政策背景

近年来，随着医疗卫生信息化建设的深入推进和“互联网+医疗健康”的快速发展，医疗卫生机构产生的数据规模呈指数级增长。临床数据、科研数据、管理数据、医疗设备数据等海量数据，在推动医疗服务模式创新、提升诊疗效率的同时，也面临着严峻的安全挑战。数据泄露、滥用、出境等安全事件时有发生，个人隐私保护问题日益凸显。

在此背景下，2026年2月14日，国家卫生健康委会同公安部、国家网信办等部门联合印发《医疗卫生机构数据安全和个人信息保护管理办法（试行）》(国卫规划发〔2026〕6号），自印发之日起施行。这标志着我国医疗卫生行业数据安全和个人信息保护进入制度化、规范化、标准化新阶段，也是继《网络安全法》《数据安全法》《个人信息保护法》之后，医疗卫生行业在数据安全领域的又一重磅政策。

政策解读

《医疗卫生机构数据安全和个人信息保护管理办法（试行）》（以下简称《办法》）包括总则、数据分类分级保护、数据全生命周期安全管理、数据安全监测预警和应急处置、个人信息保护、监督管理、附则等七章四十条规定。《办法》适用于医疗卫生机构的数据安全和个人信息保护管理，旨在规范医疗卫生机构数据安全和个人信息保护管理，促进医疗卫生机构数据开发和个人信息合理利用，保护个人、组织的合法权益，统筹发展和安全。

三项核心

核心一：数据分类分级保护

《办法》明确规定，医疗卫生机构数据分为核心数据、重要数据和一般数据三类，落实分类分级保护制度。不同类别、级别数据同时被处理且难以分别采取保护措施的，按照其中级别最高的要求实施保护。

省级卫生健康行政部门负责组织开展本省内医疗卫生机构数据的分类分级工作，提出重要数据具体目录和核心数据目录建议并报国家卫生健康委。医疗卫生机构应当定期梳理本单位数据，识别重要数据，并向属地卫生健康行政部门报送，内容包括但不限于数据来源、类别、级别、规模、处理目的和方式、责任主体、跨境传输、安全保护措施等基本情况。

核心二：数据全生命周期安全管理

《办法》对数据的收集、存储、使用、加工、传输、提供、公开、删除等全生命周期环节提出了明确要求，强调通过管理和技术手段保障数据安全和数据应用的有效平衡。

医疗卫生机构应当强化制度保障、人员保障、管理保障、技术保障、应急保障等五大保障措施。处理重要数据的医疗机构，应当明确数据安全负责人和管理机构，落实数据安全保护责任，每年度对其数据处理活动开展风险评估。医疗机构在存储处理重要数据时要落实三级及以上网络安全等级保护要求，存储处理核心数据的，涉及关键信息基础设施的，要在网络安全等级保护制度的基础上，落实关键信息基础设施安全保护要求。

核心三：个人信息保护

《办法》强调个人信息是特别重要的一种数据，当达到一定精度、规模时个人信息要按照数据分类分级管理要求，纳入国家重要数据目录进行重点保护。

医疗机构应当自行或者委托专业机构定期开展个人信息保护合规审计工作。委托处理个人信息时，应当事前进行个人信息保护影响评估并与受托方签订委托协议和保密协议。医疗机构使用人工智能等新技术处理患者病历时，必须确保个人信息安全。医疗卫生机构应当加强对个人信息的保护，医疗卫生机构及其人员不得违法处理、违法收集、超范围收集、超授权调阅、违法提供、违法向境外提供、违法公开个人信息，并不得滥用人脸识别信息。

数据管理十项“禁止”

《办法》明确列出了医疗卫生机构及其人员不得有的十种行为，为医疗机构划定了红线。

禁止一：不得违法采集数据医疗机构应当加强数据收集的合法性管理，明确业务部门和管理部门在数据收集合法性中的主体责任，不得超范围采集数据，不得窃取或者以其他非法方式采集数据。

禁止二：不得违法存储数据医疗机构在我国境内收集和产生的重要数据，应当在境内存储，并采取备份、加密等措施加强数据的存储安全。

禁止三：不得违法传输数据医疗机构应当明确不同安全级别数据的加密传输要求，不得通过微信、网盘、社交软件传输核心数据、重要数据和敏感数据。

禁止四：不得违法向境外提供数据医疗机构采集的数据需向境外提供的，具有《促进和规范数据跨境流动规定》第七条规定情形之一的，应当先行开展自评估工作，经本单位网络安全和信息化工作领导小组或领导班子同意并报属地卫生健康行政部门审核通过后，由省级网信部门向国家网信部门申报数据出境安全评估。

禁止五：不得越权使用数据医疗机构应当规定数据使用权限，加强数据使用过程中的申请及审批流程管理，加强日志留存及管理工作，确保数据在可控范围内使用。

禁止六：不得未经授权处理数据未经医疗机构授权，信息系统建设运维人员不得处理数据；建设运维期间，收集产生的数据未经授权不得用于其他用途，服务完成后按照约定对数据予以返还或销毁。信息系统建设运维项目的承担单位，未经批准不得转包、分包。

禁止七：不得未经批准提供数据未经医疗机构网络安全和信息化工作领导小组或领导班子批准，任何部门和个人不得将未对外公开的信息和数据传递至医疗机构之外，不得以任何方式将其泄露。

禁止八：不得随意公开数据医疗机构在对数据公开前，应当分析研判可能对国家安全、经济社会安全、公共利益、个人信息安全及医疗机构运行产生的影响，存在重大影响的不得公开。

禁止九：不得未经销毁报废设备或变更用途医疗机构在设备报废或变更用途前，应当按照电子产品信息清除技术要求对数据进行彻底清除处理，不得未经处置直接报废或转移他用。

禁止十：不得隐瞒数据安全事件医疗机构发生数据安全事件时，应当立即启动应急预案，采取措施防止危害扩大，消除安全隐患，并按照规定向属地卫生健康行政部门等有关主管部门报告。

法律责任

医疗卫生机构违反《中华人民共和国基本医疗卫生与健康促进法》规定，因医疗信息安全制度、保障措施不健全，导致医疗信息泄露的，由县级以上人民政府卫生健康等主管部门责令改正，给予警告，并处以罚款;情节严重的，可以责令停止相应执业活动，对直接负责的主管人员和其他直接责任人员依法追究法律责任。

医疗卫生机构的相关人员泄露公民个人信息的，由县级以上人民政府卫生健康行政主管部门依照有关执业医师、护士管理、个人信息保护等法律、行政法规的规定予以行政处罚，属于政府举办的医疗卫生机构中的人员的，依法给予处分。

非法收集、使用、加工、传输公民个人健康信息，非法买卖、提供或者公开公民个人健康信息等，构成违反治安管理行为的，依法给予治安管理处罚。

违反《中华人民共和国民法典》规定，泄露患者的隐私和个人信息，或者未经患者同意公开其病历资料的，应当承担侵权责任。

关注大健康派公众号，发送关键词“数据安全”查看文件原文。