近年来，医疗行业信息化发展迅速，随着大数据、互联网技术的普及和升级，“互联网+医疗健康”、“健康医疗大数据”等已经成为政府工作报告、企业发展计划中的高频词汇。2021年3月12日发布的“十四五”规划更是重申了加快推动数字产业化，并提出在智慧医疗等重点领域开展试点示范。

　　另一方面，健康医疗数字化发展也伴随着数据隐私和网络安全风险，由于健康医疗数据具有高度敏感性、隐私性，其泄露和不当使用可能给个人、家庭甚至社会和国家造成巨大影响，同时考虑到健康医疗行业数据流通过程参与主体的多样性以及应用场景的复杂性，其势必受到更为严格的监管。从2019年颁布的《人类遗传资源管理条例》到今年4月14日生效的《生物安全法》；从《网络安全法》《民法典》到正在制定过程中的《个人信息保护法》《数据安全法》，国家正从法律法规层面加强对于健康医疗数据的保护。此外，逐渐常态化、多元化的执法、司法活动也在为法律法规的实施保驾护航。

　　对于健康医疗行业企业而言，大量采集和使用健康医疗数据已是不可逆的趋势，与此同时也面临着泄露、网络攻击等内外部风险以及日益趋严的法律监管。在此情况下，建立和落实完善的数据合规体系势在必行。实践中，由于法律法规层级较高，相关规定可能原则性较强，故不可避免地存在操作性低的问题。对此，尽管推荐性国家标准虽本身并不具有法律效力，但其系由行业监管部门、行业领先企业等根据法律法规和最佳实践制定，颗粒度高、实操性强，故对于企业合规工作具有重要指导意义，值得企业给予关注并参考适用。

　　2020年12月14日，国家市场监督管理总局和国家标准化管理委员会联合发布了推荐性国家标准《信息安全技术 健康医疗数据安全指南》（以下简称“《指南》”），该指南将于2021年7月1日起实施。与2018年发布的征求意见稿相比，正式版本在结构和内容上都作出了较大改动。《指南》明确了“健康医疗数据”的定义和分类，并规定了数据生命周期的不同阶段以及典型数据场景中宜采取的安全措施，为“互联网+医疗健康”蓬勃发展以及疫情防控常态化背景下健康医疗行业的数据开发与使用提供了安全指引。

一、健康医疗数据：定义与分类分级

1. “健康医疗数据”定义

　　《指南》首次明确了“个人健康医疗数据”的定义，即“单独或者与其他信息结合后能够识别特定自然人或反映特定自然人生理或心理健康的相关电子数据”，此外，《指南》附录A还以列举的形式对个人健康医疗数据的范围予以进一步说明。需要注意的是，“个人健康医疗数据”与《信息安全技术 个人信息安全规范》下的“个人健康生理信息”类似，但同时存在一定差异——二者均包含与个人身体健康状况相关的信息以及个人因生病医治等产生的相关记录，但前者还包括个人的支付或医保相关数据，例如支付的医保服务费用。

　　在此基础上，《指南》同时规定“健康医疗数据”是指个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据，例如群体总体分析结果、趋势预测、疾病防治统计数据等。

２. “健康医疗数据”分类分级

　　数据分类分级是企业进行数据管理的起点，也是制定不同级别安全措施的基础。《指南》基于数据自身属性以及数据应用场景，将健康医疗数据分成了个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据以及公共卫生数据六大类，其中既包括具有个人信息属性的数据，例如基因、指纹等个人生物识别信息；也包括群体性数据以及机构运营数据，例如疾病监测数据、医院运营数据等。

　　另一方面，《指南》根据数据重要程度、风险级别以及对个人健康医疗数据主体可能造成的损害和影响的级别，将健康医疗数据分成了以下五级。

二、健康医疗数据安全措施

1. 安全措施要点

　　根据《指南》，针对特定数据特定场景，相关组织和个人可划分为四类角色，即个人健康医疗数据主体、健康医疗数据控制者、健康医疗数据处理者以及健康医疗数据使用者。在此基础上，《指南》基于不同的数据管理和应用场景，对相关主体，尤其是数据控制者需要采取的安全措施要点进行了说明。

■ 分级安全措施：对不同级别的数据实施不同的安全保护措施，重点在于授权管理、身份鉴别、访问控制管理。

■ 场景安全措施：基于在数据使用过程中所涉及的安全环节（如采集、存储、传输、使用等）与安全责任，不同角色需采取不同的安全措施，例如加密、去标识化、流量控制、质量管理等。

■ 开放安全措施：不同数据开放形式（包括网站公开、文件共享、API接入、在线查询、数据分析平台）均需要遵循“最少必要原则”并尽可能地去标识化，此外，基于不同开放形式的特点，还应采取不同的安全措施，例如审批制度、权限管理等。

2. 安全管理要求

　　数据控制者作为能够自主决定数据处理目的、处理方式等事项的主体，较数据处理者、使用者而言，需要承担更高的合规义务。《指南》要求健康医疗数据控制者（1）建立完善的组织保障体系，组织架构中至少包括健康医疗数据安全委员会和安全工作办公室，以确保做好数据安全管理工作；（2）安全管理工作遵循规划、实施、检查、改进的流程，且各项工作宜形成相应文档记录；（3）建立应急预案并制定灾难恢复计划，确保安全事件得到及时有效处置。

3. 安全技术要求

　　除安全管理以外，《指南》针对安全技术也提出了要求，一方面，健康医疗数据控制者宜采取通用安全技术确保数据安全，包括但不限于对承载数据的云平台进行必要保护；实施身份鉴别、访问控制、安全审计、备份恢复等安全措施；采取密码技术保证数据处理活动的完整性、保密性、可追溯性。另一方面，健康医疗数据控制者宜开展去标识化工作，将个人属性数据中可间接关联到个人的信息进行泛化、转换等处理。需要注意的是，去标识化与匿名化不同，匿名化处理后的信息不可恢复地不再属于个人信息，而去标识化是以假名等技术方式替代指向个人的标识，经处理后的信息仍可以重识别。

三、典型场景下的健康医疗数据安全

　　在明确安全措施要点以及安全管理、技术要求的基础上，《指南》还就八大典型场景下的健康医疗数据安全问题，提供了重点安全措施提示。

　　值得注意的是，尽管《指南》针对不同的场景提出了不同的安全措施，相关企业在进行健康医疗数据处理活动时，仍应当以《网络安全法》等相关法律法规的规定为基础考虑隐私保护与数据安全等问题。实践中，已经依据相关规定建立合规体系的企业在进行合规自检或评估特定场景下的数据安全合规性时，可以结合自身情况参考《指南》进行操作和落实。

四、结语与展望

　　与其他行业相比，健康医疗行业数据具有敏感度高、处理场景繁杂等特性。因此，相关企业在处理健康医疗数据时，除遵守一般的个人信息和数据保护规定外，可能还需要基于行业特点采取额外的合规与安全措施。如前所述，《指南》虽不具有法律强制力，但其基于实务场景提供的安全措施建议具有较高的可操作性，相关企业可以此作为参考制定和落实合规政策。

　　此外，《个人信息保护法》和《数据安全法》现已相继公布草案，预计将于年内通过并于明年正式生效。从草案来看，企业可能面临更高的个人信息和数据保护法律要求以及违规风险。因此，值《指南》实施之际，健康医疗行业企业可根据本《指南》进行数据梳理和合规自检，为即将到来的两部法律作好准备。