GB/T 39725-2020
标准分类号
关联标准
出版信息
相关单位信息
标准简介
GB/T 39725-2020.Information security technology-Guide for health data security.
1范围
GB/T 39725给出了健康医疗数据控制者在保护健康医疗数据时可采取的安全措施。
GB/T 39725适用于指导健康医疗数据控制者对健康医疗数据进行安全保护,也可供健康医疗.网络安全相关主管部门以及第三方评估机构等组织开展健康医疗数据的安全监督管理与评估等工作时参考。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不标注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 22080-2016信息技术 安全技术信息安全管理体系 要求
GB/T 22081-2016信息技术安全技术信息安 全控制实践指南
GB/T 22239-2019 信息安全技术网络安 全等级保护基本要求
GB/T 25069信息安全技术术语
GB/T 31168信息安全技术云计算服 务安全能力要求
GB/T 35273信息安全技术 个人信息安 全规范
GB/T 35274-2017信息安全技术大数据服务安全能力要求
GB/T 37964-2019 信息安全技术个人 信息去标识化指南
ISO 80001整合医疗设备的网络风险管理的应用(Application of risk management for IT-networks incorporating medical devices)
3术语 和定义
GB/T 25069界定的以及下列术语和定义适用于本文件。
3.1
个人健康医疗数据 personal health data
单独或者与其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的相关电子数据。
注:个人健康医疗数据涉及个人过去.现在或将来的身体或精神健康状况、接受的医疗保健服务和支付的医疗保健服务费用等,参见附录A.
1范围
GB/T 39725给出了健康医疗数据控制者在保护健康医疗数据时可采取的安全措施。
GB/T 39725适用于指导健康医疗数据控制者对健康医疗数据进行安全保护,也可供健康医疗.网络安全相关主管部门以及第三方评估机构等组织开展健康医疗数据的安全监督管理与评估等工作时参考。
2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不标注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 22080-2016信息技术 安全技术信息安全管理体系 要求
GB/T 22081-2016信息技术安全技术信息安 全控制实践指南
GB/T 22239-2019 信息安全技术网络安 全等级保护基本要求
GB/T 25069信息安全技术术语
GB/T 31168信息安全技术云计算服 务安全能力要求
GB/T 35273信息安全技术 个人信息安 全规范
GB/T 35274-2017信息安全技术大数据服务安全能力要求
GB/T 37964-2019 信息安全技术个人 信息去标识化指南
ISO 80001整合医疗设备的网络风险管理的应用(Application of risk management for IT-networks incorporating medical devices)
3术语 和定义
GB/T 25069界定的以及下列术语和定义适用于本文件。
3.1
个人健康医疗数据 personal health data
单独或者与其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的相关电子数据。
注:个人健康医疗数据涉及个人过去.现在或将来的身体或精神健康状况、接受的医疗保健服务和支付的医疗保健服务费用等,参见附录A.
标准图片预览
标准内容
ICS35.040
中华人民共和国国家标准
GB/T39725—2020
信息安全技术
健康医疗数据安全指南
Information security technology-Guide for health data security2020-12-14发布
国家市场监督管理总局
国家标准化管理委员会
2021-07-01实施
规范性引用文件
术语和定义
缩略语
安全目标
分类体系
数据类别范围
数据分级划分
相关角色分类
流通使用场景
数据开放形式
使用披露原则
安全措施要点
分级安全措施要点
场景安全措施要点
开放安全措施要点
安全管理指南·
过程·
应急处置·
安全技术指南
通用安全技术
去标识化
典型场景数据安全
医生调阅数据安全
患者查询数据安全
临床研究数据安全
二次利用数据安全
健康传感数据安全
移动应用数据安全
GB/T39725—2020
GB/T39725—2020
11.7:商业保险对接安全
11.8医疗器械数据安全
个人健康医疗数据范围
附录A(资料性附录)
附录B(资料性附录)
附录C(资料性附录)
附录D(资料性附录)
附录E(资料性附录)
附录F(资料性附录)
附录G(资料性附录)
参考文献
卫生信息相关标准
数据使用管理办法示例…
数据申请审批示例·
数据处理使用协议模板
健康医疗数据安全检查表
卫生信息数据元去标识化示例
本标准按照GB/T1.1-2009给出的规则起草本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。GB/T39725—2020
本标准起草单位:清华大学、北京清华长庚医院、中国网络安全审查技术与认证中心、中电数据服务有限公司、中国电子技术标准化研究院、上海市儿童医院、深圳市腾讯计算机系统有限公司、山东国数爱健康大数据有限公司、东软集团股份有限公司、零氨科技(北京)有限公司、阿里巴巴(北京)软件服务有限公司、泰康保险集团股份有限公司、中国平安保险(集团)股份有限公司、北京邮电大学、四川大学、中国信息安全测评中心、北京天融信网络安全技术有限公司、上海市方达律师事务所、中国软件评测中心、中南大学、启明星辰信息技术集团股份有限公司、中国中医科学院、湖南科创信息技术股份有限公司、奇安信科技集团股份有限公司、陕西省信息化工程研究院、北京数字认证股份有限公司、中电长城网际系统应用有限公司、颐信科技有限公司、浙江蚂蚁小微金融服务集团股份有限公司、北京协和医院。本标准主要起草人:金涛、刘海一、王建民、董家鸿、左晓栋、张剑、刘贤刚、届劲、于广军、赵冉冉、袁耀文、傅兴良、杨浩、来子祺、苏凌云、叶晓俊、陶蓉、于惊涛、马诗诗、王枞、殷晋、付嵘、王奠、张毅、姚建伟、陈先来、谢安明、文天才、肖国荣、周亚超、郭颖、张勇、宋玲娓、闵京华、洪延青、程瑜琦、王昕、孟晓阳、罗妍。
GB/T39725—2020
健康医疗数据包括个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关数据。随着健康医疗数据应用、“互联网十医疗健康”和智慧医疗的蓬勃发展,各种新业务、新应用不断出现,健康医疗数据在全生命周期各阶段均面临着越来越多的安全挑战,安全问题频发。由于健康医疗数据安全事关患者生命安全、个人信息安全、社会公共利益和国家安全,为了更好地保护健康医疗数据安全,规范和推动健康医疗数据的融合共享、开放应用,促进健康医疗事业发展,特制定健康医疗数据安全指南。
1范围
信息安全技术
健康医疗数据安全指南
本标准给出了健康医疗数据控制者在保护健康医疗数据时可采取的安全措施GB/T39725—2020
本标准适用于指导健康医疗数据控制者对健康医疗数据进行安全保护,也可供健康医疗、网络安全相关主管部门以及第三方评估机构等组织开展健康医疗数据的安全监督管理与评估等工作时参考。规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不标注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件GB/T22080—2016
信息技术安全技术信息安全管理体系要求GB/T22081一2016信息技术安全技术信息安全控制实践指南GB/T22239—20192
信息安全技术网络安全等级保护基本要求GB/T25069
GB/T31168
GB/T35273
信息安全技术术语
信息安全技术云计算服务安全能力要求信息安全技术个人信息安全规范GB/T35274—2017
信息安全技术大数据服务安全能力要求GB/T37964—2019信息安全技术个人信息去标识化指南ISO8ooo1整合医疗设备的网络风险管理的应用(ApplicationofriskmanagementforIT-net-works incorporating medical devices)术语和定义
GB/T25069界定的以及下列术语和定义适用于本文件。3.1
个人健康医疗数据
personalhealthdata
单独或者与其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的相关电子数据。
注:个人健康医疗数据涉及个人过去、现在或将来的身体或精神健康状况、接受的医疗保健服务和支付的医疗保健服务费用等,参见附录A。
健康医疗数据
healthdata
个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据。示例:经过对群体健康医疗数据处理后得到的群体总体分析结果、趋势预测、疾病防治统计数据等。3.3
健康医疗专业人员healthserviceprofessional经政府或行业组织授权有资格履行特定健康医疗工作职责的人员GB/T39725—2020
示例:医生。
健康医疗服务healthservice
由健康医疗专业人员或专业辅助人员提供的对健康状况有影响的服务。3.5
健康医疗数据控制者healthdatacontroller能够决定健康医疗数据处理目的、方式及范围等的组织或个人。示例:提供健康医疗服务的组织、医保机构、政府机构、健康医疗科学研究机构、个体诊所等、3.6
健康医疗信息系统
healthinformationsystem
以计算机可处理的形式采集、存储、处理、传输、访问、销毁健康医疗数据的系统。3.7
受限制数据集limiteddata set
经过部分去标识化处理,但仍可识别相应个人并因此需要保护的个人健康医疗数据集。示例:从健康医疗数据中删除与个人及其家属、家庭成员和雇主直接相关的标识注:受限制数据集可在未经个人授权的情形下用于科学研究、医学/健康教育、公共卫生目的。3.8
notesoftreatment
治疗笔记
健康医疗专业人员在提供健康医疗服务过程中记录的观察、思考、方案探讨、结论等内容。注:治疗笔记具有知识产权属性,其知识产权归健康医疗专业人员和/或其单位所有。3.9
披露disclosure
将健康医疗数据向特定个人或组织进行转让、共享,以及向不特定个人、组织或社会公开发布的行为。
临床研究clinicalresearch
以患者或健康人为研究对象,由医疗机构、学术研究机构和/或医疗健康相关企业发起的,以探索疾病原因、预防、诊断、治疗和预后为目的的科学研究活动。注:临床研究属于医学研究的一个分支。3.11
完全公开共享completelypublicsharing数据一且发布,很难召回,一般通过互联网直接公开发布。[GB/T37964—2019,定义3.12]3.12
受控公开共享controlledpublicsharing通过数据使用协议对数据的使用进行约束。[GB/T37964—2019,定义3.13]3.13
领地公开共享enclavepublicsharing在物理或者虚拟的领地范围内共享,数据不能流出到领地范围外。【GB/T379642019.定义3.14
4缩略语
下列缩略语适用于本文件。
ACL:访问控制列表(AccessControlLists)API:应用程序接口(ApplicationProgrammingInterface)APP:应用(Application)
DNA:脱氧核糖核酸(DeoxyriboNucleicAcid)EDC:电子数据采集(ElectronicDataCapture)GCP:临床试验规范标准(GoodClinicalPractice)HIS:医院信息系统(HospitalInformationSystems)HIV:艾滋病病毒(HumanImmunodeficiencyVirus)HL7:医疗第七层(HealthcareLevel7)ID:身份标识(Identity)
IP:互联网协议(InternetProtocol)IPSEC:网际协议安全(InternetProtocolSecurity)LDS:受限制数据集(LimitedDataSetFiles)PIN:个人识别号码(PersonalIdentityNumber)PUF:公用数据集(PublicUseFiles)RIF:可标识数据集(ResearchIdentifiableFiles)RNA:核糖核酸(RiboNucleicAcid)SQL:结构化查询语言(StructuredQueryLanguage)TLS:传输层安全(TransportLayerSecurity)USB:通用串行总线(UniversalSerialBus)VPN:虚拟专用网络(VirtualPrivateNetwork)XSS:跨站点脚本(cross-sitescripting)安全目标
GB/T39725—2020
健康医疗数据控制者宜采取合理和适当的管理与技术保障措施,以达到以下目标:a)确保健康医疗数据的保密性、完整性和可用性;b)确保健康医疗数据使用和披露过程的合法性和合规性,保护个人信息安全、公众利益和国家安全;
确保健康医疗数据在符合上述安全要求的前提下满足业务发展需求。分类体系
数据类别范围
健康医疗数据可以分为:
a)个人属性数据是指单独或者与其他信息结合能够识别特定自然人的数据。健康状况数据是指能反映个人健康情况或同个人健康情况有着密切关系的数据。b)
医疗应用数据是指能反映医疗保健、门诊、住院、出院和其他医疗服务情况的数据。d)
医疗支付数据是指医疗或保险等服务中所涉及的与费用相关的数据。卫生资源数据是指那些可以反映卫生服务人员、卫生计划和卫生体系的能力与特征的数据。e)
公共卫生数据是指关系到国家或地区大众健康的公共事业相关数据。f
各类数据具体内容如表1所示。在卫生信息领域使用的数据元、数据集、值域代码等相关标准可参考附录B。
GB/T39725—2020
数据类别
个人属性数据
健康状况数据
医疗应用数据
医疗支付数据
卫生资源数据
公共卫生数据
2数据分级划分
表1健康医疗数据类别与范围
1)人口统计信息,包括姓名、出生日期、性别、民族、国籍、职业、住址、工作单位、家庭成员信息联系人信息、收人、婚姻状态等:2)个人身份信息,包括姓名、身份证、工作证、居住证、社保卡、可识别个人的影像图像、健康卡号、住院号、各类检查检验相关单号等;3)个人通讯信息,包括个人电话号码、邮箱、账号及关联信息等:4)个人生物识别信息,包括基因、指纹、声纹、掌纹、耳廓、虹膜、面部特征等;5)个人健康监测传感设备ID等
主诉、现病史、既往病史、体格检查(体征)、家族史、症状、检验检查数据、遗传咨询数据、可穿戴设备采集的健康相关数据、生活方式、基因测序、转录产物测序、蛋白质分析测定、代谢小分子检测、人体微生物检测等
门(急)诊病历、住院医、检查检验报告、用药信息、病程记录、手术记录、麻醉记录、输血记录、护理记录、入院记录、出院小结、转诊(院)记录、知情告知信息等1)医疗交易信息·包括医保支付信息、交易金额、交易记录等;2)保险信息·包括保险状态、保险金额等医院基本数据、医院运营数据等环境卫生数据、传染病疫情数据、疾病监测数据、疾病预防数据、出生死亡数据等根据数据重要程度、风险级别以及对个人健康医疗数据主体可能造成的损害和影响的级别进行分级,可将健康医疗数据划分为以下5级:a)第1级:可完全公开使用的数据。包括可以通过公开途径获取的数据,例如医院名称、地址、电话等,可直接在互联网上面向公众公开。b)第2级:可在较大范围内供访问使用的数据。例如不能标识个人身份的数据,各科室医生经过申请审批可以用于研究分析。
c)第3级:可在中等范围内供访问使用的数据,如果未经授权披露,可能对个人健康医疗数据主体造成中等程度的损害。例如经过部分去标识化处理,但仍可能重标识的数据,仅限于获得授权的项目组范围内使用。sac
d)第4级:在较小范围内供访问使用的数据,如果未经授权披露,可能会对个人健康医疗数据主体造成较高程度的损害。例如可以直接标识个人身份的数据,仅限于参与诊疗活动的医护人员访问使用。
第5级:仅在极小范围内且在严格限制条件下供访问使用的数据,如果未经授权披露,可能会e)
对个人健康医疗数据主体造成严重程度的损害。例如特殊病种(例如艾滋病、性病)的详细资料,仅限于主治医护人员访问且需要进行严格管控。6.3相关角色分类
针对特定数据特定场景,相关组织或个人可划分为以下四类角色。对任何组织或个人,围绕特定数据,在特定场景或特定的数据使用处理行为上,其只能归为其中一个角色,a)个人健康医疗数据主体(以下简称“主体”):个人健康医疗数据所标识的自然人。4
GB/T39725—2020
b)健康医疗数据控制者(以下简称“控制者”):详见定义3.5,判断组织或个人能否决定健康医疗数据的处理目的、方式及范围,可以考虑:该项健康医疗数据处理行为是否属于该组织或个人履行某项法律法规所必需;1
该项健康医疗数据处理行为是否为该组织或个人行使其公共职能所必需;该项健康医疗数据处理行为是否由该组织或个人自行或与其他组织或个人共同决定;3)
4)该项健康医疗数据处理行为是否由相关个人或者政府授权该组织或个人。共同决定一项数据使用处理行为的目的、方式及范围等的组织或个人,为共同控制者健康医疗数据处理者(以下简称“处理者”):代表控制者采集、传输、存储、使用、处理或披露其c
掌握的健康医疗数据,或为控制者提供涉及健康医疗数据的使用、处理或者披露服务的相关组织或个人。常见的处理者有:健康医疗信息系统供应商、健康医疗数据分析公司、辅助诊疗解决方案供应商等。
健康医疗数据使用者(以下简称“使用者”):针对特定数据的特定场景,不属于主体,也不属于d
控制者和处理者,但对健康医疗数据进行利用的相关组织或个人。6.4流通使用场景
基于不同角色之间的数据流动,数据流通使用场景可分为以下6类,如图1所示。a)主体-控制者间数据流通使用;控制者-主体间数据流通使用:
控制者内部数据流通使用;
控制者-处理者间数据流通使用;d)
控制者间数据流通使用;
f)控制者-使用者间数据流通使用拉制者
图1数据流通使用场景分类示意图处理者
使用书
GB/T39725—2020
5数据开放形式
数据公开共享类型可划分为完全公开共享、受控公开共享、领地公开共享,对应的去标识化要求不同,按照GB/T37964一2019的规定处理。常见的数据开放形式及其适用的公开共享类型详见表2。表2常见数据开放形式
开放形式
网站公开
文件共享
API接入
在线查询
数据分析
统计概要类数据或经置名处理后的数据,向大众开放,可自行下载分析
由数据系统生成文件并推送至SFTP接口设备或应用系统,或采用移动介质进行共享
系统之间通过请求响应方式提供数据,由数据系统提供实时或准实时面向特定用户的数据服务应用接口,需求方系统发起请求,数据系统返回所需数据,例如通过WebService接口在数据系统提供的功能页面上查询相关数据提供系统环境、分析挖掘工具以及去标识后的样本数据或模拟数据。平台用户共享或者专用硬件和数据资源,可以部署自有数据和数据分析算法,可以查询权限内的数据和分析结果。平台所有原始数据不能导出;分析结果的输出、下载必须经审核通过后才能对外输出
7使用披露原则Www.bzxZ.net
控制者在使用或披露健康医疗数据的过程中,宜遵循以下原则:适用公开共享类型
完全公开共享
受控公开共享
受控公开共享
完全公开共享(医名查询)
受控公开共享(用户查询)
领地公开共享
a)控制者在使用或披露个人健康医疗数据时,宜告知主体并获得主体的授权(以下b)中情况除外);所有告知宜使用通俗易懂的语言,并且包含要披露或使用的数据内容、数据的接收方、数据的用途以及使用方式、数据使用期限、数据主体权利以及控制者采取的保护措施等具体信息。使用或披露个人健康医疗数据不能超出个人授权范围。因业务需要,确需超出范围使用或披露的,宜再次征得主体同意。b)控制者在没有获得主体的授权,在以下情况可以使用或披露相应个人健康医疗数据:1)向主体提供其本人健康医疗数据时;治疗、支付或保健护理时:
涉及公共利益或法律法规要求时:4)受限制数据集用于科学研究、医学/健康教育、公共卫生目的时;在上述情况下,控制者可依靠法律法规要求、职业道德、伦理和专业判断来确定哪些个人健康医疗数据允许被使用或披露
c)控制者宜获得主体授权才能使用或披露个人健康医疗数据进行市场营销活动,但控制者与主体之间进行面对面的营销沟通除外。用于市场营销活动的授权宜以合理方式提示主体,并让其充分知悉,明确、自主做出同意。该授权宜是独立的,不宜作为主体获得任何公共服务、医疗服务的前置条件或者捆绑于其他服务条款之中。控制者在取得授权的同时,宜书面告知主体6
其有权随时撤销该授权
GB/T39725—2020
d)主体(或其授权代表)有权访问其个人健康医疗数据或要求披露其数据,控制者宜按其要求披露相应个人健康医疗数据。
主体有权复查并获得其个人健康医疗数据的副本,控制者宜提供,例如通过文件共享或者在线e
查询方式提供
主体发现控制者所持有的该主体的个人健康医疗数据不准确或不完整时,控制者宜为其提供f)
请求更正或补充信息的方法。
主体有权对控制者或其处理者使用或披露数据的情况进行历史回溯查询.最短回溯期为六年。g)
h)主体有权要求控制者在诊断、治疗、支付、健康服务等过程中限制使用或披露其个人健康医疗数据,以及限制向相关人员披露信息,控制者没有义务同意上述限制请求;但一旦同意,除非法律法规要求以及医疗紧急情况下,控制者宜遵守约定的限制。i)控制者可以使用治疗笔记用于治疗,在进行必要的去标识化处理后,可以在未经个人授权的情况下使用或披露治疗笔记进行内部培训和学术研讨。控制者宜制定、实施合理的策略与流程,将使用和披露限制在最低限度。k)控制者宜确认处理者的安全能力满足安全要求,并签署数据处理协议后·才能让处理者为其进行数据处理,处理者宜按照控制者的要求处理数据,未经控制者许可,处理者不能引人第三方协助处理数据。
1)控制者向政府授权的第三方控制者提供数据前,宜获得加盖政府公章的相关文件,数据提供后,数据安全责任以及传输通道的安全责任由第三方控制者承担m)控制者在确认数据使用的合法性、正当性和必要性,并确认使用者具备相应数据安全能力,且使用者签订了数据使用协议并承诺保护受限制数据集中的个人健康医疗数据后,可将受限制数据集用于科学研究、医疗保健业务、公共卫生等自的;使用者只能在协议约定的范围内使用数据并承担数据安全责任,在使用数据完成后,宜按照控制者要求归还、彻底销毁或者进行其他处理。未经控制者许可,使用者不能将数据披露给第三方如果控制者针对个人健康医疗数据汇聚分析处理之后得到了不能识别个人的健康医疗相关数n)
据,该数据不再属于个人信息,但其使用和披露宜遵守国家其他相关法规要求。o)控制者因为学术研讨需要,需要向境外提供相应数据的,在进行必要的去标识化处理后,经过数据安全委员会讨论审批同意,数量在250条以内的非涉密非重要数据可以提供,否则宜提请相关部门审批。
P)不涉及国家秘密、重要数据或者其他禁止或限制向境外提供的数据,经主体授权同意,并经数据安全委员会讨论审批同意,控制者可向境外目的地提供个人健康医疗数据,累计数据量宜控制在250条以内,否则宜提请相关部门审批,控制者不宜将健康医疗数据在境外的服务器中存储,不托管、租赁在境外的服务器q
r)控制者对外进行数据合作开发利用时,宜采用“数据分析平台”开放形式,对数据使用披露进行严格管控。
8安全措施要点
分级安全措施要点
可以根据数据保护的需要进行数据分级,对不同级别的数据实施不同的安全保护措施,重点在于授权管理、身份鉴别、访问控制管理。例如,从个人信息安全风险角度划分的数据分级和安全措施要点如表3所示。医生调阅场景下的数据分级及安全措施详见11.1。临床研究场景下的数据分级及安全措施详见11.3。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国国家标准
GB/T39725—2020
信息安全技术
健康医疗数据安全指南
Information security technology-Guide for health data security2020-12-14发布
国家市场监督管理总局
国家标准化管理委员会
2021-07-01实施
规范性引用文件
术语和定义
缩略语
安全目标
分类体系
数据类别范围
数据分级划分
相关角色分类
流通使用场景
数据开放形式
使用披露原则
安全措施要点
分级安全措施要点
场景安全措施要点
开放安全措施要点
安全管理指南·
过程·
应急处置·
安全技术指南
通用安全技术
去标识化
典型场景数据安全
医生调阅数据安全
患者查询数据安全
临床研究数据安全
二次利用数据安全
健康传感数据安全
移动应用数据安全
GB/T39725—2020
GB/T39725—2020
11.7:商业保险对接安全
11.8医疗器械数据安全
个人健康医疗数据范围
附录A(资料性附录)
附录B(资料性附录)
附录C(资料性附录)
附录D(资料性附录)
附录E(资料性附录)
附录F(资料性附录)
附录G(资料性附录)
参考文献
卫生信息相关标准
数据使用管理办法示例…
数据申请审批示例·
数据处理使用协议模板
健康医疗数据安全检查表
卫生信息数据元去标识化示例
本标准按照GB/T1.1-2009给出的规则起草本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。GB/T39725—2020
本标准起草单位:清华大学、北京清华长庚医院、中国网络安全审查技术与认证中心、中电数据服务有限公司、中国电子技术标准化研究院、上海市儿童医院、深圳市腾讯计算机系统有限公司、山东国数爱健康大数据有限公司、东软集团股份有限公司、零氨科技(北京)有限公司、阿里巴巴(北京)软件服务有限公司、泰康保险集团股份有限公司、中国平安保险(集团)股份有限公司、北京邮电大学、四川大学、中国信息安全测评中心、北京天融信网络安全技术有限公司、上海市方达律师事务所、中国软件评测中心、中南大学、启明星辰信息技术集团股份有限公司、中国中医科学院、湖南科创信息技术股份有限公司、奇安信科技集团股份有限公司、陕西省信息化工程研究院、北京数字认证股份有限公司、中电长城网际系统应用有限公司、颐信科技有限公司、浙江蚂蚁小微金融服务集团股份有限公司、北京协和医院。本标准主要起草人:金涛、刘海一、王建民、董家鸿、左晓栋、张剑、刘贤刚、届劲、于广军、赵冉冉、袁耀文、傅兴良、杨浩、来子祺、苏凌云、叶晓俊、陶蓉、于惊涛、马诗诗、王枞、殷晋、付嵘、王奠、张毅、姚建伟、陈先来、谢安明、文天才、肖国荣、周亚超、郭颖、张勇、宋玲娓、闵京华、洪延青、程瑜琦、王昕、孟晓阳、罗妍。
GB/T39725—2020
健康医疗数据包括个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关数据。随着健康医疗数据应用、“互联网十医疗健康”和智慧医疗的蓬勃发展,各种新业务、新应用不断出现,健康医疗数据在全生命周期各阶段均面临着越来越多的安全挑战,安全问题频发。由于健康医疗数据安全事关患者生命安全、个人信息安全、社会公共利益和国家安全,为了更好地保护健康医疗数据安全,规范和推动健康医疗数据的融合共享、开放应用,促进健康医疗事业发展,特制定健康医疗数据安全指南。
1范围
信息安全技术
健康医疗数据安全指南
本标准给出了健康医疗数据控制者在保护健康医疗数据时可采取的安全措施GB/T39725—2020
本标准适用于指导健康医疗数据控制者对健康医疗数据进行安全保护,也可供健康医疗、网络安全相关主管部门以及第三方评估机构等组织开展健康医疗数据的安全监督管理与评估等工作时参考。规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不标注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件GB/T22080—2016
信息技术安全技术信息安全管理体系要求GB/T22081一2016信息技术安全技术信息安全控制实践指南GB/T22239—20192
信息安全技术网络安全等级保护基本要求GB/T25069
GB/T31168
GB/T35273
信息安全技术术语
信息安全技术云计算服务安全能力要求信息安全技术个人信息安全规范GB/T35274—2017
信息安全技术大数据服务安全能力要求GB/T37964—2019信息安全技术个人信息去标识化指南ISO8ooo1整合医疗设备的网络风险管理的应用(ApplicationofriskmanagementforIT-net-works incorporating medical devices)术语和定义
GB/T25069界定的以及下列术语和定义适用于本文件。3.1
个人健康医疗数据
personalhealthdata
单独或者与其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的相关电子数据。
注:个人健康医疗数据涉及个人过去、现在或将来的身体或精神健康状况、接受的医疗保健服务和支付的医疗保健服务费用等,参见附录A。
健康医疗数据
healthdata
个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据。示例:经过对群体健康医疗数据处理后得到的群体总体分析结果、趋势预测、疾病防治统计数据等。3.3
健康医疗专业人员healthserviceprofessional经政府或行业组织授权有资格履行特定健康医疗工作职责的人员GB/T39725—2020
示例:医生。
健康医疗服务healthservice
由健康医疗专业人员或专业辅助人员提供的对健康状况有影响的服务。3.5
健康医疗数据控制者healthdatacontroller能够决定健康医疗数据处理目的、方式及范围等的组织或个人。示例:提供健康医疗服务的组织、医保机构、政府机构、健康医疗科学研究机构、个体诊所等、3.6
健康医疗信息系统
healthinformationsystem
以计算机可处理的形式采集、存储、处理、传输、访问、销毁健康医疗数据的系统。3.7
受限制数据集limiteddata set
经过部分去标识化处理,但仍可识别相应个人并因此需要保护的个人健康医疗数据集。示例:从健康医疗数据中删除与个人及其家属、家庭成员和雇主直接相关的标识注:受限制数据集可在未经个人授权的情形下用于科学研究、医学/健康教育、公共卫生目的。3.8
notesoftreatment
治疗笔记
健康医疗专业人员在提供健康医疗服务过程中记录的观察、思考、方案探讨、结论等内容。注:治疗笔记具有知识产权属性,其知识产权归健康医疗专业人员和/或其单位所有。3.9
披露disclosure
将健康医疗数据向特定个人或组织进行转让、共享,以及向不特定个人、组织或社会公开发布的行为。
临床研究clinicalresearch
以患者或健康人为研究对象,由医疗机构、学术研究机构和/或医疗健康相关企业发起的,以探索疾病原因、预防、诊断、治疗和预后为目的的科学研究活动。注:临床研究属于医学研究的一个分支。3.11
完全公开共享completelypublicsharing数据一且发布,很难召回,一般通过互联网直接公开发布。[GB/T37964—2019,定义3.12]3.12
受控公开共享controlledpublicsharing通过数据使用协议对数据的使用进行约束。[GB/T37964—2019,定义3.13]3.13
领地公开共享enclavepublicsharing在物理或者虚拟的领地范围内共享,数据不能流出到领地范围外。【GB/T379642019.定义3.14
4缩略语
下列缩略语适用于本文件。
ACL:访问控制列表(AccessControlLists)API:应用程序接口(ApplicationProgrammingInterface)APP:应用(Application)
DNA:脱氧核糖核酸(DeoxyriboNucleicAcid)EDC:电子数据采集(ElectronicDataCapture)GCP:临床试验规范标准(GoodClinicalPractice)HIS:医院信息系统(HospitalInformationSystems)HIV:艾滋病病毒(HumanImmunodeficiencyVirus)HL7:医疗第七层(HealthcareLevel7)ID:身份标识(Identity)
IP:互联网协议(InternetProtocol)IPSEC:网际协议安全(InternetProtocolSecurity)LDS:受限制数据集(LimitedDataSetFiles)PIN:个人识别号码(PersonalIdentityNumber)PUF:公用数据集(PublicUseFiles)RIF:可标识数据集(ResearchIdentifiableFiles)RNA:核糖核酸(RiboNucleicAcid)SQL:结构化查询语言(StructuredQueryLanguage)TLS:传输层安全(TransportLayerSecurity)USB:通用串行总线(UniversalSerialBus)VPN:虚拟专用网络(VirtualPrivateNetwork)XSS:跨站点脚本(cross-sitescripting)安全目标
GB/T39725—2020
健康医疗数据控制者宜采取合理和适当的管理与技术保障措施,以达到以下目标:a)确保健康医疗数据的保密性、完整性和可用性;b)确保健康医疗数据使用和披露过程的合法性和合规性,保护个人信息安全、公众利益和国家安全;
确保健康医疗数据在符合上述安全要求的前提下满足业务发展需求。分类体系
数据类别范围
健康医疗数据可以分为:
a)个人属性数据是指单独或者与其他信息结合能够识别特定自然人的数据。健康状况数据是指能反映个人健康情况或同个人健康情况有着密切关系的数据。b)
医疗应用数据是指能反映医疗保健、门诊、住院、出院和其他医疗服务情况的数据。d)
医疗支付数据是指医疗或保险等服务中所涉及的与费用相关的数据。卫生资源数据是指那些可以反映卫生服务人员、卫生计划和卫生体系的能力与特征的数据。e)
公共卫生数据是指关系到国家或地区大众健康的公共事业相关数据。f
各类数据具体内容如表1所示。在卫生信息领域使用的数据元、数据集、值域代码等相关标准可参考附录B。
GB/T39725—2020
数据类别
个人属性数据
健康状况数据
医疗应用数据
医疗支付数据
卫生资源数据
公共卫生数据
2数据分级划分
表1健康医疗数据类别与范围
1)人口统计信息,包括姓名、出生日期、性别、民族、国籍、职业、住址、工作单位、家庭成员信息联系人信息、收人、婚姻状态等:2)个人身份信息,包括姓名、身份证、工作证、居住证、社保卡、可识别个人的影像图像、健康卡号、住院号、各类检查检验相关单号等;3)个人通讯信息,包括个人电话号码、邮箱、账号及关联信息等:4)个人生物识别信息,包括基因、指纹、声纹、掌纹、耳廓、虹膜、面部特征等;5)个人健康监测传感设备ID等
主诉、现病史、既往病史、体格检查(体征)、家族史、症状、检验检查数据、遗传咨询数据、可穿戴设备采集的健康相关数据、生活方式、基因测序、转录产物测序、蛋白质分析测定、代谢小分子检测、人体微生物检测等
门(急)诊病历、住院医、检查检验报告、用药信息、病程记录、手术记录、麻醉记录、输血记录、护理记录、入院记录、出院小结、转诊(院)记录、知情告知信息等1)医疗交易信息·包括医保支付信息、交易金额、交易记录等;2)保险信息·包括保险状态、保险金额等医院基本数据、医院运营数据等环境卫生数据、传染病疫情数据、疾病监测数据、疾病预防数据、出生死亡数据等根据数据重要程度、风险级别以及对个人健康医疗数据主体可能造成的损害和影响的级别进行分级,可将健康医疗数据划分为以下5级:a)第1级:可完全公开使用的数据。包括可以通过公开途径获取的数据,例如医院名称、地址、电话等,可直接在互联网上面向公众公开。b)第2级:可在较大范围内供访问使用的数据。例如不能标识个人身份的数据,各科室医生经过申请审批可以用于研究分析。
c)第3级:可在中等范围内供访问使用的数据,如果未经授权披露,可能对个人健康医疗数据主体造成中等程度的损害。例如经过部分去标识化处理,但仍可能重标识的数据,仅限于获得授权的项目组范围内使用。sac
d)第4级:在较小范围内供访问使用的数据,如果未经授权披露,可能会对个人健康医疗数据主体造成较高程度的损害。例如可以直接标识个人身份的数据,仅限于参与诊疗活动的医护人员访问使用。
第5级:仅在极小范围内且在严格限制条件下供访问使用的数据,如果未经授权披露,可能会e)
对个人健康医疗数据主体造成严重程度的损害。例如特殊病种(例如艾滋病、性病)的详细资料,仅限于主治医护人员访问且需要进行严格管控。6.3相关角色分类
针对特定数据特定场景,相关组织或个人可划分为以下四类角色。对任何组织或个人,围绕特定数据,在特定场景或特定的数据使用处理行为上,其只能归为其中一个角色,a)个人健康医疗数据主体(以下简称“主体”):个人健康医疗数据所标识的自然人。4
GB/T39725—2020
b)健康医疗数据控制者(以下简称“控制者”):详见定义3.5,判断组织或个人能否决定健康医疗数据的处理目的、方式及范围,可以考虑:该项健康医疗数据处理行为是否属于该组织或个人履行某项法律法规所必需;1
该项健康医疗数据处理行为是否为该组织或个人行使其公共职能所必需;该项健康医疗数据处理行为是否由该组织或个人自行或与其他组织或个人共同决定;3)
4)该项健康医疗数据处理行为是否由相关个人或者政府授权该组织或个人。共同决定一项数据使用处理行为的目的、方式及范围等的组织或个人,为共同控制者健康医疗数据处理者(以下简称“处理者”):代表控制者采集、传输、存储、使用、处理或披露其c
掌握的健康医疗数据,或为控制者提供涉及健康医疗数据的使用、处理或者披露服务的相关组织或个人。常见的处理者有:健康医疗信息系统供应商、健康医疗数据分析公司、辅助诊疗解决方案供应商等。
健康医疗数据使用者(以下简称“使用者”):针对特定数据的特定场景,不属于主体,也不属于d
控制者和处理者,但对健康医疗数据进行利用的相关组织或个人。6.4流通使用场景
基于不同角色之间的数据流动,数据流通使用场景可分为以下6类,如图1所示。a)主体-控制者间数据流通使用;控制者-主体间数据流通使用:
控制者内部数据流通使用;
控制者-处理者间数据流通使用;d)
控制者间数据流通使用;
f)控制者-使用者间数据流通使用拉制者
图1数据流通使用场景分类示意图处理者
使用书
GB/T39725—2020
5数据开放形式
数据公开共享类型可划分为完全公开共享、受控公开共享、领地公开共享,对应的去标识化要求不同,按照GB/T37964一2019的规定处理。常见的数据开放形式及其适用的公开共享类型详见表2。表2常见数据开放形式
开放形式
网站公开
文件共享
API接入
在线查询
数据分析
统计概要类数据或经置名处理后的数据,向大众开放,可自行下载分析
由数据系统生成文件并推送至SFTP接口设备或应用系统,或采用移动介质进行共享
系统之间通过请求响应方式提供数据,由数据系统提供实时或准实时面向特定用户的数据服务应用接口,需求方系统发起请求,数据系统返回所需数据,例如通过WebService接口在数据系统提供的功能页面上查询相关数据提供系统环境、分析挖掘工具以及去标识后的样本数据或模拟数据。平台用户共享或者专用硬件和数据资源,可以部署自有数据和数据分析算法,可以查询权限内的数据和分析结果。平台所有原始数据不能导出;分析结果的输出、下载必须经审核通过后才能对外输出
7使用披露原则Www.bzxZ.net
控制者在使用或披露健康医疗数据的过程中,宜遵循以下原则:适用公开共享类型
完全公开共享
受控公开共享
受控公开共享
完全公开共享(医名查询)
受控公开共享(用户查询)
领地公开共享
a)控制者在使用或披露个人健康医疗数据时,宜告知主体并获得主体的授权(以下b)中情况除外);所有告知宜使用通俗易懂的语言,并且包含要披露或使用的数据内容、数据的接收方、数据的用途以及使用方式、数据使用期限、数据主体权利以及控制者采取的保护措施等具体信息。使用或披露个人健康医疗数据不能超出个人授权范围。因业务需要,确需超出范围使用或披露的,宜再次征得主体同意。b)控制者在没有获得主体的授权,在以下情况可以使用或披露相应个人健康医疗数据:1)向主体提供其本人健康医疗数据时;治疗、支付或保健护理时:
涉及公共利益或法律法规要求时:4)受限制数据集用于科学研究、医学/健康教育、公共卫生目的时;在上述情况下,控制者可依靠法律法规要求、职业道德、伦理和专业判断来确定哪些个人健康医疗数据允许被使用或披露
c)控制者宜获得主体授权才能使用或披露个人健康医疗数据进行市场营销活动,但控制者与主体之间进行面对面的营销沟通除外。用于市场营销活动的授权宜以合理方式提示主体,并让其充分知悉,明确、自主做出同意。该授权宜是独立的,不宜作为主体获得任何公共服务、医疗服务的前置条件或者捆绑于其他服务条款之中。控制者在取得授权的同时,宜书面告知主体6
其有权随时撤销该授权
GB/T39725—2020
d)主体(或其授权代表)有权访问其个人健康医疗数据或要求披露其数据,控制者宜按其要求披露相应个人健康医疗数据。
主体有权复查并获得其个人健康医疗数据的副本,控制者宜提供,例如通过文件共享或者在线e
查询方式提供
主体发现控制者所持有的该主体的个人健康医疗数据不准确或不完整时,控制者宜为其提供f)
请求更正或补充信息的方法。
主体有权对控制者或其处理者使用或披露数据的情况进行历史回溯查询.最短回溯期为六年。g)
h)主体有权要求控制者在诊断、治疗、支付、健康服务等过程中限制使用或披露其个人健康医疗数据,以及限制向相关人员披露信息,控制者没有义务同意上述限制请求;但一旦同意,除非法律法规要求以及医疗紧急情况下,控制者宜遵守约定的限制。i)控制者可以使用治疗笔记用于治疗,在进行必要的去标识化处理后,可以在未经个人授权的情况下使用或披露治疗笔记进行内部培训和学术研讨。控制者宜制定、实施合理的策略与流程,将使用和披露限制在最低限度。k)控制者宜确认处理者的安全能力满足安全要求,并签署数据处理协议后·才能让处理者为其进行数据处理,处理者宜按照控制者的要求处理数据,未经控制者许可,处理者不能引人第三方协助处理数据。
1)控制者向政府授权的第三方控制者提供数据前,宜获得加盖政府公章的相关文件,数据提供后,数据安全责任以及传输通道的安全责任由第三方控制者承担m)控制者在确认数据使用的合法性、正当性和必要性,并确认使用者具备相应数据安全能力,且使用者签订了数据使用协议并承诺保护受限制数据集中的个人健康医疗数据后,可将受限制数据集用于科学研究、医疗保健业务、公共卫生等自的;使用者只能在协议约定的范围内使用数据并承担数据安全责任,在使用数据完成后,宜按照控制者要求归还、彻底销毁或者进行其他处理。未经控制者许可,使用者不能将数据披露给第三方如果控制者针对个人健康医疗数据汇聚分析处理之后得到了不能识别个人的健康医疗相关数n)
据,该数据不再属于个人信息,但其使用和披露宜遵守国家其他相关法规要求。o)控制者因为学术研讨需要,需要向境外提供相应数据的,在进行必要的去标识化处理后,经过数据安全委员会讨论审批同意,数量在250条以内的非涉密非重要数据可以提供,否则宜提请相关部门审批。
P)不涉及国家秘密、重要数据或者其他禁止或限制向境外提供的数据,经主体授权同意,并经数据安全委员会讨论审批同意,控制者可向境外目的地提供个人健康医疗数据,累计数据量宜控制在250条以内,否则宜提请相关部门审批,控制者不宜将健康医疗数据在境外的服务器中存储,不托管、租赁在境外的服务器q
r)控制者对外进行数据合作开发利用时,宜采用“数据分析平台”开放形式,对数据使用披露进行严格管控。
8安全措施要点
分级安全措施要点
可以根据数据保护的需要进行数据分级,对不同级别的数据实施不同的安全保护措施,重点在于授权管理、身份鉴别、访问控制管理。例如,从个人信息安全风险角度划分的数据分级和安全措施要点如表3所示。医生调阅场景下的数据分级及安全措施详见11.1。临床研究场景下的数据分级及安全措施详见11.3。
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。