GB∕T 39725-2020 信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南

ICS35.040L80中華人民共和國國家標準信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南I2020-12-14發(fā)布2021-07-01實施國家市場監(jiān)督管理總局國家標準化管理委員會GB／T39725—2020前言 引言 2規(guī)范性引用文件 3術(shù)語和定義 4縮略語 5安全目標 6分類體系 6.1數(shù)據(jù)類別范圍 6.2數(shù)據(jù)分級劃分 6.3相關(guān)角色分類 6.4流通使用場景 6.5數(shù)據(jù)開放形式 7使用披露原則 8安全措施要點 8.1分級安全措施要點 8.2場景安全措施要點 8.3開放安全措施要點 9安全管理指南 10安全技術(shù)指南 10.1通用安全技術(shù) 11典型場景數(shù)據(jù)安全 11.1醫(yī)生調(diào)閱數(shù)據(jù)安全 11.2患者查詢數(shù)據(jù)安全 11.3臨床研究數(shù)據(jù)安全 11.4二次利用數(shù)據(jù)安全 11.5健康傳感數(shù)據(jù)安全 11.6移動應(yīng)用數(shù)據(jù)安全 ⅠⅡGB／T39725—202011.7商業(yè)保險對接安全 11.8醫(yī)療器械數(shù)據(jù)安全 附錄A（資料性附錄）個人健康醫(yī)療數(shù)據(jù)范圍 附錄B（資料性附錄）衛(wèi)生信息相關(guān)標準 附錄C（資料性附錄）數(shù)據(jù)使用管理辦法示例 附錄D（資料性附錄）數(shù)據(jù)申請審批示例 附錄E（資料性附錄）數(shù)據(jù)處理使用協(xié)議模板 附錄F（資料性附錄）健康醫(yī)療數(shù)據(jù)安全檢查表 附錄G（資料性附錄）衛(wèi)生信息數(shù)據(jù)元去標識化示例 參考文獻 ⅢGB／T39725—2020本標準按照GB/T1.1—2009給出的規(guī)則起草。本標準由全國信息安全標準化技術(shù)委員會(SAC/TC260)提出并歸口。本標準起草單位：清華大學(xué)、北京清華長庚醫(yī)院、中國網(wǎng)絡(luò)安全審查技術(shù)與認證中心、中電數(shù)據(jù)服務(wù)有限公司、中國電子技術(shù)標準化研究院、上海市兒童醫(yī)院、深圳市騰訊計算機系統(tǒng)有限公司、山東國數(shù)愛健康大數(shù)據(jù)有限公司、東軟集團股份有限公司、零氪科技（北京）有限公司、阿里巴巴（北京）軟件服務(wù)有限公司、泰康保險集團股份有限公司、中國平安保險（集團）股份有限公司、北京郵電大學(xué)、四川大學(xué)、中國信息安全測評中心、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、上海市方達律師事務(wù)所、中國軟件評測中心、中南大學(xué)、啟明星辰信息技術(shù)集團股份有限公司、中國中醫(yī)科學(xué)院、湖南科創(chuàng)信息技術(shù)股份有限公司、奇安信科技集團股份有限公司、陜西省信息化工程研究院、北京數(shù)字認證股份有限公司、中電長城網(wǎng)際系統(tǒng)應(yīng)用有限公司、頤信科技有限公司、浙江螞蟻小微金融服務(wù)集團股份有限公司、北京協(xié)和醫(yī)院。ⅣGB／T39725—2020健康醫(yī)療數(shù)據(jù)包括個人健康醫(yī)療數(shù)據(jù)以及由個人健康醫(yī)療數(shù)據(jù)加工處理之后得到的健康醫(yī)療相關(guān)數(shù)據(jù)。隨著健康醫(yī)療數(shù)據(jù)應(yīng)用、“互聯(lián)網(wǎng)＋醫(yī)療健康”和智慧醫(yī)療的蓬勃發(fā)展，各種新業(yè)務(wù)、新應(yīng)用不斷出現(xiàn)，健康醫(yī)療數(shù)據(jù)在全生命周期各階段均面臨著越來越多的安全挑戰(zhàn)，安全問題頻發(fā)。由于健康醫(yī)療數(shù)據(jù)安全事關(guān)患者生命安全、個人信息安全、社會公共利益和國家安全，為了更好地保護健康醫(yī)療數(shù)據(jù)安全，規(guī)范和推動健康醫(yī)療數(shù)據(jù)的融合共享、開放應(yīng)用，促進健康醫(yī)療事業(yè)發(fā)展，特制定健康醫(yī)療數(shù)據(jù)安全指南。1GB／T39725—2020信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南本標準給出了健康醫(yī)療數(shù)據(jù)控制者在保護健康醫(yī)療數(shù)據(jù)時可采取的安全措施。本標準適用于指導(dǎo)健康醫(yī)療數(shù)據(jù)控制者對健康醫(yī)療數(shù)據(jù)進行安全保護，也可供健康醫(yī)療、網(wǎng)絡(luò)安全相關(guān)主管部門以及第三方評估機構(gòu)等組織開展健康醫(yī)療數(shù)據(jù)的安全監(jiān)督管理與評估等工作時參考。2規(guī)范性引用文件下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不標注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。GB/T22080—2016信息技術(shù)安全技術(shù)信息安全管理體系要求GB/T22081—2016信息技術(shù)安全技術(shù)信息安全控制實踐指南GB/T22239—2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求GB/T信息安全技術(shù)術(shù)語GB/T信息安全技術(shù)云計算服務(wù)安全能力要求GB/T信息安全技術(shù)個人信息安全規(guī)范GB/T35274—2017信息安全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求GB/T37964—2019信息安全技術(shù)個人信息去標識化指南整合醫(yī)療設(shè)備的網(wǎng)絡(luò)風(fēng)險管理的應(yīng)用(3術(shù)語和定義GB/T25069界定的以及下列術(shù)語和定義適用于本文件。3.1個人健康醫(yī)療數(shù)據(jù)單獨或者與其他信息結(jié)合后能夠識別特定自然人或者反映特定自然人生理或心理健康的相關(guān)電子數(shù)據(jù)。注：個人健康醫(yī)療數(shù)據(jù)涉及個人過去、現(xiàn)在或?qū)淼纳眢w或精神健康狀況、接受的醫(yī)療保健服務(wù)和支付的醫(yī)療保健服務(wù)費用等，參見附錄A。3.2健康醫(yī)療數(shù)據(jù)個人健康醫(yī)療數(shù)據(jù)以及由個人健康醫(yī)療數(shù)據(jù)加工處理之后得到的健康醫(yī)療相關(guān)電子數(shù)據(jù)。示例：經(jīng)過對群體健康醫(yī)療數(shù)據(jù)處理后得到的群體總體分析結(jié)果、趨勢預(yù)測、疾病防治統(tǒng)計數(shù)據(jù)等。3.3健康醫(yī)療專業(yè)人員經(jīng)政府或行業(yè)組織授權(quán)有資格履行特定健康醫(yī)療工作職責(zé)的人員。2GB／T39725—20203.5示例：醫(yī)生。健康醫(yī)療服務(wù)由健康醫(yī)療專業(yè)人員或?qū)I(yè)輔助人員提供的對健康狀況有影響的服務(wù)。健康醫(yī)療數(shù)據(jù)控制者能夠決定健康醫(yī)療數(shù)據(jù)處理目的、方式及范圍等的組織或個人。示例：提供健康醫(yī)療服務(wù)的組織、醫(yī)保機構(gòu)、政府機構(gòu)、健康醫(yī)療科學(xué)研究機構(gòu)、個體診所等。健康醫(yī)療信息系統(tǒng)以計算機可處理的形式采集、存儲、處理、傳輸、訪問、銷毀健康醫(yī)療數(shù)據(jù)的系統(tǒng)。受限制數(shù)據(jù)集經(jīng)過部分去標識化處理，但仍可識別相應(yīng)個人并因此需要保護的個人健康醫(yī)療數(shù)據(jù)集。示例：從健康醫(yī)療數(shù)據(jù)中刪除與個人及其家屬、家庭成員和雇主直接相關(guān)的標識。注：受限制數(shù)據(jù)集可在未經(jīng)個人授權(quán)的情形下用于科學(xué)研究、醫(yī)學(xué)／健康教育、公共衛(wèi)生目的。治療筆記健康醫(yī)療專業(yè)人員在提供健康醫(yī)療服務(wù)過程中記錄的觀察、思考、方案探討、結(jié)論等內(nèi)容。注：治療筆記具有知識產(chǎn)權(quán)屬性，其知識產(chǎn)權(quán)歸健康醫(yī)療專業(yè)人員和／或其單位所有。披露將健康醫(yī)療數(shù)據(jù)向特定個人或組織進行轉(zhuǎn)讓、共享，以及向不特定個人、組織或社會公開發(fā)布的行為。臨床研究以患者或健康人為研究對象，由醫(yī)療機構(gòu)、學(xué)術(shù)研究機構(gòu)和／或醫(yī)療健康相關(guān)企業(yè)發(fā)起的，以探索疾病原因、預(yù)防、診斷、治療和預(yù)后為目的的科學(xué)研究活動。注：臨床研究屬于醫(yī)學(xué)研究的一個分支。完全公開共享數(shù)據(jù)一旦發(fā)布，很難召回，一般通過互聯(lián)網(wǎng)直接公開發(fā)布。[GB/T37964—2019,定義3.12]受控公開共享通過數(shù)據(jù)使用協(xié)議對數(shù)據(jù)的使用進行約束。[GB/T37964—2019,定義3.13]領(lǐng)地公開共享在物理或者虛擬的領(lǐng)地范圍內(nèi)共享，數(shù)據(jù)不能流出到領(lǐng)地范圍外。[GB/T37964—2019,定義3.14]4縮略語下列縮略語適用于本文件。3GB／T39725—2020訪問控制列表(應(yīng)用程序接口(脫氧核糖核酸(電子數(shù)據(jù)采集(臨床試驗規(guī)范標準(醫(yī)院信息系統(tǒng)(艾滋病病毒(醫(yī)療第七層(身份標識(互聯(lián)網(wǎng)協(xié)議(網(wǎng)際協(xié)議安全(受限制數(shù)據(jù)集(個人識別號碼(公用數(shù)據(jù)集(可標識數(shù)據(jù)集(核糖核酸(結(jié)構(gòu)化查詢語言(傳輸層安全(通用串行總線(虛擬專用網(wǎng)絡(luò)(跨站點腳本(5安全目標健康醫(yī)療數(shù)據(jù)控制者宜采取合理和適當(dāng)?shù)墓芾砼c技術(shù)保障措施，以達到以下目標：a)確保健康醫(yī)療數(shù)據(jù)的保密性、完整性和可用性；b)確保健康醫(yī)療數(shù)據(jù)使用和披露過程的合法性和合規(guī)性，保護個人信息安全、公眾利益和國家安全；c)確保健康醫(yī)療數(shù)據(jù)在符合上述安全要求的前提下滿足業(yè)務(wù)發(fā)展需求。6分類體系6.1數(shù)據(jù)類別范圍健康醫(yī)療數(shù)據(jù)可以分為：a)個人屬性數(shù)據(jù)是指單獨或者與其他信息結(jié)合能夠識別特定自然人的數(shù)據(jù)。b)健康狀況數(shù)據(jù)是指能反映個人健康情況或同個人健康情況有著密切關(guān)系的數(shù)據(jù)。c)醫(yī)療應(yīng)用數(shù)據(jù)是指能反映醫(yī)療保健、門診、住院、出院和其他醫(yī)療服務(wù)情況的數(shù)據(jù)。d)醫(yī)療支付數(shù)據(jù)是指醫(yī)療或保險等服務(wù)中所涉及的與費用相關(guān)的數(shù)據(jù)。e)衛(wèi)生資源數(shù)據(jù)是指那些可以反映衛(wèi)生服務(wù)人員、衛(wèi)生計劃和衛(wèi)生體系的能力與特征的數(shù)據(jù)。f)公共衛(wèi)生數(shù)據(jù)是指關(guān)系到國家或地區(qū)大眾健康的公共事業(yè)相關(guān)數(shù)據(jù)。各類數(shù)據(jù)具體內(nèi)容如表1所示。在衛(wèi)生信息領(lǐng)域使用的數(shù)據(jù)元、數(shù)據(jù)集、值域代碼等相關(guān)標準可參考附錄B。4GB／T39725—2020表1健康醫(yī)療數(shù)據(jù)類別與范圍數(shù)據(jù)類別范圍個人屬性數(shù)據(jù)1)人口統(tǒng)計信息，包括姓名、出生日期、性別、民族、國籍、職業(yè)、住址、工作單位、家庭成員信息、聯(lián)系人信息、收入、婚姻狀態(tài)等；2)個人身份信息，包括姓名、身份證、工作證、居住證、社保卡、可識別個人的影像圖像、健康卡號、住院號、各類檢查檢驗相關(guān)單號等；3)個人通訊信息，包括個人電話號碼、郵箱、賬號及關(guān)聯(lián)信息等；4)個人生物識別信息，包括基因、指紋、聲紋、掌紋、耳廓、虹膜、面部特征等；5)個人健康監(jiān)測傳感設(shè)備ID等健康狀況數(shù)據(jù)主訴、現(xiàn)病史、既往病史、體格檢查（體征）、家族史、癥狀、檢驗檢查數(shù)據(jù)、遺傳咨詢數(shù)據(jù)、可穿戴設(shè)備采集的健康相關(guān)數(shù)據(jù)、生活方式、基因測序、轉(zhuǎn)錄產(chǎn)物測序、蛋白質(zhì)分析測定、代謝小分子檢測、人體微生物檢測等醫(yī)療應(yīng)用數(shù)據(jù)門（急）診病歷、住院醫(yī)囑、檢查檢驗報告、用藥信息、病程記錄、手術(shù)記錄、麻醉記錄、輸血記錄、護理記錄、入院記錄、出院小結(jié)、轉(zhuǎn)診（醫(yī)療支付數(shù)據(jù)1)醫(yī)療交易信息，包括醫(yī)保支付信息、交易金額、交易記錄等；2)保險信息，包括保險狀態(tài)、保險金額等衛(wèi)生資源數(shù)據(jù)醫(yī)院基本數(shù)據(jù)、醫(yī)院運營數(shù)據(jù)等公共衛(wèi)生數(shù)據(jù)環(huán)境衛(wèi)生數(shù)據(jù)、傳染病疫情數(shù)據(jù)、疾病監(jiān)測數(shù)據(jù)、疾病預(yù)防數(shù)據(jù)、出生死亡數(shù)據(jù)等6.2數(shù)據(jù)分級劃分根據(jù)數(shù)據(jù)重要程度、風(fēng)險級別以及對個人健康醫(yī)療數(shù)據(jù)主體可能造成的損害和影響的級別進行分級，可將健康醫(yī)療數(shù)據(jù)劃分為以下5級：第1級：可完全公開使用的數(shù)據(jù)。包括可以通過公開途徑獲取的數(shù)據(jù)，例如醫(yī)院名稱、地址、電話等，可直接在互聯(lián)網(wǎng)上面向公眾公開。第2級：可在較大范圍內(nèi)供訪問使用的數(shù)據(jù)。例如不能標識個人身份的數(shù)據(jù)，各科室醫(yī)生經(jīng)過申請審批可以用于研究分析。第3級：可在中等范圍內(nèi)供訪問使用的數(shù)據(jù)，如果未經(jīng)授權(quán)披露，可能對個人健康醫(yī)療數(shù)據(jù)主體造成中等程度的損害。例如經(jīng)過部分去標識化處理，但仍可能重標識的數(shù)據(jù)，僅限于獲得授權(quán)的項目組范圍內(nèi)使用第4級：在較小范圍內(nèi)供訪問使用的數(shù)據(jù)，如果未經(jīng)授權(quán)披露，可能會對個人健康醫(yī)療數(shù)據(jù)主體造成較高程度的損害。例如可以直接標識個人身份的數(shù)據(jù)，僅限于參與診療活動的醫(yī)護人員訪問使用。第5級：僅在極小范圍內(nèi)且在嚴格限制條件下供訪問使用的數(shù)據(jù)，如果未經(jīng)授權(quán)披露，可能會對個人健康醫(yī)療數(shù)據(jù)主體造成嚴重程度的損害。例如特殊病種（例如艾滋病、性?。┑脑敿氋Y料，僅限于主治醫(yī)護人員訪問且需要進行嚴格管控。6.3相關(guān)角色分類針對特定數(shù)據(jù)特定場景，相關(guān)組織或個人可劃分為以下四類角色。對任何組織或個人，圍繞特定數(shù)據(jù)，在特定場景或特定的數(shù)據(jù)使用處理行為上，其只能歸為其中一個角色。a)個人健康醫(yī)療數(shù)據(jù)主體（以下簡稱“主體”個人健康醫(yī)療數(shù)據(jù)所標識的自然人。5GB／T39725—2020b)健康醫(yī)療數(shù)據(jù)控制者（以下簡稱“控制者”詳見定義3.5,判斷組織或個人能否決定健康醫(yī)療數(shù)據(jù)的處理目的、方式及范圍，可以考慮：1)該項健康醫(yī)療數(shù)據(jù)處理行為是否屬于該組織或個人履行某項法律法規(guī)所必需；2)該項健康醫(yī)療數(shù)據(jù)處理行為是否為該組織或個人行使其公共職能所必需；3)該項健康醫(yī)療數(shù)據(jù)處理行為是否由該組織或個人自行或與其他組織或個人共同決定；4)該項健康醫(yī)療數(shù)據(jù)處理行為是否由相關(guān)個人或者政府授權(quán)該組織或個人。共同決定一項數(shù)據(jù)使用處理行為的目的、方式及范圍等的組織或個人，為共同控制者。c)健康醫(yī)療數(shù)據(jù)處理者（以下簡稱“處理者”代表控制者采集、傳輸、存儲、使用、處理或披露其掌握的健康醫(yī)療數(shù)據(jù)，或為控制者提供涉及健康醫(yī)療數(shù)據(jù)的使用、處理或者披露服務(wù)的相關(guān)組織或個人。常見的處理者有：健康醫(yī)療信息系統(tǒng)供應(yīng)商、健康醫(yī)療數(shù)據(jù)分析公司、輔助診療解決方案供應(yīng)商等。d)健康醫(yī)療數(shù)據(jù)使用者（以下簡稱“使用者”針對特定數(shù)據(jù)的特定場景，不屬于主體，也不屬于控制者和處理者，但對健康醫(yī)療數(shù)據(jù)進行利用的相關(guān)組織或個人。6.4流通使用場景基于不同角色之間的數(shù)據(jù)流動，數(shù)據(jù)流通使用場景可分為以下6類，如圖1所示。主體-控制者間數(shù)據(jù)流通使用；控制者-主體間數(shù)據(jù)流通使用；c)控制者內(nèi)部數(shù)據(jù)流通使用；控制者-處理者間數(shù)據(jù)流通使用；e)控制者間數(shù)據(jù)流通使用；控制者-使用者間數(shù)據(jù)流通使用。圖1數(shù)據(jù)流通使用場景分類示意圖6GB／T39725—20206.5數(shù)據(jù)開放形式數(shù)據(jù)公開共享類型可劃分為完全公開共享、受控公開共享、領(lǐng)地公開共享，對應(yīng)的去標識化要求不同，按照GB/T37964—2019的規(guī)定處理。常見的數(shù)據(jù)開放形式及其適用的公開共享類型詳見表2。表2常見數(shù)據(jù)開放形式開放形式說明適用公開共享類型網(wǎng)站公開統(tǒng)計概要類數(shù)據(jù)或經(jīng)匿名處理后的數(shù)據(jù)，向大眾開放，可自行下載分析完全公開共享文件共享由數(shù)據(jù)系統(tǒng)生成文件并推送至SFTP接口設(shè)備或應(yīng)用系統(tǒng)，或采用移動介質(zhì)進行共享受控公開共享API接入系統(tǒng)之間通過請求響應(yīng)方式提供數(shù)據(jù)，由數(shù)據(jù)系統(tǒng)提供實時或準實時面向特定用戶的數(shù)據(jù)服務(wù)應(yīng)用接口，需求方系統(tǒng)發(fā)起請求，數(shù)據(jù)系統(tǒng)返回所需數(shù)據(jù)，例如通過接口受控公開共享在線查詢在數(shù)據(jù)系統(tǒng)提供的功能頁面上查詢相關(guān)數(shù)據(jù)完全公開共享（匿名查詢）受控公開共享（用戶查詢）數(shù)據(jù)分析平臺提供系統(tǒng)環(huán)境、分析挖掘工具以及去標識后的樣本數(shù)據(jù)或模擬數(shù)據(jù)。平臺用戶共享或者專用硬件和數(shù)據(jù)資源，可以部署自有數(shù)據(jù)和數(shù)據(jù)分析算法，可以查詢權(quán)限內(nèi)的數(shù)據(jù)和分析結(jié)果。平臺所有原始數(shù)據(jù)不能導(dǎo)出；分析結(jié)果的輸出、下載必須經(jīng)審核通過后才能對外輸出領(lǐng)地公開共享7使用披露原則控制者在使用或披露健康醫(yī)療數(shù)據(jù)的過程中，宜遵循以下原則：a)控制者在使用或披露個人健康醫(yī)療數(shù)據(jù)時，宜告知主體并獲得主體的授權(quán)（以下b)中情況除外所有告知宜使用通俗易懂的語言，并且包含要披露或使用的數(shù)據(jù)內(nèi)容、數(shù)據(jù)的接收方、數(shù)據(jù)的用途以及使用方式、數(shù)據(jù)使用期限、數(shù)據(jù)主體權(quán)利以及控制者采取的保護措施等具體信息。使用或披露個人健康醫(yī)療數(shù)據(jù)不能超出個人授權(quán)范圍。因業(yè)務(wù)需要，確需超出范圍使用或披露的，宜再次征得主體同意。b)控制者在沒有獲得主體的授權(quán)，在以下情況可以使用或披露相應(yīng)個人健康醫(yī)療數(shù)據(jù)：1)向主體提供其本人健康醫(yī)療數(shù)據(jù)時；2)治療、支付或保健護理時；3)涉及公共利益或法律法規(guī)要求時；4)受限制數(shù)據(jù)集用于科學(xué)研究、醫(yī)學(xué)／健康教育、公共衛(wèi)生目的時；在上述情況下，控制者可依靠法律法規(guī)要求、職業(yè)道德、倫理和專業(yè)判斷來確定哪些個人健康醫(yī)療數(shù)據(jù)允許被使用或披露。c)控制者宜獲得主體授權(quán)才能使用或披露個人健康醫(yī)療數(shù)據(jù)進行市場營銷活動，但控制者與主體之間進行面對面的營銷溝通除外。用于市場營銷活動的授權(quán)宜以合理方式提示主體，并讓其充分知悉，明確、自主做出同意。該授權(quán)宜是獨立的，不宜作為主體獲得任何公共服務(wù)、醫(yī)療服務(wù)的前置條件或者捆綁于其他服務(wù)條款之中?？刂普咴谌〉檬跈?quán)的同時，宜書面告知主體7GB／T39725—2020其有權(quán)隨時撤銷該授權(quán)。d)主體（或其授權(quán)代表）有權(quán)訪問其個人健康醫(yī)療數(shù)據(jù)或要求披露其數(shù)據(jù)，控制者宜按其要求披露相應(yīng)個人健康醫(yī)療數(shù)據(jù)。e)主體有權(quán)復(fù)查并獲得其個人健康醫(yī)療數(shù)據(jù)的副本，控制者宜提供，例如通過文件共享或者在線查詢方式提供。f)主體發(fā)現(xiàn)控制者所持有的該主體的個人健康醫(yī)療數(shù)據(jù)不準確或不完整時，控制者宜為其提供請求更正或補充信息的方法。g)主體有權(quán)對控制者或其處理者使用或披露數(shù)據(jù)的情況進行歷史回溯查詢，最短回溯期為六年。h)主體有權(quán)要求控制者在診斷、治療、支付、健康服務(wù)等過程中限制使用或披露其個人健康醫(yī)療數(shù)據(jù)，以及限制向相關(guān)人員披露信息，控制者沒有義務(wù)同意上述限制請求；但一旦同意，除非法律法規(guī)要求以及醫(yī)療緊急情況下，控制者宜遵守約定的限制。i)控制者可以使用治療筆記用于治療，在進行必要的去標識化處理后，可以在未經(jīng)個人授權(quán)的情況下使用或披露治療筆記進行內(nèi)部培訓(xùn)和學(xué)術(shù)研討。j)控制者宜制定、實施合理的策略與流程，將使用和披露限制在最低限度。k)控制者宜確認處理者的安全能力滿足安全要求，并簽署數(shù)據(jù)處理協(xié)議后，才能讓處理者為其進行數(shù)據(jù)處理，處理者宜按照控制者的要求處理數(shù)據(jù)，未經(jīng)控制者許可，處理者不能引入第三方協(xié)助處理數(shù)據(jù)。l)控制者向政府授權(quán)的第三方控制者提供數(shù)據(jù)前，宜獲得加蓋政府公章的相關(guān)文件，數(shù)據(jù)提供后，數(shù)據(jù)安全責(zé)任以及傳輸通道的安全責(zé)任由第三方控制者承擔(dān)。m)控制者在確認數(shù)據(jù)使用的合法性、正當(dāng)性和必要性，并確認使用者具備相應(yīng)數(shù)據(jù)安全能力，且使用者簽訂了數(shù)據(jù)使用協(xié)議并承諾保護受限制數(shù)據(jù)集中的個人健康醫(yī)療數(shù)據(jù)后，可將受限制數(shù)據(jù)集用于科學(xué)研究、醫(yī)療保健業(yè)務(wù)、公共衛(wèi)生等目的；使用者只能在協(xié)議約定的范圍內(nèi)使用數(shù)據(jù)并承擔(dān)數(shù)據(jù)安全責(zé)任，在使用數(shù)據(jù)完成后，宜按照控制者要求歸還、徹底銷毀或者進行其他處理。未經(jīng)控制者許可，使用者不能將數(shù)據(jù)披露給第三方。n)如果控制者針對個人健康醫(yī)療數(shù)據(jù)匯聚分析處理之后得到了不能識別個人的健康醫(yī)療相關(guān)數(shù)據(jù)，該數(shù)據(jù)不再屬于個人信息，但其使用和披露宜遵守國家其他相關(guān)法規(guī)要求。o)控制者因為學(xué)術(shù)研討需要，需要向境外提供相應(yīng)數(shù)據(jù)的，在進行必要的去標識化處理后，經(jīng)過數(shù)據(jù)安全委員會討論審批同意，數(shù)量在250條以內(nèi)的非涉密非重要數(shù)據(jù)可以提供，否則宜提請相關(guān)部門審批。p)不涉及國家秘密、重要數(shù)據(jù)或者其他禁止或限制向境外提供的數(shù)據(jù)，經(jīng)主體授權(quán)同意，并經(jīng)數(shù)據(jù)安全委員會討論審批同意，控制者可向境外目的地提供個人健康醫(yī)療數(shù)據(jù)，累計數(shù)據(jù)量宜控制在250條以內(nèi)，否則宜提請相關(guān)部門審批。q)控制者不宜將健康醫(yī)療數(shù)據(jù)在境外的服務(wù)器中存儲，不托管、租賃在境外的服務(wù)器。r)控制者對外進行數(shù)據(jù)合作開發(fā)利用時，宜采用“數(shù)據(jù)分析平臺”開放形式，對數(shù)據(jù)使用披露進行嚴格管控。8安全措施要點8.1分級安全措施要點可以根據(jù)數(shù)據(jù)保護的需要進行數(shù)據(jù)分級，對不同級別的數(shù)據(jù)實施不同的安全保護措施，重點在于授權(quán)管理、身份鑒別、訪問控制管理。例如，從個人信息安全風(fēng)險角度劃分的數(shù)據(jù)分級和安全措施要點如表3所示。醫(yī)生調(diào)閱場景下的數(shù)據(jù)分級及安全措施詳見11.1。臨床研究場景下的數(shù)據(jù)分級及安全措施8GB／T39725—2020表3從個人信息安全風(fēng)險出發(fā)的數(shù)據(jù)分級與安全措施要點數(shù)據(jù)分級數(shù)據(jù)特點適用場合特征與案例安全措施要點業(yè)務(wù)要求：可公開發(fā)布數(shù)據(jù)內(nèi)容：某些統(tǒng)計值數(shù)據(jù)使用者：大眾公告需要公眾了解，例如剩余床信息是否可公開需要評審業(yè)務(wù)要求：不需要識別個人各類醫(yī)療、衛(wèi)生服務(wù)信息人員教育與統(tǒng)計分析不需要識別個人，例如病例究等研發(fā)宜進行去標識化處理，通過協(xié)議或領(lǐng)地公開共享模式管控，宜確保數(shù)據(jù)的完整性和真實性業(yè)務(wù)要求：服務(wù)對象個人可識別，周邊人不易識別數(shù)據(jù)內(nèi)容：部分個人可識別信息或代碼，與其他信息內(nèi)排隊序號等人群服務(wù)對象告知在公開場合通知服務(wù)對象，體檢服務(wù)叫號等個人信息需部分遮蔽，環(huán)境與接收人數(shù)量受到限制個人數(shù)據(jù)內(nèi)容：包含完整準確的個人健康醫(yī)療數(shù)據(jù)數(shù)據(jù)使用者：比較小范圍人員、有審計和保護隱私義務(wù)個性化服務(wù)與管理必須準確識別個人，例如針對個人的醫(yī)療服務(wù)、衛(wèi)生健組測序等遠程醫(yī)療、健康傳感數(shù)據(jù)管對接由于涉及個人標識信息，環(huán)境與接收人宜嚴格管控，宜高標準保證數(shù)據(jù)完整性和可用性業(yè)務(wù)要求：特殊疾病診療所必須資料員、有審計、有保密義務(wù)特殊疾病診療病等嚴格的身份鑒別、訪問控制等措施8.2場景安全措施要點基于數(shù)據(jù)流通使用場景的不同，各角色在健康醫(yī)療數(shù)據(jù)使用過程中所涉及的安全環(huán)節(jié)與責(zé)任不同，由此決定了各角色需要滿足的安全控制要求不同。各角色在不同應(yīng)用場景和安全環(huán)節(jié)宜承擔(dān)的安全責(zé)任和安全措施要點如表4所示，針對常見場景需要重點關(guān)注的安全措施詳見第11章。9GB／T39725—2020表4數(shù)據(jù)使用安全責(zé)任與安全措施要點場景分類安全環(huán)節(jié)安全責(zé)任與安全措施要點場景與用戶舉例主體-控制者間數(shù)據(jù)流通采集安全控制者：采集數(shù)據(jù)知情同意傳感、移動應(yīng)用司、健康服務(wù)企業(yè)傳輸安全控制者：加密、存儲介質(zhì)管控存儲安全控制者：境內(nèi)存儲、加密、分類分級、去標識化、備份恢復(fù)、存儲介質(zhì)管控控制者-主體間數(shù)據(jù)流通傳輸安全控制者：加密、存儲介質(zhì)管控場景舉例：患者查詢控制者：醫(yī)療機構(gòu)使用安全控制者：身份鑒別、訪問控制、敏感數(shù)據(jù)控制控制者內(nèi)部數(shù)據(jù)使用收集安全控制者：收集數(shù)據(jù)知情同意、審批場景舉例：內(nèi)部數(shù)據(jù)使用控制者：醫(yī)療機構(gòu)處理安全處理者：去標識化、權(quán)限管理、質(zhì)量管理、元數(shù)據(jù)管理使用安全控制者：審批授權(quán)、身份鑒別、訪問控制、審計存儲安全控制者：境內(nèi)存儲、加密、分類分級、去標識化、備份恢復(fù)、存儲介質(zhì)管控控制者-處理者間數(shù)據(jù)流通傳輸安全控制者：傳輸前的審查、評估、授權(quán)；加密、審計、流量控制、存儲介質(zhì)管控處理者：數(shù)據(jù)傳輸加密、傳輸方式控制場景舉例：醫(yī)療器械維護機構(gòu)療信息服務(wù)企業(yè)、醫(yī)療器械廠商處理安全處理者：去標識化、權(quán)限管理、質(zhì)量管理、元數(shù)據(jù)管理、審計存儲安全控制者：境內(nèi)存儲、加密、分類分級、去標識化、備份恢復(fù)、存儲介質(zhì)管控、管理處理者數(shù)據(jù)存儲過程處理者：境內(nèi)存儲、加密、分類分級、去標識化、備份恢復(fù)、存儲介質(zhì)管控、銷毀機制控制者間數(shù)據(jù)流通傳輸安全控制者A：對接安全、加密、審計、流量控制、存儲介質(zhì)管控控制者B：對接安全、加密、審計、流量控制、存儲介質(zhì)管控醫(yī)療構(gòu)、醫(yī)保機構(gòu)使用安全控制者A：審批授權(quán)、身份鑒別、訪問控制、審計控制者B：審批授權(quán)、身份鑒別、訪問控制、審計存儲安全控制者A：境內(nèi)存儲、加密、分類分級、去標識化、備份恢復(fù)、存儲介質(zhì)管控、銷毀機制控制者B：境內(nèi)存儲、加密、分類分級、去標識化、備份恢復(fù)、存儲介質(zhì)管控、銷毀機制控制者-使用者間數(shù)據(jù)流通傳輸安全控制者：傳輸前的審查、評估、授權(quán)；加密、審計、流量控制、存儲介質(zhì)管控臨床研究、二次利用控制者：醫(yī)療機構(gòu)研機構(gòu)使用安全使用者：審批授權(quán)、身份鑒別、訪問控制、審計存儲安全控制者：境內(nèi)存儲、加密、分類分級、去標識化、備份恢復(fù)、存儲介質(zhì)管控、管理使用者數(shù)據(jù)存儲過程使用者：境內(nèi)存儲、加密、分類分級、去標識化、備份恢復(fù)、存儲介質(zhì)管控、銷毀機制GB／T39725—2020注：在數(shù)據(jù)實際應(yīng)用場景中，存在一個控制者對應(yīng)多個流通使用場景的情況，此時需參照多個數(shù)據(jù)流通使用場景實施安全措施。8.3開放安全措施要點不同數(shù)據(jù)開放形式均宜：遵循“最少必要原則”；b)數(shù)據(jù)開放的目的、內(nèi)容、使用方等經(jīng)過數(shù)據(jù)安全委員會審批，確保符合合法性、正當(dāng)性和必要性的要求；c)根據(jù)使用目的盡可能地去標識化；d)明確數(shù)據(jù)開發(fā)和使用目的、使用方需要承擔(dān)的安全責(zé)任、安全措施等，并簽署相應(yīng)的協(xié)議；涉及出境的宜依規(guī)進行安全評估，涉及重要數(shù)據(jù)的宜依規(guī)進行評估審批。此外，不同數(shù)據(jù)開放形式還需要滿足的安全措施要點詳見表5所示。表5不同數(shù)據(jù)開放形式安全措施要點數(shù)據(jù)開放形式安全措施要點網(wǎng)站公開公開數(shù)據(jù)宜經(jīng)過數(shù)據(jù)安全委員會審批文件共享1)宜采用密碼技術(shù)保障數(shù)據(jù)完整性和可追溯性；2)宜對文件的大小、內(nèi)容、生成時間等進行審計；3)通過移動介質(zhì)傳輸?shù)臄?shù)據(jù)宜采用具有加密或訪問控制的移動介質(zhì)方案API接入1)宜采用口令、密碼技術(shù)、生物技術(shù)等鑒別技術(shù)對接入用戶進行身份鑒別；2)宜采用校驗技術(shù)或密碼技術(shù)保證通信過程中的數(shù)據(jù)完整性，并通過加密等方式保證數(shù)據(jù)在傳輸過程中的保密性，加密技術(shù)的選擇宜考慮應(yīng)用場景、數(shù)據(jù)規(guī)模、效率要求等方面；3)宜對API的調(diào)用情況進行日志審計，包括但不限于調(diào)用方、調(diào)用時間、調(diào)用接口名稱、調(diào)用結(jié)果等；4)宜采取WEB安全措施防止SQL注入、XSS、爆破密碼等攻擊措施在線查詢1)匿名可查詢的數(shù)據(jù)經(jīng)過數(shù)據(jù)安全委員會審批，確保不涉及個人信息、重要數(shù)據(jù)等；2)宜采用口令、密碼技術(shù)、生物技術(shù)等鑒別技術(shù)對查詢用戶進行身份鑒別；3)宜采用校驗技術(shù)或密碼技術(shù)保證通信過程中的數(shù)據(jù)完整性，并通過加密等方式保證數(shù)據(jù)在傳輸過程中的保密性，加密技術(shù)的選擇宜考慮應(yīng)用場景、數(shù)據(jù)規(guī)模、效率要求等方面；4)宜對查詢的數(shù)據(jù)量、查詢次數(shù)和查詢時間進行審計，形成異常報告；5)宜對批量查詢操作進行監(jiān)控，發(fā)現(xiàn)高頻查詢及時告警；6)宜采取WEB安全措施防止SQL注入、XSS、爆破密碼等攻擊措施數(shù)據(jù)分析平臺1)任何分析結(jié)果的導(dǎo)出宜經(jīng)過數(shù)據(jù)安全委員會審批；2)宜對平臺的訪問進行權(quán)限管理，包括訪問權(quán)限和數(shù)據(jù)使用權(quán)限；3)數(shù)據(jù)分析平臺的數(shù)據(jù)操作宜具備留痕和溯源功能；4)導(dǎo)出數(shù)據(jù)或者結(jié)果留存?zhèn)浒复龑徲?安全管理指南控制者為實現(xiàn)第5章所述安全目標，宜按照GB/T22080—2016要求，參照第6章進行數(shù)據(jù)分類分級和場景分析，分析健康醫(yī)療數(shù)據(jù)安全面臨的風(fēng)險，有針對性地采取安全措施，并對實施措施后的效果GB／T39725—2020進行檢查，持續(xù)改進?？刂普呖蓞⒄崭戒汣建立數(shù)據(jù)使用管理辦法，參照附錄D對數(shù)據(jù)申請進行審批，參照附錄E與處理者（使用者）簽署數(shù)據(jù)處理（使用）協(xié)議，參照附錄F進行自查。宜建立完善的組織保障體系，組織架構(gòu)中至少包括健康醫(yī)療數(shù)據(jù)安全委員會和健康醫(yī)療數(shù)據(jù)安全工作辦公室，以確保做好健康醫(yī)療數(shù)據(jù)安全管理工作，并形成相應(yīng)的文檔記錄，包括但不限于：a)建立健康醫(yī)療數(shù)據(jù)安全委員會（簡稱委員會對健康醫(yī)療數(shù)據(jù)安全工作全面負責(zé)，討論決定健康醫(yī)療數(shù)據(jù)安全重大事項，委員會宜：1)包含組織高層管理人員和各業(yè)務(wù)口負責(zé)人等；2)涵蓋信息安全、倫理、法律、統(tǒng)計、審計、保密等相關(guān)專業(yè)人員；3)由組織最高負責(zé)人擔(dān)任主任委員；4)可依托現(xiàn)有的倫理委員會、院務(wù)會等，不必重新建立；5)協(xié)調(diào)配置健康醫(yī)療數(shù)據(jù)安全工作必要的人力、物力、資金等資源，例如基于權(quán)限分離的原則，配備安全管理員、安全審計員、系統(tǒng)管理員等；6)負責(zé)審核健康醫(yī)療數(shù)據(jù)安全策略、風(fēng)險評估方案、合規(guī)評估方案、風(fēng)險處置方案和應(yīng)急處置方案；7)負責(zé)審核數(shù)據(jù)安全相關(guān)規(guī)章制度（例如數(shù)據(jù)使用審批流程8)負責(zé)審核去標識化策略和流程；9)定期召開工作會議，建議每月至少召開一次。b)建立健康醫(yī)療數(shù)據(jù)安全工作辦公室，指定專人（例如數(shù)據(jù)安全官）負責(zé)健康醫(yī)療數(shù)據(jù)安全日常工作：1)負責(zé)落實執(zhí)行健康醫(yī)療數(shù)據(jù)安全委員會的各項決定，并向委員會報告工作；2)負責(zé)制定、維護和更新健康醫(yī)療數(shù)據(jù)安全策略、風(fēng)險評估方案、合規(guī)評估方案、風(fēng)險處置方案和應(yīng)急處置方案；3)負責(zé)建立、維護和更新數(shù)據(jù)安全相關(guān)規(guī)章制度；4)負責(zé)制定、維護和更新數(shù)據(jù)使用審批流程，以及去標識化策略和流程；5)梳理業(yè)務(wù)流程及涉及的健康醫(yī)療信息系統(tǒng)和數(shù)據(jù)，并進行安全風(fēng)險分析和合規(guī)分析，提出健康醫(yī)療數(shù)據(jù)安全工作建議；6)形成并管理好元數(shù)據(jù)結(jié)構(gòu)，形成符合業(yè)務(wù)流程的數(shù)據(jù)和系統(tǒng)供應(yīng)鏈結(jié)構(gòu)；7)負責(zé)人員的數(shù)據(jù)安全教育與培訓(xùn)，確保相關(guān)人員具備相應(yīng)數(shù)據(jù)安全能力；8)至少每年對健康醫(yī)療數(shù)據(jù)安全工作進行全面自查，并做出整改建議；9)審計健康醫(yī)療數(shù)據(jù)使用情況，并適時調(diào)整改進安全措施；10)監(jiān)測預(yù)警健康醫(yī)療數(shù)據(jù)安全狀態(tài)，并適時調(diào)整改進安全措施。規(guī)劃階段主要工作如下，各項工作宜形成相應(yīng)文檔記錄。a)界定健康醫(yī)療數(shù)據(jù)安全工作范圍，確定工作目標，建立工作計劃；b)建立健康醫(yī)療數(shù)據(jù)安全策略并通告全組織；c)建立健康醫(yī)療數(shù)據(jù)安全相關(guān)規(guī)章制度并通告全組織；d)建立健康醫(yī)療數(shù)據(jù)安全風(fēng)險評估方案和合規(guī)評估方案；GB／T39725—2020e)梳理健康醫(yī)療數(shù)據(jù)相關(guān)業(yè)務(wù)及涉及的系統(tǒng)和數(shù)據(jù)；f)識別健康醫(yī)療數(shù)據(jù)安全風(fēng)險并評估影響；g)識別健康醫(yī)療數(shù)據(jù)安全合規(guī)風(fēng)險點并評估影響；h)針對風(fēng)險建立風(fēng)險處置方案；涉及數(shù)據(jù)使用披露的，宜按照第7章“使用披露要求”處置；涉及網(wǎng)絡(luò)和系統(tǒng)安全的，宜按照GB/T22081—2016、GB/T22239—2019進行處置；涉及基礎(chǔ)安全和數(shù)據(jù)服務(wù)安全的，宜按照GB/T352GB/T31168進行處置；i)評審并通過風(fēng)險處置方案；j)建立數(shù)據(jù)安全應(yīng)急處置方案。實施階段主要工作如下，各項工作宜形成相應(yīng)文檔記錄。a)健康醫(yī)療數(shù)據(jù)使用和披露過程中，各個環(huán)節(jié)宜嚴格執(zhí)行既定數(shù)據(jù)安全相關(guān)規(guī)章制度、安全策略和流程；b)實施風(fēng)險處置方案，包括實施選定的安全措施；c)配備適當(dāng)?shù)馁Y源，包括人力、物力、資金，支撐安全d)開展必要的信息安全教育和培訓(xùn)；e)對開展的信息安全工作和投入信息安全工作的各項資源實施有效地管控；f)針對信息安全事件采取有效應(yīng)對措施。檢查階段主要工作如下，各項工作宜形成相應(yīng)文檔記錄。a)監(jiān)控健康醫(yī)療數(shù)據(jù)安全相關(guān)工作過程，例如安全措施實施過程；b)定期評審風(fēng)險處置方案的實施有效性，包括評估相應(yīng)措施在實施后剩余風(fēng)險的可接受程度等；c)定期檢查健康醫(yī)療數(shù)據(jù)使用披露是否符合第7章“使用披露要求”；d)定期檢查是否按照第10章進行了安全技術(shù)工作和去標識化工作；e)檢查過程納入組織的內(nèi)部管理；f)根據(jù)情況實施自查，或是請第三方機構(gòu)進行檢查。改進階段主要工作如下，各項工作宜形成相應(yīng)文檔記錄。a)針對監(jiān)控或檢查結(jié)果改進安全措施，包括采取預(yù)防性措施，或是調(diào)整可能影響健康醫(yī)療數(shù)據(jù)安全的業(yè)務(wù)活動內(nèi)容；b)建立整改計劃，并按計劃實施。應(yīng)急處置主要工作如下，各項工作宜形成相應(yīng)文檔記錄。a)建立應(yīng)急預(yù)案，包括啟動應(yīng)急預(yù)案的條件、應(yīng)急處理流程、系統(tǒng)恢復(fù)流程、事件報告流程、事后教育和培訓(xùn)等內(nèi)容。宜對網(wǎng)絡(luò)安全應(yīng)急預(yù)案定期進行評估修訂，每年至少組織1次應(yīng)急演練。b)宜指定專門數(shù)據(jù)安全應(yīng)急支撐隊伍、專家隊伍，保障安全事件得到及時有效處置。c)宜制定災(zāi)難恢復(fù)計劃，確保健康醫(yī)療信息系統(tǒng)能及時從網(wǎng)絡(luò)安全事件中恢復(fù)，并建立安全事件追溯機制。d)在數(shù)據(jù)安全事件發(fā)生后，宜按應(yīng)急預(yù)案進行處置；事件處置完成后及時按規(guī)定向安全保護工作GB／T39725—2020部門書面報告事件情況，內(nèi)容宜至少包括：事件描述、原因和影響分析、處置方式等信息。e)宜根據(jù)檢測評估、監(jiān)測預(yù)警中發(fā)現(xiàn)的安全問題及處置結(jié)果開展綜合評估，必要時重新開展風(fēng)險識別，并更新安全策略。10安全技術(shù)指南控制者宜按照GB/T22081—2016、GB/T22239—2019、GB/T31168和GB/T35274—2017等做好數(shù)據(jù)安全管理工作。a)宜對承載健康醫(yī)療數(shù)據(jù)的信息系統(tǒng)和網(wǎng)絡(luò)設(shè)施以及云平臺等進行必要的安全保護。b)宜針對數(shù)據(jù)生命周期內(nèi)的各項活動，包括數(shù)據(jù)采集、數(shù)據(jù)傳輸、數(shù)據(jù)存儲、數(shù)據(jù)處理、數(shù)據(jù)交換、數(shù)據(jù)銷毀等實施數(shù)據(jù)安全措施，以降低安全風(fēng)險，保障數(shù)據(jù)安全。c)宜圍繞規(guī)劃、開發(fā)、部署、運維等系統(tǒng)生命周期各階段特點，對數(shù)據(jù)平臺與應(yīng)用采取必要的安全措施，建立安全的數(shù)據(jù)管理基礎(chǔ)設(shè)施，降低數(shù)據(jù)平臺與應(yīng)用運行安全風(fēng)險，保障業(yè)務(wù)連續(xù)性。d)宜對健康醫(yī)療數(shù)據(jù)進行分類分級管理，制定、實施合理的策略與流程，將使用和披露限制在最低限度。e)宜實施身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、介質(zhì)使用管理等安全措施。f)宜確保數(shù)據(jù)質(zhì)量滿足業(yè)務(wù)需求，實施備份恢復(fù)、剩余信息保護等安全措施。g)宜采用密碼技術(shù)保證數(shù)據(jù)在采集、傳輸和存儲過程中的完整性、保密性、可追溯性；使用介質(zhì)傳輸?shù)?，宜對介質(zhì)實施管控。h)存儲個人生物識別信息時，宜采用技術(shù)措施處理后再進行存儲，例如僅存儲個人生物識別信息的摘要。i)密碼技術(shù)使用宜符合國家密碼管理相關(guān)要求。j)宜符合重要數(shù)據(jù)管理、關(guān)鍵信息基礎(chǔ)設(shè)施安全管理等政策的相關(guān)通用要求?？刂普咭税凑誈B/T37964—2019開展去標識化工作，去標識化的數(shù)據(jù)宜應(yīng)用于受控公開共享或領(lǐng)地公開共享（控制者完全控制的環(huán)境宜通過數(shù)據(jù)使用協(xié)議約定數(shù)據(jù)使用目的、方式、期限、安全保障措施等。去標識化策略、流程和結(jié)果宜由數(shù)據(jù)安全委員會審批。數(shù)據(jù)應(yīng)用于臨床研究和醫(yī)藥／醫(yī)療研發(fā)時，相關(guān)要求如下：a)宜去除個人屬性數(shù)據(jù)中可唯一識別到個人的信息或披露后會給個人造成重大影響的信息，例物識別信息（指紋、聲音等與應(yīng)用目的無關(guān)的信息照片；愛好、信仰等。b)個人屬性數(shù)據(jù)中可間接關(guān)聯(lián)到個人的信息，宜進行泛化、轉(zhuǎn)換等處理，例如：1)單位、地址、郵政編碼等信息，如果單位信息或與其他信息組合后覆蓋的人群在2萬人以組合后覆蓋的人群在2萬人以上，可以保留，否則宜去除街道（鄉(xiāng)鎮(zhèn)保證組合覆蓋的人群在2萬人以上；如果郵編信息或與其他信息組合覆蓋的人群在2萬以上，可以保留，否則宜將郵編低位設(shè)置為‘0’,保證可以覆蓋的人群在2萬以上。2)對具體年齡進行泛化處理，例如給出一個年齡范圍。例如：38歲可以轉(zhuǎn)換成30~40歲，確保同區(qū)域內(nèi)滿足相同年齡條件的人數(shù)在2萬人以上。3)生日及其他所有日期信息，例如：入院時間、出院時間，只能具體到年，或者進行時間漂移處理。GB／T39725—2020c)宜刪除醫(yī)護人員姓名以及其他身份標識信息。d)數(shù)據(jù)集中所有屬性值相同的人數(shù)最低宜在5人以上。e)對需要追溯到患者的情況，宜由控制者內(nèi)部建立患者代碼索引。f)去標識化過程中使用的各種參數(shù)配置，例如時間漂移范圍、患者代碼索引、各種個人代碼生成規(guī)則等宜嚴格保密，僅限于控制者內(nèi)部專人管理。g)在需要進行重標識確定主體時，宜由控制者內(nèi)部專人處理，處理過程嚴格保密。h)宜禁止使用者參與去標識化相關(guān)工作。i)宜簽署數(shù)據(jù)使用協(xié)議，約束數(shù)據(jù)的使用目的、期限以及數(shù)據(jù)保護措施等。j)在受控公開共享模式下，使用者宜記錄數(shù)據(jù)使用情況，并接受控制者審計。相關(guān)示例如表6所示。衛(wèi)生信息數(shù)據(jù)元的標識符類別及建議的去標識化方法可參考附錄G。表6去標識化示例屬性去標識化方法建議適用數(shù)據(jù)姓名建議刪除或置空姓名聯(lián)系方式建議刪除或置空或泛化。例如：住址只具體到市縣級，隱藏縣級以下地址建議采用“時間偏移方法”、轉(zhuǎn)換法或泛化，例如：為不同研究項目定義不同的隨機偏移量，通過日期時間＋或－隨機偏移量進行數(shù)據(jù)擾動，以實現(xiàn)數(shù)據(jù)的去標識化。例如：入院日期隨機偏移量入院日期-11。隨機偏移量-10。出院日期－入院日期=90天。通過該方法可以保證數(shù)據(jù)去標識化的同時保證計算邏輯正確。轉(zhuǎn)換法即用其與其他日期運算得到結(jié)果來替換，例如住院天數(shù)。泛化只保留年月，甚至只保留年數(shù)據(jù)分析關(guān)聯(lián)到個人的期等建議刪除、置空或者替換為年齡年齡建議采用“數(shù)據(jù)泛化”方法。例如：年齡≤89或者＞89年齡區(qū)間注：＞89不能再繼續(xù)細分年齡號碼建議刪除或置空。如需要利用號碼的唯一性進行邏輯分析，例如通過身份證號判斷多份病歷是否屬于同一個人的場景，可采用基于原數(shù)據(jù)的隨機化產(chǎn)生唯一標識進行替換。如需要利用郵編等隱含地理信息的號碼，可采用擾動和泛化方法進行處理，例如：原始郵編記錄100080,去標識化后100***作證號、居住卡號GB／T39725—2020屬性去標識化方法建議適用數(shù)據(jù)號碼建議置換或刪除。通過這些號碼進行邏輯分析而需要保留的，可采用基于原數(shù)據(jù)的隨機化產(chǎn)生唯一標識進行替換。如不需要這些號碼進行邏輯分析，則刪除這些號碼檢驗結(jié)果報告單號、檢查11典型場景數(shù)據(jù)安全適用于醫(yī)生在提供健康醫(yī)療服務(wù)過程中調(diào)閱相應(yīng)患者數(shù)據(jù)的場景。醫(yī)生所在的組織承擔(dān)控制者角色，患者承擔(dān)主體角色。默認級資料，例如檢驗檢查名稱、就診醫(yī)院、就診科室等。告知級資料，例如檢驗檢查報告、手術(shù)記錄、出院小結(jié)等小結(jié)報告類資料。授權(quán)級資料，例如住院詳細病歷等。此外，涉及特殊病種、特殊身份的資料均需授權(quán)或告知。醫(yī)生按職能范圍可分為診療醫(yī)生、本科室非診療組醫(yī)生、其他科室醫(yī)生等，按職稱可分為住院醫(yī)師、主治醫(yī)師、主任醫(yī)師等，不同角色的調(diào)閱權(quán)限不同，角色定義明晰，方可進行下一步的權(quán)限分配。原則上，宜按所在科室、職稱、診療組來定義角色類型。a)科室即不同診療科室，按照醫(yī)院科室劃分，例如消化科、心臟外科。b)職稱表征醫(yī)生的專業(yè)性及上下級關(guān)系，例如住院醫(yī)師、主治醫(yī)師、主任醫(yī)師。c)診療組即科室內(nèi)部的診療組劃分，視醫(yī)院科室的具體劃分而定，不同診療組之間的患者管轄相對獨立，例如普外科內(nèi)部分為胃腸診療組、肝膽胰診療組等，若科室內(nèi)部未劃分則無需定義。在醫(yī)院互聯(lián)互通場景下，醫(yī)院需向匯聚中心上傳科室組織架構(gòu)情況（上下級關(guān)系及診療組形成權(quán)限組。權(quán)限組的調(diào)整可下放到科室主任，上級醫(yī)生可動態(tài)調(diào)配下級醫(yī)生的診療組歸屬（考慮到診療組可能變動頻繁，不增加醫(yī)生工作負擔(dān)醫(yī)院醫(yī)務(wù)科負責(zé)日常審計。當(dāng)人事狀態(tài)或診療狀態(tài)發(fā)生變更時，角色宜隨之更新。將數(shù)據(jù)按分級、顆粒度標注：匹配。GB／T39725—20201)標識符：例如：姓名；身份證／駕照等證件號；電話號碼、傳真、電子郵件；醫(yī)療保險號、2)特殊病種：性生殖相關(guān)疾病、傳染性疾病、心理疾病、惡性腫瘤、遺傳性疾病、肛門疾病、罕見病、其他不治之癥等8類疾病。3)特殊身份：嬰幼兒、孕產(chǎn)婦、惡性腫瘤患者等。b)標注特殊病種相關(guān)數(shù)據(jù)的顆粒度，不同詳細程度資料的隱私級別不同，顆粒度分為以下三類。1)概要級資料：例如檢驗檢查名稱、就診醫(yī)院、就診科室等。2)摘要級資料：例如檢驗檢查報告、手術(shù)小結(jié)、住院小結(jié)、用藥情況等小結(jié)報告類資料。3)詳細級資料：例如住院詳細病歷等。將醫(yī)生的科室、職稱、診療組與數(shù)據(jù)分級、顆粒度匹配：a)對于普通病種的資料，權(quán)限范圍內(nèi)醫(yī)生均可調(diào)閱。b)對于特殊病種的資料，不同職稱醫(yī)生的權(quán)限不同。c)對于傳染性疾病，考慮保護醫(yī)務(wù)人員的原則，默認向接診醫(yī)護人員披露。d)每個醫(yī)生僅可調(diào)閱自身管轄范圍內(nèi)患者的數(shù)據(jù)，上級醫(yī)師可查看下級醫(yī)師管轄范圍內(nèi)的患者數(shù)據(jù)。權(quán)限分配示例如表7所示，同一醫(yī)生滿足多種角色時，其權(quán)限取并集。表7角色權(quán)限示例表角色權(quán)限科室醫(yī)生僅可調(diào)閱本科室患者數(shù)據(jù)住院醫(yī)師僅可調(diào)閱普通病種資料及概要級特殊病種資料主治醫(yī)師僅可調(diào)閱普通病種資料及摘要級特殊病種資料主任醫(yī)師可調(diào)閱普通病種資料及詳細級特殊病種資料診療組僅可調(diào)閱本診療組管轄范圍內(nèi)患者資料，不可調(diào)閱本科室其他診療組內(nèi)患者資料調(diào)閱時需進行身份鑒別，方式包括賬號口令、基于數(shù)字證書的身份認證、生物特征（例如人臉、指紋等）識別認證等多因素結(jié)合的認證方式。需限制訪問時間、地點，非院內(nèi)IP調(diào)閱、非工作時間調(diào)閱為異)后賬號自動退出，屏幕自動鎖屏。數(shù)據(jù)調(diào)閱時，宜考慮患者知情同意，例如調(diào)閱患者在其他機構(gòu)的數(shù)據(jù)時，通過患者手機掃碼授權(quán)。調(diào)閱系統(tǒng)需具備異常行為感知能力，建立監(jiān)控系統(tǒng)，達到能夠追蹤異常源頭的效果，用來追蹤完整訪問軌跡。報警方式包括提供現(xiàn)場報警、手機短信、郵件等方式，異常行為達到一定級別后能夠觸發(fā)權(quán)限鎖定功能。報警內(nèi)容包括異常調(diào)閱用戶的IP、時間、賬號、訪問內(nèi)容，并能夠進行自動阻斷。同時制定應(yīng)急預(yù)案等。重點關(guān)注處理結(jié)果和處理率。調(diào)閱日志保存時間宜不少于6個月，定期審核調(diào)閱日志，并對敏感數(shù)據(jù)及特殊身份患者的調(diào)閱記錄進行審計。GB／T39725—2020適用于患者通過在線方式查詢其本人健康醫(yī)療數(shù)據(jù)的場景?；颊叱袚?dān)主體角色?；颊咄ㄟ^在線系統(tǒng)查詢其健康醫(yī)療數(shù)據(jù)，首次注冊需關(guān)聯(lián)實名制手機后通過實名制手機和手機驗證碼登錄?？紤]子女代替年老父母等查詢信息需要，賬號可綁定子女手機（上傳身份證或戶口本掃描件即可或由系統(tǒng)后臺認證監(jiān)護人代替未成年人查詢信息等情況，仿照處理。完成注冊后，個人需設(shè)置賬號與密碼，系統(tǒng)宜對密碼復(fù)雜度有一定要求，包括定期更改密碼等。為防止賬戶被他人冒用，造成個人信息大量泄漏，系統(tǒng)宜對可查詢信息進行適當(dāng)限制。例如HIV、肝炎等敏感檢查結(jié)果不予顯示。默認僅可查詢?nèi)齻€月內(nèi)相關(guān)檢查檢驗報告、用藥情況等信息。系統(tǒng)宜對個人的操作權(quán)限進行合理設(shè)置，權(quán)限包括另存、復(fù)制、打印、下載等。個人進行相應(yīng)操作時，頁面宜顯示用戶須知，例如告知患者下載后數(shù)據(jù)的信息安全義務(wù)在于其本人等，提示個人注重信息保護，同時重點語句突出顯示（例如標紅）。宜采用校驗技術(shù)或密碼技術(shù)保證個人健康醫(yī)療數(shù)據(jù)在傳輸過程中的保密性、完整性，加密方法的選擇宜考慮應(yīng)用場景、傳輸方式、數(shù)據(jù)規(guī)模、效率要求等。設(shè)備宜默認開啟數(shù)據(jù)加密功能。臨床研究一般是在學(xué)術(shù)性的醫(yī)學(xué)中心、研究機構(gòu)或者醫(yī)療科研機構(gòu)進行，其過程主要包括臨床試驗臨床研究主要包括以下類型：a)按臨床數(shù)據(jù)獲取方法區(qū)分：回顧性臨床研究和前瞻性臨床研究；b)按研究目的區(qū)分：臨床基礎(chǔ)研究、臨床應(yīng)用研究和臨床路徑研究；c)按產(chǎn)品獲準上市與否區(qū)分：產(chǎn)品上市前研究和產(chǎn)品上市后研究。以產(chǎn)品上市獲批為目的的臨床試驗的數(shù)據(jù)安全，請按照相關(guān)主管部門規(guī)定執(zhí)行，不屬于本標準范疇?；谡鎸嵤澜鐢?shù)據(jù)的臨床研究是根據(jù)在日常醫(yī)療實踐中收集的病人醫(yī)療數(shù)據(jù)及產(chǎn)品使用效果進行臨床研究。人工智能（包括深度學(xué)習(xí)）技術(shù)可以應(yīng)用于醫(yī)療健康領(lǐng)域，提供輔助決策、健康咨詢、輔助提高健康醫(yī)療服務(wù)及健康保險理賠效率、質(zhì)量及專業(yè)水平，在產(chǎn)品研發(fā)和驗證階段，如果需要涉及患者及相應(yīng)群體的數(shù)據(jù)，本質(zhì)上也屬于臨床研究的范疇。GB／T39725—2020臨床研究主要涉及的相關(guān)方及其扮演的角色如下：a)臨床研究主要涉及的相關(guān)方有：1)申辦者：負責(zé)臨床研究的發(fā)起、管理和提供臨床研究財務(wù)支持的個人、組織或者機構(gòu)，例如：醫(yī)療機構(gòu)、學(xué)術(shù)研究機構(gòu)或健康醫(yī)療相關(guān)企業(yè)。2)臨床研究機構(gòu)：具有資質(zhì)的臨床試驗醫(yī)療機構(gòu)，例如：醫(yī)療機構(gòu)。3)研究者：在臨床研究機構(gòu)中負責(zé)實施臨床試驗的人。如果臨床研究機構(gòu)是由一組人員實施試驗的，則該組的負責(zé)人是研究者，也稱主要研究者，主要研究者在多中心臨床研究中負責(zé)協(xié)調(diào)參加各中心研究者工作。4)受試者：參加臨床研究，并作為研究用藥品或臨床研究的接受者，例如：患者、健康受試者。5)倫理委員會：由生物醫(yī)學(xué)領(lǐng)域和倫理學(xué)、法學(xué)、社會學(xué)等領(lǐng)域的專家和非本機構(gòu)的社會人士中遴選產(chǎn)生，人數(shù)不宜少于7人，并且宜有不同性別的委員；宜建立倫理審查工作制度或操作規(guī)程，保證倫理審查過程的獨立、客觀、公正。倫理委員會職責(zé)是保護受試者合法權(quán)益，維護受試者尊嚴，促進生物醫(yī)學(xué)研究規(guī)范開展。倫理委員會宜采取相關(guān)利益沖突防范機制，保證倫理審查工作的獨立性。6)監(jiān)查員：由申辦者任命并對申辦者負責(zé)的具備相關(guān)知識的人員，其任務(wù)是監(jiān)查和報告試驗的進行情況和核實數(shù)據(jù)。7)核查員：受申辦者委托對臨床試驗項目進行核查的人員。b)在不同類型的臨床研究中，相關(guān)方扮演的角色不同：1)對回顧性臨床研究而言，申辦者根據(jù)需要，從臨床研究機構(gòu)獲得既往數(shù)據(jù)從事醫(yī)藥／醫(yī)療產(chǎn)品和診療方案研究。在這個過程中，臨床研究機構(gòu)、申辦者共同承擔(dān)控制者的角色，受試者是主體。2)在前瞻性臨床研究過程中，申辦者和臨床研究機構(gòu)合作，根據(jù)具體研究目的，確認需要采集的數(shù)據(jù)類型，對采集的受試者醫(yī)療數(shù)據(jù)進行研究。在這個過程中申辦者和醫(yī)療機構(gòu)共同承擔(dān)控制者的角色，受試者是主體。3)在臨床路徑研究中，學(xué)術(shù)研究機構(gòu)或健康醫(yī)療相關(guān)企業(yè)和醫(yī)療機構(gòu)及相關(guān)醫(yī)護人員合作，收集了解醫(yī)療機構(gòu)的臨床路徑及醫(yī)護人員對臨床路徑的認識。在這個過程中，學(xué)術(shù)研究機構(gòu)或健康醫(yī)療相關(guān)企業(yè)扮演控制者的角色，相關(guān)醫(yī)護人員是主體。如果在該研究中，醫(yī)療機構(gòu)是發(fā)起者，醫(yī)療機構(gòu)也承擔(dān)控制者的角色。4)在產(chǎn)品上市后研究中，申辦者與臨床研究機構(gòu)合作，根據(jù)研究目的確認需要采集的數(shù)據(jù)類型，收集相關(guān)數(shù)據(jù)研究產(chǎn)品的質(zhì)量和治療／診斷效果。在這個過程中，申辦者和醫(yī)療機構(gòu)共同承擔(dān)控制者的角色，受試者是主體。5)在基于真實世界數(shù)據(jù)的臨床研究中，申辦者和臨床研究機構(gòu)合作，根據(jù)具體研究目的，從臨床研究機構(gòu)獲得醫(yī)療實踐中產(chǎn)生的受試者醫(yī)療數(shù)據(jù)進行研究。在這個過程中申辦者和醫(yī)療機構(gòu)共同承擔(dān)控制者的角色，受試者是主體。臨床研究涉及的數(shù)據(jù)可能包括但不限于人口統(tǒng)計信息、健康狀況數(shù)據(jù)、醫(yī)療應(yīng)用數(shù)據(jù)、醫(yī)療支付數(shù)據(jù)等。相關(guān)主管部門對基因數(shù)據(jù)的安全有專門規(guī)定，所以本標準不涉及基因數(shù)據(jù)安全。GB／T39725—2020任何涉及人的醫(yī)學(xué)研究都宜得到相應(yīng)倫理委員會的批準。對于符合免除知情同意的情況，可經(jīng)過倫理委員會批準后免除知情同意。同時鑒于新產(chǎn)品、新診療方案開發(fā)和產(chǎn)品實際質(zhì)量和有效性驗證的目的，在不影響科研目的的前提下，對數(shù)據(jù)實施去標識化處理。如需要追溯到個人的情況，宜按照相關(guān)法律法規(guī)和標準，例如《臨床試驗數(shù)據(jù)管理工作技術(shù)指南》和GB/T35273等，建立數(shù)據(jù)保密及患者隱私保護制度。臨床研究機構(gòu)和申辦者通過合同／協(xié)議等形式約定數(shù)據(jù)使用范圍，明確數(shù)據(jù)保密及隱私保護合同/協(xié)議雙方的責(zé)任和義務(wù)。臨床研究數(shù)據(jù)安全包括數(shù)據(jù)權(quán)限控制、個人信息去標識化、數(shù)據(jù)加密等，宜遵循醫(yī)療行業(yè)的倫理規(guī)范和網(wǎng)絡(luò)安全等級保護規(guī)范，僅使用所需的最小數(shù)據(jù)集，同時進行訪問審計。a)對不同權(quán)限用戶進行權(quán)限配置，不同角色不同科室的用戶可以查看不同范圍的內(nèi)容，提供業(yè)務(wù)所需最小數(shù)據(jù)集。各數(shù)據(jù)權(quán)限擁有不同的數(shù)據(jù)瀏覽與檢索權(quán)限，包括全院層級數(shù)據(jù)、科室層級數(shù)據(jù)、所在醫(yī)療組層級數(shù)據(jù)的瀏覽與檢索。b)對于病歷進行去標識化處理，保護患者隱私與信息安全。可選擇對患者的姓名、年齡、性別、手機號、身份證號、電話號碼、住址、家庭成員、職業(yè)等標識信息進行去標識化。c)對于數(shù)據(jù)導(dǎo)出有完整的審批流程并對審批記錄進行存檔、管理。d)遵循醫(yī)療行業(yè)的倫理規(guī)范和網(wǎng)絡(luò)安全等級保護規(guī)范，提供業(yè)務(wù)所需最小數(shù)據(jù)集，同時進行訪問審計。在正式研究開始之前，申辦者宜準備研究計劃，敘述研究目的合法性依據(jù)，包括：研究內(nèi)容、目的、涉及的數(shù)據(jù)類型、數(shù)據(jù)數(shù)量和預(yù)期結(jié)果，將研究計劃報相關(guān)醫(yī)療機構(gòu)的倫理委員會審批。涉及人類遺傳資源收集的，同時宜向有關(guān)部門申報批準。臨床研究原則上都需要受試者知情同意。對于研究型醫(yī)療機構(gòu)在患者就診時可以采用廣泛知情同方式，使患者授權(quán)其個人健康醫(yī)療數(shù)據(jù)在去標識化前提下用于未來的臨床研究中。對于臨床路徑研究，由于不涉及個人健康醫(yī)療數(shù)據(jù)，所以不需要獲得主體知情同意，也不需要得到倫理委員會批準。例外和豁免情況如下：a)臨床研究征得知情同意的例外：1)對于產(chǎn)品上市后研究，以驗證產(chǎn)品安全性和有效性為目的，在數(shù)據(jù)去標識化的前提下，相關(guān)申辦者不需要獲得受試者知情同意；2)申辦者出于公共利益開展統(tǒng)計或?qū)W術(shù)研究所必要，且其對外提供學(xué)術(shù)研究或描述的結(jié)果時，對結(jié)果中所包含的個人信息進行去標識化處理的，不需要獲得受試者知情同意。b)以下情況可以向倫理委員會申請知情同意豁免：1)受試者可能遭受的風(fēng)險不超過最低限度；2)豁免征得受試者的知情同意并不會對受試者的權(quán)益產(chǎn)生負面影響；3)對于回顧性研究，已無法追溯到患者，或獲取受試者知情同意代價太高，在數(shù)據(jù)去標識化的前提下，可以申請知情同意豁免；4)對于回顧性研究，主體已簽署知情同意書，范圍包含現(xiàn)有范圍，在數(shù)據(jù)去標識化的前提下，GB／T39725—2020可以申請知情同意豁免。臨床研究場景下，可分為公用數(shù)據(jù)集(PUF)、受限制數(shù)據(jù)集(LDS)、可標識數(shù)據(jù)集(RIF),分別對應(yīng)6.2中的第1級、第3級、第4級。PUF主要是匯總概要級的數(shù)據(jù)；LDS涉及患者級別的受保護數(shù)據(jù)，但身份標識數(shù)據(jù)被加密或泛化；RIF則包含患者的身份標識數(shù)據(jù)。隱私級別越高，對數(shù)據(jù)應(yīng)用范圍、用途要求越嚴格。臨床研究數(shù)據(jù)采集實施的原則：a)研究者或其指定的代表在數(shù)據(jù)收集之前要先確定元數(shù)據(jù)的格式和內(nèi)容，并對元數(shù)據(jù)有必要的描述信息；研究者或其指定的代表需要將所收集的數(shù)據(jù)內(nèi)容、用途、共享計劃或數(shù)據(jù)不共享說明提交給監(jiān)查員；監(jiān)查員需要確定所收集的健康醫(yī)療數(shù)據(jù)的責(zé)任人，并對其進行收編歸檔，如碰到人員調(diào)動等情況，需要及時變更數(shù)據(jù)的責(zé)任人。b)研究者或其指定的代表需與受試者簽署相關(guān)協(xié)議并說明有關(guān)臨床試驗的詳細情況：使受試者了解，參加試驗及在試驗中的個人數(shù)據(jù)均屬保密；倫理委員會、藥品監(jiān)督管理部門或申辦者在工作需要時，按規(guī)定可以查閱參加試驗的受試者資料等。c)數(shù)據(jù)可以通過多種方式進行接收，例如傳真、郵寄、可追蹤有保密措施的快遞、監(jiān)查員親手傳遞、網(wǎng)絡(luò)錄入或其他電子方式。數(shù)據(jù)接收過程宜有相應(yīng)記錄，以確認數(shù)據(jù)來源和數(shù)據(jù)是否已被接收。提交到健康醫(yī)療信息系統(tǒng)時宜保護受試者標識信息的安全性。數(shù)據(jù)錄入流程宜明確該試驗的數(shù)據(jù)錄入要求。一般使用的數(shù)據(jù)錄入方式包括：雙人雙份錄入、帶手工復(fù)查的單人錄入或直接采用電子數(shù)據(jù)采集(EDC)方式。采用EDC方式采集宜保證EDC軟件設(shè)計符合研究要求的安全規(guī)范，包含但不限于個人信息去標識化、數(shù)據(jù)加密等功能。d)臨床試驗受試者的個人隱私宜得到充分的保護，對基本人口學(xué)資料進行去標識化處理。個人隱私的保護措施在設(shè)計數(shù)據(jù)庫時就宜在技術(shù)層面考慮，在不影響數(shù)據(jù)的完整性和不違反臨床實驗質(zhì)量管理規(guī)范(GCP)的條件下盡可能不收集個人標識信息，例如數(shù)據(jù)庫不宜包括受試者的全名，而宜以特定代碼指代。主要涉及臨床研究機構(gòu)和申辦者之間的數(shù)據(jù)傳輸，宜采取以下安全措施保護數(shù)據(jù)：a)確定臨床研究數(shù)據(jù)的傳輸方法，包括但不限于：專線、互聯(lián)網(wǎng)線路、VPN等鏈路上，采用TLS、IPSEC等安全傳輸方式；若采用離線傳輸方式，例如：光盤、優(yōu)盤等可移動存儲介質(zhì)，數(shù)據(jù)宜加密，加密數(shù)據(jù)和密鑰分開存儲，宜有數(shù)據(jù)導(dǎo)入導(dǎo)出和介質(zhì)交接記錄。b)確保數(shù)據(jù)傳輸?shù)谋Ｃ苄?、完整性，宜采用密碼技術(shù)保證通信過程中敏感信息或整個數(shù)據(jù)集不被竊取、不被篡改。c)確保數(shù)據(jù)的完整性、有效性和正確性。在進行數(shù)據(jù)核查之前，宜列出詳細的數(shù)據(jù)核查計劃，數(shù)據(jù)核查包括但不限于以下內(nèi)容：確定原始數(shù)據(jù)被正確、完整地導(dǎo)入到數(shù)據(jù)庫中，檢查缺失數(shù)據(jù)，查找并刪除重復(fù)導(dǎo)入的數(shù)據(jù)，核對某些特定值的唯一性（例如受試者ID)。d)端口安全，不宜使用未通過審批的對外端口，不宜改變已經(jīng)審批通過的對外服務(wù)端口的服務(wù)。數(shù)據(jù)存儲類服務(wù)嚴禁對外開放端口。e)實施訪問控制，按照臨床研究電子系統(tǒng)的用戶身份及其歸屬的用戶組的身份來允許、限制或禁GB／T39725—2020止其對系統(tǒng)的登錄或使用，或?qū)ο到y(tǒng)中某項信息資源項的訪問、輸入、修改、瀏覽。原則上，患者知情同意書和患者代碼索引由醫(yī)療機構(gòu)保存，健康醫(yī)療相關(guān)企業(yè)只能獲得去標識化后的數(shù)據(jù)。數(shù)據(jù)存儲階段可采取的安全措施如下：a)建議臨床研究申辦者在數(shù)據(jù)存儲階段采取以下安全措施保護數(shù)據(jù)安全：1)如果患者知情同意書和患者代碼索引以紙質(zhì)形式記錄，宜在物理保存上加鎖，由專人負責(zé)；如果患者知情同意書和患者代碼索引以數(shù)字形式記錄，數(shù)據(jù)宜加密并建立訪問控制機制，加密數(shù)據(jù)和密鑰宜分別存儲；2)其他數(shù)據(jù)宜建立訪問控制機制，推薦使用加密機制，加密數(shù)據(jù)和密鑰宜分開存儲；3)宜對數(shù)據(jù)進行完整性驗證，保證數(shù)據(jù)的完整性及不被篡改；4)在研究結(jié)束后，宜對數(shù)據(jù)每5年做一次安全和使用審查，如果沒有必要繼續(xù)保存，需對處理；5)確保數(shù)據(jù)服務(wù)的可用性。制定數(shù)據(jù)備份及恢復(fù)策略，定期進行數(shù)據(jù)備份，建立介質(zhì)存取、驗證和轉(zhuǎn)儲管理制度。b)建議醫(yī)療機構(gòu)在數(shù)據(jù)存儲階段采取以下安全措施保護數(shù)據(jù)安全：1)通過密碼技術(shù)等方式實施完整性控制，確保健康醫(yī)療數(shù)據(jù)是準確的、完整的，并為其提供針對非法修改的保護機制；2)臨床試驗所有過程宜產(chǎn)生準確和完整的記錄，且清晰可讀，便于回顧，生成過程的數(shù)據(jù)（含元數(shù)據(jù)）與結(jié)果數(shù)據(jù)需歸檔保存，在回顧數(shù)據(jù)時，能夠從最后的結(jié)果追溯到原始數(shù)據(jù)；3)中間過程的數(shù)據(jù)宜以合適的方式例如版本升級等形式加以保存，不宜覆蓋原有過程記錄；4)宜制定數(shù)據(jù)備份及恢復(fù)策略，定期進行數(shù)據(jù)備份，建立介質(zhì)存取、驗證和轉(zhuǎn)儲管理制度，并按介質(zhì)特性對備份數(shù)據(jù)進行每年不少于1次的定期恢復(fù)的有效性驗證；5)對于公有云上的臨床研究信息共享系統(tǒng)，宜采取必要的驗證和加密處理，要對臨床研究信息共享系統(tǒng)進行訪問授權(quán)控制，確保數(shù)據(jù)訪問的安全性。宜對傳輸?shù)脚R床研究信息共享系統(tǒng)的數(shù)據(jù)進行加密存儲，同時宜確保臨床研究信息共享系統(tǒng)數(shù)據(jù)的災(zāi)備。對于院內(nèi)私有云存儲的數(shù)據(jù)，要通過網(wǎng)閘、網(wǎng)絡(luò)隔離等方式，保證院內(nèi)網(wǎng)絡(luò)環(huán)境與公網(wǎng)環(huán)境的隔離，并限制移動存儲設(shè)備（例如光盤、U盤）的使用。臨床研究數(shù)據(jù)使用時，宜采取以下措施：a)利用數(shù)據(jù)庫管理數(shù)據(jù)，宜確保數(shù)據(jù)管理過程可追溯。數(shù)據(jù)庫鎖定是為防止對數(shù)據(jù)庫文檔進行無意或未授權(quán)的更改，而取消數(shù)據(jù)庫編輯權(quán)限。數(shù)據(jù)庫鎖定過程和時間宜有明確的文檔記錄，對于盲法臨床試驗，數(shù)據(jù)庫鎖定后才可以揭盲。如果對數(shù)據(jù)庫鎖定和開鎖過程進行記錄和控制，數(shù)據(jù)庫開鎖的流程宜至少包括：通知項目團隊；給出要進行的更改內(nèi)容、更改原因以及更改日期；并由主要研究者、數(shù)據(jù)管理人員和統(tǒng)計分析師等人員共同簽署。b)第一次的數(shù)據(jù)錄入以及每一次的更改、刪除或增加，其稽查軌跡都宜保留在臨床研究數(shù)據(jù)庫系統(tǒng)中?；檐壽E宜包括更改的日期、時間、更改人、更改原因、更改前數(shù)據(jù)值、更改后數(shù)據(jù)值。此稽查軌跡宜被系統(tǒng)保護，不宜任何人為的修改和編輯?；檐壽E記錄宜存檔并可查詢。c)數(shù)據(jù)宜在去標識化后進行使用，宜支持患者信息去標識化設(shè)置，例如去除患者姓名、家庭地址、GB／T39725—2020身份證號、手機號碼、聯(lián)系人姓名、聯(lián)系人電話等。d)建立數(shù)據(jù)權(quán)限管理機制，包括授權(quán)查看、授權(quán)使用、可查看的數(shù)據(jù)、可使用的數(shù)據(jù)。e)臨床試驗中所有觀察結(jié)果和發(fā)現(xiàn)都宜加以核實，以保證數(shù)據(jù)的可靠性，確保臨床試驗中各項結(jié)論來源于原始數(shù)據(jù)。在數(shù)據(jù)處理的每一階段宜采取質(zhì)量控制，以保證所有數(shù)據(jù)的可靠性和數(shù)據(jù)處理的正確性。f)多中心試驗場景下數(shù)據(jù)宜實施集中管理與分析，并宜滿足數(shù)據(jù)傳輸安全各項條件。g)建立數(shù)據(jù)訪問控制機制，例如只有被授權(quán)的角色可以訪問被授權(quán)的數(shù)據(jù)對象。h)數(shù)據(jù)傳輸宜使用加密技術(shù)、身份驗證技術(shù)和數(shù)據(jù)完整性校驗技術(shù)保證數(shù)據(jù)以安全的方式傳輸給指定的對象。i)宜為主要研究者、數(shù)據(jù)管理員、統(tǒng)計分析師等不同角色的不同人員設(shè)置不同的賬號且賦予不同的權(quán)限。研究者或相應(yīng)研究機構(gòu)在對數(shù)據(jù)進行發(fā)布和共享的時候，宜：a)對健康醫(yī)療數(shù)據(jù)形成共享說明，包括：數(shù)據(jù)限制性訪問說明、隱私及保密協(xié)議說明、科研數(shù)據(jù)用途說明等。b)搭建科研數(shù)據(jù)共享平臺，對不同級別的數(shù)據(jù)進行評估，確定不同的共享規(guī)范和訪權(quán)限。c)對共享和發(fā)布的健康醫(yī)療數(shù)據(jù)建立可溯源體系，做到可以分析審計跟蹤溯源數(shù)據(jù)。d)對數(shù)據(jù)的利用、存儲、傳輸、訪問控制等要遵守共享說明或相關(guān)合同的規(guī)定。e)政府預(yù)算資金資助形成的科研數(shù)據(jù)按照開放為常態(tài)、不開放為例外的原則，由主管部門組織編制科學(xué)數(shù)據(jù)資源目錄，有關(guān)目錄和數(shù)據(jù)宜及時接入國家數(shù)據(jù)共享交換平臺，面向社會和相關(guān)部門開放共享。國家法律法規(guī)有特殊規(guī)定的除外。f)對于公益性科學(xué)研究需要使用的科研數(shù)據(jù)，研究者宜無償提供。確需收費的，宜按照規(guī)定程序和非營利原則制定合理的收費標準，向社會公布并接受監(jiān)督。對于因經(jīng)營性活動需要使用科研數(shù)據(jù)的，當(dāng)事人雙方宜簽訂有償服務(wù)合同，明確雙方的權(quán)利和義務(wù)。g)科研數(shù)據(jù)的使用者宜遵守知識產(chǎn)權(quán)相關(guān)規(guī)定，在論文發(fā)表、專利申請、專著出版等工作中注明使用和參考引用的科研數(shù)據(jù)。臨床研究數(shù)據(jù)使用宜采取如下審計措施：b)任何操作，包括登錄、創(chuàng)建、修改和刪除記錄的行為，都宜自動生成帶有時間標記的審計記錄，包括但不限于修改時間、修改原因、修改內(nèi)容、修改人及簽名等信息，并可供審計；c)宜制定和部署健康醫(yī)療信息系統(tǒng)活動審計政策，重點對健康醫(yī)療數(shù)據(jù)的訪問及操作的合規(guī)性進行審計，確定必要的審計控制范圍和需要審計的數(shù)據(jù)；d)宜制定適當(dāng)?shù)臉藴什僮髁鞒?，確定異常報告所需的審計跟蹤數(shù)據(jù)和監(jiān)視程序的類型；e)審計記錄宜安全存儲并實施訪問控制，只允許授權(quán)人員能夠查看相關(guān)記錄，保存的內(nèi)容需反映臨床醫(yī)學(xué)研究整個過程。GB／T39725—2020適用于第三方（政府部門、科研人員、企業(yè)等）出于非營利性目的申請對健康醫(yī)療數(shù)據(jù)的二次利用（使用目的與數(shù)據(jù)被收集時的使用目的不同涉及數(shù)據(jù)量大，包含可識別身份的信息，但無法聯(lián)系主體或聯(lián)系主體成本過高的情況。用于提供醫(yī)療、醫(yī)療費用支付等為患者本人服務(wù)或其他法律法規(guī)規(guī)定的數(shù)據(jù)使用和臨床研究數(shù)據(jù)使用不在此范圍。涉及的相關(guān)方包括數(shù)據(jù)匯聚中心和第三方，其中數(shù)據(jù)匯聚中心（醫(yī)療機構(gòu)、區(qū)域衛(wèi)生信息平臺、醫(yī)聯(lián)體、學(xué)術(shù)平臺等）為控制者，第三方為使用者?？刂普咭嗣鞔_數(shù)據(jù)資源目錄，并提供數(shù)據(jù)描述，展示可供二次利用的數(shù)據(jù)資源及申請信息，包括數(shù)據(jù)信息（變量、樣本量、年份）、申請條件與范圍、數(shù)據(jù)清洗處理成本、數(shù)據(jù)使用要求與責(zé)任，并提供少量樣本數(shù)據(jù)或修飾后數(shù)據(jù)下載。對于生物組學(xué)數(shù)據(jù)，根據(jù)組學(xué)類型的不同，制作不同的數(shù)據(jù)包?？刂普咭诉M行數(shù)據(jù)分類分級，并標簽化，同時可以按隱私級別分為三大類，包括無標識數(shù)據(jù)集、受限制數(shù)據(jù)集以及可標識數(shù)據(jù)集，分別對應(yīng)6.2的第2級、第3級、第4級。無標識數(shù)據(jù)集主要是匯總概要級的信息，例如年度某疾病的統(tǒng)計數(shù)等群體數(shù)據(jù)；受限制數(shù)據(jù)集涉及患者級別的受保護信息，但身份標識符被刪除、加密或泛化；可標識數(shù)據(jù)集則包含患者的身份識別信息，例如部分研究需要使用患者的地址、戶籍類型、基因組學(xué)數(shù)據(jù)提供的基因型信息等。對于隱私級別越高以及可能會給主體造成的影響和損害越大或者是可能會影響國家安全或公共安全的數(shù)據(jù)集，相應(yīng)的申請者資質(zhì)要求、申請流程、審批程序也宜更嚴格。控制者宜對數(shù)據(jù)申請者的身份進行限制。例如科研目的的使用，限定申請者為研究人員（有一定級別的課題支撐）、在其研究領(lǐng)域有豐富經(jīng)驗和專業(yè)知識（有相應(yīng)職稱及高水平論著支撐）、社會信用達到A級等。對申請渠道進行限制。建議以單位的名義申請，單位宜提前做好審核工作，申請者需提供單位審核意見，需單位負責(zé)人簽字蓋章等?？刂普咭艘?guī)范數(shù)據(jù)使用的目的，僅可用于非營利性目的，包括科學(xué)研究、數(shù)據(jù)創(chuàng)新大賽、人工智能大賽等。如對于科學(xué)研究目的，申請者宜有一定級別的課題立項，且課題符合倫理，申請?zhí)崛〉臄?shù)據(jù)內(nèi)容宜與研究主題緊密相關(guān)，滿足最少必要原則?？刂普哂斜匾獙ι暾埲说臍v史申請記錄進行核查，防止數(shù)據(jù)分批分期泄露。控制者宜成立數(shù)據(jù)安全委員會（或第三方獨立審批審批人員宜專業(yè)，構(gòu)成合理。建議建立審批專家?guī)?，專家按專業(yè)隨機抽取。制定數(shù)據(jù)安全委員會章程、數(shù)據(jù)審批流程，每次審批數(shù)據(jù)有審核記錄，并對敏感數(shù)據(jù)的審批情況進行審計，定期開會總結(jié)審批合理性。宜制定科學(xué)、定性或定量的數(shù)據(jù)申請審批判別指標。例如可依據(jù)表8示例進行考量，制定數(shù)據(jù)審批評分表。GB／T39725—2020表8數(shù)據(jù)審批判別指標示例維度判別指標舉例合法性、正當(dāng)性是否符合相關(guān)法規(guī)要求數(shù)據(jù)申請與數(shù)據(jù)需求一致性數(shù)據(jù)使用中是否會應(yīng)用所申請的數(shù)據(jù)，控制超范圍申請，保障最少必要的數(shù)據(jù)需要數(shù)據(jù)使用價值數(shù)據(jù)本身價值（數(shù)據(jù)量、涉及病種等）、數(shù)據(jù)應(yīng)用價值（社會效益等）數(shù)據(jù)泄漏風(fēng)險影響人數(shù)、涉及病種、患者損失等提供數(shù)據(jù)成本提取、清洗、去標識化、傳遞所耗費的人力物力等結(jié)合數(shù)據(jù)申請者需求，宜對數(shù)據(jù)進行相應(yīng)的去標識化工作，完成后進行重標識檢測。需要注意審查實際開展去標識化等具體工作團隊的資質(zhì)。制定保護患者隱私的去標識化規(guī)則，例如定義姓名等標識符。需滿足最小計數(shù)原則，例如去標識化后滿足相同描述的人數(shù)不少于5,如果某醫(yī)院本年度診斷為宮頸癌的患者僅4名，計數(shù)小于5,則“宮頸癌”需泛化。傳輸前，控制者與申請者需簽署數(shù)據(jù)使用協(xié)議，約定雙方權(quán)責(zé)、申請者對數(shù)據(jù)的保護措施或策略、數(shù)據(jù)泄露的應(yīng)急方案、數(shù)據(jù)使用期限等。不同級別數(shù)據(jù)的傳遞方式不同，無標識數(shù)據(jù)集可采取加密郵件、加密USB或其他可移動設(shè)備（僅特定電腦可使用）等方式。受限制數(shù)據(jù)集和可標識數(shù)據(jù)集由于涉及患者部分個人標識信息，可采取數(shù)據(jù)本地操作、虛擬桌面遠程訪問（在該系統(tǒng)進行分析，僅審批下載統(tǒng)計分析結(jié)果）、數(shù)據(jù)沙箱等方式。申請者在數(shù)據(jù)使用結(jié)束后書面通知控制者，在約定的使用期限后30天內(nèi)銷毀，并提供銷毀的書面證明，數(shù)據(jù)使用衍生結(jié)果公開發(fā)表需注明數(shù)據(jù)來源于控制者?？刂普邔?shù)據(jù)銷毀情況作核查。健康傳感數(shù)據(jù)是指通過健康傳感器采集的，在軟件支持下感知、記錄、分析，與被采集者健康狀況相關(guān)的，應(yīng)用于醫(yī)療服務(wù)和健康生活的一切數(shù)據(jù)。例如：監(jiān)測診療數(shù)據(jù)（血氧飽和度、血壓、血糖、心率、睡眠行為情緒數(shù)據(jù)（跑步距離、行走軌跡、步數(shù)、消耗能量、鍛煉時長環(huán)境數(shù)據(jù)（紫外線指數(shù)、污染指數(shù)、涉及的相關(guān)方包括個人、醫(yī)療機構(gòu)、醫(yī)保機構(gòu)、商業(yè)保險公司、健康服務(wù)企業(yè)、信息系統(tǒng)服務(wù)商等。a)主體：佩戴健康傳感設(shè)備的人員。b)控制者：使用健康傳感設(shè)備采集健康醫(yī)療數(shù)據(jù)的機構(gòu)包括但不限于醫(yī)療機構(gòu)、醫(yī)保機構(gòu)、健康服務(wù)企業(yè)。c)處理者：為控制者提供服務(wù)的機構(gòu)，包括但不限于信息系統(tǒng)服務(wù)商。GB／T39725—2020在隱私保護方面：a)使用和披露健康傳感數(shù)據(jù)宜征得主體同意；b)健康傳感數(shù)據(jù)集成之后宜向主體說明應(yīng)用目的和共享對象。在數(shù)據(jù)采集方面：a)健康傳感設(shè)備宜支持用戶認證，確保合法的控制和使用健康傳感設(shè)備，用戶認證手段包括但不限于虹膜識別、指紋識別、密碼技術(shù)。b)采集控制措施，用戶可開啟或關(guān)閉數(shù)據(jù)采集，可選擇上傳的內(nèi)容。c)如果健康傳感設(shè)備通過網(wǎng)絡(luò)向終端應(yīng)用傳輸采集的健康數(shù)據(jù)，宜支持節(jié)點認證機制。宜采用校驗技術(shù)或密碼技術(shù)保證個人健康醫(yī)療數(shù)據(jù)在傳輸過程中的保密