您的浏览器禁用了JavaScript(一种计算机语言,用以实现您与网页的交互),请解除该禁用,或者联系我们。 [国家卫健委]:医疗卫生机构数据安全和个人信息保护管理办法(试行) - 发现报告
回到首页 AI 搜索 发现报告 发现数据
发现专题
专题报告 专题百科
研选报告 定制报告 VIP 权益 发现大使
行业研究公司研究宏观策略财报招股书会议纪要Token低空经济十五五AIGC大模型

医疗卫生机构数据安全和个人信息保护管理办法(试行)

医药生物 2026-04-21 国家卫健委 秋穆
报告封面

第一章总则 第一条为了规范医疗卫生机构数据安全和个人信息保护管理,促进医疗卫生机构数据开发和个人信息合理利用,保护个人、组织的合法权益,统筹发展和安全,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国基本医疗卫生与健康促进法》《网络数据安全管理条例》等法律、行政法规,制定本办法。 第二条本办法适用于医疗卫生机构的数据安全和个人信息保护管理。 本办法所称的数据,是指任何以电子或者其他方式对信息的记录。 本办法所称的医疗卫生机构数据,是指医疗卫生机构收集和产生的各种数据,包括但不限于各类临床、科研、管理等业务数据与医疗设备产生的数据。 本办法所称的数据处理活动,包括数据的收集、存储、使用、加工、传输、提供、公开等。 个人信息是特别重要的一种数据,当达到一定精度、规模时,个人信息要按照数据分类分级管理要求,纳入国家重要数据目录进行重点保护。 第三条在国家数据安全工作协调机制的统一部署下,国家卫生健康委、国家中医药局、国家疾控局负责统筹规划、指导、评估、监督医疗卫生机构数据安全和个人信息保护管理工作。县级以上地方卫生健康行政部门(含中医药和疾控部门,下同)负责本行政区域内医疗卫生机构数据安全和个人信息保护管理工作。医疗卫生机构按照属地管理的原则,接受卫生健康行政部门监管。 第四条医疗卫生机构对本单位医疗卫生机构数据安全和个人信息保护管理负主体责任,县级以上医疗卫生机构应当成立网络安全和信息化工作领导小组,由单位主要负责人担任组长,每年至少召开一次医疗卫生机构数据安全和个人信息保护会议,部署数据安全和个人信息保护工作,研究制定相关制度规范。 医疗卫生机构主要负责人是本单位数据安全和个人信息保护管理第一责任人,分管负责人是直接责任人。按照“管业务必须管安全”“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,明确本单位业务部门与信息化部门的职责,加强医疗卫生机构数据安全和个人信息保护管理。 第二章数据分类分级保护 第五条依据有关法律和卫生健康行业数据分类分级有关要求,医疗卫生机构数据分为核心数据、重要数据和一般数据,落实分类分级保护制度。不同类别、级别数据同时被处理且难以分别采取保护措施的,按照其中级别最高的要求实施保护。 第六条省级卫生健康行政部门按照卫生健康行业数据分类分级有关要求组织开展省域内医疗卫生机构数据的分类分级工康委(中医领域报送国家中医药局、疾控领域报送国家疾控局),目录发生变化的,应当及时更新并上报。各级卫生健康行政部门确认为重要数据的,应当及时告知医疗卫生机构。 医疗卫生机构应当定期梳理医疗卫生机构数据,确定医疗卫生机构数据类别,识别重要数据,并向属地卫生健康行政部门报送,上报内容包括但不限于医疗卫生机构数据来源、类别、级别、规模、处理目的和方式、责任主体、跨境传输、安全保护措施等基本情况,不包括医疗卫生机构数据内容本身。 第七条医疗卫生机构数据级别确定后,出现下列情形之一的,应对医疗卫生机构数据级别及时变更: (一)医疗卫生机构数据内容发生较大变化。 二)医疗卫生机构数据内容未发生变化,但医疗卫生机构数 据规模、医疗卫生机构数据时效性、医疗卫生机构数据应用场景、医疗卫生机构数据加工处理方式等发生较大变化。 (三)需要对医疗卫生机构数据级别进行变更的其他情形。 第八条医疗卫生机构数据经过脱敏、标签、统计、汇聚融合等加工活动而产生的衍生数据,应在原始数据定级的基础上,重新评估确定数据级别。 第三章数据全生命周期安全管理 第九条医疗卫生机构开展医疗卫生机构数据和个人信息处理活动,应当遵守法律法规规定,履行相应数据安全保护义务,坚持保障数据安全与发展并重,通过管理和技术手段保障医疗卫生机构数据安全和医疗卫生机构数据应用的有效平衡,通过开展包括但不限于以下工作,确保医疗卫生机构数据持续处于有效保护复改、丢失: (一)强化制度保障。建立医疗卫生机构数据安全管理制度、操作规程及技术规范,针对不同类别和级别的医疗卫生机构数据,明确收集、存储、使用、加工、传输、提供、公开等环节的具体保护要求。 (二)强化人员保障。加强医疗卫生机构数据安全管理人员队 伍建设,定期开展医疗卫生机构数据安全教育和培训,提高全员数据安全、个人信息保护意识和水平。 (三)强化管理保障。严格医疗卫生机构数据和个人信息处理活动的日常管理,明确处理的操作权限。自行或委托第三方评估机构定期对本单位的医疗卫生机构数据进行安全风险评估,及时掌握数据安全状态,及时整改风险问题,消除隐患,并向属地卫生健康行政部门报送风险评估报告。 (四)强化技木保障。在医疗卫生机构数据的收集、存储、使用、加工、传输、提供、公开、删除等环节,针对不同场景综合运用加密、鉴权、认证、脱敏、去标识化、数字水印、校验、审计等技术手段进行安全保护。 (五)强化应急保障。根据工作实际与应对医疗卫生机构数据安全事件的需要,应制定完善应急预案,并定期开展演练。 (六)法律、行政法规等规定的其他措施。 第十条处理重要数据的医疗卫生机构,应当明确医疗卫生机构数据安全负责人和管理机构,落实医疗卫生机构数据安全保护责任,每年度对其医疗卫生机构数据处理活动开展风险评估,并向省级及以上卫生健康行政部门报送风险评估报告,卫生健康行政部门应当及时通报同级网信部门、公安机关。医疗卫生机构提供、委托处理、共同处理重要数据前应当进行风险评估,属于履行 法定职责或者法定义务的除外。 医疗卫生机构向其他医疗卫生机构数据处理者提供、委托处理重要数据的,应当通过合同等方式与接收方约定处理目的、方式、范围以及安全保护义务等,并对医疗卫生机构数据接收方履行义务的情况进行监督。 第十一条医疗卫生机构在存储处理重要数据时要落实三级及以上网络安全等级保护要求。存储处理核心数据的,涉及关键信息基础设施的,要在网络安全等级保护制度的基础上,落实关键信息基础设施安全保护要求,不涉及关键信息基础设施的,应落实四级网络安全等级保护要求。医疗卫生机构数据内容发生较大变化,需要变更医疗卫生机构数据级别的,应根据情况及时进行网络安全等级保护重新定级备案。法律法规和国家有关规定要求使用商用密码进行保护的,应当遵守商用密码保护有关规定。 采取必要的安全保护措施,并告知数据接收方按照对应级别进行分类分级保护。自当年度1月1日起可能累计达到上一年度末该项核心数据静态总量30%及以上的,应经国家卫生健康委报有关部门组织风险评估。涉及国家机关依法履职、国家机关或企事业单位内部流动的除外。 医疗卫生机构在处理核心数据时,在重要数据保护要求的基 础上: (一)优先使用商用密码进行保护; (二)优先使用安全可信的产品和服务; (三)优先使用第三方评估机构开展风险评估; (四)涉及核心数据安全事件处置、溯源的相关日志留存时间不少于三年; (五)对相关关键岗位人员、涉核心数据信息系统建设和运维单位等,提交公安机关、国家安全机关进行国家安全背景审查。 第十二条支持医疗卫生机构在确保医疗卫生机构数据安全的前提下,依法依规加强医疗卫生机构数据共享。医疗卫生机构应当加强对医疗卫生机构数据共享、调用的安全管理,采取技术措施定期监测医疗卫生机构数据共享调用等情况,对医疗卫生机构数据查询、下载、修改、删除等操作日志开展审计分析,及时发现违规或异常行为,采取相应处置措施,并配备认证鉴权、威胁告警等安全保护措施。 第十三条支持医疗卫生机构在确保医疗卫生机构数据和个人信息安全的前提下,依法依规加强数据要素开发利用工作。 医疗卫生机构应当建立完善医疗卫生机构数据使用甲请及批准流程,遵循“谁主管、谁审查”,坚持事前申请批准、事中监管、事后审核的原则,严格执行业务管理部门同意、医疗卫生机构领导核 准、信息技术部门支撑执行的工作程序,如涉及对外提供医疗卫生机构数据的,需按相关要求报审,确保医疗卫生机构数据活动流程合法合规。医疗卫生机构应当对医疗卫生机构数据接收方履行安全管理责任进行监督。 鼓励医疗卫生机构通过“原始数据不出域,数据可用不可见,数据可控可计量”等方式,促进医疗卫生机构数据依法合理有效利用。 第十四条医疗卫生机构依据国家关于公共数据资源开发利用的有关规定,按照公共数据资源授权运营实施规范,探索建立数据分类分级授权运营机制,将授权运营纳入医疗卫生机构领导班子集体决策范围,明确授权条件、运营模式、运营期限、退出机制和安全管理责任,授权符合条件的运营机构开展公共数据资源开发、产品经营和技术服务。 第十五条卫生健康行政部门等国家机关为履行法定职责需要收集、使用数据,应当在其履行法定职责的范围内依照法律、行政法规规定的条件和程序进行。法律、行政法规和国家有关规定明确医疗卫生机构可以拒绝其他行政部门重复采集医疗卫生机构数据的,医疗卫生机构可以拒绝相关组织或个人收集超出履行法定职责所必需的范围和限度的医疗卫生机构数据。 各级卫生健康行政部门应当按照《中华人民共和国数据安全 法》等法律、行政法规和国家有关规定,切实履行行业监管职责,加强向医疗卫生机构采集数据的归口管理,建立健全医疗卫生机构数据共享共用机制,加强部门间数据共享,各级全民健康信息平台和各级传染病监测预警与应急指挥平台已经采集的医疗卫生机构数据,原则上应通过跨部门共享交换实现。 医疗卫生机构应当及时将对外提供医疗卫生机构数据的情况报告属地卫生健康行政部门。属地卫生健康行政部门应当依法依规加强医疗卫生机构数据报送管理,重点管理重复采集医疗卫生机构数据、超范围采集医疗卫生机构数据等违反有关规定的情形。 第十六条医疗卫生机构委托他人处理或与他人共同处理医疗卫生机构数据的,数据安全责任不因委托而改变。医疗卫生机构应当经过严格的审批程序,明确受托方的数据处理权限和保护责任,并监督受托方履行数据安全保护义务。 涉及使用云计算服务处理医疗卫生机构数据的,应当选择通要求。 卫生健康行政部门原则上不得委托学会、协会面向医疗卫生机构采集数据,确有必要的,应当经过卫生健康行政部门数据管理机构的统筹论证,并报同级卫生健康行政部门网络安全和信息化工作领导小组审核。 第十七条医疗卫生机构应当与参与其信息化建设运行维护的相关单位及涉及医疗卫生机构数据存储的相关医疗设备生产经营企业书面约定各方义务和责任,落实责任追究制度。 第十八条医疗卫生机构应当按照业务工作需要和最小授权原则,依据岗位职责设定医疗卫生机构数据处理权限,控制医疗卫生机构数据接触范围,人员变动时应当及时调整权限。 第十九条重要数据处理活动应当记录维护数据安全所需的日志,涉及安全事件处置、溯源的,相关日志留存时间应当不少于一年;涉及向他人提供、委托处理、共同处理重要数据的,相关日志留存时间应当不少于三年。 第二十条医疗卫生机构在使用人工智能等新技术处理医疗卫生机构数据时,应当评估使用新技术带来的安全风险,采取必要的技术措施,加强医疗卫生机构数据安全防护。 第二十一条医疗卫生机构因合并、分立、解散、被宣告破产等原因需要转移、销毁医疗卫生机构数据的,应当采取必要的安全保护措施,并事前向属地卫生健康行政部门报告医疗卫生机构数据处置方案。引起医疗卫生机构数据目录发生变化的,应当及时报告属地卫生健康行政部门。 第二十二条医疗卫生机构应当加强对医疗卫生机构数据全生命周期的管理,医疗卫生机构及其人员不得有以下行为: (一)不得违法采集医疗卫生机构数据。医疗卫生机构应当加强医疗卫生机构数据收集的合法性管理,明确业务部门和管理部门在医疗卫生机构数据收集合法性中的主体责任,不得超范围采集医疗卫生机构数据,不得窃取或者以其他非法方式采集医疗卫生机构数据。 (二)不得违法存储医疗卫生机构数据。医疗卫生机构在我国境内收集和产生的重要数据,应当在境内存储,并采取备份、加密等措施加强医疗卫生机构数据的存储安全。 (三)不得违法进行医疗卫生机构数据传输。医疗卫生机构应当在数据分类分级的基础上,进一步明确不同安全级别医疗卫生机构数据的加密传输要求,不得通过邮箱

点击免费查看完整报告