医疗数据是指在医疗保健过程中产生的所有与患者健康、疾病状态及医疗服务相关的信息,涵盖从个人诊疗到公共卫生管理的多种类型数据。主要包括在疾病防治、健康管理、医疗管理、医学研究等过程中产生的各种数据, (1)包括患者的个人信息、病历记录、药物购买与使用情况、设备数据、系统记录等,以及经加工处理之后得到的健康医疗相关电子数据。这些数据通常来源于医疗健康相关的医院
系统(HIS)、电子病历系统(EMR)等信息系统及临床治疗、药物销售等活动。(2)根据国家标准 GB/T 39725-2020《信息安全技术-健康医疗数据安全指南》,将医疗数据分为个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据以及公共卫生数据等类别。
(一)医疗数据一般性合规要点
(1)安全认证要求
①网络安全等级保护三级认证:“三级等保”是我国对非银行机构的最高等级保护认证,被定级为等保三级的系统主要适用于金融、医疗、政务等高敏感行业。通过“三级等保”认证,表明企业的信息安全管理能力达到国内最高标准。“三级等保”的技术要求主要包括物理安全、网络安全、主机安全、应用安全和数据安全五个方面。
物理安全:机房应区域划分至少分为主机房和监控区两个部分;机房应配备电子门禁系统、防盗报警系统、监控系统;机房不应该有窗户,应配备专用的气体灭火系统、备用发电机。
网络安全:应绘制与当前运行情况相符合的拓扑图;交换机、防火墙等设备配置应符合要求,例如应进行 Vlan 划分并确保各 Vlan 逻辑隔离,配置 Qos 流量控制策略,并设置访问控制策略,重要网络设备和服务器应进行 IP/MAC 绑定等;应配备网络审计设备、入侵检测或防御设备;交换机和防火墙的身份鉴别机制要满足等保要求,例如用户名密码复杂度策略、登录访问失败处理机制、用户角色和权限控制等;网络链路、核心网络设备和安全设备,需要提供冗余性设计。
主机安全:服务器的自身配置应符合要求,例如应具备身份鉴别机制、访问控制机制、安全审计机制和防病毒等,必要时可购买第三方的主机和数据库审计设备;服务器(应用和数据库服务器)应具备冗余性,例如支持双机热备或集群部署等;服务器和重要网络设备在上线前需要进行漏洞扫描评估,不应有中高级别以上的漏洞(例如 Windows 系统漏洞、Apache 等中间件漏洞、数据库软件漏洞、其他系统软件及端口漏洞等);应配备专用的日志服务器保存主机、数据库的审计日志。
应用安全:应用自身的功能应符合等保要求,例如应具备身份鉴别机制、审计日志、通信和存储加密等;应用端应考虑部署网页防篡改设备;应用的安全评估(包括应用安全扫描、渗透测试及风险评估),应确保不存在中高级风险以上的安全漏洞(例如 SQL 注入、跨站脚本、网站挂马、网页篡改、敏感信息泄露、弱口令和口令猜测、管理后台漏洞等);应用系统产生的日志应保存至专用的日志服务器。
数据安全:应建立数据本地备份机制,确保每日备份至本地,并存放于异地;如系统中存在核心关键数据,应通过网络等方式提供异地数据备份功能,确保数据安全性。三级等保的管理制度要求涵盖安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理。②ISO 体系认证:截至目前,国际标准化组织(ISO)已经发布了 25,000 多项标准,涵盖了技术、管理和制造的各个领域。其中适用于医疗数据的 ISO 标准主要有 ISO 7101、ISO 13485、ISO 14971、ISO 15189、ISO/IEC 27001、ISO/ASTM TR 52916、ISO/IEC 20000、ISO/IEC 27701 等。
(2)数据安全组织设立要求数据处理者应成立网络安全和信息化工作领导小组,由单位主要负责人担任领导小组组长。网络数据安全负责人应当具备网络数据安全领域的专业知识和相关管理经验,并由数据处理者的管理层成员担任。网络数据安全负责人的核心职责包括但不限于监督数据安全策略的实施、组织定期的安全培训与演练、协调应对数据安全事件等,并依法享有直接向有关主管部门报告所在单位网络数据安全状况的权利,以确保在数据安全事件发生时,能够迅速、准确地传达信息,争取宝贵的应对时间。
(3)数据安全制度要求各数据处理者应建立健全数据安全制度、操作规程及技术规范,涉及的管理制度每年至少修订一次。依据《数据安全法》《网络安全法》和《个人信息保护法》等规范性文件的要求,数据处理者至少应当建立数据分类分级制度、访问控制与权限控制制度、数据安全评估与审计制度、应急预案与事件响应制度、数据安全培训制度等。
①数据分类分级制度根据法律法规的相关要求,医疗数据处理者应每年对本单位所储存的医疗数据进行全面梳理,依据医疗数据的重要程度、遭到破坏后的危害程度,建立本单位数据分级标准。医疗数据处理者既可在专业人员的辅助下,依据本单位的医疗数据所涉及的疾病范围、规模大小等,建立本单位的数据分级标准,也可参考《信息安全技术 健康医疗数据安全指南(GB/T 39725-2020)》中的分级标准。
同时,医疗数据处理者应按照一定的标准和规则对医疗数据进行分类和整理,不仅有助于提高数据的组织性、可访问性和可用性,为医疗服务、医疗管理、医学研究等提供有力支持,还能够为医疗数据后续存储过程中的应急响应、容灾备份和权限控制制度的落实提供基础。《信息安全技术 健康医疗数据安全指南(GB/T 39725-2020)》也为医疗数据处理者提供了可参考的分类标准。
此外,医疗数据并非一直保持静态存储状态,在采集、交换、使用等过程中,医疗数据处理者需进行动态的数据分类分级,包括对增量医疗数据的持续性分类分级,对已有数据产生变化的医疗数据的持续梳理,以保证医疗数据的动态分类分级,确保数据安全和合规性。
②数据安全培训制度医疗数据处理者,为保障医疗数据处理、使用过程的安全性、隐私性和合规性,应制定一系列针对内部员工及数据相关人员的培训计划、流程和规范,以提升员工的数据安全意识和技能,以确保医疗数据在收集、存储、处理、传输和使用等各个环节的安全性。具体而言,医疗数据处理者单位内部的数据安全培训可以从法律法规和政策解读、数据安全技术与工具、实际案例分析三个角度,基于医疗数据分类分级及岗位风险图谱,制定差异化培训方案。③数据访问权限控制制度参照《医疗卫生机构网络安全管理办法》的相关规定,建议医疗数据处理者单位内部严格规定不同人员的权限,加强数据使用过程中的申请及批准流程管理,确保数据在可控范围内使用,加强日志留存及管理工作,杜绝篡改、删除日志的现象发生,防止数据越权使用。以医疗机构为例,医疗机构可建立数据全生命周期权限控制制度和应急访问机制。权限管理应根据科室内部入职、转岗、调岗、离职情况,自动触发权限分配和控制,如离职后 72 小时内强制回收失去的权限,并扫描残留服务器。应急访问机制旨在保证紧急状态下,如公共卫生事件、急诊抢救等情况,系统基于生命体征监测数据或医务人员的主动申请,解锁患者过往全部医疗数据。但医疗机构可要求在事后一定时间内补填《紧急访问说明》并提交。对于不同科室和人员的权限分配,遵循最小权限原则,例如:管理员仅可配置系统,医生仅可访问对应科室患者数据,且禁止使用默认账户直接操作系统,并对所有登录行为经过多因素认证,例如“密码+动态令牌”或“密码+生物特征” 组合验证。此外,医疗机构数据存储服务器应对所有访问人员的操作进行记录并留存,包括访问时间、用户身份、操作类型、涉及的数据范围及操作源 IP 地址,日志文件需加密存储并定期备份,防止篡改。
④数据安全评估、审计管理制度医疗数据处理者应对已定级备案网络的安全性定期进行检测评估,第三级或第四级的网络应委托等级保护测评机构,每年至少开展一次网络安全等级测评。第二级的网络应委托等级保护测评机构定期开展网络安全等级测评,其中涉及 10 万人以上个人信息的网络应至少每三年开展一次网络安全等级测评,其他网络至少每五年开展一次网络安全等级测评。此外,医疗数据处理者在网络运营过程中,应每年开展文档核验、漏洞扫描、渗透测试等多种形式的安全自查,及时发现可能存在的问题和隐患。涉及重要数据的医疗数据处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括所处理的重要数据的种类、数量,数据处理活动的开展情况,面临的数据安全风险及其应对措施等。风险评估标准可参照《信息安全技术 健康医疗数据安全威胁分析模型(GB/T 39477-2020)》更新威胁库。此外,由于部分医疗数据能够直接关联到患者个人,属于患者个人信息,其数据安全风险评估,应遵循《个人信息安全影响评估指南(GB/T 39335-2020)》中提供的实施标准和流程。
⑤数据安全应急响应制度
涉及网络运营的医疗数据处理者应当制定网络安全事件应急预案和应急处置机制,通过组织应急演练、开展网络安全攻防演练的方式,提升自身保护和对抗能力,减少计算机病毒、网络攻击、网络侵入等安全风险。在发生危害网络安全的事件时,相关数据安全负责人应立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。可参考《信息安全技术 信息安全应急响应计划规范》(GB/T 24363-2009)从应急响应计划的编制准备、应急响应计划的流程到应急响应计划的测试与维护等方面构建自身的应急响应制度。2.医疗数据来源合规要点(1)医疗数据采集与个人授权 ①医疗数据采集规则 A.数据依规采集根据《网络安全法》《数据安全法》和《个人信息保护法》的相关规定,医疗数据采集应遵循合法、正当、必要原则,明示收集目的与范围,并经被收集者(数据主体)同意。禁止通过欺诈、诱骗等非法手段获取医疗数据,强调最小必要原则,仅收集与诊疗直接相关的必要数据。采集个人健康医疗数据前,需充分告知并取得个人同意。涉及敏感个人信息时,需获得单独同意,告知内容包括数据收集目的、方式、范围、使用期限、数据主体权利及保护措施等。此外,《个人信息保护法》第十三条规定为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需,数据处理者无需经过患者同意,即可处理个人信息。
B.数据统一标准采集为了确保医疗数据的准确性,数据处理者必须制定统一的医疗数据采集标准。统一的标准可以减少信息录入的重复工作,也能够保证数据在数据处理者内部各部门之间的数据一致性和可比性。以医院采集病案数据为例,医院应根据国际标准,并结合实际工作情况,制定符合医院特点的采集规范。世界卫生组织(WHO)发布的国际疾病分类(ICD)系统为全球病案数据采集提供了统一标准。医院应当依据该标准对患者的诊断进行分类,使得病案数据在全球范围内具有可比性。此外,ICD-10 和 ICD-11 版本的使用,有助于确保数据的统一性,便于医院之间的数据共享和合作。而在国内实践中,医院可以通过建立病案管理委员会,持续完善并细化数据采集流程,在全院范围内进行推广,确保院内病案数据采集标准的统一和规范。
②个人授权规则 A.首次授权《国家健康医疗大数据标准、安全和服务管理办法(试行)》第二条特别规定:“国家在保障公民知情权、使用权和个人隐私的基础上,根据国家战略安全和人民群众生命安全需要,加以规范管理和开发利用。”据此,处理医疗数据在遵守数据安全的一般性原则与医疗领域伦理原则的基础上,还应重点关注《民法典》《个人信息保护法》等法律对个人信息主体权利的保护。依据我国《个人信息保护法》的相关规定,个人信息处理者在处理个人信息时应获取个人明确的书面同意,处理敏感个人信息应当取得个人单独同意。医疗数据处理者对于个人医疗数据在必要的范围内经过一次采集后,应避免对个人医疗数据进行重复、多头采集。以患者就医场景为例,医疗机构如需对患者医疗数据进行采集,可在患者就诊时通过医院小程序、手机应用或线下签署《医疗数据使用授权协议》(详见附件 1)。此外,医疗机构处理不满十四周岁未成年人的医疗数据时,应当取得未成年人的父母或者其他监护人的同意。7医疗机构也应在内部应当制定专门的不满十四周岁的未成年人的个人医疗数据处理规则,以符合相关法律法规的要求。
B.新增授权个人医疗数据作为敏感个人信息,一旦处理目的、处理方式、处理期限、保护措施发生变更,医疗数据处理者应当重新取得个人的明确同意。就重新取得个人明确同意的方式而言,医疗数据处理者可线上通过短信、系统弹窗,线下通过个人重新签署补充协议的方式,重新获取个人授权,并保留操作日志和个人签署记录。
C.告知义务的履行《个人信息保护法》要求医疗数据处理者在获取个人医疗数据授权时,为保障个人知情权,应告知个人以下内容:医疗数据处理者的名称、医疗数据处理者对于医疗数据的处理目的、处理方式,处理的医疗数据的种类、保存期限、个人行使权利的内部方式和程序等。涉及敏感个人信息的,还应向个人告知处理敏感个人信息的必要性以及对个人权益的影响,依照《个人信息保护法》第十八条规定可以不向个人告知的除外。
D.授权撤回机制医疗数据处理者应当为个人提供医疗数据的授权撤回渠道。个人可以通过线上或者线下的方式来撤回医疗数据的采集或是使用授权,撤回授权后,医疗数据处理者应当完成数据链路清除,但已经过匿名化处理且无法关联个人身份的科研数据除外。综上,医疗数据处理者应在《医疗数据使用授权协议》中明确告知个人授权共享的数据范围、共享目的、接收方主体信息、联系方式、个人权利(如知情权、撤回权、访问权、删除权、修改权、限制处理权、数据转移权等)、数据处理者的安全保护措施和制度、授权期限、授权的撤回、免责情形等,在数据共享目的的授权中,不得概括同意,应当逐项列明,以征得个人的明确同意。
(2)第三方来源数据
①审查第三方资质及数据安全保障能力在审查第三方资质时,需要确认第三方是否具备合法的数据获取资质,查验第三方机构营业执照、经营许可证(如涉及医疗须具备《医疗机构执业许可证》)及与数据处理相匹配的资质(如网络运营公司须具备《增值电信业务经营许可证》,涉及人类遗传资源数据,需确认其是否满足《人类遗传资源管理条例》所列明的要求;涉及关键信息基础设施的,还需确认第三方是否被纳入监管范围并履行相应义务)对第三方进行数据安全保障能力评估时,应评估第三方是否符合网络安全等级保护要求,如物理存储安全、网络加密安全、系统应用安全、数据备份安全等。
②确保第三方数据来源合法和授权合规第三方数据收集必须基于《个人信息保护法》《数据安全法》等法律规定的合法性基础,数据采集时还需遵循“最少必要原则”,该原则与行政法领域的“比例原则”类似,《信息安全技术健康医疗数据安全指南》(GB/T 39725-2020)第 8.3 条对其进行了定义,即指采集的数据不应当超范围采集,应当根据业务和管理要求,以最少且够用的标准进行。为进一步审查数据的合法性,可以要求第三方提供数据来源合法性承诺及合法性证明材料,包括取得数据提供方对自行生产、公开收集、间接获取等数据来源的说明及对数据权属的合法性承诺函等。
③签署数据处理协议为了避免数据提供方与数据接收方可能存在的法律纠纷,在签署数据处理协议时,就应当对数据本身(数据类型、内容、质量、数量等)、双方涉数权利义务、法律责任等内容进行明确的约定。作为数据接收方,尤其应当确保数据授权使用范围满足实际处理的需要。同时,在签署数据处理协议后,双方均须严格按照协议约定处理数据。
(3)数据质量控制在医疗数据采集和录入时,数据处理者应对数据质量进行严格、准确地控制。数据质量的优劣通常通过数据质量六性进行判断,包括:准确性(数据是否真实反映客观事实)、完整性(数据在创建、传输过程中无缺失和遗漏)、一致性(多源数据逻辑一致)、有效性(数据的值、格式符合业务标准)、唯一性(同一数据只能有唯一的标识符)、时效性(数据是否按预期时间更新)。以医疗机构对患者数据的采集录入过程为例,在数据录入流程上医疗机构可采用电子病历系统(EMR)、医疗设备接口等自动化采集技术,减少人工录入错误,同时通过逻辑校验(如性别与诊断关联)、非空校验、存在性校验等确保数据逻辑合理性。其次,要确保数据采集的完整性和一致性,在数据分类时参考国际统一编码体系(如 ICD、LOINC)进行分类,确保跨系统的一致性。在收集患者数据时要实现患者身份标识唯一化,避免重复记录,确保不同来源数据(如病历与质控记录)的关联性。最后,要确保数据收集的时效性,数据记录需符合临床时间逻辑,并实时更新以反映最新状态。(4)数据匿名化处理医疗数据处理者在对医疗数据进行处理时,应对医疗数据中能够关联到具体个人的信息进行匿名化,如姓名、性别、年龄、住院号、门诊号、疾病部位等。匿名化处理是指个人信息经过处理后无法识别特定自然人且不能复原的过程。9 经匿名化处理后的数据不再属于个人信息。通常来说,匿名化的第一步是处理那些能直接识别出个人的数据,比如将直接标识符假名化、加密、抑制或者屏蔽这些信息;第二步,再处理那些间接能识别出个人的数据,比如泛化、随机化改变这些信息。在此过程中,应确保匿名化处理符合相关法律法规,避免重新识别个人信息的风险。
3.医疗数据存储合规要点
(1)存储空间
①物理服务器存储空间:参见上述主体资质部分,为充分保障医疗数据安全,医疗数据处理者可参照网络安全等级保护三级认证的相关要求,进行合规整改和提升。其中,建议机房区域至少划分为主机房和监控区两个部分,配备电子门禁系统、防盗报警系统、监控系统,机房不应该有窗户,并应配备专用的气体灭火、备用发电机。也可根据自身的数据安全需求,选择采用生物识别门禁(如指纹/ 虹膜识别)结合 24 小时监控录像,并对服务器机柜采用独立上锁、防火防潮、防电磁泄漏等技术措施。
②存储地点:医疗数据原则上一般存储在境内。《国家健康医疗大数据标准、安全和服务管理办法(试行)》第三十二条规定,健康医疗数据应当存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估审核。对于跨境数据传输,医疗数据处理者应确保所涉及的国家或地区具备适当的数据保护水平,并遵循相关国际法规。
(2)存储期限个人健康医疗数据的保存期限应为实现自然人授权医疗数据处理者使用的目的所必需的最短时间。此外,不同医疗数据存储期限也存在着各种各样的限制。
(3)数据加密和介质管控数据加密是数据系统中保护数据隐私和防止非法访问、泄露或篡改的主要技术之一。医疗数据处理者应采用安全的通信协议或安全的网络传输通道进行加密传输,确保医疗数据在传输过程中的安全性。静态存储的数据推荐使用 AES-256 或国密算法 SM4 进行全盘加密,密钥必须通过硬件安全模块(HSM)或密钥管理系统(KMS)独立托管,实现密钥与数据的物理分离。数据传输过程中需启用 TLS 1.3 或 IPSec 等强加密协议,禁用 SSL 3.0、TLS 1.0 等存在漏洞的旧版协议。
介质管控要求医疗数据处理者对存储介质进行严格管理。可以基于上述医疗数据分级的管理要求,通过介质管控的自动化工具对介质进行登记、控制和定期审计,确保只有授权人员才能访问和使用这些介质。介质管控还包含对医疗数据的备份和恢复策略的管理,以防止医疗数据丢失或损坏,满足合规性要求。应定期测试备份数据的恢复能力,确保在紧急情况下能够快速恢复数据。
4.医疗数据共享合规要点医疗数据处理者应该对其共享给其他主体的数据进行有效的安全管理,采取必要的技术和组织措施,保障数据的安全。包括采取数据加密、数据备份和恢复、访问控制等技术措施,以及制定共享协议、建立数据共享管理机构等组织措施。
首先,医疗数据处理者需要对数据接收主体的数据安全能力进行评估,确认其具备相应的数据安全能力,从而保证第三方主体使用、处理数据时的安全和保密性。例如,第三方主体需建立符合等保三级要求的网络安全防护体系,部署数据加密、匿名化处理(如符合个人信息去标识化指南 GB/T 37964 标准)及动态访问控制机制。第三方主体的系统管理体系方面,需取得 ISO 27001 信息安全管理体系认证及 ISO 27799 医疗健康信息安全管理认证,并依据《数据安全能力成熟度模型》(DSMM)达到三级以上能力水平,同时设立专职数据安全官岗位负责合规审查。对第三方的合规性审查应定期进行,并确保数据传输协议满足最新的安全要求。
其次,在医疗数据传输过程中,数据可能会被截获、篡改或泄露。因此,在传输过程中保护数据的隐私性和完整性显得尤为重要。加密技术通过将明文数据转换为密文,确保只有授权方能够解密和读取数据,从而保护数据传输过程的安全。根据网络公开的材料,以下简要罗列了医疗数据可采用的加密传输技术及相应优势与应用前景 。
最后,医疗数据处理者与第三方主体之间就非公共数据订立数据权属合作协议时,协议至少应当包括以下内容:(1)双方信息;(2)数据交付方式;(3)数据接收方的数据处理权限范围;(4)数据三权归属;(5)数据安全保障的内容及义务方;(6)后续衍生数据产品的权属情况;(7)合约追踪条款;(8)应急预案条款;(9)涉及行政备案或批准的条款。
5.医疗数据销毁合规要点
(1)销毁制度《个人信息保护法》中规定在保存期限届满、停止提供服务、处理的目的已经达到或无法达到时,个人信息处理者应当主动删除个人信息。《医疗卫生机构网络安全管理办法》明确要求建立“无法还原”的数据销毁机制,国家药监局《药品数据管理规范》强调建立数据销毁规程,需包含申请审批、执行人资质、销毁方式验证等要素。由此可见,相关法律法规要求销毁医疗数据时应采用确保数据无法还原的销毁方式,并重点关注数据残留风险及数据备份风险。医疗数据处理者也应在医疗数据销毁过程中严格遵循销毁报批、销毁情况记录、销毁安全检测,以确保销毁工作的规范性和安全性。
①明确销毁流程和审批机制数据销毁应经过严格的审批流程,由数据所有者或使用者提出销毁申请,填写销毁申请表,经相关部门审核和审批通过后方可执行。在执行上,采取三级审批机制,由申请人(数据管理员)到部门负责人(合规审核)再到法务/信息安全部门(最终批准),数据销毁需要两人在场监督并签字确认。
②留录和留存销毁证据对销毁过程进行详细记录,包括销毁内容、销毁时间、操作人等信息,并留存相关证据,这不仅有助于后续的审计和追溯,还能在出现争议时提供有力的证明,确保数据销毁的合规性和透明度。③定期审查和更新制度随着技术的发展和法律法规的变化,定期审查和更新数据销毁管理制度,确保其始终符合最新的合规要求,这包括对销毁流程、技术手段等方面的优化和改进,以适应不断变化的数据安全环境。
(2)销毁方式
①物理销毁物理销毁是指通过物理或化学方法直接销毁存储介质,例如将硬盘、U 盘等存储设备进行物理性破坏(如粉碎、熔毁)或化学性破坏(如强酸腐蚀),以达到彻底、不可逆的硬盘数据销毁/数据擦除的目的.
②电子销毁电子销毁分为三大形式,即数据擦除、密钥销毁和逻辑销毁。
数据擦除是针对数据恢复行为而产生的逆向操作,包括格式化擦除、数据覆写、软件擦除、特定算法擦除等。
格式化擦除:是磁盘控制器将所有扇区清零,并重新写入磁盘引导记录和扇区 ID。
数据覆写:是将非保密数据写入原存有敏感数据的硬盘簇的过程。使用预先定义的无意义、无规律的信息,反复多次(如 DoD5220.22-M 标准要求 7 次覆写)覆盖硬盘上原先存储的数据,就无法知道原先的数据是“1”还是“0”,也就达到了硬盘数据擦除的目的。
软件擦除:如 DiskGenius 等软件可以执行数据擦除操作,通过磁盘扇区清零、全盘覆盖数据等方法,让数据无法恢复。
特定算法擦除:是指根据写数据的方法和破坏强度,视情况采用如加密擦除、美国国防部的 Dod5220.22-M、Gutmann、Schneier 算法等国际标准方法。
密钥销毁:适用于云存储环境下的密文数据。该方法不销毁数据本身而是通过销毁密钥的方式实现数据的不可访问。只要用户安全地销毁密钥,就可以保护数据密文无法在多项式时间内被破解,将数据销毁问题转换成密钥生命周期管理问题。
逻辑销毁:是对磁盘扇区进行清零操作,即把硬盘所有扇区用 0 或 1 进行多次(建议≥3 次)写入,使硬盘上的所有数据丢失,包括分区信息,从而破坏数据的逻辑结构或清除访问权限。
(3)同等方式安全处理《个人信息保护法》第四十七条规定了个人信息处理者应当主动删除个人信息的情形,也规定了对于难以删除的数据个人信息处理者应采取其他能够保证安全性且达到与删除同等目的的方式进行处理,即“法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止除存储和采取必要的安全保护措施之外的处理。”
在适用应采取同等方式安全处理的情形下,不代表医疗数据处理者可以对无法销毁的医疗数据放任不管:①医疗数据处理者不得进行任何存储以外的处理行为(包括使用、共享、转让等);②在此种情形下仍然需要对所存储的医疗数据履行作为数据处理者的义务,即根据存储数据的体量及敏感程度,采取相应的安全保护措施。比如设置内部人员访问控制、数据加密、定期评估安全风险以及敏感信息单独存储等。其次,对于符合采取同等方式安全处理的数据,医疗数据处理者应建立明确的操作申请和审批流程,确保数据安全操作的合法性和透明度。此外,还需要对该类数据进行定期评估和审查,确保其继续符合采取同等方式进行安全处理的条件,并在条件不再满足时及时进行销毁。
资料信息:公开信息资料、《深化医药卫生体制改革 2024 年重点工作任务》《关于进一步完善医疗卫生服务体系的意见》《“十四五”全民健康信息化规划》《关于促进“互联网+医疗健康”发展的意见》《关于促进和规范健康医疗大数据应用发展的指导意见》 《关于推进医疗机构远程医疗服务的意见》 《卫生行业信息安全等级保护工作的指导意见》《数据出境安全评估办法》《网络安全审查办法》《电子病历系统功能规范(试行)》《电子病历应用管理规范(试行)》《医疗卫生机构网络安全管理办法》《远程医疗信息系统建设技术指南》《医疗器械网络安全注册技术审查指导原则》《人工智能医用软件产品分类界定指导原则》《涉及人的生命科学和医学研究伦理审查办法》《电子病历共享文档规范》系列标准《药品记录与数据管理要求(试行)》《药物临床试验质量管理规范(2020 修订)》《互联网诊疗管理办法(试行)》《互联网医院管理办法(试行)》《互联网医院基本标准(试行)》《远程医疗服务管理规范(试行)》《真实世界数据用于医疗器械临床评价技术指导原则(试行)》《卫生健康行业数据分类分级指南(试行)》《用于产生真实世界证据的真实世界数据指导原则(试行)》
