醫(yī)療數(shù)據(jù)是指在醫(yī)療保健過(guò)程中產(chǎn)生的所有與患者健康�����、疾病狀態(tài)及醫(yī)療服務(wù)相關(guān)的信息����,涵蓋從個(gè)人診療到公共衛(wèi)生管理的多種類型數(shù)據(jù)。主要包括在疾病防治�����、健康管理�、醫(yī)療管理、醫(yī)學(xué)研究等過(guò)程中產(chǎn)生的各種數(shù)據(jù)�, (1)包括患者的個(gè)人信息、病歷記錄�、藥物購(gòu)買與使用情況、設(shè)備數(shù)據(jù)���、系統(tǒng)記錄等����,以及經(jīng)加工處理之后得到的健康醫(yī)療相關(guān)電子數(shù)據(jù)。這些數(shù)據(jù)通常來(lái)源于醫(yī)療健康相關(guān)的醫(yī)院
系統(tǒng)(HIS)��、電子病歷系統(tǒng)(EMR)等信息系統(tǒng)及臨床治療���、藥物銷售等活動(dòng)�����。(2)根據(jù)國(guó)家標(biāo)準(zhǔn) GB/T 39725-2020《信息安全技術(shù)-健康醫(yī)療數(shù)據(jù)安全指南》����,將醫(yī)療數(shù)據(jù)分為個(gè)人屬性數(shù)據(jù)�����、健康狀況數(shù)據(jù)��、醫(yī)療應(yīng)用數(shù)據(jù)���、醫(yī)療支付數(shù)據(jù)、衛(wèi)生資源數(shù)據(jù)以及公共衛(wèi)生數(shù)據(jù)等類別�。
(一)醫(yī)療數(shù)據(jù)一般性合規(guī)要點(diǎn)
(1)安全認(rèn)證要求
①網(wǎng)絡(luò)安全等級(jí)保護(hù)三級(jí)認(rèn)證:“三級(jí)等保”是我國(guó)對(duì)非銀行機(jī)構(gòu)的最高等級(jí)保護(hù)認(rèn)證���,被定級(jí)為等保三級(jí)的系統(tǒng)主要適用于金融���、醫(yī)療��、政務(wù)等高敏感行業(yè)�����。通過(guò)“三級(jí)等?���!闭J(rèn)證�����,表明企業(yè)的信息安全管理能力達(dá)到國(guó)內(nèi)最高標(biāo)準(zhǔn)�����?�!叭?jí)等?�!钡募夹g(shù)要求主要包括物理安全、網(wǎng)絡(luò)安全��、主機(jī)安全��、應(yīng)用安全和數(shù)據(jù)安全五個(gè)方面�。
物理安全:機(jī)房應(yīng)區(qū)域劃分至少分為主機(jī)房和監(jiān)控區(qū)兩個(gè)部分;機(jī)房應(yīng)配備電子門禁系統(tǒng)�、防盜報(bào)警系統(tǒng)、監(jiān)控系統(tǒng)�;機(jī)房不應(yīng)該有窗戶,應(yīng)配備專用的氣體滅火系統(tǒng)�����、備用發(fā)電機(jī)�����。
網(wǎng)絡(luò)安全:應(yīng)繪制與當(dāng)前運(yùn)行情況相符合的拓?fù)鋱D���;交換機(jī)���、防火墻等設(shè)備配置應(yīng)符合要求,例如應(yīng)進(jìn)行 Vlan 劃分并確保各 Vlan 邏輯隔離����,配置 Qos 流量控制策略,并設(shè)置訪問(wèn)控制策略�����,重要網(wǎng)絡(luò)設(shè)備和服務(wù)器應(yīng)進(jìn)行 IP/MAC 綁定等�����;應(yīng)配備網(wǎng)絡(luò)審計(jì)設(shè)備��、入侵檢測(cè)或防御設(shè)備���;交換機(jī)和防火墻的身份鑒別機(jī)制要滿足等保要求���,例如用戶名密碼復(fù)雜度策略、登錄訪問(wèn)失敗處理機(jī)制��、用戶角色和權(quán)限控制等�;網(wǎng)絡(luò)鏈路、核心網(wǎng)絡(luò)設(shè)備和安全設(shè)備��,需要提供冗余性設(shè)計(jì)����。
主機(jī)安全:服務(wù)器的自身配置應(yīng)符合要求����,例如應(yīng)具備身份鑒別機(jī)制���、訪問(wèn)控制機(jī)制���、安全審計(jì)機(jī)制和防病毒等,必要時(shí)可購(gòu)買第三方的主機(jī)和數(shù)據(jù)庫(kù)審計(jì)設(shè)備�;服務(wù)器(應(yīng)用和數(shù)據(jù)庫(kù)服務(wù)器)應(yīng)具備冗余性,例如支持雙機(jī)熱備或集群部署等����;服務(wù)器和重要網(wǎng)絡(luò)設(shè)備在上線前需要進(jìn)行漏洞掃描評(píng)估,不應(yīng)有中高級(jí)別以上的漏洞(例如 Windows 系統(tǒng)漏洞���、Apache 等中間件漏洞��、數(shù)據(jù)庫(kù)軟件漏洞�����、其他系統(tǒng)軟件及端口漏洞等)�����;應(yīng)配備專用的日志服務(wù)器保存主機(jī)�、數(shù)據(jù)庫(kù)的審計(jì)日志���。
應(yīng)用安全:應(yīng)用自身的功能應(yīng)符合等保要求���,例如應(yīng)具備身份鑒別機(jī)制、審計(jì)日志����、通信和存儲(chǔ)加密等;應(yīng)用端應(yīng)考慮部署網(wǎng)頁(yè)防篡改設(shè)備�����;應(yīng)用的安全評(píng)估(包括應(yīng)用安全掃描����、滲透測(cè)試及風(fēng)險(xiǎn)評(píng)估),應(yīng)確保不存在中高級(jí)風(fēng)險(xiǎn)以上的安全漏洞(例如 SQL 注入���、跨站腳本����、網(wǎng)站掛馬、網(wǎng)頁(yè)篡改�、敏感信息泄露、弱口令和口令猜測(cè)����、管理后臺(tái)漏洞等);應(yīng)用系統(tǒng)產(chǎn)生的日志應(yīng)保存至專用的日志服務(wù)器���。
數(shù)據(jù)安全:應(yīng)建立數(shù)據(jù)本地備份機(jī)制����,確保每日備份至本地��,并存放于異地�;如系統(tǒng)中存在核心關(guān)鍵數(shù)據(jù),應(yīng)通過(guò)網(wǎng)絡(luò)等方式提供異地?cái)?shù)據(jù)備份功能��,確保數(shù)據(jù)安全性����。三級(jí)等保的管理制度要求涵蓋安全管理制度、安全管理機(jī)構(gòu)�����、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理��。②ISO 體系認(rèn)證:截至目前��,國(guó)際標(biāo)準(zhǔn)化組織(ISO)已經(jīng)發(fā)布了 25,000 多項(xiàng)標(biāo)準(zhǔn)�����,涵蓋了技術(shù)��、管理和制造的各個(gè)領(lǐng)域���。其中適用于醫(yī)療數(shù)據(jù)的 ISO 標(biāo)準(zhǔn)主要有 ISO 7101、ISO 13485���、ISO 14971���、ISO 15189、ISO/IEC 27001����、ISO/ASTM TR 52916����、ISO/IEC 20000����、ISO/IEC 27701 等。
(2)數(shù)據(jù)安全組織設(shè)立要求數(shù)據(jù)處理者應(yīng)成立網(wǎng)絡(luò)安全和信息化工作領(lǐng)導(dǎo)小組���,由單位主要負(fù)責(zé)人擔(dān)任領(lǐng)導(dǎo)小組組長(zhǎng)����。網(wǎng)絡(luò)數(shù)據(jù)安全負(fù)責(zé)人應(yīng)當(dāng)具備網(wǎng)絡(luò)數(shù)據(jù)安全領(lǐng)域的專業(yè)知識(shí)和相關(guān)管理經(jīng)驗(yàn)��,并由數(shù)據(jù)處理者的管理層成員擔(dān)任�����。網(wǎng)絡(luò)數(shù)據(jù)安全負(fù)責(zé)人的核心職責(zé)包括但不限于監(jiān)督數(shù)據(jù)安全策略的實(shí)施����、組織定期的安全培訓(xùn)與演練、協(xié)調(diào)應(yīng)對(duì)數(shù)據(jù)安全事件等�����,并依法享有直接向有關(guān)主管部門報(bào)告所在單位網(wǎng)絡(luò)數(shù)據(jù)安全狀況的權(quán)利,以確保在數(shù)據(jù)安全事件發(fā)生時(shí)��,能夠迅速�����、準(zhǔn)確地傳達(dá)信息��,爭(zhēng)取寶貴的應(yīng)對(duì)時(shí)間�����。
(3)數(shù)據(jù)安全制度要求各數(shù)據(jù)處理者應(yīng)建立健全數(shù)據(jù)安全制度���、操作規(guī)程及技術(shù)規(guī)范,涉及的管理制度每年至少修訂一次���。依據(jù)《數(shù)據(jù)安全法》《網(wǎng)絡(luò)安全法》和《個(gè)人信息保護(hù)法》等規(guī)范性文件的要求�����,數(shù)據(jù)處理者至少應(yīng)當(dāng)建立數(shù)據(jù)分類分級(jí)制度�����、訪問(wèn)控制與權(quán)限控制制度�����、數(shù)據(jù)安全評(píng)估與審計(jì)制度�、應(yīng)急預(yù)案與事件響應(yīng)制度、數(shù)據(jù)安全培訓(xùn)制度等�����。
①數(shù)據(jù)分類分級(jí)制度根據(jù)法律法規(guī)的相關(guān)要求����,醫(yī)療數(shù)據(jù)處理者應(yīng)每年對(duì)本單位所儲(chǔ)存的醫(yī)療數(shù)據(jù)進(jìn)行全面梳理,依據(jù)醫(yī)療數(shù)據(jù)的重要程度���、遭到破壞后的危害程度�,建立本單位數(shù)據(jù)分級(jí)標(biāo)準(zhǔn)�。醫(yī)療數(shù)據(jù)處理者既可在專業(yè)人員的輔助下,依據(jù)本單位的醫(yī)療數(shù)據(jù)所涉及的疾病范圍���、規(guī)模大小等����,建立本單位的數(shù)據(jù)分級(jí)標(biāo)準(zhǔn),也可參考《信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南(GB/T 39725-2020)》中的分級(jí)標(biāo)準(zhǔn)��。
同時(shí)��,醫(yī)療數(shù)據(jù)處理者應(yīng)按照一定的標(biāo)準(zhǔn)和規(guī)則對(duì)醫(yī)療數(shù)據(jù)進(jìn)行分類和整理�����,不僅有助于提高數(shù)據(jù)的組織性��、可訪問(wèn)性和可用性�����,為醫(yī)療服務(wù)����、醫(yī)療管理����、醫(yī)學(xué)研究等提供有力支持,還能夠?yàn)獒t(yī)療數(shù)據(jù)后續(xù)存儲(chǔ)過(guò)程中的應(yīng)急響應(yīng)���、容災(zāi)備份和權(quán)限控制制度的落實(shí)提供基礎(chǔ)�?��!缎畔踩夹g(shù) 健康醫(yī)療數(shù)據(jù)安全指南(GB/T 39725-2020)》也為醫(yī)療數(shù)據(jù)處理者提供了可參考的分類標(biāo)準(zhǔn)���。
此外�����,醫(yī)療數(shù)據(jù)并非一直保持靜態(tài)存儲(chǔ)狀態(tài)�,在采集��、交換��、使用等過(guò)程中�,醫(yī)療數(shù)據(jù)處理者需進(jìn)行動(dòng)態(tài)的數(shù)據(jù)分類分級(jí),包括對(duì)增量醫(yī)療數(shù)據(jù)的持續(xù)性分類分級(jí)���,對(duì)已有數(shù)據(jù)產(chǎn)生變化的醫(yī)療數(shù)據(jù)的持續(xù)梳理�����,以保證醫(yī)療數(shù)據(jù)的動(dòng)態(tài)分類分級(jí)���,確保數(shù)據(jù)安全和合規(guī)性�����。
②數(shù)據(jù)安全培訓(xùn)制度醫(yī)療數(shù)據(jù)處理者��,為保障醫(yī)療數(shù)據(jù)處理�����、使用過(guò)程的安全性����、隱私性和合規(guī)性���,應(yīng)制定一系列針對(duì)內(nèi)部員工及數(shù)據(jù)相關(guān)人員的培訓(xùn)計(jì)劃����、流程和規(guī)范���,以提升員工的數(shù)據(jù)安全意識(shí)和技能,以確保醫(yī)療數(shù)據(jù)在收集�、存儲(chǔ)�、處理�、傳輸和使用等各個(gè)環(huán)節(jié)的安全性。具體而言�,醫(yī)療數(shù)據(jù)處理者單位內(nèi)部的數(shù)據(jù)安全培訓(xùn)可以從法律法規(guī)和政策解讀、數(shù)據(jù)安全技術(shù)與工具��、實(shí)際案例分析三個(gè)角度�,基于醫(yī)療數(shù)據(jù)分類分級(jí)及崗位風(fēng)險(xiǎn)圖譜,制定差異化培訓(xùn)方案�。③數(shù)據(jù)訪問(wèn)權(quán)限控制制度參照《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》的相關(guān)規(guī)定,建議醫(yī)療數(shù)據(jù)處理者單位內(nèi)部嚴(yán)格規(guī)定不同人員的權(quán)限����,加強(qiáng)數(shù)據(jù)使用過(guò)程中的申請(qǐng)及批準(zhǔn)流程管理,確保數(shù)據(jù)在可控范圍內(nèi)使用���,加強(qiáng)日志留存及管理工作�����,杜絕篡改��、刪除日志的現(xiàn)象發(fā)生����,防止數(shù)據(jù)越權(quán)使用。以醫(yī)療機(jī)構(gòu)為例����,醫(yī)療機(jī)構(gòu)可建立數(shù)據(jù)全生命周期權(quán)限控制制度和應(yīng)急訪問(wèn)機(jī)制。權(quán)限管理應(yīng)根據(jù)科室內(nèi)部入職�、轉(zhuǎn)崗、調(diào)崗�、離職情況,自動(dòng)觸發(fā)權(quán)限分配和控制���,如離職后 72 小時(shí)內(nèi)強(qiáng)制回收失去的權(quán)限���,并掃描殘留服務(wù)器。應(yīng)急訪問(wèn)機(jī)制旨在保證緊急狀態(tài)下����,如公共衛(wèi)生事件、急診搶救等情況��,系統(tǒng)基于生命體征監(jiān)測(cè)數(shù)據(jù)或醫(yī)務(wù)人員的主動(dòng)申請(qǐng)��,解鎖患者過(guò)往全部醫(yī)療數(shù)據(jù)�����。但醫(yī)療機(jī)構(gòu)可要求在事后一定時(shí)間內(nèi)補(bǔ)填《緊急訪問(wèn)說(shuō)明》并提交����。對(duì)于不同科室和人員的權(quán)限分配,遵循最小權(quán)限原則�,例如:管理員僅可配置系統(tǒng),醫(yī)生僅可訪問(wèn)對(duì)應(yīng)科室患者數(shù)據(jù)��,且禁止使用默認(rèn)賬戶直接操作系統(tǒng)�����,并對(duì)所有登錄行為經(jīng)過(guò)多因素認(rèn)證�����,例如“密碼+動(dòng)態(tài)令牌”或“密碼+生物特征” 組合驗(yàn)證��。此外���,醫(yī)療機(jī)構(gòu)數(shù)據(jù)存儲(chǔ)服務(wù)器應(yīng)對(duì)所有訪問(wèn)人員的操作進(jìn)行記錄并留存�����,包括訪問(wèn)時(shí)間�����、用戶身份�、操作類型、涉及的數(shù)據(jù)范圍及操作源 IP 地址���,日志文件需加密存儲(chǔ)并定期備份����,防止篡改���。
④數(shù)據(jù)安全評(píng)估�����、審計(jì)管理制度醫(yī)療數(shù)據(jù)處理者應(yīng)對(duì)已定級(jí)備案網(wǎng)絡(luò)的安全性定期進(jìn)行檢測(cè)評(píng)估�����,第三級(jí)或第四級(jí)的網(wǎng)絡(luò)應(yīng)委托等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)���,每年至少開(kāi)展一次網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)。第二級(jí)的網(wǎng)絡(luò)應(yīng)委托等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)定期開(kāi)展網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng),其中涉及 10 萬(wàn)人以上個(gè)人信息的網(wǎng)絡(luò)應(yīng)至少每三年開(kāi)展一次網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)����,其他網(wǎng)絡(luò)至少每五年開(kāi)展一次網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)。此外����,醫(yī)療數(shù)據(jù)處理者在網(wǎng)絡(luò)運(yùn)營(yíng)過(guò)程中�����,應(yīng)每年開(kāi)展文檔核驗(yàn)���、漏洞掃描�、滲透測(cè)試等多種形式的安全自查�,及時(shí)發(fā)現(xiàn)可能存在的問(wèn)題和隱患。涉及重要數(shù)據(jù)的醫(yī)療數(shù)據(jù)處理者應(yīng)當(dāng)按照規(guī)定對(duì)其數(shù)據(jù)處理活動(dòng)定期開(kāi)展風(fēng)險(xiǎn)評(píng)估����,并向有關(guān)主管部門報(bào)送風(fēng)險(xiǎn)評(píng)估報(bào)告。風(fēng)險(xiǎn)評(píng)估報(bào)告應(yīng)當(dāng)包括所處理的重要數(shù)據(jù)的種類��、數(shù)量����,數(shù)據(jù)處理活動(dòng)的開(kāi)展情況�,面臨的數(shù)據(jù)安全風(fēng)險(xiǎn)及其應(yīng)對(duì)措施等��。風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)可參照《信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全威脅分析模型(GB/T 39477-2020)》更新威脅庫(kù)���。此外�����,由于部分醫(yī)療數(shù)據(jù)能夠直接關(guān)聯(lián)到患者個(gè)人����,屬于患者個(gè)人信息����,其數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估,應(yīng)遵循《個(gè)人信息安全影響評(píng)估指南(GB/T 39335-2020)》中提供的實(shí)施標(biāo)準(zhǔn)和流程���。
⑤數(shù)據(jù)安全應(yīng)急響應(yīng)制度
涉及網(wǎng)絡(luò)運(yùn)營(yíng)的醫(yī)療數(shù)據(jù)處理者應(yīng)當(dāng)制定網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案和應(yīng)急處置機(jī)制��,通過(guò)組織應(yīng)急演練��、開(kāi)展網(wǎng)絡(luò)安全攻防演練的方式�,提升自身保護(hù)和對(duì)抗能力,減少計(jì)算機(jī)病毒�、網(wǎng)絡(luò)攻擊、網(wǎng)絡(luò)侵入等安全風(fēng)險(xiǎn)�����。在發(fā)生危害網(wǎng)絡(luò)安全的事件時(shí)���,相關(guān)數(shù)據(jù)安全負(fù)責(zé)人應(yīng)立即啟動(dòng)應(yīng)急預(yù)案�����,采取相應(yīng)的補(bǔ)救措施,并按照規(guī)定向有關(guān)主管部門報(bào)告�。可參考《信息安全技術(shù) 信息安全應(yīng)急響應(yīng)計(jì)劃規(guī)范》(GB/T 24363-2009)從應(yīng)急響應(yīng)計(jì)劃的編制準(zhǔn)備�����、應(yīng)急響應(yīng)計(jì)劃的流程到應(yīng)急響應(yīng)計(jì)劃的測(cè)試與維護(hù)等方面構(gòu)建自身的應(yīng)急響應(yīng)制度�。2.醫(yī)療數(shù)據(jù)來(lái)源合規(guī)要點(diǎn)(1)醫(yī)療數(shù)據(jù)采集與個(gè)人授權(quán) ①醫(yī)療數(shù)據(jù)采集規(guī)則 A.數(shù)據(jù)依規(guī)采集根據(jù)《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》和《個(gè)人信息保護(hù)法》的相關(guān)規(guī)定,醫(yī)療數(shù)據(jù)采集應(yīng)遵循合法����、正當(dāng)、必要原則,明示收集目的與范圍�,并經(jīng)被收集者(數(shù)據(jù)主體)同意。禁止通過(guò)欺詐����、誘騙等非法手段獲取醫(yī)療數(shù)據(jù),強(qiáng)調(diào)最小必要原則���,僅收集與診療直接相關(guān)的必要數(shù)據(jù)�。采集個(gè)人健康醫(yī)療數(shù)據(jù)前�,需充分告知并取得個(gè)人同意。涉及敏感個(gè)人信息時(shí)��,需獲得單獨(dú)同意�����,告知內(nèi)容包括數(shù)據(jù)收集目的�、方式、范圍�����、使用期限�����、數(shù)據(jù)主體權(quán)利及保護(hù)措施等。此外�����,《個(gè)人信息保護(hù)法》第十三條規(guī)定為應(yīng)對(duì)突發(fā)公共衛(wèi)生事件�����,或者緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全所必需��,數(shù)據(jù)處理者無(wú)需經(jīng)過(guò)患者同意��,即可處理個(gè)人信息�。
B.數(shù)據(jù)統(tǒng)一標(biāo)準(zhǔn)采集為了確保醫(yī)療數(shù)據(jù)的準(zhǔn)確性�,數(shù)據(jù)處理者必須制定統(tǒng)一的醫(yī)療數(shù)據(jù)采集標(biāo)準(zhǔn)。統(tǒng)一的標(biāo)準(zhǔn)可以減少信息錄入的重復(fù)工作����,也能夠保證數(shù)據(jù)在數(shù)據(jù)處理者內(nèi)部各部門之間的數(shù)據(jù)一致性和可比性。以醫(yī)院采集病案數(shù)據(jù)為例��,醫(yī)院應(yīng)根據(jù)國(guó)際標(biāo)準(zhǔn)���,并結(jié)合實(shí)際工作情況���,制定符合醫(yī)院特點(diǎn)的采集規(guī)范�����。世界衛(wèi)生組織(WHO)發(fā)布的國(guó)際疾病分類(ICD)系統(tǒng)為全球病案數(shù)據(jù)采集提供了統(tǒng)一標(biāo)準(zhǔn)�。醫(yī)院應(yīng)當(dāng)依據(jù)該標(biāo)準(zhǔn)對(duì)患者的診斷進(jìn)行分類��,使得病案數(shù)據(jù)在全球范圍內(nèi)具有可比性�。此外,ICD-10 和 ICD-11 版本的使用���,有助于確保數(shù)據(jù)的統(tǒng)一性���,便于醫(yī)院之間的數(shù)據(jù)共享和合作。而在國(guó)內(nèi)實(shí)踐中���,醫(yī)院可以通過(guò)建立病案管理委員會(huì)���,持續(xù)完善并細(xì)化數(shù)據(jù)采集流程,在全院范圍內(nèi)進(jìn)行推廣�,確保院內(nèi)病案數(shù)據(jù)采集標(biāo)準(zhǔn)的統(tǒng)一和規(guī)范���。
②個(gè)人授權(quán)規(guī)則 A.首次授權(quán)《國(guó)家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法(試行)》第二條特別規(guī)定:“國(guó)家在保障公民知情權(quán)�����、使用權(quán)和個(gè)人隱私的基礎(chǔ)上���,根據(jù)國(guó)家戰(zhàn)略安全和人民群眾生命安全需要��,加以規(guī)范管理和開(kāi)發(fā)利用�����?!睋?jù)此��,處理醫(yī)療數(shù)據(jù)在遵守?cái)?shù)據(jù)安全的一般性原則與醫(yī)療領(lǐng)域倫理原則的基礎(chǔ)上���,還應(yīng)重點(diǎn)關(guān)注《民法典》《個(gè)人信息保護(hù)法》等法律對(duì)個(gè)人信息主體權(quán)利的保護(hù)。依據(jù)我國(guó)《個(gè)人信息保護(hù)法》的相關(guān)規(guī)定��,個(gè)人信息處理者在處理個(gè)人信息時(shí)應(yīng)獲取個(gè)人明確的書(shū)面同意���,處理敏感個(gè)人信息應(yīng)當(dāng)取得個(gè)人單獨(dú)同意��。醫(yī)療數(shù)據(jù)處理者對(duì)于個(gè)人醫(yī)療數(shù)據(jù)在必要的范圍內(nèi)經(jīng)過(guò)一次采集后��,應(yīng)避免對(duì)個(gè)人醫(yī)療數(shù)據(jù)進(jìn)行重復(fù)��、多頭采集���。以患者就醫(yī)場(chǎng)景為例�����,醫(yī)療機(jī)構(gòu)如需對(duì)患者醫(yī)療數(shù)據(jù)進(jìn)行采集����,可在患者就診時(shí)通過(guò)醫(yī)院小程序�、手機(jī)應(yīng)用或線下簽署《醫(yī)療數(shù)據(jù)使用授權(quán)協(xié)議》(詳見(jiàn)附件 1)。此外����,醫(yī)療機(jī)構(gòu)處理不滿十四周歲未成年人的醫(yī)療數(shù)據(jù)時(shí),應(yīng)當(dāng)取得未成年人的父母或者其他監(jiān)護(hù)人的同意�。7醫(yī)療機(jī)構(gòu)也應(yīng)在內(nèi)部應(yīng)當(dāng)制定專門的不滿十四周歲的未成年人的個(gè)人醫(yī)療數(shù)據(jù)處理規(guī)則,以符合相關(guān)法律法規(guī)的要求����。
B.新增授權(quán)個(gè)人醫(yī)療數(shù)據(jù)作為敏感個(gè)人信息����,一旦處理目的�、處理方式、處理期限����、保護(hù)措施發(fā)生變更,醫(yī)療數(shù)據(jù)處理者應(yīng)當(dāng)重新取得個(gè)人的明確同意�。就重新取得個(gè)人明確同意的方式而言,醫(yī)療數(shù)據(jù)處理者可線上通過(guò)短信�����、系統(tǒng)彈窗��,線下通過(guò)個(gè)人重新簽署補(bǔ)充協(xié)議的方式����,重新獲取個(gè)人授權(quán),并保留操作日志和個(gè)人簽署記錄����。
C.告知義務(wù)的履行《個(gè)人信息保護(hù)法》要求醫(yī)療數(shù)據(jù)處理者在獲取個(gè)人醫(yī)療數(shù)據(jù)授權(quán)時(shí),為保障個(gè)人知情權(quán)�����,應(yīng)告知個(gè)人以下內(nèi)容:醫(yī)療數(shù)據(jù)處理者的名稱����、醫(yī)療數(shù)據(jù)處理者對(duì)于醫(yī)療數(shù)據(jù)的處理目的、處理方式��,處理的醫(yī)療數(shù)據(jù)的種類���、保存期限�、個(gè)人行使權(quán)利的內(nèi)部方式和程序等���。涉及敏感個(gè)人信息的���,還應(yīng)向個(gè)人告知處理敏感個(gè)人信息的必要性以及對(duì)個(gè)人權(quán)益的影響,依照《個(gè)人信息保護(hù)法》第十八條規(guī)定可以不向個(gè)人告知的除外��。
D.授權(quán)撤回機(jī)制醫(yī)療數(shù)據(jù)處理者應(yīng)當(dāng)為個(gè)人提供醫(yī)療數(shù)據(jù)的授權(quán)撤回渠道�����。個(gè)人可以通過(guò)線上或者線下的方式來(lái)撤回醫(yī)療數(shù)據(jù)的采集或是使用授權(quán),撤回授權(quán)后�����,醫(yī)療數(shù)據(jù)處理者應(yīng)當(dāng)完成數(shù)據(jù)鏈路清除�����,但已經(jīng)過(guò)匿名化處理且無(wú)法關(guān)聯(lián)個(gè)人身份的科研數(shù)據(jù)除外���。綜上����,醫(yī)療數(shù)據(jù)處理者應(yīng)在《醫(yī)療數(shù)據(jù)使用授權(quán)協(xié)議》中明確告知個(gè)人授權(quán)共享的數(shù)據(jù)范圍��、共享目的����、接收方主體信息、聯(lián)系方式�����、個(gè)人權(quán)利(如知情權(quán)、撤回權(quán)���、訪問(wèn)權(quán)、刪除權(quán)��、修改權(quán)�、限制處理權(quán)、數(shù)據(jù)轉(zhuǎn)移權(quán)等)�����、數(shù)據(jù)處理者的安全保護(hù)措施和制度�、授權(quán)期限、授權(quán)的撤回�����、免責(zé)情形等��,在數(shù)據(jù)共享目的的授權(quán)中�����,不得概括同意��,應(yīng)當(dāng)逐項(xiàng)列明,以征得個(gè)人的明確同意����。
(2)第三方來(lái)源數(shù)據(jù)
①審查第三方資質(zhì)及數(shù)據(jù)安全保障能力在審查第三方資質(zhì)時(shí),需要確認(rèn)第三方是否具備合法的數(shù)據(jù)獲取資質(zhì)�����,查驗(yàn)第三方機(jī)構(gòu)營(yíng)業(yè)執(zhí)照���、經(jīng)營(yíng)許可證(如涉及醫(yī)療須具備《醫(yī)療機(jī)構(gòu)執(zhí)業(yè)許可證》)及與數(shù)據(jù)處理相匹配的資質(zhì)(如網(wǎng)絡(luò)運(yùn)營(yíng)公司須具備《增值電信業(yè)務(wù)經(jīng)營(yíng)許可證》���,涉及人類遺傳資源數(shù)據(jù),需確認(rèn)其是否滿足《人類遺傳資源管理?xiàng)l例》所列明的要求�;涉及關(guān)鍵信息基礎(chǔ)設(shè)施的,還需確認(rèn)第三方是否被納入監(jiān)管范圍并履行相應(yīng)義務(wù))對(duì)第三方進(jìn)行數(shù)據(jù)安全保障能力評(píng)估時(shí)�,應(yīng)評(píng)估第三方是否符合網(wǎng)絡(luò)安全等級(jí)保護(hù)要求,如物理存儲(chǔ)安全���、網(wǎng)絡(luò)加密安全����、系統(tǒng)應(yīng)用安全�、數(shù)據(jù)備份安全等���。
②確保第三方數(shù)據(jù)來(lái)源合法和授權(quán)合規(guī)第三方數(shù)據(jù)收集必須基于《個(gè)人信息保護(hù)法》《數(shù)據(jù)安全法》等法律規(guī)定的合法性基礎(chǔ),數(shù)據(jù)采集時(shí)還需遵循“最少必要原則”�,該原則與行政法領(lǐng)域的“比例原則”類似,《信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南》(GB/T 39725-2020)第 8.3 條對(duì)其進(jìn)行了定義���,即指采集的數(shù)據(jù)不應(yīng)當(dāng)超范圍采集,應(yīng)當(dāng)根據(jù)業(yè)務(wù)和管理要求�,以最少且夠用的標(biāo)準(zhǔn)進(jìn)行。為進(jìn)一步審查數(shù)據(jù)的合法性���,可以要求第三方提供數(shù)據(jù)來(lái)源合法性承諾及合法性證明材料���,包括取得數(shù)據(jù)提供方對(duì)自行生產(chǎn)、公開(kāi)收集�����、間接獲取等數(shù)據(jù)來(lái)源的說(shuō)明及對(duì)數(shù)據(jù)權(quán)屬的合法性承諾函等�����。
③簽署數(shù)據(jù)處理協(xié)議為了避免數(shù)據(jù)提供方與數(shù)據(jù)接收方可能存在的法律糾紛��,在簽署數(shù)據(jù)處理協(xié)議時(shí),就應(yīng)當(dāng)對(duì)數(shù)據(jù)本身(數(shù)據(jù)類型�����、內(nèi)容����、質(zhì)量、數(shù)量等)��、雙方涉數(shù)權(quán)利義務(wù)�、法律責(zé)任等內(nèi)容進(jìn)行明確的約定。作為數(shù)據(jù)接收方��,尤其應(yīng)當(dāng)確保數(shù)據(jù)授權(quán)使用范圍滿足實(shí)際處理的需要�����。同時(shí)����,在簽署數(shù)據(jù)處理協(xié)議后,雙方均須嚴(yán)格按照協(xié)議約定處理數(shù)據(jù)���。
(3)數(shù)據(jù)質(zhì)量控制在醫(yī)療數(shù)據(jù)采集和錄入時(shí)����,數(shù)據(jù)處理者應(yīng)對(duì)數(shù)據(jù)質(zhì)量進(jìn)行嚴(yán)格、準(zhǔn)確地控制���。數(shù)據(jù)質(zhì)量的優(yōu)劣通常通過(guò)數(shù)據(jù)質(zhì)量六性進(jìn)行判斷����,包括:準(zhǔn)確性(數(shù)據(jù)是否真實(shí)反映客觀事實(shí))��、完整性(數(shù)據(jù)在創(chuàng)建�、傳輸過(guò)程中無(wú)缺失和遺漏)�、一致性(多源數(shù)據(jù)邏輯一致)、有效性(數(shù)據(jù)的值��、格式符合業(yè)務(wù)標(biāo)準(zhǔn))�����、唯一性(同一數(shù)據(jù)只能有唯一的標(biāo)識(shí)符)���、時(shí)效性(數(shù)據(jù)是否按預(yù)期時(shí)間更新)�。以醫(yī)療機(jī)構(gòu)對(duì)患者數(shù)據(jù)的采集錄入過(guò)程為例�����,在數(shù)據(jù)錄入流程上醫(yī)療機(jī)構(gòu)可采用電子病歷系統(tǒng)(EMR)、醫(yī)療設(shè)備接口等自動(dòng)化采集技術(shù)���,減少人工錄入錯(cuò)誤����,同時(shí)通過(guò)邏輯校驗(yàn)(如性別與診斷關(guān)聯(lián))��、非空校驗(yàn)�����、存在性校驗(yàn)等確保數(shù)據(jù)邏輯合理性��。其次����,要確保數(shù)據(jù)采集的完整性和一致性,在數(shù)據(jù)分類時(shí)參考國(guó)際統(tǒng)一編碼體系(如 ICD���、LOINC)進(jìn)行分類����,確保跨系統(tǒng)的一致性�����。在收集患者數(shù)據(jù)時(shí)要實(shí)現(xiàn)患者身份標(biāo)識(shí)唯一化���,避免重復(fù)記錄��,確保不同來(lái)源數(shù)據(jù)(如病歷與質(zhì)控記錄)的關(guān)聯(lián)性���。最后,要確保數(shù)據(jù)收集的時(shí)效性��,數(shù)據(jù)記錄需符合臨床時(shí)間邏輯����,并實(shí)時(shí)更新以反映最新?tīng)顟B(tài)����。(4)數(shù)據(jù)匿名化處理醫(yī)療數(shù)據(jù)處理者在對(duì)醫(yī)療數(shù)據(jù)進(jìn)行處理時(shí),應(yīng)對(duì)醫(yī)療數(shù)據(jù)中能夠關(guān)聯(lián)到具體個(gè)人的信息進(jìn)行匿名化��,如姓名�����、性別、年齡��、住院號(hào)�����、門診號(hào)����、疾病部位等。匿名化處理是指?jìng)€(gè)人信息經(jīng)過(guò)處理后無(wú)法識(shí)別特定自然人且不能復(fù)原的過(guò)程��。9 經(jīng)匿名化處理后的數(shù)據(jù)不再屬于個(gè)人信息��。通常來(lái)說(shuō)��,匿名化的第一步是處理那些能直接識(shí)別出個(gè)人的數(shù)據(jù)����,比如將直接標(biāo)識(shí)符假名化、加密�����、抑制或者屏蔽這些信息;第二步�,再處理那些間接能識(shí)別出個(gè)人的數(shù)據(jù),比如泛化�����、隨機(jī)化改變這些信息����。在此過(guò)程中,應(yīng)確保匿名化處理符合相關(guān)法律法規(guī)���,避免重新識(shí)別個(gè)人信息的風(fēng)險(xiǎn)���。
3.醫(yī)療數(shù)據(jù)存儲(chǔ)合規(guī)要點(diǎn)
(1)存儲(chǔ)空間
①物理服務(wù)器存儲(chǔ)空間:參見(jiàn)上述主體資質(zhì)部分,為充分保障醫(yī)療數(shù)據(jù)安全�����,醫(yī)療數(shù)據(jù)處理者可參照網(wǎng)絡(luò)安全等級(jí)保護(hù)三級(jí)認(rèn)證的相關(guān)要求���,進(jìn)行合規(guī)整改和提升。其中,建議機(jī)房區(qū)域至少劃分為主機(jī)房和監(jiān)控區(qū)兩個(gè)部分�����,配備電子門禁系統(tǒng)�����、防盜報(bào)警系統(tǒng)��、監(jiān)控系統(tǒng)����,機(jī)房不應(yīng)該有窗戶,并應(yīng)配備專用的氣體滅火��、備用發(fā)電機(jī)����。也可根據(jù)自身的數(shù)據(jù)安全需求,選擇采用生物識(shí)別門禁(如指紋/ 虹膜識(shí)別)結(jié)合 24 小時(shí)監(jiān)控錄像��,并對(duì)服務(wù)器機(jī)柜采用獨(dú)立上鎖��、防火防潮��、防電磁泄漏等技術(shù)措施。
②存儲(chǔ)地點(diǎn):醫(yī)療數(shù)據(jù)原則上一般存儲(chǔ)在境內(nèi)�����?!秶?guó)家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法(試行)》第三十二條規(guī)定�,健康醫(yī)療數(shù)據(jù)應(yīng)當(dāng)存儲(chǔ)在境內(nèi)安全可信的服務(wù)器上,因業(yè)務(wù)需要確需向境外提供的����,應(yīng)當(dāng)按照相關(guān)法律法規(guī)及有關(guān)要求進(jìn)行安全評(píng)估審核。對(duì)于跨境數(shù)據(jù)傳輸�����,醫(yī)療數(shù)據(jù)處理者應(yīng)確保所涉及的國(guó)家或地區(qū)具備適當(dāng)?shù)臄?shù)據(jù)保護(hù)水平����,并遵循相關(guān)國(guó)際法規(guī)。
(2)存儲(chǔ)期限個(gè)人健康醫(yī)療數(shù)據(jù)的保存期限應(yīng)為實(shí)現(xiàn)自然人授權(quán)醫(yī)療數(shù)據(jù)處理者使用的目的所必需的最短時(shí)間��。此外�����,不同醫(yī)療數(shù)據(jù)存儲(chǔ)期限也存在著各種各樣的限制�。
(3)數(shù)據(jù)加密和介質(zhì)管控?cái)?shù)據(jù)加密是數(shù)據(jù)系統(tǒng)中保護(hù)數(shù)據(jù)隱私和防止非法訪問(wèn)、泄露或篡改的主要技術(shù)之一�。醫(yī)療數(shù)據(jù)處理者應(yīng)采用安全的通信協(xié)議或安全的網(wǎng)絡(luò)傳輸通道進(jìn)行加密傳輸,確保醫(yī)療數(shù)據(jù)在傳輸過(guò)程中的安全性��。靜態(tài)存儲(chǔ)的數(shù)據(jù)推薦使用 AES-256 或國(guó)密算法 SM4 進(jìn)行全盤(pán)加密����,密鑰必須通過(guò)硬件安全模塊(HSM)或密鑰管理系統(tǒng)(KMS)獨(dú)立托管,實(shí)現(xiàn)密鑰與數(shù)據(jù)的物理分離����。數(shù)據(jù)傳輸過(guò)程中需啟用 TLS 1.3 或 IPSec 等強(qiáng)加密協(xié)議,禁用 SSL 3.0��、TLS 1.0 等存在漏洞的舊版協(xié)議��。
介質(zhì)管控要求醫(yī)療數(shù)據(jù)處理者對(duì)存儲(chǔ)介質(zhì)進(jìn)行嚴(yán)格管理�。可以基于上述醫(yī)療數(shù)據(jù)分級(jí)的管理要求��,通過(guò)介質(zhì)管控的自動(dòng)化工具對(duì)介質(zhì)進(jìn)行登記��、控制和定期審計(jì)���,確保只有授權(quán)人員才能訪問(wèn)和使用這些介質(zhì)��。介質(zhì)管控還包含對(duì)醫(yī)療數(shù)據(jù)的備份和恢復(fù)策略的管理���,以防止醫(yī)療數(shù)據(jù)丟失或損壞��,滿足合規(guī)性要求����。應(yīng)定期測(cè)試備份數(shù)據(jù)的恢復(fù)能力�,確保在緊急情況下能夠快速恢復(fù)數(shù)據(jù)。
4.醫(yī)療數(shù)據(jù)共享合規(guī)要點(diǎn)醫(yī)療數(shù)據(jù)處理者應(yīng)該對(duì)其共享給其他主體的數(shù)據(jù)進(jìn)行有效的安全管理�,采取必要的技術(shù)和組織措施,保障數(shù)據(jù)的安全���。包括采取數(shù)據(jù)加密��、數(shù)據(jù)備份和恢復(fù)��、訪問(wèn)控制等技術(shù)措施����,以及制定共享協(xié)議�、建立數(shù)據(jù)共享管理機(jī)構(gòu)等組織措施��。
首先����,醫(yī)療數(shù)據(jù)處理者需要對(duì)數(shù)據(jù)接收主體的數(shù)據(jù)安全能力進(jìn)行評(píng)估��,確認(rèn)其具備相應(yīng)的數(shù)據(jù)安全能力����,從而保證第三方主體使用����、處理數(shù)據(jù)時(shí)的安全和保密性。例如��,第三方主體需建立符合等保三級(jí)要求的網(wǎng)絡(luò)安全防護(hù)體系�,部署數(shù)據(jù)加密、匿名化處理(如符合個(gè)人信息去標(biāo)識(shí)化指南 GB/T 37964 標(biāo)準(zhǔn))及動(dòng)態(tài)訪問(wèn)控制機(jī)制�����。第三方主體的系統(tǒng)管理體系方面����,需取得 ISO 27001 信息安全管理體系認(rèn)證及 ISO 27799 醫(yī)療健康信息安全管理認(rèn)證�����,并依據(jù)《數(shù)據(jù)安全能力成熟度模型》(DSMM)達(dá)到三級(jí)以上能力水平���,同時(shí)設(shè)立專職數(shù)據(jù)安全官崗位負(fù)責(zé)合規(guī)審查。對(duì)第三方的合規(guī)性審查應(yīng)定期進(jìn)行�,并確保數(shù)據(jù)傳輸協(xié)議滿足最新的安全要求。
其次�����,在醫(yī)療數(shù)據(jù)傳輸過(guò)程中���,數(shù)據(jù)可能會(huì)被截獲��、篡改或泄露��。因此��,在傳輸過(guò)程中保護(hù)數(shù)據(jù)的隱私性和完整性顯得尤為重要����。加密技術(shù)通過(guò)將明文數(shù)據(jù)轉(zhuǎn)換為密文,確保只有授權(quán)方能夠解密和讀取數(shù)據(jù)���,從而保護(hù)數(shù)據(jù)傳輸過(guò)程的安全�����。根據(jù)網(wǎng)絡(luò)公開(kāi)的材料���,以下簡(jiǎn)要羅列了醫(yī)療數(shù)據(jù)可采用的加密傳輸技術(shù)及相應(yīng)優(yōu)勢(shì)與應(yīng)用前景 ���。
最后�����,醫(yī)療數(shù)據(jù)處理者與第三方主體之間就非公共數(shù)據(jù)訂立數(shù)據(jù)權(quán)屬合作協(xié)議時(shí)��,協(xié)議至少應(yīng)當(dāng)包括以下內(nèi)容:(1)雙方信息��;(2)數(shù)據(jù)交付方式���;(3)數(shù)據(jù)接收方的數(shù)據(jù)處理權(quán)限范圍;(4)數(shù)據(jù)三權(quán)歸屬���;(5)數(shù)據(jù)安全保障的內(nèi)容及義務(wù)方���;(6)后續(xù)衍生數(shù)據(jù)產(chǎn)品的權(quán)屬情況����;(7)合約追蹤條款�����;(8)應(yīng)急預(yù)案條款���;(9)涉及行政備案或批準(zhǔn)的條款��。
5.醫(yī)療數(shù)據(jù)銷毀合規(guī)要點(diǎn)
(1)銷毀制度《個(gè)人信息保護(hù)法》中規(guī)定在保存期限屆滿��、停止提供服務(wù)�、處理的目的已經(jīng)達(dá)到或無(wú)法達(dá)到時(shí)�����,個(gè)人信息處理者應(yīng)當(dāng)主動(dòng)刪除個(gè)人信息��?����!夺t(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》明確要求建立“無(wú)法還原”的數(shù)據(jù)銷毀機(jī)制,國(guó)家藥監(jiān)局《藥品數(shù)據(jù)管理規(guī)范》強(qiáng)調(diào)建立數(shù)據(jù)銷毀規(guī)程���,需包含申請(qǐng)審批����、執(zhí)行人資質(zhì)�����、銷毀方式驗(yàn)證等要素����。由此可見(jiàn)��,相關(guān)法律法規(guī)要求銷毀醫(yī)療數(shù)據(jù)時(shí)應(yīng)采用確保數(shù)據(jù)無(wú)法還原的銷毀方式��,并重點(diǎn)關(guān)注數(shù)據(jù)殘留風(fēng)險(xiǎn)及數(shù)據(jù)備份風(fēng)險(xiǎn)��。醫(yī)療數(shù)據(jù)處理者也應(yīng)在醫(yī)療數(shù)據(jù)銷毀過(guò)程中嚴(yán)格遵循銷毀報(bào)批����、銷毀情況記錄、銷毀安全檢測(cè),以確保銷毀工作的規(guī)范性和安全性��。
①明確銷毀流程和審批機(jī)制數(shù)據(jù)銷毀應(yīng)經(jīng)過(guò)嚴(yán)格的審批流程�����,由數(shù)據(jù)所有者或使用者提出銷毀申請(qǐng)�����,填寫(xiě)銷毀申請(qǐng)表��,經(jīng)相關(guān)部門審核和審批通過(guò)后方可執(zhí)行��。在執(zhí)行上���,采取三級(jí)審批機(jī)制���,由申請(qǐng)人(數(shù)據(jù)管理員)到部門負(fù)責(zé)人(合規(guī)審核)再到法務(wù)/信息安全部門(最終批準(zhǔn)),數(shù)據(jù)銷毀需要兩人在場(chǎng)監(jiān)督并簽字確認(rèn)���。
②留錄和留存銷毀證據(jù)對(duì)銷毀過(guò)程進(jìn)行詳細(xì)記錄��,包括銷毀內(nèi)容�、銷毀時(shí)間、操作人等信息�,并留存相關(guān)證據(jù),這不僅有助于后續(xù)的審計(jì)和追溯��,還能在出現(xiàn)爭(zhēng)議時(shí)提供有力的證明�����,確保數(shù)據(jù)銷毀的合規(guī)性和透明度����。③定期審查和更新制度隨著技術(shù)的發(fā)展和法律法規(guī)的變化,定期審查和更新數(shù)據(jù)銷毀管理制度�����,確保其始終符合最新的合規(guī)要求�����,這包括對(duì)銷毀流程��、技術(shù)手段等方面的優(yōu)化和改進(jìn)�,以適應(yīng)不斷變化的數(shù)據(jù)安全環(huán)境�。
(2)銷毀方式
①物理銷毀物理銷毀是指通過(guò)物理或化學(xué)方法直接銷毀存儲(chǔ)介質(zhì)�,例如將硬盤(pán)�、U 盤(pán)等存儲(chǔ)設(shè)備進(jìn)行物理性破壞(如粉碎、熔毀)或化學(xué)性破壞(如強(qiáng)酸腐蝕)����,以達(dá)到徹底、不可逆的硬盤(pán)數(shù)據(jù)銷毀/數(shù)據(jù)擦除的目的.
②電子銷毀電子銷毀分為三大形式��,即數(shù)據(jù)擦除�����、密鑰銷毀和邏輯銷毀��。
數(shù)據(jù)擦除是針對(duì)數(shù)據(jù)恢復(fù)行為而產(chǎn)生的逆向操作����,包括格式化擦除、數(shù)據(jù)覆寫(xiě)����、軟件擦除、特定算法擦除等�����。
格式化擦除:是磁盤(pán)控制器將所有扇區(qū)清零,并重新寫(xiě)入磁盤(pán)引導(dǎo)記錄和扇區(qū) ID���。
數(shù)據(jù)覆寫(xiě):是將非保密數(shù)據(jù)寫(xiě)入原存有敏感數(shù)據(jù)的硬盤(pán)簇的過(guò)程����。使用預(yù)先定義的無(wú)意義����、無(wú)規(guī)律的信息,反復(fù)多次(如 DoD5220.22-M 標(biāo)準(zhǔn)要求 7 次覆寫(xiě))覆蓋硬盤(pán)上原先存儲(chǔ)的數(shù)據(jù)�����,就無(wú)法知道原先的數(shù)據(jù)是“1”還是“0”��,也就達(dá)到了硬盤(pán)數(shù)據(jù)擦除的目的����。
軟件擦除:如 DiskGenius 等軟件可以執(zhí)行數(shù)據(jù)擦除操作,通過(guò)磁盤(pán)扇區(qū)清零��、全盤(pán)覆蓋數(shù)據(jù)等方法�,讓數(shù)據(jù)無(wú)法恢復(fù)�����。
特定算法擦除:是指根據(jù)寫(xiě)數(shù)據(jù)的方法和破壞強(qiáng)度,視情況采用如加密擦除�、美國(guó)國(guó)防部的 Dod5220.22-M、Gutmann�����、Schneier 算法等國(guó)際標(biāo)準(zhǔn)方法�����。
密鑰銷毀:適用于云存儲(chǔ)環(huán)境下的密文數(shù)據(jù)�����。該方法不銷毀數(shù)據(jù)本身而是通過(guò)銷毀密鑰的方式實(shí)現(xiàn)數(shù)據(jù)的不可訪問(wèn)�����。只要用戶安全地銷毀密鑰�����,就可以保護(hù)數(shù)據(jù)密文無(wú)法在多項(xiàng)式時(shí)間內(nèi)被破解���,將數(shù)據(jù)銷毀問(wèn)題轉(zhuǎn)換成密鑰生命周期管理問(wèn)題�。
邏輯銷毀:是對(duì)磁盤(pán)扇區(qū)進(jìn)行清零操作,即把硬盤(pán)所有扇區(qū)用 0 或 1 進(jìn)行多次(建議≥3 次)寫(xiě)入���,使硬盤(pán)上的所有數(shù)據(jù)丟失��,包括分區(qū)信息�,從而破壞數(shù)據(jù)的邏輯結(jié)構(gòu)或清除訪問(wèn)權(quán)限�����。
(3)同等方式安全處理《個(gè)人信息保護(hù)法》第四十七條規(guī)定了個(gè)人信息處理者應(yīng)當(dāng)主動(dòng)刪除個(gè)人信息的情形����,也規(guī)定了對(duì)于難以刪除的數(shù)據(jù)個(gè)人信息處理者應(yīng)采取其他能夠保證安全性且達(dá)到與刪除同等目的的方式進(jìn)行處理,即“法律����、行政法規(guī)規(guī)定的保存期限未屆滿,或者刪除個(gè)人信息從技術(shù)上難以實(shí)現(xiàn)的��,個(gè)人信息處理者應(yīng)當(dāng)停止除存儲(chǔ)和采取必要的安全保護(hù)措施之外的處理����。”
在適用應(yīng)采取同等方式安全處理的情形下����,不代表醫(yī)療數(shù)據(jù)處理者可以對(duì)無(wú)法銷毀的醫(yī)療數(shù)據(jù)放任不管:①醫(yī)療數(shù)據(jù)處理者不得進(jìn)行任何存儲(chǔ)以外的處理行為(包括使用、共享����、轉(zhuǎn)讓等);②在此種情形下仍然需要對(duì)所存儲(chǔ)的醫(yī)療數(shù)據(jù)履行作為數(shù)據(jù)處理者的義務(wù)���,即根據(jù)存儲(chǔ)數(shù)據(jù)的體量及敏感程度���,采取相應(yīng)的安全保護(hù)措施。比如設(shè)置內(nèi)部人員訪問(wèn)控制��、數(shù)據(jù)加密�、定期評(píng)估安全風(fēng)險(xiǎn)以及敏感信息單獨(dú)存儲(chǔ)等。其次�����,對(duì)于符合采取同等方式安全處理的數(shù)據(jù)���,醫(yī)療數(shù)據(jù)處理者應(yīng)建立明確的操作申請(qǐng)和審批流程���,確保數(shù)據(jù)安全操作的合法性和透明度��。此外����,還需要對(duì)該類數(shù)據(jù)進(jìn)行定期評(píng)估和審查�,確保其繼續(xù)符合采取同等方式進(jìn)行安全處理的條件,并在條件不再滿足時(shí)及時(shí)進(jìn)行銷毀�。
資料信息:公開(kāi)信息資料、《深化醫(yī)藥衛(wèi)生體制改革 2024 年重點(diǎn)工作任務(wù)》《關(guān)于進(jìn)一步完善醫(yī)療衛(wèi)生服務(wù)體系的意見(jiàn)》《“十四五”全民健康信息化規(guī)劃》《關(guān)于促進(jìn)“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展的意見(jiàn)》《關(guān)于促進(jìn)和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見(jiàn)》 《關(guān)于推進(jìn)醫(yī)療機(jī)構(gòu)遠(yuǎn)程醫(yī)療服務(wù)的意見(jiàn)》 《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見(jiàn)》《數(shù)據(jù)出境安全評(píng)估辦法》《網(wǎng)絡(luò)安全審查辦法》《電子病歷系統(tǒng)功能規(guī)范(試行)》《電子病歷應(yīng)用管理規(guī)范(試行)》《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》《遠(yuǎn)程醫(yī)療信息系統(tǒng)建設(shè)技術(shù)指南》《醫(yī)療器械網(wǎng)絡(luò)安全注冊(cè)技術(shù)審查指導(dǎo)原則》《人工智能醫(yī)用軟件產(chǎn)品分類界定指導(dǎo)原則》《涉及人的生命科學(xué)和醫(yī)學(xué)研究倫理審查辦法》《電子病歷共享文檔規(guī)范》系列標(biāo)準(zhǔn)《藥品記錄與數(shù)據(jù)管理要求(試行)》《藥物臨床試驗(yàn)質(zhì)量管理規(guī)范(2020 修訂)》《互聯(lián)網(wǎng)診療管理辦法(試行)》《互聯(lián)網(wǎng)醫(yī)院管理辦法(試行)》《互聯(lián)網(wǎng)醫(yī)院基本標(biāo)準(zhǔn)(試行)》《遠(yuǎn)程醫(yī)療服務(wù)管理規(guī)范(試行)》《真實(shí)世界數(shù)據(jù)用于醫(yī)療器械臨床評(píng)價(jià)技術(shù)指導(dǎo)原則(試行)》《衛(wèi)生健康行業(yè)數(shù)據(jù)分類分級(jí)指南(試行)》《用于產(chǎn)生真實(shí)世界證據(jù)的真實(shí)世界數(shù)據(jù)指導(dǎo)原則(試行)》
