近日，中关村网络安全与信息化产业联盟数据安全治理专业委员会编著的《数据安全治理白皮书 5.0》正式发布，其中，《数据安全治理白皮书5.0——医疗数据安全治理实践（医院实践篇）》分析了当前医疗数据安全现状及痛点，梳理了治理思路。

01

经过多年的信息化建设，医疗行业积累了大量的高敏感患者信息，如身份证号、家庭住址、家庭关系、医保卡号、银行卡号等个人信息，以及检查、检验、病症、处方等诊疗信息。这些数据风险巨大，关系着公民的个人隐私，也关系着社会运行的安全、稳定。与此同时，这些数据也蕴含着巨大商业价值，例如通过对海量病患信息的利用分析实现新的治疗方案、新的药物研究、人工智能诊疗等新的医学实践，从而改善治疗的手段、医药的有效性、治疗的效率等。医疗数据受到医药、保健、保险、广告等商业机构高度关注。

互联网医院、医联体建设、专科联盟建设、联合诊疗、医疗健康信息互联互通、临床医学研究、可穿戴健康监测、公共卫生监测等工作都与医疗数据的共享交换密不可分，医疗数据的共享、流动使用是必然趋势，同时，医疗行业的数据泄露风险必然加大，数据安全管理与防护工作将面临更大的挑战。

02

过去的十多年，医院在网络安全建设上进行了大量投入，取得了一定成果，但数据安全建设基础仍然比较薄弱，尚处于起步阶段。

国家对医疗健康行业数据安全的监管也日趋严格，政策日趋完善，但尚有模糊地带，例如智慧互联与个人信息保护法之间就存在一些冲突，譬如医院患者个人信息赋予第三方使用的监管问题，有待进一步规定。《数据安全法》和《网络数据安全管理条例》中都明确，要建立数据分类分级制度，但目前医院数据的分类分级仍缺乏可落地的策略与方法。

《白皮书》建议国家卫健委就一些行业默认执行的规则进行显性的行业规定下发，以减少医院数据安全工作者在执行落地中的法规困惑，归纳为以下几点：

1、明确医院在诊疗过程中收集的个人信息和诊疗信息可以用于医院的诊疗过程中，不需要与患者另行签署个人信息处理同意书。

2、明确医院在诊疗过程中收集的个人信息和诊疗信息，出于医疗档案留存需要，可以长久保存（如 30 年），不用遵循患者删除权。

3、明确医院在诊疗过程中收集的个人信息和诊疗信息，在采用去标识化手段后，可以进行网上联合诊疗。

4、明确医院在诊疗过程中收集的个人信息和诊疗信息，在医联体中，不需要与患者另行签署同意书。

5、明确医院收集的诊疗信息在去除标识化后，可以用于医学研究中，不需要与个人另行签署同意书。

6、明确医院收集的个人信息和诊疗必要信息在进行医保申请时，可以传递给医保机构，不需要与个人另行签署同意书。

7、明确医院收集的个人信息和诊疗必要信息在上报给卫健委备案时，不需要与个人另行签署同意书。

8、面向商业保险查询个人电子病历信息时，需要出示纸质或电子的个人同意书。

9、其余的未涉及的，遵循《个人信息保护法》中的一般要求。

03

在此基础上，《白皮书》提出医院数据安全治理的整体思路，并绘制了医院数据安全治理框架。

思路有二：

1. 以患者隐私数据安全管理和保护为目标，以电子病历数据分类分级保护为核心，面向医院数据应用场景，构建医院数据安全基础能力；

2. 以平衡数据安全与开发利用、提升医院数据应用效率为目标，完善医院数据安全和检查评估体系。

医院数据安全治理框架整体示意如下图所示，将以医院电子病历数据分级为基础，建立患者数据生命周期安全防护体系，并通过完善数据安全组织建设、明确医院数据各场景的数据安全需求、完善管理和技术体系建设，全面保障医院数据安全。

医院数据安全治理框架

患者数据生命周期和数据场景安全防护要求是数据生命周期安全框架的核心，针对不同级别的数据，明确其在数据生命周期各个环节的安全防护要求，是医院开展数据安全防护工作的基本依据。结合患者数据使用场景及电子病历数据的特点，建立覆盖医院数据生命周期和数据使用全场景安全防护机制，是保障医院数据安全的必经之路。此外，组织保障、管理体系也是医院数据安全框架必不可少的组成部分。

结合前面的整体思路和安全框架，针对医院目前普遍存在的数据安全建设痛点问题，《白皮书》提出，医院医疗数据分类分级、医院数据场景安全指南、医院数据安全检查评估、可落地的医院数据安全综合方案等四个方面，是医院数据安全治理的重点方向。（内容来源：中关村网络安全与信息化产业联盟数据安全治理专业委会编著《数据安全治理白皮书 5.0》）

医疗行业数据安全建设涉及的范围广，难度大，建设基础较弱。除医院的患者诊疗数据外，还包括疾控数据、居民健康档案数据、互联网医疗平台数据、医药平台数据、卫健委统计上报数据、人类遗传数据等等，医疗行业数据安全建设和治理迫在眉睫，挑战巨大，受到行业各方关注，同时也需要各方共同努力，探讨治理思路。

为此，大健康派将在【2023北京国际生命健康产业跨境博览会暨世界生命科学大会】召开之际，于7月11日举办【健康医疗大数据创新论坛】，针对医疗行业数据安全建设、医疗数据的合规发展、健康医疗数据的开发利用等热点问题展开讨论。参会报名、招商合作，现已火热开启！

扫码注册参会

商务合作：李先生

联系电话：13260351018

邮箱：hakim.l@idcquan.com

会议咨询：吉先生

联系电话：13911387739

邮箱：scorpio.ji@idcquan.com

媒体合作：王女士

联系电话：18518153499

邮箱：news@idcquan.com

更多详情 请点击链接

聚焦医疗科技！7月11日·北京，健康医疗大数据创新论坛重磅启动