近年来，随着医疗卫生信息化建设的深入推进和"互联网+医疗健康"的快速发展，医疗卫生机构产生的数据规模呈指数级增长。临床数据、科研数据、管理数据、医疗设备数据等海量数据，在推动医疗服务模式创新、提升诊疗效率的同时，也面临着严峻的安全挑战。数据泄露、滥用、出境等安全事件时有发生，个人隐私保护问题日益凸显。

2021年以来，《网络安全法》《数据安全法》《个人信息保护法》相继施行，构建了我国数据安全和个人信息保护的法律框架。但这些法律主要是原则性、框架性规定，医疗卫生行业缺乏具体可操作的实施细则。

在此背景下，国家卫生健康委会同公安部、国家网信办等部门联合制定《医疗卫生机构数据安全和个人信息保护管理办法（试行）》，旨在将法律要求转化为医疗卫生行业的具体规范，明确管理要求、落实保护责任、提升防护能力，为医疗卫生机构的数据安全和个人信息保护工作提供制度保障。

制度一：数据分类分级保护制度

《办法》明确规定，医疗卫生机构数据分为核心数据、重要数据和一般数据三类，落实分类分级保护制度。不同类别、级别数据同时被处理且难以分类采取保护措施的，按照其中级别最高的要求实施保护。

省级卫生健康行政部门负责组织开展本省内医疗卫生机构数据的分类分级工作，提出重要数据具体目录和核心数据目录建议并报国家卫生健康委。医疗卫生机构应当定期梳理本单位数据，识别重要数据，并按属地卫生健康行政部门报送，内容包括但不限于数据来源、类别、级别、规模、处理目的和方式、责任主体、跨境传输、安全保护措施等基本情况。

制度二：数据全生命周期安全管理制度

《办法》对数据的收集、存储、使用、加工、传输、提供、公开、删除等全生命周期环节提出了明确要求，强调通过管理和技术手段保障数据安全和数据应用的有效平衡。

医疗机构应当强化制度保障、人员保障、管理保障、技术保障、应急保障等五大保障措施。处理重要数据的医疗机构，应当明确数据安全负责人和管理机构，落实数据安全保护责任，每年度对其数据处理活动开展风险评估。医疗机构在存储处理重要数据时要落实三级及以上网络安全等级保护要求，存储处理核心数据的，涉及关键信息基础设施的，要在网络安全等级保护制度的基础上，落实关键信息基础设施安全保护要求。

制度三：个人信息保护制度

《办法》强调个人信息是特别重要的一种数据，当达到一定精度、规模时个人信息要按照数据分类分级管理要求，纳入国家重要数据目录进行重点保护。

医疗机构应当自行或者委托专业机构定期开展个人信息保护合规审计工作。委托处理个人信息时，应当事前进行个人信息保护影响评估并与受托方签订委托协议和保密协议。医疗机构使用人工智能等新技术处理患者病历时，必须确保个人信息安全。

《办法》明确列出了医疗卫生机构及其人员不得有的十种行为，为医疗机构划定了红线。

禁止一：不得违法采集数据

医疗机构应当加强数据收集的合法性管理，明确业务部门和管理部门在数据收集合法性中的主体责任，不得超范围采集数据，不得窃取或者以其他非法方式采集数据。

禁止二：不得违法存储数据

医疗机构在我国境内收集和产生的重要数据，应当在境内存储，并采取备份、加密等措施加强数据的存储安全。

禁止三：不得违法传输数据

医疗机构应当明确不同安全级别数据的加密传输要求，不得通过微信、网盘、社交软件传输核心数据、重要数据和敏感数据。

禁止四：不得违法向境外提供数据

医疗机构采集的数据需向境外提供的，具有《促进和规范数据跨境流动规定》第七条规定情形之一的，应当先行开展自评估工作，经本单位网络安全和信息化工作领导小组或领导班子同意并报属地卫生健康行政部门审核通过后，由省级网信部门向国家网信部门申报数据出境安全评估。

禁止五：不得违规使用数据

医疗机构应当规定数据使用权限，加强数据使用过程中的情况及审批流程管理，加强日志留存及管理工作，不得暴露、泄露，确保数据在可控范围内使用。

禁止六：不得未经授权处理数据

未经医疗机构授权，信息系统建设运维人员不得处理数据；建设运维期间，收集产生的数据未经授权不得用于其他用途，服务完成后按照约定对数据予以返还或销毁。

禁止七：不得未经批准提供数据

未经医疗机构网络安全和信息化工作领导小组或领导班子批准，任何部门和个人不得将未对外公开的信息和数据传递至医疗机构之外，不得以任何方式将其泄露。

禁止八：不得随意公开数据

医疗机构在对数据公开前，应当分析研判可能对国家安全、经济社会安全、公共利益、个人信息安全及医疗机构运行产生的影响，存在重大影响的不得公开。

禁止九：不得未经销毁报废设备

医疗机构在设备报废或变更用途前，应当按照电子产品信息清除技术要求对数据进行彻底清除处理，不得未经处置直接报废或转移他用。

禁止十：不得隐瞒数据安全事件

医疗机构发生数据安全事件时，应当立即启动应急预案，采取措施防止危害扩大，消除安全隐患，并按照规定向属地卫生健康行政部门等有关主管部门报告。

面对《办法》的严格要求，医疗机构应当采取六大举措，筑牢数据安全防线。

举措一：完善组织架构，落实主体责任

县级以上医疗机构应当成立网络安全和信息化工作领导小组，由单位主要负责人担任组长，每年至少召开一次数据安全和个人信息保护会议，部署数据安全和个人信息保护工作，研究制定相关制度规范。医疗机构主要负责人是本单位数据安全和个人信息保护管理第一责任人，分管负责人是直接责任人。按照"管业务必须管安全""谁主管谁负责、谁运营谁负责、谁使用谁负责"的原则，明确本单位业务部门与信息化部门的职责。

举措二：开展数据分类分级，明确保护重点

医疗机构应当依据有关法律和卫生健康行业数据分类分级有关要求，定期梳理本单位数据，识别重要数据，并按属地卫生健康行政部门报送。对于达到一定精度、规模的个人信息，应当纳入国家重要数据目录进行重点保护。

举措三：建立健全管理制度，规范数据处理流程

医疗机构应当建立数据安全管理制度、操作规程及技术规范，针对不同类别和级别的数据，明确收集、存储、使用、加工、传输、提供、公开等环节的具体保护要求。建立完善数据使用申请及批准流程，遵循"谁主管、谁审查"，坚持事前申请批准、事中监管、事后审核的原则。

举措四：强化技术防护能力，提升安全防护水平

医疗机构应当在数据的收集、存储、使用、加工、传输、提供、公开、删除等环节，针对不同场景综合运用加密、鉴权、认证、脱敏、去标识化、数字水印、校验、审计等技术手段进行安全保护。存储处理重要数据的要落实三级及以上网络安全等级保护要求。

举措五：加强人员培训教育，提升安全意识

医疗机构应当加强数据安全管理人员队伍建设，定期开展数据安全教育和培训，提高全员数据安全、个人信息保护意识和水平。区分不同岗位和人员，实行动态授权管理，及时回收离职离岗、转岗人员权限。

举措六：制定应急预案，开展应急演练

医疗机构应当根据工作实际与应对数据安全事件的需要，制定完善应急预案，并定期开展演练。发生数据安全事件时，应当按照应急预案及时开展应急处置，涉及重要数据和核心数据的安全事件，及时向属地卫生健康行政部门报告。

长三角地区作为医疗卫生信息化建设的先行区，应当在全国率先贯彻落实《办法》要求，协同推进区域数据安全一体化建设。

协同建立长三角数据安全协调机制

建议建立长三角地区数据安全协调机制，定期召开工作会议，交流数据安全工作情况和经验做法，共同研究数据安全政策和标准，协调解决跨区域数据安全问题。

协同开展长三角数据分类分级标准建设

建议联合三省一市卫生健康部门，共同制定长三角地区数据分类分级标准，实现区域数据分类分级标准的统一和互认。

协同构建长三角数据安全监测预警体系

建议构建长三角地区数据安全监测预警体系，实现区域数据安全风险的监测、预警、处置、溯源等能力，加强区域间信息共享和协同处置。

协同开展长三角数据安全人才培养

建议联合区域内高校、科研院所、企业，共同开展数据安全人才培养，建设专业化数据安全人才队伍，为区域数据安全工作提供人才支撑。

《医疗卫生机构数据安全和个人信息保护管理办法（试行）》的发布实施，标志着我国医疗卫生行业数据安全和个人信息保护工作进入了制度化、规范化、标准化新阶段。对于医疗机构而言，这既是挑战，更是机遇——挑战在于合规要求更加严格，机遇在于规范管理将为数据开发利用提供制度保障。

春风化雨，润物无声。在数据安全的道路上，长三角医院联盟将始终与医疗同仁同呼吸、共命运，筑牢数据安全"防火墙"，守护患者个人信息安全，让医疗数据更好地服务人民健康！