您的浏览器禁用了JavaScript(一种计算机语言,用以实现您与网页的交互),请解除该禁用,或者联系我们。 [中国医院协会信息专业委员会]:2026年医院数据安全调查报告 - 发现报告

2026年医院数据安全调查报告

报告封面

序言 本报告是中国医院协会信息专业委员会(CHIMA)首次针对医院数据安全状况进行调研的工作产出。调研的目的包括:一、为医院对标行业整体发展情况,提供测评标准,以便查缺补漏,完善安全防护工作措施;二、为行业行政部门进行政策设计和规划制订,提供监测和评估依据;三、为技术提供商进行产品开发和服务选择提供参考。 近年来,互联网、大数据、云计算、人工智能等技术加速创新,日益融入医院医疗和管理活动过程,医疗数据量快速增长,数据交换与共享需求快速释放,数据已经成为医院医疗服务提供的重要生产要素和运营保障的基础支撑。数字化、网络化、智能化的发展促进了医院医疗质量的提升和运行效率的改进,但同时带来了数据安全风险问题。 医疗机构中大量的患者个人数据和个人敏感数据,成为黑客关注的目标。国外有关调查表明,在2020年,多达34%的医疗机构遭受到勒索软件的攻击,其中65%的攻击是成功的,三分之一以上的单位为此支付了赎金。 为什么会出现这些不安全的问题?一是医院数据引来越来越多黑客的关注;二是物联网和移动APP的应用,网络安全的漏洞增加,对安全防护提出了新的挑战;三是医院安全防护能力的提升滞后于安全风险防范变化的要求。 尽管大家已经意识到医疗数据安全风险的严重性,但是医院数据安全事件时有发生,而且有越来越严重的趋势。医院数据安全成为典型的“灰犀牛事件”。但如何提升医院数据安全能力的思路和办法尚未健全,最终拖延导致了严重后果。 可以说,数据安全是医院信息化发展遇到的一个新难题。医院是数字密集型也是知识密集型单位,数据不仅是医疗管理与决策的要素资源,也是医疗业务协同的必要支撑,没有数据安全就没有医疗安全,也没有医院运营安全,这个道理已是大家的共识。为了做好医院数据安全工作,CHIMA组织专家对此问题开展深入研究工作,凝聚集体智慧,治愈医院数据安全这个“癌症顽疾”。 本报告中包括两部分调查内容。前期共收集医院数据安全工作相关问卷769份,有效问卷720份。后期,针对医院利用AI工具赋能数据安全的做法,收集了176家医院专项调查数据。 本报告的产出旨在能为医院数据安全建设工作带来收益。但是,本次调查没有采用抽样设计方法,因此结果不具备代表性。此外,本次调查的数据采集工作由调查对象网上自行录入,没有采取复核方式控制数据质量,特请读者注意。同时希望各位同仁对本报告中存在的问题和不足,提出意见和建议。 感谢参与编写本报告的各位专家,感谢杭州安恒信息技术股份有限公司对本次活动的支持,感谢为本次调查工作提供数据资料的各位医院领导和专家。 王才有中国医院协会信息专业委员会主任委员 课题组织架构 课题顾问、主审:王才有、薛万国、琚文胜 课题组组长: 北京市卫生健康大数据与政策研究中心 郑攀首都医科大学宣武医院 梁志刚 课题组成员: (以上排名不分先后)中国医院协会信息专业委员会 朱丽艳、刘华北京市卫生健康大数据与政策研究中心 陈臣深圳市卫生健康发展研究和数据管理中心 郑静中国医学科学院阜外医院 韩作为陆军特色医学中心(重庆大坪医院) 黄昊中国人民解放军总医院 刘敏超浙江大学医学院附属邵逸夫医院 林辉中山大学附属第一医院 刘翰腾中山大学附属第五医院 马嘉潜中国医学科学院北京协和医院 孟晓阳香港中文大学(深圳)医院 庞勤珠海市人民医院 沙翔首都医科大学附属北京友谊医院 王力华首都医科大学附属北京朝阳医院 韦力深圳市第三人民医院 杨川川中山大学附属第七医院 郑子龙杭州安恒信息股份有限公司 刘博、段平霞、刘苏、程文博、杨长江、刘硕 感谢安恒信息对本次调研提供的支持感谢各地方兄弟协会对本次调研提供的支持 目录CONTENTS 调查主要发现03PART • 数据安全认知情况09 对“两法”了解情况对“两法”组织学习情况按“两法”开展制度建设情况按“两法”要求建设实施情况“两法”对医院数据安全管理工作的影响 调查研究背景01 • 数据安全法规的新要求• 行业评价标准的新规定• 医院数据安全防护面临的新风险• 医院AI技术应用出现新趋势02020303 • 数据安全管理情况12 开展数据安全能力建设的主要动力数据安全组织架构情况网络安全建设投入情况与第三方合作时的安全管理情况计划开展的数据安全工作 调查基本情况02 • 数据安全技术应用情况数据安全保护措施数据接口防护情况数据库安全防御措施账户口令安全风险防范情况应对外部攻击防护情况系统运维安全防护情况互联网医疗个人信息保护情况医学科研个人敏感信息数据安全保护情况16 • 调查目的• 调查方法• 调查对象及范围040405 调查结果分析04PART • 数据安全工作的困难与问题数据安全保护工作的主要困难数据安全工作的服务内容亟须开展的重点工作22 • 安全管理制度需针对性细化• 安全专业人才配置普遍短缺• 数据安全得到一定程度重视• 数据安全技术防护能力应进一步加强32323232 • AI赋能医院数据安全调查发现调查目的及方法调查对象及范围考虑应用AI技术辅助数据安全管理工作的场景是否认为AI能有效提升主动防御能力是否考虑引入具备AI能力的数据安全功能模块具有较高应用价值的数据安全场景选择AI技术赋能数据安全产品时的关注点使用AI+数据安全产品时遇到的主要挑战未来是否会增加AI+数据安全产品的投入25 政策与管理建议05PART • 加强政府引导,强化制度供给与监管智能• 细化行业标准,推动标准共建与能力共享• 落实主体责任,提升数据安全治理能力• 推动数据安全技术创新,满足医疗机构多样化需求34343535 调查研究背景 数据安全是我国信息化发展遇到的新挑战。当前,信息化已步入数字化、网络化和智能化的新阶段,数据无处不在、无时不有,已成为新的生产要素,在经济生产和社会活动中扮演着越来越重要的角色。与此同时,数据安全已成为事关国家安全与经济社会发展的重大问题,也是医院信息化发展面临的新挑战。 近年来,为了做好数据资源利用与安全防护工作,国家发布了《网络安全法》《数据安全法》和《个人信息保护法》等法规。这些法规分别从网络空间安全治理、数据交换共享防护以及个人信息保护责任等方面做出了规定,旨在统筹做好数据资源开发利用与安全防护这两件大事。 为了适应医院信息化发展对数据安全防护的需求,医疗行业行政部门也结合特定业务领域的发展现状,对数据安全工作提出了具体规范。 当前,医院数据安全建设面临着复杂的形势:法律层面有了高位合规约束,政策层面有了具体保护要求,但医院数据不安全事件仍频发,严重制约了医疗健康数据的有序流动和价值释放。 因此,深入了解当前医院数据安全防护的现状,分析其背后的制约因素与问题成因,对于加强和改进行业数据管理具有现实意义。 数据安全法规的新要求 随着我国数字经济时代的到来,数据作为新型生产要素和社会财富,正被广泛地分享、分析与利用。随之而来的个人隐私安全问题,也成为数字社会关注的焦点。为此,国家加快了数字经济领域的立法进程,先后发布《网络安全法》《数据安全法》《个人信息保护法》。这些法律不仅在制度层面为数据确权、开放、流通及交易提供了保障,也为数据安全及个人隐私保护构筑了坚实的法律屏障。 医疗健康领域是典型的数据密集型行业。医疗数据既包含患者的一般信息,也涉及高度敏感的个人隐私数据。这些数据不仅在不同医疗机构间流动,以支撑居民全生命周期的医疗服务,还在医院医疗、教学、科研、预防及管理等多方面发挥积极作用。医疗数据不仅是提供连续性医疗服务的基础,更是国家重要的基础性战略资源。 为统筹医疗数据的开发利用与安全防护,国家相关部门陆续出台了一系列政策文件与标准规范: 2020年12月14日,国家市场监督管理总局与国家标准化管理委员会发布《信息安全技术—健康医疗数据安全指南》(GB/T39725-2020),于2021年7月1日实施。该指南明确了健康医疗数据的定义与分类体系,并制定了涵盖使用披露原则、安全管理及技术要点的全方位指南。 2022年8月8日,国家卫生健康委、国家中医药局、国家疾控局三部门联合发布《医疗卫生机构网络安全管理办法》,要求采取加密、备份、脱敏等技术,加强数据全生命周期的安全防护,并基于实际业务场景梳理安全策略,实现针对性防护。 2024年国务院公布《网络数据安全管理条例》,2025年1月1日起施行。该条例细化网络数据处理活动规范,涵盖数据分类分级、个人信息保护、重要数据安全、数据跨境安全管理、平台服务提供者义务、监督管理及法律责任。 上述制度、规范与标准从不同维度厘清监管职责、规范数据处理行为。但医院面对多场景数据应用、分散化数据管理的现实情况,既要严守数据安全与个人信息保护合规底线,又要依法依规挖掘数据要素价值,仍面临诸多全新挑战。 医院数据的多源生产、多场景应用及多目的集成,使得数据处理者、控制者与信息主体之间的关系日趋复杂,医疗机构在数据安全与保护工作上的合规性压力也陡然增加。 行业评价标准的新规定 医疗行业历来高度重视安全工作,各类政策文件、管理制度及业务流程均将安全置于重要位置。医疗数据作为医疗活动的基石,其安全性直接关系到医疗服务稳定。因此,国家在推进医院信息化建设的相关政策中,始终从业务目标出发,对数据安全提出明确要求。 当前,医疗行业各类评审与评级工作均将数据安全作为重要考核指标,主要体现在以下标准/评价体系中: 《三级医院评审标准(2020版)》:针对三级医院评审,该标准设定了严格的“前置要求”,即评审周期内“发生大规模医疗数据泄露或其他重大网络安全事件,造成严重后果”,延期一年评审。延期期间原等次取消,按照“未定等”管理。此外,标准明确要求建立信息安全管理制度,确立主要负责人为第一责任人,并落实网络安全等级保护制度,保障患者隐私与业务连续性。 《电子病历系统应用水平分级评价标准(试行)》:分级评价标准5级及以上规定,要求建立数据使用审查机制,跨境传输需经安全评估;规定数据库操作记录需保存六个月以上,且涉及互联网业务时,数据库服务器不得直接暴露于公网。 《医院信息互联互通标准化成熟度测评方案(2020年版)》:互联互通标准化成熟度测评3级及以上强调,数据的完整性与备份措施,要求数据传输加密、关键数据可追溯,并支持对个人健康档案信息进行字段级、记录级或文件级的加密存储。 《医院智慧服务分级评估标准体系(试行)》:智慧服务分级评估标准2级及以上要求,医院建立全生命周期数据管理体系,特别强调在互联网环境下,患者敏感数据须采用国产算法加密存储,所有数据须加密传输,且跨机构数据使用须审批并可追溯。 《医院智慧管理分级评估标准体系(试行)》:明确要求互联网管理信息系统的重要数据须进行加密传输与存储,且加密算法需符合法律法规要求。 面对上述繁杂且具体的政策要求,医院应如何有效落地执行?行业内有哪些成功经验?在执行过程中又遇到了哪些具体问题及解决方案?这正是本次调查希望重点探究的内容。 医院数据安全防护面临的新风险 当前医院数据安全面临的新挑战,正如“灰犀牛”风险,虽然风险显而易见,但由于危机爆发尚需时间,人们往往心存侥幸,认为总会有解决办法,这种心理上的拖延最终导致了严重后果。这与当前医院数据安全工作面临的困境极为相似。 随着医院数据量快速增长,院内及机构间的数据交换共享需求也迅速提升。这些医疗数据资源在助力医院高质量发展的同时,也面临着日益严峻的安全风险。全球范围内,黑客为谋取非法利益,利用勒索病毒等手段窃取和破坏医院数据的事件时有发生。尽管大家已意识到风险的严重性,但此类事件的发生频率和破坏程度却在不断上升。这背后的原因是什么?应采取何种措施做好数据保护?本次调查计划通过收集医院数据安全保护工作的相关数据,分析问题产生原因,从而为政府部门和医疗机构提供政策建议。 医院AI技术应用出现新趋势 人工智能技术在医疗领域的深度应用,在提升诊疗效率的同时,也衍生出更为隐蔽且严峻的数据安全威胁。 医院使用AI赋能应用越来越广泛,对于AI赋能隐私泄露风险从“存储端”向“模型端”蔓延