据、出生死亡数据等。
三
医疗数据区别于其他行业数据的特点
(一)医疗数据具有双重属性:高度的个人敏感性与重要的公共价值
个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。但医疗信息由于涉及到患者的个人隐私,因此相较于其他普通的个人信息,更值得保护。因此,《个保法》第二十八条明确将 医疗健康信息列为敏感个人信息,要求处理此类信息时需单独取得患者书面同意。此外,《民法典》第一千零三十四条规定,自然人的健康信息受法律保护,泄露患者隐私需承担侵权责任。综上,为从源头上避免对医疗健康信息的侵害, 采集环节需遵循“合法、正当、必要”“最小必要”等原则。
医疗数据包含了患者个人全部详细身份信息,以及疾病史、手术记录等健康信息。这些信息首先反映了患者个体生理和心理状态,属于典型的隐私内容。其次,医疗数据还可能包含了患者基因信息、生物识别信息等,具有唯一性和不可更改性的个体识别特性。 医疗数据更是直接关联着个体健康状况,如基因数据、传染病史等可能引发歧视或人身风险—— 若患者有精神性疾病或者艾滋病等,公开或不正当使用会损害患者尊严和声誉。因此个人医疗数据具有高度的个人敏感性, 患者对诊疗数据的收集、使用共同享有控制权,医疗数据处理者在采集这些信息时需要履行充分的告知义务并取得患者的单独同意。特别提醒的是,个人医疗数据作为敏感个人信息,一旦处理目的、处理方式、处理期限、保护措施发生变更,医疗数据处理者应当重新取得个人的明确同意:就医疗数据处理者可线上通过短信、系统弹窗、线下通过个人重新签署补充协议等方式,重新获取个人授权,并保留操作日志和个人签署记录。
除了医疗数据所具有的高度的个人敏感性之外,其还具有重要的公共价值。区域内患者医疗数据能反映区域内人群的健康状况和疾病分布情况,一来有助于发现地区性疾病,为公共卫生政策的制定提供数据支持;二来可供政府做医疗资源分布的参考。海量的医疗数据更是疾病医学的科研数据底座,对于新药的研发,诊疗手段的优化提供了支撑。
由此可见,医疗数据对于健康中国建设具有重要的支撑作用。通过对医疗数据的长期跟踪和分析,可以监测居民健康素养水平的提升情况、疾病预防控制效果、医疗服务可及性和质量改善情况等,为战略的调整和优化提供数据支持,比如通过对不同地区居民健康体检数据的分析,了解居民的健康状况和主要健康问题,针对性地开展健康教育和健康促进活动,增强居民的健康意识和自我保健能力。同时,医疗数据的整合与共享有助于打破医疗信息孤岛,促进医疗服务的协同发展,提升整体医疗服务水平,为实现健康中国战略目标奠定坚实基础。
(二)医疗数据因估摸大、精度高、具有重要作用,很容易被认定为重要数据、核心数据
重要数据是指特定领域、特定群体、特定区域或者达到一定精度和规模的数据,一旦被泄露或篡改、损毁,可能直接危击国家安全、经济运行、社会稳定、公共健康和安全的数据。 根据国家卫健委 2024 年发布的《卫生健康行业数据分类分级指南(试行)》第十二条规定,比 如涉及 100 万人以上个人信息,或 10 万人以上个人敏感信息等。
核心数据是指对领域、群体具有更高覆盖度或更深远影响的重要数据,一旦非法使用可能直接影响政治安全。如涉及 1000 万人以上个人信息或 100 万人以上个人敏感信息。
基于上述分析可知,医疗数据 与患者个人关系密切,同时还涉及国家安全问题,因此在数据分级上很可能涉及对敏感个人信息、重要数据或核心数据的分类分级。加之医疗数据 往往具有范围广、数量多的特征,极容易构成重要数据或核心数据。因此,应当履行更为严格的合规义务,才能保障数据流通的合规性。
(三)合规难度高
1.个人信息合规难。
众所周知,个人信息合规一直是数据合规的重难点。基于卫生健康数据的特殊性和敏感性,医疗个人信息的采集有更严格和具体的监管要求,以加强医疗健康数据的数据安全和个人隐私保护。
除了《个保法》《数据安全法》《网安法》三驾马车外,其他的规范性文件中仍然体现着对于个人信息的保护。《人口健康信息管理办法(试行)》规范了人口健康信息的采集、管理、利用和安全保护,主要内容包括建立安全管理制度、操作规程和技术规范,确保人口健康信息的安全等。《人类遗传资源管理条例》《人类遗传资源管理条例实施细则》对人类遗传资源的采集、保藏、利用和出境进行了严格管控,旨在保护我国人类遗传资源,防止资源泄露和滥用,从而能更好地维护国家生物安全和社会公共利益。
2.医疗数据中的重要数据和核心数据合规要求尤其高。
根据国家卫健委、国家中医药局、国家疾控局 2024 年联合发布的《卫生健康行业数据分类分级指南(试行)》,卫生健康重要数据除了前述“重要数据”的一般规定外,还增加了 3 类:涉及 10 万人的群体健康生理状况数据 ; 涉及 1 万人的族群生物特征数据、医疗资源数据 ; 涉及 10 万人的诊疗数据、医疗救援保障数据、特定药品实验数据等全国性的业务数据,列入医疗数据的重要数据范围。
同样,卫生健康核心数据除了前述一般规定外,还增加了:覆盖某一重要特定群体全部个体的数据 , 特定时期特定区域的群体数据 ; 涉及 1000 万人及以上 , 经过计算加工生成的 , 对数据描述对象有较深刻画程度 , 且影响国家安全的衍生数据等两类数据也定义为医疗核心数据。
医疗机构作为重要数据持有者,法律规定的必要合规义务有: 1. 对外提供或委托处理重要数据的,应在事前开展重要数据风险评估,属于履行法定职责或者法定义务的除外; 2. 与重要数据接收方签订协议,约定处理目的、方式、范围以及安全保护义务等; 3. 对重要数据接收方的履约情况进行监督; 4. 对外提供或委托处理重要数据的处理情况记录保存至少三年。此外,除了要对数据进行分级分类存储外,还要按照关基安全保护的要求,进行数据全生命周期的防护,定期履行数据安全风险评估,落实数据安全责任。
这些对数据持有者的严格规定是有必要的。因为重要数据与国家公共利益深度绑定,其泄露或破坏可能造成远超单个企业损失的灾难性后果。法律要求建立“管理制度 + 技术措施”的双重防线,旨在将数据安全从“事后补救”转向“事前预防、事中控制”,迫使持有者像保护关键资产一样,投入资源进行主动防护。这实质上是将国家层面的安全要求,内化为企业的法定管理责任。
3. 医疗数据中的病历应遵循《电子病历应用管理规范(试行)》《医疗机构病历管理规定(2013年版)》等部门规范性文件的监管要求。
总的来说,这 两部规定的监管逻辑都是一致的,具体体现为以下三个方面。首先是全流程可追溯:从创建到销毁,相关工作人员都必须将每个环节记录在案,做到有迹可循——尤其是电子病历的“操作留痕”和纸质病历的“修改标注”,是认定病历真实性与合法性的关键。其次两部规定都同时注重安全与权限:一方面通过物理和技术措施保障数据安全存储,另一方面通过严格的权限控制和日志审计,防止数据越权访问和滥用。第三,实现了对于患者权利的保障:明确规定了患者查阅、复制、封存病历的权利 ,并规定了医疗机构必须履行的响应程序。
4.人类遗传资源的数据。
人类遗传资源数据是指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传信息的数据。《生物安全法》《人类遗传资源管理条例》等法律法规中对人类遗传资源保藏、利用、对外提供活动的监管要求。除了遵守网络安全与数据安全方面的监管要求外,特别强调要征得人类遗传资源提供者的“书面同意”,要求其在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示。人类遗传资源数据的严格保护,是因为它已超越一般意义上的“医疗数据”或“个人信息”,上升为了一种关乎国家长远安全与发展的战略性基础资源。严格监管的目的并非限制科研,而是为了在保障安全与伦理底线的前提下,规范其技术的开发利用,确保这一宝贵资源能真正服务于国家科技发展和人民健康福祉。
5.部分医疗数据的应用可能会涉及到道德和伦理,应用医疗数据的每个环节都要符合《涉及人的生命科学和医学研究伦理审查办法》。
例如,采用中医药学对人的生理、心理行为、病理现象、疾病病因和发病机制,以及疾病的预防、诊断、治 疗和康复进行研究的活动 ; 医学新技术或者医疗新产品在人体上进行试验研究的活动 ; 采用流行病学、社会学、心理学等方法收集、记录、使用、报告或者储存有关人的样本、医疗记录、行为等科学研究资料的活动等生物医学研究活动都需要进行医学研究伦理审查,审查其是否侵害了个人隐私权,是否贬损人的尊严,是否侵害了人类利益。未来随着人工智能发展,机器决策也会限缩人类选择的自主权;生物技术对身体和认知的改变可能降低人的尊严; AI 和自动化导致大规模的失业,基因技术可能导致生物乌托邦。这些医疗数据的应用,必须进行科技伦理审查,确保不侵害人的权益,减轻潜在的负面影响。
四
医疗数据之堵点——“个人信息合规”解决路径
(一)数据处理者应尽的安全保障义务
由于医疗数据对于患者自身、社会乃至国家的安全都是非常重要的,因此我国采取“三级等保”的方式对医疗数据进行保护认证。 “三级等保”是我国对非银行机构的最高等级保护认证,被定级为等保三级的系统主要适用于金融、医疗、政务等高敏感行业。通过“三级等保”认证,表明企业的信息安全管理能力达到国内最高标准。“三级等保”的技术要求主要包括物理安全、网络安全、主机安全、应用安全和数据安全五个方面。本文将重点讲述网络安全和数据安全两个方面。
就 网络安全而言, 为确保网络架构的清晰性、安全性与可靠性,应遵循以下要求:首先,须绘制与当前实际运行情况完全一致的网络拓扑图。其次,所有交换机、防火墙等设备的配置必须符合规范,包括进行 Vlan 划分以实现逻辑隔离、配置 Qos 流量控制策略、设置访问控制列表,并对重要网络设备和服务器实施 IP/MAC 绑定。此外,应部署网络审计设备及入侵检测或防御系统以强化安全监控。同时,所有交换机和防火墙的身份鉴别机制须满足网络安全等级保护要求,例如制定用户名密码复杂度策略、启用登录失败处理机制,并实施严格的用户角色与权限控制。最后,关键的网络链路、核心设备及安全设备均需采用冗余设计,以保障业务的高可用性。
为确保数据安全并满足网络安全等级保护第三级的要求,相关义务与管理制度应涵盖以下内容:首先必须建立完善的数据备份制度。具体而言,应执行每日数据本地备份,并将备份介质存放于异地;对于系统中的核心关键数据,还须通过网络等可靠方式提供实时的异地数据备份功能,以构成异地容灾体系,全方位保障数据的安全性与可用性。其次,应建立并落实全面的网络安全管理制度体系,该体系主要覆盖五个方面:安全管理制度、安全管理机构的设置与职责、人员安全管理、系统建设管理以及系统运维管理。
(二)医疗数据来源合规要点
1. 医疗数据采集
1.1 数据依规采集
根据《网络安全法》《数据安全法》和《个人信息保护法》的相关规定,医疗数据采集应遵循合法、正当、必要原则,明示收集目的与范围,并经被收集者(数据主体)同意。禁止通过欺诈、诱骗等非法手段获取医疗数据,强调最小必要原则,仅收集与诊疗直接相关的必要数据。采集个人健康医疗数据前,需充分告知并取得个人同意。涉及敏感个人信息时,需获得单独同意,告知内容包括数据收集目的、方式、范围、使用期限、数据主体权利及保护措施等。此外,《个人信息保护法》第十三条规定了法定“告知”豁免的情形:应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需,数据处理者无需经过患者同意,即可处理个人信息。
1.2 数据统一标准采集
为了确保医疗数据的准确性,数据处理者必须制定统一的医疗数据采集标准。统一的标准可以减少信息录入的重复工作,也能够保证数据在数据处理者内部各部门之间的数据一致性和可比性。以医院采集病案数据为例,医院应根据国际标准,并结合实际工作情况,制定符合医院特点的采集规范。世界卫生组织( WHO )发布的国际疾病分类( ICD )系统为全球病案数据采集提供了统一标准。医院应当依据该标准对患者的诊断进行分类,使得病案数据在全球范围内具有可比性。
此外, ICD-10 和 ICD-11 版本的使用,有助于确保数据的统一性,便于医院之间的数据共享和合作。而在国内实践中,医院可以通过建立病案管理委员会,持续完善并细化数据采集流程,在全院范围内进行推广,确保院内病案数据采集标准的统一和规范。
1.3 数据采集环节的告知义务
《个人信息保护法》要求医疗数据处理者在获取个人医疗数据授权时,为保 障个人知情权,应告知个人以下内容:医疗数据处理者的名称、医疗数据的处理目的、处理方式、处理的医疗数据的种类、保存期限、个人 行使权利的内部方式和程序等。涉及敏感个人信息的,还应向个人告知处理敏感个人信息的必要性以及对个人权益的影响,依《个人信息保护法》第十八条规定可以不向个人告知的除外。
2.个人授权
2.1 个人授权规则
法律对于患者首次授权环节的规定较为清晰。 根据《国家健康医疗大数据标准、安全和服务管理办法(试行)》第二条的规定,国家在保障公民知情权、使用权和个人隐私的基础上,基于国家战略安全与人民群众生命安全的需要,对健康医疗大数据进行规范管理和开发利用。因此,医疗数据的处理除须遵循数据安全的一般性原则及医疗伦理准则外,还应重点关注《民法典》《个人信息保护法》等法律对个人信息主体权利的保护。依据《个人信息保护法》,个人信息处理者在处理个人信息时应当取得个人的明确同意,处理敏感个人信息时更须获得单独同意。为避免重复采集,医疗数据处理者应在必要范围内一次性完成个人医疗数据的收集,不得多头、重复采集。在实际操作中,以患者就医场景为例,医疗机构可在患者就诊时,通过医院小程序、手机应用或线下签署《医疗数据使用授权协议》的方式,依法获取患者对数据处理的授权。此外,若涉及处理不满十四周岁未成年人的医疗数据,医疗机构必须取得其父母或其他监护人的同意,并建议在内部制定专门的未成年人医疗数据处理规则,以确保全面符合相关法律法规的要求。
如果我们通过 APP 线上预约诊疗时,通常会看到“隐私协议”(以丁香医生为例):
尤其是医疗健康信息属于敏感个人信息,采集个人信息需满不仅要告知且经过明确同意,并满足“特定的目的和充分的必要性”的前置条件,事后要采取严格保护措施。
2.2 新增授权
应当注意到的是,一旦 个人医疗数据的处理目的、处理方式、处理期限、保护措施发生变更,医疗数据处理者应当重新取得个人的明确同意。就重新取得个人明确同意的方式而言,医疗数据处理者可线上通过短信、系统弹窗,线下通过个人重新签署补充协议的方式,重新获取个人授权,并保留操作日志和个人签署记录。
2.3 授权撤回机制
医疗数据处理者应当为个人提供撤回医疗数据采集或使用授权的便捷渠道。个人可通过线上或线下方式行使该撤回权。授权撤回后,处理者应及时对相关数据链路进行清除或销毁,但已进行匿名化处理、无法识别特定个人且用于科研目的的数据除外。
综上所述,医疗数据处理者应在《医疗数据使用授权协议》中清晰、完整地向个人告知以下内容,并确保其理解:拟共享的数据范围与具体目的、接收方的主体信息及联系方式、个人依法享有的各项权利(包括知情、访问、修改、删除、限制处理、数据转移及撤回授权等权利)、数据处理者采取的安全保护措施与制度、授权有效期限,以及协议中的免责情形等。其中,针对数据共享目的的授权,必须逐项列明、分别取得同意,不得以“一揽子”“概括性”的方式获取授权,以确保个人同意是在明确、知情的基础上作出的。
3.第三方来源数据审查
3.1 审查第三方资质与能力。
针对来源于第三方的数据,在审查 第三方资质的同时,还需要确认第三方是否具备合法的数据获取资质,查验 第三方机构营业执照、经营许可证(如涉及医疗须具备《医疗机构执业许可证》) 及与数据处理相匹配的资质(如网络运营公司须具备《增值电信业务经营许可证》,涉及人类遗传资源数据,需确认其是否满足《人类遗传资源管理条例》所列明的要求;涉及关键信息基础设施的,还需确认第三方是否被纳入监管范围并履行相应义务)对第三方进行数据安全保障能力评估时,应评估第三方是否符合网络安 全等级保护要求,如物理存储安全、网络加密安全、系统应用安全、数据备份安全等。
3.2 审查数据来源的合法性。
第三方在收集数据时,其行为必须符合《个人信息保护法》《数据安全法》等法律法规规定的合法性基础,并严格遵循“最少必要原则”。该原则在内涵上与行政法中的“比例原则”相通,依据《信息安全技术 健康医疗数据安全指南》( GB/T 39725-2020 )第 8.3 条的定义,其核心要求是:数据收集的范围不得超出业务与管理所必需,应以满足使用目的之“最小、够用”为限。
为进一步核查数据来源的合法性,应要求第三方提供数据来源合法性的书面承诺及相关证明。这通常包括:关于数据系自行产生、公开收集或间接获取等具体来源的说明,以及确认其对所提供数据享有合法权利或完整授权、不侵害他人权益的承诺函等证明材料。
3.3 签署数据处理协议
为了避免数据提供方与数据接收方可能存在的法律纠纷,在签署数据处理协议时,就应当对数据本身(数据类型、内容、质量、数量等)、双方涉数权利义务、法律责任等内容进行明确的约定。作为数据接收方,尤其应当确保数据授权使用范围满足实际处理的需要。同时,在签署数据处理协议后,双方均须严格按照协议约定处理数据。
4. 个人信息采集瑕疵补正之道:数据匿名化
医疗数据处理者在对医疗数 据进行处理时, 应当进行充分的匿名化处理,以期达到“匿名化处理后的个人信息不是个人信息”,从而豁免采集瑕疵责任。
需提醒的是,匿名化与去标识化是两个完全不同的概念。;两者可以从概念、后果方面对两者进行区分。匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程。匿名化手段包括但不限于:删除直接标识符、泛化、转换、去标识处理;语义识别、过滤个人信息;数据资产管理平台数据库隔离;数据库访问权限控制;核验是否可通过可逆模型或算法还原出原始数据等手段。比如对于个人信息表,匿名化处置时建议删除或者置空。去标识化是指通过对个人信息的技术处理,使其在不借助额外信息的情况下,无法识别或者关联个人信息主体的过程,使数据在不结合其他辅助信息时无法指向特定个人。去标识化处理通常采用的事基于 K- 匿名计算,比如打码遮盖,用随机生成的哈希值替换,或者用泛华的符号替代关键信息等。
匿名化与去标识化的后果也不一样,去标识化后通过一定的技术手 段可以还原;但匿名化后不能还原。因此匿名化是个人信息脱敏的主要手段。但囿于技术,现阶段的匿名化水平不高,达到“无法识别特定自然人且不能复原”在实物中面临极大挑战。
学界最近讨论的生成式人工智能“宽进严出”的合规评价体系,对处理采集端有天然瑕疵的数据,具有很好的借鉴作用。该观点认为,对前端“训练数据”的合规性允许宽松的准入,要求在绝对保障原始数据有合法的处理权利基础下,后端输出端的合规可以适当补齐前端的风险以此鼓励产业发展(观点来源——公众号: 最高人民法院知识产权法庭 。 题目:人工智能训练数据的法律风险与制度供给。)
需要注意的是,某些医疗数据需要采取聚合处理,也就是将数据集中的原始数据转化成更高层次的、概括性的信息,以避免通过特定的生理医疗指标推测出特定自然人,偏离个人数据的保护目标。
5.医疗数据存储合规要点
5.1 存储空间
为充分保障医疗数据安全,医疗数据处理者应参照网络安全等级保护第三级(三级等保)的要求进行合规建设与加固。在物理环境安全方面,核心措施包括:将机房至少划分为主机房与监控区,配备电子门禁系统、防盗报警系统及全方位监控系统;机房应避免设置窗户,并部署专用气体灭火系统与备用发电机以确保防火与供电连续性。在此基础上,若需提升防护等级,可进一步采用生物识别门禁(如指纹 / 虹膜识别)结合 24 小时监控录像,并对服务器机柜实施独立上锁、防火防潮及防电磁泄漏等强化技术措施。
5.2 存储地点
就具体的存储地点而言, 《国家健康医疗大数据标准、安全和服务管理办法(试行)》第三十二条规定,健康医疗数据应当存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估审核。对于跨境数据传输,医疗数据处理者应确保所涉及的国家或地区具备适当的数据保护水平,并遵循相关国际法规。
5.3 数据加密工作
数据加密是数据系统中保护数据隐私和防止非法访问、泄露或篡改的主要技术之一。医疗数据处理者应采用安全的通信协议或安全的网络传输通道进行加密传输,确保医疗数据在传输过程中的安全性。静态存储的数据推荐使用 AES-256 或国密算法 SM4 进行全盘加密,密钥必须通过硬件安全模块( HSM )或密钥管理系统( KMS )独立托管,实现密钥与数据的物理分离。数据传输过程中需启用 TLS1.3 或 IPSec 等强加密协议,禁用 SSL 3.0 、 TLS 1.0 等存在漏洞的旧版协议。
5.4 医疗数据共享合规要点
医疗数据处理者在委托第三方处理数据前,应对其数据安全保护能力进行充分评估,以确保数据在后续使用与处理过程中的安全性与保密性。评估应至少涵盖技术防护能力、管理体系与认证、持续监督与协议合规三方面。在技术防护能力方面,第三方需建立符合网络安全等级保护第三级要求的防护体系,具体应部署数据加密、符合《个人信息去标识化指南》( GB/T 37964 )的匿名化处理机制以及动态访问控制等技术措施。其次,第三方应建立完善的信息安全管理体系,取得 ISO 27001 (信息安全管理体系) 及 ISO 27799 (医疗健康信息安全管理) 认证,并依据《数据安全能力成熟度模型》( DSMM )达到三级及以上能力水平。同时,需设立专职数据安全官岗位,负责数据合规审查与监督。对第三方的合规性审查也应当定期开展,并确保双方签订的数据传输与处理协议持续符合最新的法律法规与安全技术要求。
当 医疗数据处理者与第三方主体之间就非公共数据订立数据权属合作协议时,协议至少应当包括以下内容:( 1 )双方信息;( 2 )数据交付方式;( 3 )数据接收方的数据处理权限范围;( 4 )数据三权归属;( 5 )数据安全保障的内容及义务方;( 6 )后续衍生数据产品的权属情况;( 7 )合约追踪条款;( 8 )应急预案条款;( 9 )涉及行政备案或批准的条款。
6.医疗数据销毁合规要点
6.1 相关销毁制度
《个人信息保护法》中规定在保存期限届满、停止提供服务、处理的目的已经达到或无法达到时,个人信息处理者应当主动删除个人信息。《医疗卫生机构网络安全管理办法》明确要求建立“无法还原”的数据销毁机制,国家药监局《药品数据管理规范》强调建立数据销毁规程,需包含申请审批、执行人资质、销毁方式验证等要素。
由此可见,为确保医疗数据生命周期的终端安全,相关法律法规明确要求,在销毁医疗数据时必须采用能确保数据彻底不可恢复的技术手段,并特别关注“数据残留”与“备份数据清理”这两类关键风险。为此,医疗数据处理者应建立并严格执行规范的销毁流程,该流程至少应包含销毁前的内部审批报备、销毁过程的完整记录留痕以及销毁后的安全效果核验等环节,以全方位保障销毁工作的合规性、可追溯性与最终安全性。
7. 注意留录和留存销毁证据
在数据销毁环节,必须对销毁过程进行详细、规范的记录。记录内容应包括所销毁的具体数据内容、销毁操作执行的时间、实施操作的责任人等信息,并妥善保存相关操作日志或证明文件。这一做法不仅能为后续的内部审计与合规追溯提供完整依据,也能在发生争议或核查时,提供具有法律效力的关键证据。
但是, 数据销毁 管理制度不应是一成不变的。为应对持续演进的技术环境与法律法规要求,必须建立定期审查与更新机制。这包括对销毁流程的设计、所采用的技术手段等进行评估与优化,确保整个销毁管理体系始终符合最新的合规标准与技术安全要求,从而持续适应动态变化的数据安全环境。
五
结 语
数据要素 X 医疗健康《“数据要素×”三年行动计划 ( 2024 — 2026 年)》 提出:要探索推进电子病历数据共享; 便捷医疗理赔结算;依法依规探索推进医保与商业健康保险数据融合应用;创新基于数据驱动的职业病监测、公共卫生事件预警; 拓展智慧医疗、智能健康管理等数据应用新模式正在探索安全与发展的平衡点。
随着医疗数据产品越来越丰富,落地应用场景越来越多元,高质量医疗数据集的建设,人工智能大模型的越发智能化,医疗数据亟待从采集端合规,标准合同的完善、认证路径的明晰、以及匿名化等技术的进步,医疗数据合规将从成本中心转向价值引擎。医疗机构才能在保障人民健康与隐私的同时,赢得未来发展的主动权,真正让数据赋能医疗科技进步与公共卫生服务升级,驶向数字健康的新蓝海。
作者简介
裴鹤汀 合伙人
业务领域: 数据合规、民商事争议解决
黄怡敏 律师
业务领域: 数据合规、数字经济、投融资
近期文章推荐
ARTICAL
2026-01-12
2026-01-09
2026-01-08
2026-01-07
