《健康医疗数据安全指南》数据安全措施实践

引 言

在数字化时代，健康医疗数据的安全性和隐私保护已成为医疗行业的核心议题。随着“互联网+医疗健康”和智慧医疗的快速发展，新业务、新应用层出不穷，健康医疗数据在全链路的各个阶段都面临着前所未有的安全挑战，如数据采集阶段可能存在数据泄露风险，存储阶段可能会被内部的工作人员、第三方合作伙伴甚至黑客窃取敏感数据信息，数据共享阶段可能由于范围选择不当等原因泄露敏感信息等一系列安全挑战，需要采取相应的安全措施来应对。个保法针对个人信息安全提出了明确的要求，国家标准GB/T 35273-2020《信息安全技术 个人信息安全规范》围绕个人信息安全针对个人信息控制者提出了更为详尽的要求。针对健康医疗行业特点，尤其是健康医疗信息的高敏感性、高价值性和生命相关性以及一些常见业务场景，GB/T 39725-2020《信息安全技术 健康医疗数据安全指南》（下文称“指南”）给出了具体的安全指南，为医疗行业提供了数据保护的指导和参考。本文旨在探讨医疗行业如何践行这一指南，确保数据安全的同时促进医疗服务的高质量发展。

一、安全措施解析

为确保健康医疗数据的安全性、保密性和可用性，规范和推动健康医疗数据的融合共享、开放应用，促进健康医疗事业发展，同时保护个人信息安全和国家安全，《指南》在安全措施方面，明确了具体要求。

在数据安全领域，数据分类分级与安全措施的实施是确保数据安全的基础。针对医疗行业的数据，根据数据的敏感性和个人信息安全风险，数据可分为五个级别，每个级别都有其特定的业务要求和适用场合。例如，第1级数据可以公开发布，而第5级数据则涉及特殊疾病诊疗所必须的敏感信息（如图1所示）。安全措施包括去标识化处理、身份鉴别、访问控制管理等，以确保数据的完整性和真实性。在数据流通使用场景中，不同角色如医疗机构、科研机构、医保机构等，根据其在数据生命周期中的角色和责任，需满足不同的安全控制要求，这些要求涵盖数据采集、传输、存储和使用的各个环节，包括知情同意、加密、去标识化、权限管理等。对于数据开放，无论是通过网站公开、文件共享、API接入、在线查询还是数据分析平台，都应遵循“最少必要原则”，并确保数据开放的目的、内容、使用方等经过相应的审批，以符合合法性、正当性和必要性的要求。此外，还需尽可能地去标识化，明确数据开发和使用目的、使用方需要承担的安全责任，并签署相应的协议。对于涉及出境的数据，应依规进行安全评估，涉及重要数据的则需依规进行评估审批。这些综合措施共同构建了一个多层次、全方位的数据保护体系，旨在保护个人信息安全，同时促进医疗数据的合理利用。

图1 从个人信息安全风险出发的数据分级与安全措施要点

二、安全措施实践

（一）分类分级

医疗机构需根据国家标准和业务需求，对数据进行分类分级管理。这不仅涉及到对数据的敏感性评估，还包括对数据的存储、处理和传输过程中的动态分类分级。

1.全类型全格式数据分类分级模型

依据GB/T 39725-2020《信息安全技术 健康医疗数据安全指南》，数据分类分级模型需覆盖全类型全格式数据，包括结构化、非结构化信息中的敏感数据识别。模型应支持多维度数据分类，还应根据数据的来源、类型、内容和格式进行细分。此外，模型应遵循合法合规性原则、综合性原则、规范性原则等，确保数据分类分级的准确性和有效性。医疗机构依据该指南，结合自身业务情况，可制定符合医院的数据分类分级标准，确保数据识别模型的全面性和细致性。通过建立数据分类分级模型，医疗机构能够快速自动地实现数据的分类分级工作，为确保不同级别的数据得到相应级别的保护奠定基础。

2.数据资产自动发现

基于数据分类分级模型，对医疗机构的所有数据资产进行盘点和识别，避免遗漏或误判。通过配置的医疗信息系统信息，进行自动化的数据资产扫描，获取非结构化文档、数据库、数据表、视图、数据表字段等信息，并生成数据资产目录。同时，配合人工审核和验证，与各业务科室、信息部门、技术部门沟通核验数据资源目录的准确性和完整性。借助自动化的数据分类分级工具，利用智能化算法，如自然语言处理和机器学习，提高识别率和流程效率，帮助医疗机构快速定位数据，清晰了解数据资产的类型、分布、权限和敏感数据的流转使用情况，为数据安全防护策略的制定提供依据。

3.动态分类分级

医疗行业的数据资产并非一直保持静态存储状态，在整个采集、交换、使用等的过程中，需进行动态的数据分类分级。这包括对增量数据的持续性分类分级，持续梳理新产生变化的部分。同时，对于同样一份数据在其流转过程中，应能识别加密压缩、格式转化、隐写变形等操作下的数据内容，以保证数据流转的可控性。医疗机构的分类分级需支持对各种格式压缩包进行多层嵌套识别，支持加密文件识别，支持不同编码格式，支持基于文件指纹、文件DNA等文件生物特征检测，以及隐写数据、加密数据等包含敏感信息的不可解析数据识别标注，这有助于实现敏感数据全链路智能聚合及溯源，确保数据安全和合规性。

（二）基于数据分类分级的数据安全防护措施

医疗行业需基于分级分类加强数据安全防护。通过数据安全平台，对医疗数据采取适宜的安全措施，涵盖身份鉴别与访问控制、细粒度权限管理、个人信息去标识化、数据加密、介质管控、审批授权、审计追溯等技术手段，确保数据在产生、传输、存储、使用、共享等全链路的安全。

1.身份鉴别与访问控制

在医疗行业中，身份鉴别与访问控制是确保数据安全的基础。为有效的实施安全措施，可根据数据的分类分级来实施更精细的安全控制。对于分级级别高的数据，可采用多因素身份认证和细粒度访问控制机制；对于一般级别的数据，可配置基本的身份认证和访问控制机制。通过分类分级采取安全措施有助于优化资源分配，提高业务效率的同时，满足合规性要求。

2.细粒度权限管理

医疗信息系统的用户权限管理是确保医疗机构数据安全的重要组成部分。实施角色和权限分配时，可根据数据的分类分级，确保相应角色的用户访问其职责范围内的数据。权限管理通过将用户分配到不同角色，并为每个角色配置相应权限来限制用户对数据的访问和操作范围，确保数据安全和隐私保护。根据员工的职责和需求，将医疗信息系统的权限分配到如医生、护士、行政人员等不同的角色，每个角色都有明确的权限集合。同时，权限分配遵循最小化权限原则，即用户只获得完成其工作所必须的最低权限，以减少潜在安全风险，通过合理的权限分配避免非授权用户对系统进行恶意操作，保护患者隐私和医疗机构的安全。

3.个人信息去标识化

医疗机构的数据中含有大量的个人信息，包括患者的姓名、地址、电话号码、病历、药物处方等敏感信息。这些信息一旦泄露或被盗用，可能会对患者造成严重的身体和心理伤害，同时也侵犯了患者的隐私权。保护这些个人信息不仅是医疗机构的法律责任，也是维护患者信任和机构声誉的重要措施。去标识化旨在依据个人信息能多大程度上标识个人身份（即标识度）进行分级，用于评估去标识化活动的效果，以此形成的个人信息标识度分级，需依据国家标准《信息安全技术 个人信息去标识化效果评估指南》（GB/T 42460-2023）进行评估。去标识化作为重要的个人信息保护技术，能够降低数据与特定个人关联的风险。医疗数据在使用中，可基于数据分类分级措施，明确数据的不同级别或类型，使用去标识化技术，帮助医疗机构在不泄露患者隐私的前提下，对数据进行处理和分析。在临床研究中，去标识化可以用于保护患者数据，以便在不违反隐私法规的情况下，进行研究和分析。在进行流行病学研究或疾病模式分析时，可以在保护患者隐私的同时，对医疗数据进行统计和分析。在医疗数据需要共享的情况下，如医疗合作研究，去标识化可以降低数据泄露个人隐私的风险，使得数据可以在保护隐私的前提下共享和利用。

4.数据加密

数据加密是医疗信息系统中保护患者隐私和数据不被非法访问、泄露或篡改的主要技术之一。在数据传输过程中，可采用安全的通信协议或安全的通道对数据进行加密传输，确保数据在传输过程中的安全性。同时，医疗机构还可通过接口安全控制，确保通过接口传输时的安全性，防止数据被窃取。在数据存储中，可通过数据库加密技术、文档加密技术，确保数据在存储中的安全。为了更有效的实施数据加密，可以根据数据的敏感性和重要性进行分类分级，对不同敏感程度、不同级别的数据采取适宜的安全措施。通过数据加密措施，医疗机构能够保障数据在传输、存储过程中的安全。

5.介质管控

介质管控涉及对存储介质的严格管理，包括对数据存储设备如硬盘、U盘、光盘等的授权管理、访问控制、数据保护、备份恢复以及销毁安全。医疗机构可以基于数据分类分级的管理要求，通过介质管控的自动化工具对介质进行登记、控制和定期审计，确保只有授权人员才能访问和使用这些介质。在数据通过存储介质传输过程中，介质管控可结合数据泄露防护技术，保障数据转移到U盘、光盘等移动存储介质中的安全，以防止数据被窃取。介质管控还包含对数据的备份和恢复策略的管理，以防止数据丢失或损坏。通过以上措施，医疗机构能够确保医疗数据的安全性，防止未经授权的访问和泄露，满足合规性要求。

6.知所必须 最小授权

审批授权是医疗机构确保数据安全的重要环节之一，医疗机构在将数据用于不同的使用场景时，可基于数据分类分级进行审批和授权。如不能标识个人身份的数据，各科室医生经过申请审批可以用于研究分析；因为学术研讨需要，需要向境外提供相应数据的，在进行必要的去标识化处理后，需经过讨论审批同意后方可授权使用。严格执行数据处理和使用的审批流程，明确各级权限，对不同角色设置不同的数据使用权限，按照“知所必须，最小授权”的原则进行细粒度访问权限的授权，控制数据权限，如授权特定的人员可使用数据、授权特定的人员对数据具有只读、可写、是否可打印等权限，以防范数据丢失、泄露、未授权访问等安全风险。对于数据共享（含交换、导出、开放）环节的安全管控，防止不经审批、不受控制的数据共享行为，确保只有授权人员才能访问已审批授权的敏感数据，从而减少数据泄露的风险。

7.审计追溯

审计追溯通过记录和监控用户对医疗数据的访问、查询、修改和导出等操作，有助于追溯数据的使用，或作为法律证据，保护患者隐私，防止不当的信息访问和滥用。而医疗行业的审计追溯可与数据分类分级结果进行关联分析，如数据的重要性、敏感程度以及篡改、破坏、泄露或非法获取、非法利用造成的危害程度等，追踪和检测数据使用操作行为是否符合合规性和内部安全制度，及时发现潜在的数据安全风险和异常行为。通过审计日志，医疗机构能够监测系统安全事件，及时发现并阻止不当行为，为合规性审计和证据收集提供支持。综上，审计追溯是确保医疗大数据安全性和合规性的关键措施，强化日志留存和管理，有助于确保数据的可追溯性，增强数据使用的透明度和责任追究能力。

三、总 结

《健康医疗数据安全指南》给出了健康医疗信息安全的措施建议，并提出了一些特定场景下的具体指导，可指导健康医疗信息控制者开展健康医疗数据安全工作。医疗机构通过践行该指南，不仅能够保护患者隐私和数据安全，还能提升医疗服务的质量，促进医疗行业的健康发展。通过自动化的数据安全平台实施安全措施，有助于医疗行业构建起一个全面的数据安全防护体系，保护医疗数据不被非法访问、泄露或滥用，提升医疗服务的安全性和合规性。

（本文作者：北京数安行科技有限公司 郭灵）

声明：本文来自CCIA数据安全工作委员会，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。