《医疗健康网络数据安全自律公约》解读

为贯彻《中华人民共和国网络安全法》《国务院办公厅关于促进和规范医疗健康大数据应用发展的指导意见》《国务院办公厅关于促进“互联网+医疗健康”发展的意见》有关要求，更好推动《国家医疗健康大数据标准、安全和服务管理办法（试行）》落实，引导相关单位严格遵守国家有关法律、法规以及政策和标准，提升医疗健康网络数据安全保护能力，促进行业持续健康有序发展，2020年11月19日，在行业主管部门指导下，中国互联网协会互联网医疗健康工作委员会于2020中国5G+工业互联网大会“5G+医疗健康专题会议”正式发布了《医疗健康网络数据安全自律公约》（以下简称《自律公约》）。

《自律公约》旨在引导签署单位持续完善本机构医疗健康网络数据安全保障能力，开展医疗健康网络数据资产梳理和分类分级工作，围绕医疗健康网络数据全生命周期各环节推动部署差异化安全保障措施，建立机构内部医疗健康网络数据安全合规性评估制度规范和工作流程。

发起背景

医疗健康数据应用价值逐步显现

合理用药分析

通过大数据高效分析用药成分、用药剂量、用药时间，寻找最佳组合

临床病因分析

通过大量临床数据进行科学分析，由症状确定具体病因，环节症状

可穿戴数据监测

通过智能可穿戴收集数据，实现人体生命体征监测，预警潜在健康风险

基因组学分析

通过对基因序列大量分析，快速筛查和预测疾病和潜在基因缺陷

远程医学诊断

对患者进行远程疾病数据采集，结合大量临床病因数据分析，实现远程诊疗

医保决策分析

应用大数据高位聚类分析师算法，制定医保支付标准等更加精准的政策

医疗健康网络数据安全形势严峻

医联体访问数据

医联体等第三方服务机构人员在对敏感数据进行访问浏览的过程均可能导致医患隐私等重要信息面临泄露风险

临床科研数据

临床科研数据涉及人口学资料、检查信息、检验信息、药品医嘱、诊断信息、病例及患者报告，传输过程中一旦发生泄漏，后果非常严重

医保数据

医保数据涉及与第三方机构对接，在系统对接、数据传输、数据使用、数据存储、数据销毁等环节面临安全风险

医疗设备维保数据

医疗器械厂商在进行远程医疗设备维护保养时，数据将面临非授权访问、不安全链接、隐私数据泄露、维护记录保存不当等安全风险

医疗健康APP数据

移动应用涉及众多在线健康医疗服务，存在泄露个人健康状况数据、支付数据、卫生资源数据以及公共卫生信息的隐患

可穿戴健康设备数据

可穿戴设备数据在采集、存储、使用阶段均存在着不同程度的安全隐患

健康大数据中心数据

分类分级机制缺失导致将非法登录、越权访问、异常调阅、冒名查询、批量窃取、明文泄露等数据安全隐患

远程医疗数据

检验报告、诊断结果、既往病史等健康医疗数据存在因漏洞攻击、病毒感染等导致的非法访问、窃取篡改和恶意上传等风险

数据安全政策密集出台，立法进程加快，倡议频发

• 2017年6月1日，《中华人民共和国网络安全法》网络安全法正式实施，提及国家鼓励开发网络数据安全保护和利用技术，促进公共数据资源开发，推动技术创新和经济社会发展。

• 2020年7月3日，《中华人民共和国数据安全法（草案）》草案内容对数据活动、数据安全等概念进行定义，强调建立数据安全保护体系，并对违法数据活动及相应法律责任进行了明确。

• 2020年7月22日，《关于为新时代加快完善社会主义市场经济体系提供司法服务和保障的意见》明确加强数据权利和个人信息安全保护，依法保护数据收集、使用、交易、以及由此产生的智力成果，完善数据保护法律制度。

• 2020年9月14日，《全球数据安全倡议》中方提出希望欧方同中方一道，推动制定全球数字领域标准和规则，促进全球数字经济治理良性发展。

• 2020年10月21日，《个人信息保护（草案）》第二十九条 个人信息处理者具有特定的目的和充分的必要性，方可处理敏感个人信息。敏感个人信息是一旦泄露或者非法使用，可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息，包含种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。

• 2020年11月3日，《中共中央关于制定国民经济和社会发展第十四个五年规划和二O三五年远景目标的建议》提出建立数据资源产权、交易流通、跨境传输和安全保护等基础制定和标准规范，推动数据资源开发利用，保障国家数据安全，加强个人信息保护。

医疗健康网络数据安全监管力度不断提升，覆盖面扩大

医疗健康网络数据安全自律公约应运而生

执行机构

中国互联网协会互联网医疗健康工作委员会作为公约执行机构，在行业主管部门的指导下负责组织签署和实施本公约。

参与原则

各级各类医疗卫生机构和相关企事业单位自愿签署本公约后成为公约成员机构，受本公约约束，遵守执行本公约内容。

发起愿景

本公约旨在贯彻国家相关法律法规、政策标准，提升医疗健康网络数据安全保护能力，促进行业持续健康有序发展。

《医疗健康网络数据安全自律公约（征求意见稿）》于中国互联网协会医疗健康工作委员会第二届委员会第一次全体成员会议发布。（2020年11月13日）

内容解读

医疗健康网络数据安全自律公约框架

医疗健康网络数据涵盖范围

医疗健康网络数据是指医疗卫生机构或企事业单位在网络服务和管理过程中收集、存储、传输、处理和产生的与医疗健康相关的数据，不包含医疗卫生机构和企事业单位内部经营和管理数据。

收集→存储→传输→处理→备份→销毁

各级各类医疗卫生机构和相关企事业单位是医疗健康网络数据安全和应用管理的责任单位。

医疗健康网络数据具体内容

包含但不限于

医疗机构

通过网络诊疗服务、便民服务、医院管理等方面生成和使用的用户医疗数据

公共卫生机构

通过网络服务提供、统计管理过程中生成和使用的用户健康数据

互联网医疗健康平台

在服务过程中生成和使用的用户健康数据

医疗健康大数据中心

通过网络汇总、统计的医疗健康行业治理数据

机构管理体系

管理责任部门

明确医疗健康网络数据安全管理责任部门

管理制度规范

制定医疗健康网络数据安全管理制度规范

合规性评估

开展医疗健康网络数据安全合规性评估

管理技术措施

配备医疗健康网络数据安全管理和技术措施

配套流程工作

做好医疗健康网络数据安全审计管理、应急处置、教育培训等工作

持续完善本机构医疗健康网络数据安全保障能力

数据分级分类

重要程度 严格依据国家法律法规，梳理医疗健康数据资产重要程度，分别对院内、院前、院外数据重要性定期核查，重要数据境内存储

敏感程度 综合考虑各类数据泄露、丢失、破坏可能造成的危害程度，严格区分医疗健康数据敏感程度

类别属性 依据国家政策和监管文件，结合重要程度和敏感程度，对院外健康数据、院内核心医疗信息数据等进行分类

使用目的 依据健康监测、科学研究、临床试验、疾病诊断等不同目的，对医疗健康数据进行分级分类管理

分类分级梳理数据资产

• 开展医疗健康网络数据资产
• 梳理和分类分级工作

部署差异化安全保障措施

• 围绕医疗健康网络数据全生命周期个环节推动部署差异化安全保障措施

安全合规评估

制度规范和评估要求为指南

流程评估要点 对医疗健康网络数据采集、传输、存储、使用、备份、共享、销毁等过程进行评估

工作机制为保障

评估工作机制 形成新上线业务全覆盖评估、存量重点业务定期评估工作机制

评估评测为抓手

评估报告为输出成果

评估报告 以数据安全能力成熟度模型为参照，输出不同评估对象的评估结果

应急响应与举报受理机制

合作协同与人员培训规程

合作协同

• 建立并不断完善数据合作方安全管理
• 通过签订合同和安全保密协议等方式，明确合作企业对合作中数据安全保护方式和合作方责任、义务落实要求

人员培训

• 针对医疗健康网络数据安全岗位人员制定培训计划并开展定期培训
• 培训内容应包括医疗健康网络数据安全制度和实操规范等

技术能力提升

• 加强医疗健康网络数据安全技术能力研发和建设税
• 积极参与医疗健康网络数据安全相关试点
• 不断提升医疗健康网络数据安全技术保障能力

公约执行要求

落实定期自查任务

• 公约执行机构组织、指导公约成员机构履行情况定期开展自查，任何单位和个人均有权向公约执行机构投诉或举报

开展第三方风险评估

• 组织第三方评测机构开展医疗健康网络数据安全风险评估，结合自查和公众监督举报情况，对违反本公约的签署单位进行指导和督促整改，必要时予以公示，发现违法违规线索，交相关司局处理

制定能力提升计划

• 健全完善医疗健康网络数据安全合规管理体系
• 推动制定医疗健康网络数据分级分类目录
• 加强医疗健康网络数据安全管理和技术支撑平台建设

行业发展建议

医疗健康数据安全发展建议

提高政治站位，强化责任意识

医疗健康行业事关人民福祉和国家安全，医疗健康数据具有重要价值，与国家和地区的公共卫生、医疗保障和人民健康密切相关，数据泄露、破坏等安全为题应警钟长鸣，坚决做好医疗健康数据保障工作。

加强政策引领，促进行业发展

加强医疗健康领域整体安全体系建设，政策引领推进行业试点示范，提升医疗健康网络安全防护能力，为医疗健康数据安全、高效、可信利用开发保驾护航。

推进标准制定，建立规范体系

推动医疗健康网络数据安全治理体系建设，全面切实推进医疗健康数据安全标准化体系构建，制定医疗健康数据安全能力成熟度标准，提升各类机构医疗健康数据安全治理能力。

完善能力建设，构建长效机制

定期开展风险评估工作，评估系统抵御网络入侵的防护能力，发现潜在的安全隐患，定期进行安全培训及应急演练，提升团队安全意识和风险应对能力，充分发挥第三方评测机构的专业支撑能力，保障医疗健康数据安全。