近日，中国医院协会信息专业委员会（CHIMA）正式发布《医院数据安全调查报告》，这是CHIMA首次针对医院数据安全状况进行调研的工作产出。

近年来，互联网、大数据、云计算、人工智能等技术加速创新，日益融入医院医疗和管理活动过程，医疗数据量快速增长，数据交换与共享需求快速释放，数据已经成为医院医疗服务提供的重要生产要素和运营保障的基础支撑。但与此同时，医疗机构频繁遭遇勒索软件攻击、数据泄露等安全事件，叠加《网络安全法》《数据安全法》《个人信息保护法》、《网络数据安全管理条例》等一系列法律法规相继实施，医院数据安全合规压力与安全风险同步攀升，数据安全已然成为制约医院数字化、智能化高质量发展的 “灰犀牛” 风险 ，行业亟需摸清现状、补齐短板、构建全新防护体系，本次调研应运而生。

调研的目的包括：一、为医院对标行业整体发展情况，提供测评标准，以便查缺补漏，完善安全防护工作措施；二、为行业行政部门进行政策设计和规划制订，提供监测和评估依据；三、为技术提供商进行产品开发和服务选择提供参考。

调研对象概况

本次调研分为通用数据安全调研与AI赋能数据安全专项调研两大板块，调研范围覆盖全国31个省、自治区、直辖市，样本具备广泛代表性。

通用调研阶段共回收问卷769份，筛选得出有效问卷720份。样本结构多元：三级医院占比55.42%，三级以下医院占比44.58%；综合医院达73.06%，专科医院占20.56%；公立医院占比 93.61%，为调研主体。

针对AI赋能数据安全的专项调研，累计收集176家医院有效数据，其中公立医院占 98.86%，三级及以上医疗机构占63.64%，重点聚焦AI技术在医院数据安全场景中的应用意愿、落地场景、现存挑战与未来规划。

核心调研发现：

行业喜忧并存 多重短板凸显

一、合规认知逐步提升，但落地执行仍有差距

在《数据安全法》和《个人信息保护法》（以下简称“两法”）普及层面，97.5%的医院对两部法律有所了解，但仅29.17%的医院表示非常了解，68.33%的医院仅 “了解一点”，行业深度解读与宣贯工作存在明显不足。在落地实施上，32.64%的医院已启动合规建设，57.36%的医院处于计划阶段，还有10%的医院暂无相关规划。

受访医院普遍认可法规带来的约束与变革，86.53%的医院认为需要强化数据安全能力建设，76.53%提出需增设专职管理人员、完善制度流程，73.61%计划采购安全防护产品，合规驱动已成为医院数据安全建设的核心动力之一。

二、组织架构不完善，专业人才与资金双重短缺

组织建设是数据安全的根基，但行业现状不容乐观。尽管90.14%的医院认为有必要设立专门的数据安全组织架构，实际落地情况却不尽如人意：仅17.08%的医院拥有独立数据安全团队，45.28%由原有网络安全团队兼任，37.64%的医院暂无专职团队负责数据安全工作，管理缺位问题突出。

调研明确指出当前行业三大核心困境：75.14%的医院缺乏数据安全专业能力，72.22%存在资金不足问题，61.25%缺少行业标准与落地指导，这三大难题成为阻碍医院数据安全建设的主要绊脚石。此外，内部协同不畅、高层支持不足、对外防护重视有余而员工内控监管薄弱等问题也普遍存在。

三、基础防护较为普及，核心数据防护能力薄弱

目前医院数据安全技术防护呈现 “重基础、轻核心” 的特点。数据库防火墙/网关（76.25%）、数据备份（74.72%）、勒索病毒查杀工具（74.58%）成为医院标配防护手段，基础网络与系统防护体系基本成型。但针对患者隐私、科研敏感数据的高阶防护手段使用率偏低：数据加密应用率仅25.69%，数据脱敏19.58%，数据防泄露16.67%，零信任架构更是仅有5%的医院落地。

在互联网医疗、医学科研场景中，多数医院依靠病毒防护、身份认证、访问权限管控保护敏感数据，数据匿名化、数据销毁等深度保护措施应用不足。

投入方面，上一年度61.94%的医院网络安全投入占信息化总投入比例低于5%，整体安全投入力度偏弱，难以支撑高阶防护体系建设。面对第三方合作场景，84.86%的医院会签订保密协议，但仅26.11%会对流转数据进行脱敏处理，第三方数据安全管理精细化程度不足。

四、AI赋能意愿强烈，应用落地面临多重挑战

在考虑应用AI技术辅助管理的数据安全场景中，专项调研显示，64.77%的医院认为AI能够提升数据安全主动防御能力，其中26.70%认为可实现“显著提升”。在应用场景上，数据泄露防护（47.16%）、数据安全态势感知（46.59%）、异常行为检测（45.45%）是医院最想落地的三大场景；行业普遍看好数据库审计与异常监测、医疗数据资产梳理、网络安全分析研判三大方向的AI应用价值。

目前已有20.45%的医院引入具备AI能力的安全模块，39.77%的医院正在规划部署。但AI落地难题十分突出：52.84%的医院面临专业人才匮乏，无法完成AI产品运维与调优，41.48%的医院无相关使用经验，40.34%认为AI安全产品成本过高。此外，系统集成复杂、数据质量不佳、模型效果不稳定等问题也制约着AI+数据安全模式的普及。未来投入规划方面，仅7.39%的医院已有明确预算增加投入，30.68%将根据政策合规要求动态调整，行业整体持谨慎观望态度。

行业趋势与发展建议：

多方协同，构建全周期安全体系

结合调研显示的问题与行业发展趋势，报告从四大维度提出系统性建议，推动医疗数据安全治理能力整体升级。

一是强化政府顶层引导，完善制度供给与监管智能

政府部门作为医疗数据安全的顶层设计者和监管主体，应在完善政策体系、强化监管执法、加大资源投入、促进数据流通等方面发挥主导作用，构建政府引导、多方协同的医疗数据安全治理格局。具体有三点：一是健全标准规范体系，二是建立多部门联合执法机制，三是加强数据安全风险监测预警。

二是共建行业标准，推动能力共享与人才培养

第一，组织医疗机构、技术企业、专家学者等各方力量，共同制定人工智能时代下医疗数据安全相关行业标准、团体标准的研制工作；第二，与行业协会合作，推动医疗数据安全行业/团体标准落地试点与推广；第三，联合高等院校、行业协会、医疗机构等开发医疗数据安全培训课程体系。

三是医疗机构压实主体责任，打造全生命周期防护体系

医疗机构作为数据安全第一责任人，应切实承担主体责任。及时开展医疗数据资源的统筹管理和安全评估工作，避免出现安全管理真空；制定科学的数据安全建设规划，有计划地落实资金投入；将人工智能技术融入医疗数据全生命周期安全防护，形成覆盖数据采集、存储、使用、共享、销毁全生命周期的安全防护体系；根据岗位职责精细划分数据访问权限，确保数据访问权限始终符合业务需求；将数据安全培训纳入医护人员、行政人员、外包人员的入职培训和年度培训必修内容。

四是技术厂商深耕场景，创新适配型安全产品与服务

医院数据安全技术提供商需立足医疗行业痛点，围绕数据分类分级、脱敏加密、态势感知、智能风控等方向开展技术创新，打造端到端的数据安全解决方案。

点击链接可下载报告。