醫(yī)療健康個(gè)人信息保護(hù)規(guī)范

ICS35.240.99醫(yī)療健康個(gè)人信息保護(hù)規(guī)范MedicalandHealthPersonalInformationProtectionStandards廣東省計(jì)算機(jī)信息網(wǎng)絡(luò)安全協(xié)會(huì)發(fā)布IT/GDNS007-2023前言 2規(guī)范性引用文件 3術(shù)語和定義 24縮略語 55醫(yī)療健康個(gè)人信息保護(hù)原則 56醫(yī)療健康個(gè)人信息保護(hù)安全目標(biāo) 67醫(yī)療健康個(gè)人信息保護(hù)基本安全要求 67.1醫(yī)療健康個(gè)人信息保護(hù)崗位責(zé)任制 77.2醫(yī)療健康個(gè)人信息保護(hù)管理要求 87.3人員管理 107.4醫(yī)療健康個(gè)人信息收集 137.5醫(yī)療健康個(gè)人信息傳輸 147.6醫(yī)療健康個(gè)人信息存儲(chǔ) 147.7醫(yī)療健康個(gè)人信息處理 157.8醫(yī)療健康個(gè)人信息主體權(quán)利 18 參考文獻(xiàn) IT/GDNS007-2023前言本標(biāo)準(zhǔn)按照GB/T1.1—2020《標(biāo)準(zhǔn)化工作導(dǎo)則第1部分：標(biāo)準(zhǔn)化文件的結(jié)構(gòu)和起草規(guī)則》要求編本標(biāo)準(zhǔn)由廣東省計(jì)算機(jī)信息網(wǎng)絡(luò)安全協(xié)會(huì)提出并歸口。本標(biāo)準(zhǔn)起草單位：廣東省計(jì)算機(jī)信息網(wǎng)絡(luò)安全協(xié)會(huì)、廣東省人民醫(yī)院、江門市中心醫(yī)院、中山大學(xué)附屬第一醫(yī)院、南方醫(yī)科大學(xué)南方醫(yī)院、南方醫(yī)科大學(xué)第三附屬醫(yī)院、南方醫(yī)科大學(xué)珠江醫(yī)院、南方醫(yī)科大學(xué)順德醫(yī)院、中山大學(xué)附屬第三醫(yī)院、中山大學(xué)附屬第三醫(yī)院肇慶醫(yī)院、暨南大學(xué)、網(wǎng)絡(luò)安全檢測(cè)與防護(hù)技術(shù)國家地方聯(lián)合工程研究中心、中山大學(xué)附屬第五醫(yī)院、中山大學(xué)附屬第六醫(yī)院、中山大學(xué)附屬第八醫(yī)院、中山大學(xué)附屬口腔醫(yī)院、中山大學(xué)孫逸仙紀(jì)念醫(yī)院、中山大學(xué)附屬腫瘤醫(yī)院、廣州醫(yī)科大學(xué)附屬第一醫(yī)院、廣州醫(yī)科大學(xué)附屬第二醫(yī)院、廣州醫(yī)科大學(xué)附屬第三醫(yī)院、廣州醫(yī)科大學(xué)附屬口腔醫(yī)院、廣州醫(yī)科大學(xué)附屬第五醫(yī)院、南部戰(zhàn)區(qū)總院、廣東藥科大學(xué)附屬第一醫(yī)院、廣州市番禺區(qū)中心醫(yī)院、廣州市番禺區(qū)何賢紀(jì)念醫(yī)院、東莞市第六人民醫(yī)院、佛山市婦幼保健院、肇慶市第一人民醫(yī)院、清遠(yuǎn)市人民醫(yī)院、中山市人民醫(yī)院、香港大學(xué)深圳醫(yī)院、粵北人民醫(yī)院、梅州市人民醫(yī)院、汕頭市中心醫(yī)院、東莞市濱海灣中心醫(yī)院、連州市醫(yī)療總院、陸豐市人民醫(yī)院、江門市新會(huì)區(qū)中醫(yī)院、香港中文大學(xué)（深圳）醫(yī)學(xué)院、粵北第二人民醫(yī)院、順德區(qū)第三人民醫(yī)院、清遠(yuǎn)市中醫(yī)院、茂名市人民醫(yī)院、韶關(guān)市婦幼保健院、廣州番禺職業(yè)技術(shù)學(xué)院、廣州科技貿(mào)易職業(yè)學(xué)院、廣州星鼎網(wǎng)絡(luò)科技有限公司、杭州安恒信息技術(shù)股份有限公司、深圳市龍華區(qū)衛(wèi)生健康局信息中心、東莞市衛(wèi)生統(tǒng)計(jì)信息中心、深圳市龍崗區(qū)政務(wù)服務(wù)數(shù)據(jù)管理局、廣州競(jìng)遠(yuǎn)安全技術(shù)股份有限公司、深圳觀安信息技術(shù)有限公司、深圳市網(wǎng)安計(jì)算機(jī)安全檢測(cè)技術(shù)有限公司、廣東北源律師事務(wù)所、廣東珠江智聯(lián)信息科技股份有限公司、廣東創(chuàng)醫(yī)元信息技術(shù)有限公司、珠海慧港信息技術(shù)有限公司、北京鼎世律師事務(wù)所、北京數(shù)字認(rèn)證股份有限公司、中移互聯(lián)網(wǎng)有限公司、江蘇金盾檢測(cè)技術(shù)股份有限公司、深信服科技股份有限公司、奇安信安全技術(shù)（廣東）有限公司、廣州盛揚(yáng)信息科技有限公司、中科匯能科技有限公司、廣州理想資訊科技有限公司、深圳市易聆科信息技術(shù)股份有限公司。本標(biāo)準(zhǔn)起草人：楊洋、郝黎、李迎新、余俊蓉、嚴(yán)靜東、張家慶、張巍、郭揚(yáng)帆、銀琳、范年豐、裴廷睿、魏林鋒、李明、周欣、周郵、陳浩、高峰、羅敏、蘇悅洪、陳智、楊廣黔、代科偉、張亮鳴、李斌、趙霞、林嘉楠、蘇榕彬、何耀德、何穎新、熊勁光、馬麗明、鐘志耕、鄧聯(lián)丙、藍(lán)懷仁、龐勤、廖茂成、葉欣、邱揚(yáng)、涂華、鄧意恒、陳招俊、伍毅強(qiáng)、黃遠(yuǎn)湖、吳鼎寧、鄭華國、高國靜、李衛(wèi)昌、黃玉龍、王偉、田鈞、嚴(yán)曉明、鄧曉暉、潘天祥、陳永輝、吳龍、張芳健、劉翰騰、曾藝、林貞煒、陳錦鉅、李玄、呂文財(cái)、曾帥、陳廣、陳惠城、林敬揚(yáng)、彭世強(qiáng)、王東、李麗萍、植呂梅、譚鑫、孔文威、韓柳、龐理鵬、駱啟宏、徐露露、高陽、蘇偉鈞、任重遠(yuǎn)、王君、鄧郁昌、黃能紋、歐陽雪源、苗喜武。本標(biāo)準(zhǔn)為首次發(fā)布。T/GDNS007-2023《中華人民共和國個(gè)人信息保護(hù)法》于2021年11月1日起正式施行，這標(biāo)志著我國個(gè)人信息保護(hù)立法體系進(jìn)入新的階段，個(gè)人醫(yī)療健康信息作為敏感個(gè)人信息更是保護(hù)對(duì)象的重中之重。醫(yī)療行業(yè)中公共衛(wèi)生、臨床服務(wù)、醫(yī)學(xué)研究等領(lǐng)域產(chǎn)生的醫(yī)療數(shù)據(jù)中包含著大量醫(yī)療健康個(gè)人信息，對(duì)于醫(yī)療健康個(gè)人信息安全應(yīng)予以高度重視，患者個(gè)人隱私數(shù)據(jù)泄露等數(shù)據(jù)安全隱患已成為國家和媒體關(guān)注的重要社會(huì)焦點(diǎn)問題。加強(qiáng)醫(yī)療健康個(gè)人信息技術(shù)和管理監(jiān)管，是醫(yī)療健康大數(shù)據(jù)安全應(yīng)用和發(fā)展必不可少的一環(huán)。醫(yī)療健康機(jī)構(gòu)（包括醫(yī)療美容機(jī)構(gòu)、養(yǎng)老機(jī)構(gòu)內(nèi)設(shè)醫(yī)療機(jī)構(gòu)）是醫(yī)療數(shù)據(jù)匯集、形成中心，也是醫(yī)療數(shù)據(jù)主要控制者。它的數(shù)據(jù)操作模式，從信息收集、存儲(chǔ)，到使用、傳輸，都直接影響著對(duì)醫(yī)療健康個(gè)人信息的保護(hù)。近年來互聯(lián)網(wǎng)醫(yī)療企業(yè)蓬勃發(fā)展，更凸顯出醫(yī)療健康機(jī)構(gòu)數(shù)據(jù)合規(guī)建設(shè)、個(gè)人醫(yī)療健康信息保護(hù)的重要性。有鑒于此，為指導(dǎo)醫(yī)療健康機(jī)構(gòu)建立健全公民醫(yī)療健康個(gè)人信息保護(hù)管理制度和技術(shù)措施，有效防范侵犯公民醫(yī)療健康個(gè)人信息違法行為，保障公民醫(yī)療健康個(gè)人信息數(shù)據(jù)安全和公民合法權(quán)益，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個(gè)人信息保護(hù)法》等法律法規(guī)要求，參照專業(yè)領(lǐng)域規(guī)章、信息安全規(guī)范標(biāo)準(zhǔn)以及技術(shù)標(biāo)準(zhǔn)，為促進(jìn)醫(yī)療健康個(gè)人信息安全，提升健康個(gè)人信息安全對(duì)健康衛(wèi)生事業(yè)和個(gè)人生命健康權(quán)益優(yōu)化效益，為醫(yī)療健康個(gè)人信息安全應(yīng)用中國家安全、社會(huì)公共利益與個(gè)人隱私及相關(guān)信息權(quán)益提供更高層次的保障，特制定本標(biāo)準(zhǔn)。本標(biāo)準(zhǔn)主要為醫(yī)療健康個(gè)人信息保護(hù)提供合規(guī)實(shí)踐指引，如有未盡事項(xiàng)，或相關(guān)事項(xiàng)因立法、法律修改等事由在法律法規(guī)等規(guī)范文件中另有規(guī)定的，應(yīng)依法遵循相關(guān)法律法規(guī)規(guī)定。1T/GDNS007-2023醫(yī)療健康個(gè)人信息保護(hù)規(guī)范本標(biāo)準(zhǔn)確立了醫(yī)療健康個(gè)人信息保護(hù)的總體原則和目標(biāo)，給出了醫(yī)療健康個(gè)人信息保護(hù)的規(guī)范指引，規(guī)定了醫(yī)療健康個(gè)人信息服務(wù)的收集、傳輸、存儲(chǔ)、使用、共享、轉(zhuǎn)讓、公開披露等數(shù)據(jù)處理活動(dòng)的安全管理機(jī)制和安全技術(shù)措施。本標(biāo)準(zhǔn)適用于醫(yī)療健康個(gè)人信息處理者規(guī)范醫(yī)療健康個(gè)人信息處理活動(dòng)，同時(shí)可供醫(yī)療健康機(jī)構(gòu)、相關(guān)主管部門以及第三方評(píng)估機(jī)構(gòu)等組織開展醫(yī)療健康個(gè)人信息的安全監(jiān)督管理與評(píng)估工作參考。2規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。中華人民共和國民法典中華人民共和國網(wǎng)絡(luò)安全法中華人民共和國數(shù)據(jù)安全法中華人民共和國個(gè)人信息保護(hù)法國家醫(yī)療健康信息醫(yī)院信息互聯(lián)互通標(biāo)準(zhǔn)化成熟度測(cè)評(píng)方案（2020年版）全國醫(yī)院信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范（試行）GB/T50174-2017數(shù)據(jù)中心設(shè)計(jì)規(guī)范GB/T22081-2016信息技術(shù)安全技術(shù)信息安全控制實(shí)踐指南GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求GB/T25070-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求GB/T28448-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求GB/T25069-2022信息安全技術(shù)術(shù)語GB/T35273-2020信息安全技術(shù)個(gè)人信息安全規(guī)范2T/GDNS007-2023GB/T35274-2017信息安全技術(shù)大數(shù)據(jù)服務(wù)安全能力要求GB/T37964-2019信息安全技術(shù)個(gè)人信息去標(biāo)識(shí)化指南GB/T42460-2023信息安全技術(shù)個(gè)人信息去標(biāo)識(shí)化效果評(píng)估指南GB/T39725-2020信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南GB/T41391-2022信息安全技術(shù)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）收集個(gè)人信息基本要求GB/T42582-2023信息安全技術(shù)移動(dòng)互聯(lián)網(wǎng)應(yīng)用程序（App）個(gè)人信息安全測(cè)評(píng)規(guī)范GB/T42888-2023信息安全技術(shù)機(jī)器學(xué)習(xí)算法安全評(píng)估規(guī)范GB/T41817-2022信息安全技術(shù)個(gè)人信息安全工程指南GB/T39335-2020信息安全技術(shù)個(gè)人信息安全影響評(píng)估指南GB/T42574-2023信息安全技術(shù)個(gè)人信息處理中告知和同意的實(shí)施指南3術(shù)語和定義個(gè)人信息personalinformation個(gè)人信息是以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識(shí)別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號(hào)碼、生物識(shí)別信息、住址、電話號(hào)碼、電子郵箱、健康信息、行蹤信息等。[來源：中華人民共和國民法典第一千零三十四條]敏感個(gè)人信息sensitivepersonalinformation敏感個(gè)人信息是一旦泄露或者非法使用，容易導(dǎo)致自然人的人格尊嚴(yán)受到侵害或者人身、財(cái)產(chǎn)安全受到危害的個(gè)人信息，包括生物識(shí)別、宗教信仰、特定身份、醫(yī)療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個(gè)人信息。只有在具有特定的目的和充分的必要性，并采取嚴(yán)格保護(hù)措施的情形下，個(gè)人信息處理者方可處理敏感個(gè)人信息。[來源：中華人民共和國個(gè)人信息保護(hù)法第二十八條]個(gè)人信息主體personalinformationsubject個(gè)人信息所標(biāo)識(shí)或者關(guān)聯(lián)的自然人。[來源：GB/T35273-2020]醫(yī)療健康個(gè)人信息處理者medicalandhealthpersonalinformationprocessors3T/GDNS007-2023有能力決定醫(yī)療健康個(gè)人信息處理目的、方式等的組織或個(gè)人。個(gè)人醫(yī)療健康數(shù)據(jù)personalhealthdata單獨(dú)或者與其他信息結(jié)合后能夠識(shí)別特定自然人或者反映特定自然人生理或心理健康的相關(guān)電子數(shù)據(jù)。[來源：GB/T39725-2020]醫(yī)療健康數(shù)據(jù)healthdata個(gè)人醫(yī)療健康數(shù)據(jù)以及由個(gè)人醫(yī)療健康數(shù)據(jù)加工處理之后得到的醫(yī)療健康相關(guān)電子數(shù)據(jù)。[來源：GB∕T39725-2020]醫(yī)療健康服務(wù)healthservice由醫(yī)療健康專業(yè)人員或?qū)I(yè)輔助人員提供的對(duì)健康狀況有影響的服務(wù)。[來源：GB∕T39725-2020]醫(yī)療健康信息系統(tǒng)healthinformationsystem以計(jì)算機(jī)可處理的形式采集、存儲(chǔ)、處理、傳輸、訪問、刪除醫(yī)療健康數(shù)據(jù)的系統(tǒng)。[來源：GB∕T39725-2020]收集collect獲得個(gè)人信息的控制權(quán)的行為。[來源：GB/T35273-2020]明示同意explicitconsent個(gè)人信息主體通過書面、口頭等方式主動(dòng)作出紙質(zhì)或電子形式的聲明，或者自主作出肯定性動(dòng)作，對(duì)其個(gè)人信息進(jìn)行特定處理作出明確授權(quán)的行為。[來源：GB/T35273-2020]授權(quán)同意consent個(gè)人信息主體對(duì)其個(gè)人信息進(jìn)行特定處理作出明確授權(quán)的行為。4T/GDNS007-2023[來源：GB/T35273-2020]用戶畫像userprofiling通過收集、匯聚、分析個(gè)人信息，對(duì)某特定自然人個(gè)人特征，如職業(yè)、經(jīng)濟(jì)、健康、教育、個(gè)人喜好、信用、行為等方面做出分析或預(yù)測(cè)，形成其個(gè)人特征模型的過程。[來源：GB/T35273-2020]個(gè)人信息安全影響評(píng)估personalinformationsecurityimpactassessment針對(duì)個(gè)人信息處理活動(dòng)，檢驗(yàn)其合法合規(guī)程度，判斷其對(duì)個(gè)人信息主體合法權(quán)益造成損害的各種風(fēng)險(xiǎn)，以及評(píng)估用于保護(hù)個(gè)人信息主體的各項(xiàng)措施有效性的過程。[來源：GB/T35273-2020]刪除delete在實(shí)現(xiàn)日常業(yè)務(wù)功能所涉及的系統(tǒng)中去除個(gè)人信息的行為，使其保持不可被檢索、訪問的狀態(tài)。[來源：GB/T35273-2020]公開披露publicdisclosure向社會(huì)或不特定人群發(fā)布信息的行為。[來源：GB/T35273-2020]轉(zhuǎn)讓transferofcontrol將個(gè)人信息控制權(quán)由一個(gè)控制者向另一個(gè)控制者轉(zhuǎn)移的過程。[來源：GB/T35273-2020]共享sharing個(gè)人信息控制者向其他控制者提供個(gè)人信息，且雙方分別對(duì)個(gè)人信息擁有獨(dú)立控制權(quán)的過程。[來源：GB/T35273-2020]匿名化anonymization通過對(duì)個(gè)人信息的技術(shù)處理，使得個(gè)人信息主體無法被識(shí)別或者關(guān)聯(lián)，且處理后的信息不能被復(fù)原的過程。[來源：GB/T35273-2020]5T/GDNS007-2023去標(biāo)識(shí)化de-identification通過對(duì)個(gè)人信息的技術(shù)處理，使其在不借助額外信息的情況下，無法識(shí)別或者關(guān)聯(lián)個(gè)人信息主體的過程。[來源：GB/T35273-2020]個(gè)性化展示personalizeddisplay基于特定個(gè)人信息主體的網(wǎng)絡(luò)瀏覽歷史、興趣愛好、消費(fèi)記錄和習(xí)慣等個(gè)人信息，向該個(gè)人信息主體展示信息內(nèi)容、提供商品或服務(wù)的搜索結(jié)果等活動(dòng)。[來源：GB/T35273-2020]業(yè)務(wù)功能businessfunction滿足醫(yī)療健康個(gè)人信息主體的具體使用需求的服務(wù)類型。數(shù)據(jù)脫敏datadesensitization通過一系列數(shù)據(jù)處理方法對(duì)原始數(shù)據(jù)進(jìn)行處理以屏蔽敏感數(shù)據(jù)的一種數(shù)據(jù)保護(hù)方法。[GB/T37988—2019]合規(guī)compliance對(duì)數(shù)據(jù)安全所適用的法律法規(guī)的符合程度。[GB/T37988—2019]4縮略語下列縮略語適用于本文件。APP：應(yīng)用（Application）ID：身份標(biāo)識(shí)（Identity）GPS：全球定位系統(tǒng)（GlobalPositioningSystem）5醫(yī)療健康個(gè)人信息保護(hù)原則a.合法依規(guī)原則：獲取信息的行為應(yīng)保證其合法性、合理性、必要性以及應(yīng)得到信息主體明示同6T/GDNS007-2023意。對(duì)于用戶醫(yī)療健康個(gè)人信息獲取、使用以及存儲(chǔ)必須先得到用戶本人的同意，并且必須在法律法規(guī)、技術(shù)規(guī)范的范圍之內(nèi)操作。b.權(quán)利保護(hù)原則：醫(yī)療健康機(jī)構(gòu)應(yīng)當(dāng)尊重用戶的隱私權(quán)、知情權(quán)、控制權(quán)和取消權(quán)、修改權(quán)和刪除權(quán)，保障用戶隱私自由，尤其是在涉及用戶敏感信息或涉及用戶疑似侵犯?jìng)€(gè)人權(quán)利時(shí)，應(yīng)當(dāng)始終關(guān)注用戶醫(yī)療健康個(gè)人信息權(quán)益保護(hù)。c.目的透明原則：在進(jìn)行醫(yī)療健康個(gè)人數(shù)據(jù)收集時(shí)，醫(yī)療健康機(jī)構(gòu)必須事先向用戶明確告知收集信息的目的、用途和范圍等內(nèi)容，并且保障醫(yī)療健康個(gè)人信息不被濫用。告示信息的收集目的，有利于雙方達(dá)成共識(shí)，增強(qiáng)彼此之間的信任。d.細(xì)化管理原則：醫(yī)療健康機(jī)構(gòu)應(yīng)當(dāng)建立完善的管理制度，并嚴(yán)格執(zhí)行各項(xiàng)規(guī)定，確保醫(yī)療健康個(gè)人信息不被外泄和濫用，從而保障用戶信息的安全。這種管理制度不僅包括整個(gè)數(shù)據(jù)采集過程，也包括傳輸、存儲(chǔ)、使用和加工等。e.信息最小化原則：醫(yī)療健康機(jī)構(gòu)管理醫(yī)療健康個(gè)人信息收集時(shí)，應(yīng)以最少原則為前提，避免收集過多不必要信息，不應(yīng)收集與其業(yè)務(wù)無關(guān)的信息。醫(yī)療健康機(jī)構(gòu)處理醫(yī)療健康個(gè)人信息應(yīng)當(dāng)具有明確、合理目的，并應(yīng)當(dāng)與處理目的直接相關(guān)，采取對(duì)個(gè)人權(quán)益影響最小的方式。f.安全保障原則：醫(yī)療健康機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)技術(shù)安全保障，宜對(duì)收集的醫(yī)療健康個(gè)人信息進(jìn)行加密處理，以防止不法分子通過網(wǎng)絡(luò)攻擊等手段獲取用戶醫(yī)療健康個(gè)人信息，其數(shù)據(jù)存儲(chǔ)宜經(jīng)過數(shù)據(jù)存儲(chǔ)相關(guān)安全管理體系資格認(rèn)證。6醫(yī)療健康個(gè)人信息保護(hù)安全目標(biāo)醫(yī)療健康個(gè)人信息的控制者應(yīng)采取合理和適當(dāng)?shù)墓芾砼c技術(shù)保障措施，以達(dá)到以下目標(biāo)：a.確保醫(yī)療健康個(gè)人信息的保密性、完整性和可用性。b.確保醫(yī)療健康個(gè)人信息使用和披露過程的合法性和合規(guī)性，保護(hù)醫(yī)療健康個(gè)人信息安全、公眾利益和國家安全。c.確保醫(yī)療健康個(gè)人信息在符合上述安全要求的前提下滿足業(yè)務(wù)發(fā)展需求。7醫(yī)療健康個(gè)人信息保護(hù)基本安全要求7T/GDNS007-20237.1醫(yī)療健康個(gè)人信息保護(hù)崗位責(zé)任制a.醫(yī)療健康機(jī)構(gòu)應(yīng)明確法定代表人或主要負(fù)責(zé)人對(duì)醫(yī)療健康個(gè)人信息安全負(fù)全面領(lǐng)導(dǎo)責(zé)任，主要職責(zé)包括：1)貫徹落實(shí)國家和行業(yè)有關(guān)醫(yī)療健康個(gè)人信息保護(hù)相關(guān)政策要求，審議醫(yī)療健康個(gè)人信息保護(hù)相關(guān)重大規(guī)劃及重要報(bào)告，審批醫(yī)療健康個(gè)人信息保護(hù)制度。2)統(tǒng)一領(lǐng)導(dǎo)和組織指揮醫(yī)療健康個(gè)人信息保護(hù)重大突發(fā)事件的應(yīng)急處置工作。3)定期召開會(huì)議對(duì)醫(yī)療健康個(gè)人信息保護(hù)相關(guān)管理情況及風(fēng)險(xiǎn)狀況進(jìn)行審議，督促各崗位人員持續(xù)做好醫(yī)療健康個(gè)人信息保護(hù)保障工作。4)評(píng)審和監(jiān)督重大信息安全事故的處理。b.在滿足GB/T35273-2020關(guān)于機(jī)構(gòu)設(shè)置相關(guān)要求的同時(shí)，還應(yīng)設(shè)立專職的醫(yī)療健康個(gè)人信息保護(hù)負(fù)責(zé)人和醫(yī)療健康個(gè)人信息保護(hù)工作機(jī)構(gòu)，負(fù)責(zé)醫(yī)療健康個(gè)人信息保護(hù)的運(yùn)營、管理和評(píng)估等工作。c.醫(yī)療健康個(gè)人信息保護(hù)負(fù)責(zé)人由具有相關(guān)管理工作經(jīng)歷和醫(yī)療健康個(gè)人信息保護(hù)專業(yè)知識(shí)的人員擔(dān)任，涉及醫(yī)療健康個(gè)人信息處理活動(dòng)重要決策時(shí)，醫(yī)療健康個(gè)人信息保護(hù)負(fù)責(zé)人與醫(yī)療健康機(jī)構(gòu)網(wǎng)絡(luò)安全和信息化領(lǐng)導(dǎo)小組討論并向組織主要負(fù)責(zé)人報(bào)告工作。d.醫(yī)療健康個(gè)人信息保護(hù)負(fù)責(zé)人和醫(yī)療健康機(jī)構(gòu)的職責(zé)包括但不限于：1)負(fù)責(zé)組織制定醫(yī)療健康個(gè)人信息保護(hù)相關(guān)管理制度和計(jì)劃，實(shí)施醫(yī)療健康個(gè)人信息保護(hù)體系相關(guān)規(guī)劃、建設(shè)、運(yùn)營及維護(hù)并督促落實(shí)。2)制定、簽發(fā)、實(shí)施、定期更新醫(yī)療健康個(gè)人信息保護(hù)相關(guān)規(guī)程。3)對(duì)醫(yī)療健康個(gè)人信息實(shí)行分類管理，建立、維護(hù)和更新組織所持有的醫(yī)療健康個(gè)人信息清單（包括醫(yī)療健康個(gè)人信息的類型、數(shù)量、來源、接收方等）、制定訪問控制策略等。4)開展醫(yī)療健康個(gè)人信息保護(hù)風(fēng)險(xiǎn)評(píng)估，提出醫(yī)療健康個(gè)人信息保護(hù)的對(duì)策建議，督促整改安全隱患。5)收集、分析醫(yī)療健康個(gè)人信息保護(hù)相關(guān)培訓(xùn)需求并組織開展醫(yī)療健康個(gè)人信息保護(hù)培訓(xùn)。6)在涉及醫(yī)療健康個(gè)人信息的移動(dòng)應(yīng)用系統(tǒng)、客戶端或業(yè)務(wù)系統(tǒng)上線發(fā)布前進(jìn)行檢測(cè)，避免未知的醫(yī)療健康個(gè)人信息收集、使用、共享等處理行為。7)組織實(shí)施醫(yī)療健康個(gè)人信息保護(hù)相關(guān)檢查、安全審計(jì)及問題改進(jìn)。8)醫(yī)療健康個(gè)人信息保護(hù)相關(guān)突發(fā)事件的監(jiān)控與應(yīng)急處置，在發(fā)生安全事件后，與監(jiān)督、管8T/GDNS007-2023理部門保持溝通，通報(bào)或報(bào)告醫(yī)療健康個(gè)人信息保護(hù)相關(guān)突發(fā)事件處置等情況。9)定期按要求向監(jiān)督、管理部門報(bào)告?zhèn)€人醫(yī)療健康數(shù)據(jù)安全保護(hù)和事件處置情況。10)受理并處理用戶投訴和舉報(bào)。7.2醫(yī)療健康個(gè)人信息保護(hù)管理要求7.2.1醫(yī)療健康個(gè)人信息保護(hù)過程監(jiān)督管理a.醫(yī)療健康機(jī)構(gòu)負(fù)責(zé)牽頭協(xié)調(diào)組織醫(yī)療健康個(gè)人信息保護(hù)檢查的管理工作。相關(guān)管理員配合安全檢查，如實(shí)提供所需要的檢查信息，對(duì)安全檢查所發(fā)現(xiàn)的問題制定整改措施、整改計(jì)劃并實(shí)施整改。b.醫(yī)療健康機(jī)構(gòu)牽頭建立檢查機(jī)制，各負(fù)責(zé)人配合制定檢查計(jì)劃，定期（每年至少一次）開展檢查活動(dòng)。檢查計(jì)劃要根據(jù)實(shí)際情況及時(shí)進(jìn)行補(bǔ)充和調(diào)整。c.定期（每年至少一次）對(duì)責(zé)任部門和安全崗位組織安全檢查，檢查內(nèi)容包括醫(yī)療健康個(gè)人信息保護(hù)技術(shù)措施的有效性、安全配置與安全策略的一致性、醫(yī)療健康個(gè)人信息保護(hù)管理規(guī)定的執(zhí)行情況。d.可根據(jù)實(shí)際需要組織專項(xiàng)檢查，對(duì)于醫(yī)療健康個(gè)人信息發(fā)生的重大事故和問題，要進(jìn)行專項(xiàng)檢查，對(duì)重大事件實(shí)施全面的監(jiān)控和評(píng)價(jià)。e.對(duì)于新系統(tǒng)，包括網(wǎng)絡(luò)設(shè)備、主機(jī)設(shè)備、應(yīng)用系統(tǒng)（包括但不限于WEB端、APP、公眾號(hào)、小程序等）上線或安裝前必須經(jīng)過安全檢查，檢查方式可包括系統(tǒng)安全配置、漏洞評(píng)估、惡意代碼檢測(cè)等技術(shù)手段，根據(jù)檢查結(jié)果進(jìn)行整改后方可上線。f.定期（每年至少一次）對(duì)醫(yī)療健康個(gè)人信息保護(hù)情況開展安全檢查工作，檢查過程中做好檢查結(jié)果的記錄工作。檢查完成后由醫(yī)療健康機(jī)構(gòu)組織編寫檢查報(bào)告并提出整改建議。g.相關(guān)醫(yī)療健康個(gè)人信息保護(hù)負(fù)責(zé)人按照檢查報(bào)告中整改的時(shí)間要求，針對(duì)檢查報(bào)告中所提出的問題制定整改實(shí)施計(jì)劃并組織整改。h.醫(yī)療健康機(jī)構(gòu)對(duì)整改措施的落實(shí)情況進(jìn)行跟蹤，驗(yàn)證整改措施的實(shí)施結(jié)果是否有效，必要時(shí)可進(jìn)行復(fù)查確認(rèn)。i.醫(yī)療健康機(jī)構(gòu)根據(jù)安全檢查結(jié)果和整改情況進(jìn)行匯總，形成安全狀況通報(bào)。7.2.2醫(yī)療健康個(gè)人信息保護(hù)運(yùn)維管理a.醫(yī)療健康機(jī)構(gòu)應(yīng)設(shè)立醫(yī)療健康個(gè)人信息安全事件處置方案，預(yù)案根據(jù)相關(guān)法律法規(guī)變化情況以及事件處置情況及時(shí)更新。9T/GDNS007-2023b.定期（每年至少一次）組織相關(guān)人員應(yīng)急響應(yīng)培訓(xùn)和應(yīng)急演練，使其掌握崗位職責(zé)和應(yīng)急處置策略和規(guī)程。c.定期（每年至少一次）開展醫(yī)療健康個(gè)人信息安全影響評(píng)估相關(guān)事宜。d.當(dāng)發(fā)生安全事件時(shí)，及時(shí)把事件相關(guān)情況以郵件、信函、電話、推送通知等方式告知受影響的個(gè)人信息主體。難以逐一告知醫(yī)療健康個(gè)人信息主體時(shí)，采取合理、有效的方式發(fā)布與公眾有關(guān)的警示信息。e.定期（每年至少一次）審計(jì)醫(yī)療健康個(gè)人信息保護(hù)政策、相關(guān)規(guī)程和安全措施有效性：1)建立自動(dòng)化審計(jì)系統(tǒng)，監(jiān)測(cè)記錄醫(yī)療健康個(gè)人信息處理活動(dòng)。2)審計(jì)過程形成的記錄應(yīng)能對(duì)安全事件的處置、應(yīng)急響應(yīng)和事后調(diào)查提供支撐。3)防止非授權(quán)訪問、篡改或刪除審計(jì)記錄。4)及時(shí)處理審計(jì)過程中發(fā)現(xiàn)的醫(yī)療健康個(gè)人信息違規(guī)使用、濫用等情況。5)審計(jì)記錄和留存時(shí)間應(yīng)符合法律法規(guī)的要求。f.采取技術(shù)與管理并重的方式對(duì)醫(yī)療健康個(gè)人信息的收集、存儲(chǔ)、使用等全生命周期的醫(yī)療健康個(gè)人信息處理活動(dòng)進(jìn)行安全防護(hù)，明確安全管理要求。7.2.3醫(yī)療健康個(gè)人信息保護(hù)管理制度a.制定醫(yī)療健康個(gè)人信息保護(hù)工作的總體方針和安全策略，闡明醫(yī)療健康機(jī)構(gòu)安全工作的總體目標(biāo)、范圍、原則和安全框架等。b.管理制度通過正式、有效的方式發(fā)布，并進(jìn)行版本控制。c.定期（每年至少一次）論證和審定安全管理制度合理性和適用性。7.2.3.1醫(yī)療健康個(gè)人信息保護(hù)審計(jì)a.應(yīng)采用技術(shù)手段，收集監(jiān)控相關(guān)設(shè)備與系統(tǒng)的運(yùn)行日志、安全日志，滿足數(shù)據(jù)留存要求。b.結(jié)合業(yè)務(wù)操作日志，監(jiān)測(cè)與分析醫(yī)療健康個(gè)人信息異常使用、用戶異常行為，及時(shí)發(fā)現(xiàn)醫(yī)療健康個(gè)人信息異常訪問行為，避免敏感醫(yī)療健康個(gè)人信息泄密或?yàn)E用，并形成醫(yī)療健康個(gè)人信息安全監(jiān)測(cè)報(bào)告，統(tǒng)計(jì)分析醫(yī)療健康個(gè)人信息安全狀況，及時(shí)反饋給醫(yī)療健康個(gè)人信息處理者。c.醫(yī)療健康個(gè)人信息保護(hù)崗位（專職機(jī)構(gòu)）定期（每年至少一次）安全評(píng)估醫(yī)療健康個(gè)人信息處理者關(guān)鍵信息系統(tǒng)承載與處理的醫(yī)療健康個(gè)人信息安全管理狀況。T/GDNS007-20237.3人員管理7.3.1內(nèi)部人員管理a.醫(yī)療健康機(jī)構(gòu)應(yīng)明確安全管理崗位人員的配備，包括數(shù)量、專職還是兼職情況等，配備負(fù)責(zé)數(shù)據(jù)保護(hù)的專門人員。b.應(yīng)建立安全管理崗位人員信息表，登記機(jī)房管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員、網(wǎng)絡(luò)管理員、安全管理員等重要崗位人員的信息，安全管理員不應(yīng)兼任網(wǎng)絡(luò)管理員、系統(tǒng)管理員、數(shù)據(jù)庫管理員等崗位。c.安全管理崗位人員應(yīng)使用符合國密要求的身份鑒別方式，如個(gè)人數(shù)字證書、手機(jī)應(yīng)用掃碼、生物特征識(shí)別、多因素認(rèn)證等。7.3.1.1內(nèi)部人員的錄用管理a.應(yīng)設(shè)立專門的部門或人員負(fù)責(zé)人員的錄用工作。b.應(yīng)明確人員錄用時(shí)對(duì)人員條件要求，審查被錄用人身份、背景和專業(yè)資格，考核技術(shù)人員技術(shù)技能。c.錄用后應(yīng)簽署針對(duì)醫(yī)療健康個(gè)人信息保密協(xié)議。d.應(yīng)建立管理文檔，說明錄用人員應(yīng)具備的條件。e.應(yīng)記錄錄用人身份、背景和專業(yè)資格等，記錄審查內(nèi)容和審查結(jié)果等。f.應(yīng)記錄錄用人錄用時(shí)技能考核文檔或記錄，記錄考核內(nèi)容和考核結(jié)果等。g.應(yīng)簽訂保密協(xié)議，其中包括保密范圍、保密責(zé)任、違約責(zé)任、協(xié)議的有效期限和責(zé)任人簽字等h.應(yīng)簽訂網(wǎng)絡(luò)安全承諾書，其中包括承諾不得從事違法違規(guī)的活動(dòng)、不得利用接觸到的數(shù)據(jù)信息謀取私利、嚴(yán)格遵循相關(guān)制度等內(nèi)容。7.3.1.2內(nèi)部人員的離崗管理a.人員離崗時(shí)應(yīng)辦理調(diào)離手續(xù)，簽署調(diào)離后醫(yī)療健康個(gè)人信息保密義務(wù)承諾書。b.應(yīng)及時(shí)終止離崗人員的所有訪問權(quán)限，取回其身份認(rèn)證的配件，諸如身份證件、鑰匙、徽章以及醫(yī)療健康機(jī)構(gòu)提供的軟硬件設(shè)備。c.應(yīng)形成離崗人員安全處理記錄（如交還身份證件、設(shè)備等的登記記錄）。d.應(yīng)具備離崗程序辦理調(diào)離手續(xù)記錄。T/GDNS007-20237.3.1.3內(nèi)部人員的考核a.應(yīng)設(shè)立專人負(fù)責(zé)定期（每年至少一次）對(duì)接觸個(gè)人信息數(shù)據(jù)工作的工作人員進(jìn)行全面、嚴(yán)格的安全審查、意識(shí)考核和技能考核。b.應(yīng)按照考核周期形成考核文檔，考核人員應(yīng)包括各個(gè)崗位的人員。c.應(yīng)制定處罰制度懲戒違反安全策略和規(guī)定人員。d.應(yīng)定期（每年至少一次）考查安全管理員、系統(tǒng)管理員和網(wǎng)絡(luò)管理員工作相關(guān)信息安全基礎(chǔ)知識(shí)、安全責(zé)任和懲戒措施、相關(guān)法律法規(guī)等的理解程度，并記錄存檔考核記錄。7.3.1.4內(nèi)部人員的實(shí)施管理a.應(yīng)制定嚴(yán)格的系統(tǒng)訪問控制權(quán)限機(jī)制，通過流程審核等形式，明確內(nèi)部人員訪問的時(shí)間、地點(diǎn)、數(shù)據(jù)范圍、服務(wù)器位置等信息。b.應(yīng)形成內(nèi)部人員訪問個(gè)人信息數(shù)據(jù)庫的全鏈路審計(jì)日志，日志內(nèi)容應(yīng)能全面記錄該人員訪問數(shù)據(jù)過程。7.3.1.5內(nèi)部人員的教育培訓(xùn)a.應(yīng)制定培訓(xùn)計(jì)劃并按計(jì)劃對(duì)各崗位員工進(jìn)行基本的安全意識(shí)教育培訓(xùn)和崗位技能培訓(xùn)。b.應(yīng)定期（每年至少一次）考查安全管理員、系統(tǒng)管理員和網(wǎng)絡(luò)管理員其對(duì)工作相關(guān)的信息安全基礎(chǔ)知識(shí)、安全責(zé)任和懲戒措施等的理解程度。c.應(yīng)制定安全教育和培訓(xùn)計(jì)劃文檔，明確培訓(xùn)方式、培訓(xùn)對(duì)象、培訓(xùn)內(nèi)容、培訓(xùn)時(shí)間和地點(diǎn)等，d.培訓(xùn)內(nèi)容包含信息安全基礎(chǔ)知識(shí)、崗位操作規(guī)程等。e.應(yīng)形成安全教育和培訓(xùn)記錄，記錄包含培訓(xùn)人員、培訓(xùn)內(nèi)容、培訓(xùn)結(jié)果等。7.3.2外部人員管理7.3.2.1臨時(shí)來訪外部人員管理a.前臺(tái)或保安室應(yīng)登記臨時(shí)來訪人員來訪事由、來訪人、訪問對(duì)象等內(nèi)容，并等待訪問對(duì)象完成接待。登記時(shí)，來訪人應(yīng)出示身份證明材料。b.臨時(shí)來訪人員訪問單位機(jī)房等受限訪問區(qū)域時(shí)，應(yīng)遵守有關(guān)規(guī)定，向機(jī)房管理人員提出申請(qǐng)且經(jīng)批準(zhǔn)后，由相關(guān)人員全程陪同方可進(jìn)入。c.臨時(shí)來訪人員自帶電子設(shè)備未經(jīng)授權(quán)禁止接入單位網(wǎng)絡(luò)和醫(yī)療健康信息系統(tǒng)。d.臨時(shí)來訪人員與駐場(chǎng)外包人員為同一個(gè)單位的，未經(jīng)許可，禁止在外包人員的引領(lǐng)下進(jìn)入單位T/GDNS007-2023任何區(qū)域。7.3.2.2非臨時(shí)來訪外部人員管理a.駐場(chǎng)工作的非臨時(shí)來訪外部人員應(yīng)遵守醫(yī)療健康機(jī)構(gòu)各項(xiàng)管理制度和合同中約定的各種條款并簽署保密協(xié)議和網(wǎng)絡(luò)安全承諾書。b.對(duì)于駐場(chǎng)工作外部人員資質(zhì)履歷，應(yīng)由醫(yī)療健康機(jī)構(gòu)審核，并留存復(fù)印件進(jìn)行統(tǒng)一保管。c.聘請(qǐng)駐場(chǎng)工作外部人員醫(yī)療健康機(jī)構(gòu)應(yīng)對(duì)駐場(chǎng)工作的非臨時(shí)來訪外部人員進(jìn)行相關(guān)安全制度等方面培訓(xùn)，以增強(qiáng)人員的安全意識(shí)，并定期（每年至少一次）考核安全意識(shí)和單位安全制度執(zhí)行情況。對(duì)于考核不合格者，應(yīng)調(diào)換工作人員。d.醫(yī)療健康機(jī)構(gòu)應(yīng)安排專人負(fù)責(zé)駐場(chǎng)工作外部人員工位、資產(chǎn)領(lǐng)用、申請(qǐng)相應(yīng)賬號(hào)及權(quán)限、申請(qǐng)網(wǎng)絡(luò)訪問配置信息等工作。e.駐場(chǎng)工作外部人員申請(qǐng)賬號(hào)和權(quán)限時(shí)，應(yīng)符合最小權(quán)限及實(shí)名制原則。f.駐場(chǎng)工作外部人員在訪問機(jī)房等受限訪問區(qū)域時(shí)，應(yīng)遵守醫(yī)療健康機(jī)構(gòu)有關(guān)規(guī)定，向機(jī)房管理人員提出申請(qǐng)并經(jīng)批準(zhǔn)后，由單位員工全程陪同方可進(jìn)入受限訪問區(qū)域。g.駐場(chǎng)工作外部人員不得利用醫(yī)療健康機(jī)構(gòu)的網(wǎng)絡(luò)、服務(wù)器等資源從事未經(jīng)允許的活動(dòng)。不得在醫(yī)療健康機(jī)構(gòu)內(nèi)部未授權(quán)使用網(wǎng)絡(luò)掃描、刺探等軟件。h.違反以上條款時(shí)，醫(yī)療健康機(jī)構(gòu)應(yīng)采取人員調(diào)換、追究民事及刑事責(zé)任等處罰措施。7.3.2.2.1非臨時(shí)來訪外部人員考核與評(píng)價(jià)a.醫(yī)療健康機(jī)構(gòu)應(yīng)采取日?？己撕投ㄆ诳己讼嘟Y(jié)合方式，評(píng)價(jià)駐場(chǎng)工作非臨時(shí)來訪外部人員的日?？记?、工作成果、服務(wù)質(zhì)量等方面。b.當(dāng)醫(yī)療健康機(jī)構(gòu)開展駐場(chǎng)工作非臨時(shí)來訪外部人員服務(wù)質(zhì)量考核時(shí)，發(fā)現(xiàn)提供服務(wù)有偏差的，應(yīng)書面通知相關(guān)責(zé)任人及時(shí)進(jìn)行調(diào)整和改進(jìn)。7.3.2.2.2非臨時(shí)來訪外部人員離場(chǎng)安全要求a.駐場(chǎng)工作的外部人員離場(chǎng)時(shí)要有完整工作交接清單及接收人簽字證明材料。b.駐場(chǎng)工作的外部人員離場(chǎng)前，要?dú)w還領(lǐng)用的醫(yī)療健康機(jī)構(gòu)資產(chǎn)。c.駐場(chǎng)工作的外部人員離場(chǎng)后，醫(yī)療健康機(jī)構(gòu)應(yīng)按照單位有關(guān)流程，及時(shí)刪除人員的賬戶和權(quán)限d.駐場(chǎng)工作的外部人員離場(chǎng)后，保密協(xié)議承諾中持續(xù)生效的條款，駐場(chǎng)工作外部人員需繼續(xù)履行保密義務(wù)。T/GDNS007-20237.4醫(yī)療健康個(gè)人信息收集醫(yī)療健康個(gè)人信息處理者收集個(gè)人信息應(yīng)在滿足GB/T35273-2020中第5章要求基礎(chǔ)上符合以下要求：a.通過移動(dòng)應(yīng)用系統(tǒng)收集必要個(gè)人信息應(yīng)符合GB/T41391-2022附錄A中A15規(guī)定的問診掛號(hào)類移動(dòng)應(yīng)用系統(tǒng)收集范圍。b.通過移動(dòng)應(yīng)用系統(tǒng)收集用戶醫(yī)療健康個(gè)人信息應(yīng)獲得用戶授權(quán)同意（用戶線上同意隱私政策或線下簽署知情同意書等）且限于提供服務(wù)或履行法律法規(guī)規(guī)定的義務(wù)所必需。c.對(duì)于以間接方式收集醫(yī)療健康個(gè)人信息情形，須在收集或使用前確認(rèn)其來源合法性。d.收集醫(yī)療健康個(gè)人信息之前，應(yīng)具備被收集人身份認(rèn)證機(jī)制，該身份認(rèn)證機(jī)制應(yīng)具有相應(yīng)安全e.收集醫(yī)療健康個(gè)人信息時(shí)，宜采用加密算法保護(hù)醫(yī)療健康個(gè)人信息傳輸過程，加密算法建議使用國家密碼管理局推薦使用的加密算法。f.收集醫(yī)療健康個(gè)人信息時(shí)應(yīng)有對(duì)收集內(nèi)容進(jìn)行安全檢測(cè)和過濾的機(jī)制，防止非法內(nèi)容提交，且宜采取技術(shù)措施保障用戶信息輸入。g.收集醫(yī)療健康個(gè)人信息系統(tǒng)應(yīng)落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)要求。7.4.1申請(qǐng)系統(tǒng)權(quán)限a.醫(yī)療健康系統(tǒng)不應(yīng)申請(qǐng)與業(yè)務(wù)功能無關(guān)的系統(tǒng)權(quán)限。7.4.2告知同意醫(yī)療健康個(gè)人信息處理者收集個(gè)人信息的告知同意應(yīng)在滿足GB/T35273-2020中第5章要求基礎(chǔ)上符合以下要求：a.向其他個(gè)人信息處理者（如第三方服務(wù)提供者）提供醫(yī)療健康個(gè)人信息前，應(yīng)向用戶告知接收方的名稱或者姓名、聯(lián)系方式、處理目的、處理方式和個(gè)人信息的種類，并取得用戶同意。b.處理敏感個(gè)人信息前，應(yīng)取得用戶的單獨(dú)同意（頁面彈窗提示或隱私政策中寫明等并告知處理的必要性及對(duì)個(gè)人權(quán)益的影響。c.為用戶提供拒絕同意的方式，醫(yī)療健康個(gè)人信息主體拒絕同意后避免頻繁打擾醫(yī)療健康個(gè)人信息主體以再次征得同意，用戶主動(dòng)操作觸發(fā)取得同意機(jī)制的除外。d.為用戶提供便捷的撤回同意的方式并設(shè)置適當(dāng)?shù)某坊赝鈾C(jī)制：1)可通過多種方式實(shí)現(xiàn)撤回同意，如關(guān)閉處理個(gè)人信息的特定業(yè)務(wù)、停止處理特定個(gè)人信息T/GDNS007-2023種類、關(guān)閉特定權(quán)限等。2)具備將撤回同意結(jié)果及時(shí)反饋到產(chǎn)品服務(wù)功能的機(jī)制，使撤回同意后不再處理相應(yīng)醫(yī)療健康個(gè)人信息。3)醫(yī)療健康個(gè)人信息主體撤回同意后宜立即處理，如無法立即處理的需向醫(yī)療健康個(gè)人信息主體說明處理時(shí)間。4)醫(yī)療健康個(gè)人信息主體撤回同意后，避免頻繁打擾個(gè)人信息主體以再次征得同意。e.醫(yī)療健康個(gè)人信息處理者處理醫(yī)療健康個(gè)人信息，有法律、行政法規(guī)規(guī)定應(yīng)當(dāng)保密或者不需要告知的情形的，可以不向個(gè)人告知前條第一款規(guī)定的事項(xiàng)。f.緊急情況下為保護(hù)自然人的生命健康和財(cái)產(chǎn)安全無法及時(shí)向個(gè)人告知的，醫(yī)療健康個(gè)人信息處理者應(yīng)當(dāng)在緊急情況消除后及時(shí)告知。7.5醫(yī)療健康個(gè)人信息傳輸醫(yī)療健康個(gè)人信息處理者進(jìn)行數(shù)據(jù)傳輸活動(dòng)時(shí)，應(yīng)在滿足GB/T35273-2020中第6章要求基礎(chǔ)上符合以下要求：a.向第三方醫(yī)療健康個(gè)人信息處理者通過系統(tǒng)接口傳輸醫(yī)療健康個(gè)人信息時(shí)，應(yīng)至少使用白名單（IP、域名等）方式進(jìn)行控制，同時(shí)宜使用數(shù)字簽名等方式保證安全性。b.通過互聯(lián)網(wǎng)傳輸及線下途徑傳輸醫(yī)療健康個(gè)人信息時(shí)，宜在傳輸前數(shù)據(jù)加密，并使用安全通道傳輸，加密算法建議使用國家密碼管理局推薦使用的加密算法。c.宜記錄數(shù)據(jù)傳輸日志，日志內(nèi)容需至少包含數(shù)據(jù)傳輸方信息、接收方信息、傳輸數(shù)據(jù)類別、傳輸結(jié)果、傳輸時(shí)間。7.6醫(yī)療健康個(gè)人信息存儲(chǔ)醫(yī)療健康個(gè)人信息處理者進(jìn)行數(shù)據(jù)存儲(chǔ)活動(dòng)時(shí)，應(yīng)在滿足GB/T35273-2020中第6章要求基礎(chǔ)上符合以下要求：a.收集的醫(yī)療健康敏感個(gè)人信息宜根據(jù)不同級(jí)別采取相應(yīng)的安全加密存儲(chǔ)等安全措施進(jìn)行處理，加密算法建議使用國家密碼管理局推薦使用的加密算法，加密技術(shù)可采用專用加密芯片和設(shè)備的硬加密方式，也可采用SM系列算法等軟加密技術(shù)。所有保存的數(shù)據(jù)宜為非明文方式。b.應(yīng)使用必要的隔離（虛擬專網(wǎng)或物理專網(wǎng)等或采用加密技術(shù)、使用安全的硬件存儲(chǔ)設(shè)備等，確保數(shù)據(jù)傳輸和存儲(chǔ)時(shí)的信息安全。c.醫(yī)療健康個(gè)人信息存儲(chǔ)期限應(yīng)為實(shí)現(xiàn)個(gè)人信息處理目的所必需的最短時(shí)間，超出存儲(chǔ)期限應(yīng)對(duì)T/GDNS007-2023個(gè)人信息進(jìn)行刪除或匿名化處理，法律法規(guī)另有規(guī)定的除外。d.如超出個(gè)人信息存儲(chǔ)期限，但法律、行政法規(guī)規(guī)定的保存期限未屆滿，或者刪除個(gè)人信息從技術(shù)上難以實(shí)現(xiàn)的，應(yīng)停止除存儲(chǔ)和采取必要的安全保護(hù)措施之外的處理。e.宜將用戶個(gè)人身份信息與用戶生物識(shí)別信息采用物理或邏輯隔離的方式分開隔離存儲(chǔ)。f.應(yīng)至少使用本地備份、異地備份及場(chǎng)外備份中的兩種方式對(duì)醫(yī)療健康個(gè)人信息數(shù)據(jù)進(jìn)行備份，關(guān)鍵數(shù)據(jù)應(yīng)采取異地容災(zāi)。g.采取必要的技術(shù)和管控措施保證醫(yī)療健康個(gè)人信息存儲(chǔ)轉(zhuǎn)移過程中的安全性。h.定期（每年至少一次）檢測(cè)儲(chǔ)存醫(yī)療健康個(gè)人信息載體安全性。7.7醫(yī)療健康個(gè)人信息處理7.7.1醫(yī)療健康個(gè)人信息使用和加工7.7.1.1醫(yī)療健康個(gè)人信息展示醫(yī)療健康個(gè)人信息展示應(yīng)在滿足GB/T35273-2020中第7章的要求基礎(chǔ)上符合以下要求：a.宜對(duì)如登錄口令等涉及賬號(hào)安全的敏感個(gè)人信息采取GB/T37964-2019中的方法進(jìn)行脫敏展示并采取身份驗(yàn)證措施確保僅個(gè)人用戶能夠查看其個(gè)人資料。b.應(yīng)對(duì)內(nèi)部業(yè)務(wù)系統(tǒng)需展示的用戶個(gè)人信息采取去標(biāo)識(shí)化處理，對(duì)操作行為留存審計(jì)日志。c.用戶輸入登錄口令登錄系統(tǒng)或設(shè)置登錄口令時(shí)，宜采取展示屏蔽等措施防止完整口令明文顯示。d.醫(yī)療健康相關(guān)信息系統(tǒng)在用戶處于未登錄狀態(tài)時(shí)，不應(yīng)展示醫(yī)療健康個(gè)人信息。e.醫(yī)療健康相關(guān)信息系統(tǒng)在用戶處于已登錄狀態(tài)時(shí)，宜根據(jù)用戶權(quán)限以及業(yè)務(wù)功能需求最小化或脫敏展示醫(yī)療健康個(gè)人信息，若需訪問明文醫(yī)療健康個(gè)人信息，宜采用多因素身份鑒別等安全驗(yàn)證措施。f.用戶訪問其敏感個(gè)人信息時(shí)，醫(yī)療健康個(gè)人信息處理者宜采用多因素身份鑒別等安全驗(yàn)證措施。7.7.1.2醫(yī)療健康個(gè)人信息訪問控制措施醫(yī)療健康個(gè)人信息的訪問控制措施應(yīng)在滿足GB/T35273-2020中第7章要求基礎(chǔ)上符合以下要求：a.醫(yī)療健康個(gè)人信息處理者內(nèi)部人員使用的業(yè)務(wù)系統(tǒng)，宜對(duì)用戶個(gè)人信息進(jìn)行脫敏展示。因業(yè)務(wù)正常開展所需，需要查看未經(jīng)脫敏處理醫(yī)療健康個(gè)人信息時(shí)，宜在展示界面中采用數(shù)字水印技T/GDNS007-2023b.應(yīng)遵循最少夠用、職責(zé)分離的原則，按照數(shù)據(jù)分級(jí)（可參考附錄A）建立相應(yīng)的數(shù)據(jù)訪問控制措施和訪問權(quán)限申請(qǐng)審批流程，訪問權(quán)限應(yīng)明確數(shù)據(jù)查閱、更正、刪除、下載等操作。c.對(duì)于涉及醫(yī)療健康用戶個(gè)人信息的操作，宜通過建立審批流程、限制數(shù)據(jù)訪問范圍等措施，限制批量查詢、導(dǎo)出醫(yī)療健康用戶個(gè)人信息的操作功能。d.對(duì)于確需訪問醫(yī)療健康用戶個(gè)人信息的業(yè)務(wù)場(chǎng)景，應(yīng)記錄觸發(fā)訪問特定用戶個(gè)人信息的事件、操作行為，并定期（每年至少一次）開展審計(jì)。7.7.1.3醫(yī)療健康個(gè)人信息用戶畫像使用限制醫(yī)療健康個(gè)人信息用戶畫像使用限制措施應(yīng)在滿足GB/T35273-2020中第7章要求基礎(chǔ)上符合以下要求：a.基于用戶畫像的推薦功能應(yīng)允許用戶自主選擇。b.向用戶提供內(nèi)容個(gè)性化展示功能時(shí)，應(yīng)為用戶提供設(shè)置特定期限或永久退出、關(guān)閉個(gè)性化展示的功能。c.向用戶提供自主設(shè)置、調(diào)整或校正用戶畫像標(biāo)簽的功能，應(yīng)針對(duì)單項(xiàng)內(nèi)容或廣告設(shè)置“不感興趣”“屏蔽此類內(nèi)容”等選項(xiàng)。d.以個(gè)性化展示為基本業(yè)務(wù)形態(tài)的醫(yī)療健康服務(wù)，醫(yī)療健康個(gè)人信息處理者應(yīng)為用戶提供設(shè)置、校正或重置其畫像標(biāo)簽的功能，或單獨(dú)提供非基于用戶畫像推送的內(nèi)容欄目。e.通過自動(dòng)化決策方式進(jìn)行信息推送、商業(yè)營銷，應(yīng)同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)，或者向個(gè)人提供便捷的拒絕方式。7.7.1.4醫(yī)療健康個(gè)人信息加工醫(yī)療健康個(gè)人信息加工限制措施應(yīng)在滿足GB/T35273-2020中第7章要求基礎(chǔ)上符合以下要求：a.未經(jīng)用戶同意，不應(yīng)對(duì)用戶醫(yī)療健康個(gè)人信息進(jìn)行分析挖掘，當(dāng)獲得用戶同意后，在科研、大數(shù)據(jù)分析等應(yīng)用中應(yīng)對(duì)用戶醫(yī)療健康個(gè)人信息進(jìn)行脫敏處理。b.利用收集醫(yī)療健康個(gè)人信息進(jìn)行自動(dòng)化決策時(shí)應(yīng)允許用戶自主選擇，并遵守以下要求：1)應(yīng)提供不針對(duì)其個(gè)人特征的選項(xiàng)，或向個(gè)人提供便捷的拒絕方式。2)第三方應(yīng)明確告知醫(yī)療健康個(gè)人信息開展自動(dòng)化決策方式，決策算法應(yīng)保證透明度和結(jié)果公平、公正，不應(yīng)對(duì)個(gè)人實(shí)行不合理的差別待遇。3)如通過自動(dòng)化決策方式作出對(duì)個(gè)人權(quán)益有重大影響的決定，應(yīng)對(duì)用戶予以說明，并得到用戶同意，保障用戶拒絕僅通過自動(dòng)化決策的方式作出決定的權(quán)利。T/GDNS007-20234)應(yīng)向用戶提供針對(duì)自動(dòng)化決策結(jié)果便捷有效的投訴渠道。5)應(yīng)在自動(dòng)化決策功能的規(guī)劃設(shè)計(jì)階段或首次使用前開展醫(yī)療健康個(gè)人信息安全影響評(píng)估，并依據(jù)評(píng)估結(jié)果采取有效保護(hù)措施。7.7.2醫(yī)療健康個(gè)人信息委托處理醫(yī)療健康個(gè)人信息被委托處理應(yīng)滿足GB/T35273-2020中9.1要求基礎(chǔ)上符合以下要求：a.委托處理醫(yī)療健康個(gè)人信息時(shí)，應(yīng)簽訂相關(guān)協(xié)議要求受托方遵守相關(guān)規(guī)范。b.受托方處理完成醫(yī)療健康個(gè)人信息相關(guān)數(shù)據(jù)后，應(yīng)刪除存儲(chǔ)醫(yī)療健康個(gè)人信息數(shù)據(jù)內(nèi)容。7.7.3醫(yī)療健康個(gè)人信息共享、轉(zhuǎn)讓醫(yī)療健康個(gè)人信息處理者向第三方共享轉(zhuǎn)讓用戶個(gè)人信息時(shí)，應(yīng)滿足GB/T35273-2020中9.2、9.3、9.5要求基礎(chǔ)上符合以下要求：a.用戶點(diǎn)擊鏈接時(shí)明示所跳轉(zhuǎn)第三方應(yīng)用界面并提示用戶關(guān)注第三方應(yīng)用的醫(yī)療健康個(gè)人信息收集使用規(guī)則。b.醫(yī)療健康個(gè)人信息共享和轉(zhuǎn)讓時(shí)應(yīng)進(jìn)行個(gè)人信息安全影響評(píng)估，應(yīng)評(píng)估接收方數(shù)據(jù)安全能力，并根據(jù)評(píng)估結(jié)果采取有效保護(hù)措施。c.為實(shí)現(xiàn)關(guān)聯(lián)賬號(hào)等功能，共享用戶數(shù)據(jù)（如用戶個(gè)人常用設(shè)備信息、操作日志）時(shí)，宜共建獨(dú)立的數(shù)據(jù)庫存儲(chǔ)前述數(shù)據(jù)，并采取嚴(yán)格的授權(quán)訪問機(jī)制。d.其他單位或部門申請(qǐng)時(shí)，須提交書面函件，經(jīng)負(fù)責(zé)法務(wù)法規(guī)部門評(píng)估后，由個(gè)人信息數(shù)據(jù)業(yè)務(wù)部門審批并報(bào)分管領(lǐng)導(dǎo)同意后方可共享，同時(shí)控制共享流轉(zhuǎn)范圍，規(guī)范交接手續(xù)。7.7.4醫(yī)療健康個(gè)人信息公開披露a.醫(yī)療健康個(gè)人信息處理者對(duì)用戶違法違規(guī)信息公開披露時(shí)，宜在滿足GB/T35273-2020中9.4-9.5要求基礎(chǔ)上，去標(biāo)識(shí)化處理用戶醫(yī)療健康個(gè)人信息。7.7.5醫(yī)療健康個(gè)人信息第三方接入管理a.醫(yī)療健康個(gè)人信息服務(wù)接入到第三方服務(wù)平臺(tái)的，醫(yī)療健康個(gè)人信息處理者應(yīng)遵循必要原則，與第三方服務(wù)平臺(tái)約定提供個(gè)人信息范圍并限于醫(yī)療健康個(gè)人信息服務(wù)所必需。7.7.6醫(yī)療健康個(gè)人信息跨境傳輸醫(yī)療健康個(gè)人信息處理者數(shù)據(jù)出境應(yīng)在滿足GB/T35273-2020中9.8要求基礎(chǔ)上符合以下要求：a.醫(yī)療健康個(gè)人信息處理者如因業(yè)務(wù)需要向境外提供數(shù)據(jù)，應(yīng)遵守國家相關(guān)法律法規(guī)和標(biāo)準(zhǔn)的要T/GDNS007-2023b.應(yīng)對(duì)醫(yī)療健康個(gè)人信息服務(wù)出境行為進(jìn)行監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)并阻止違規(guī)數(shù)據(jù)出境，如對(duì)租用的網(wǎng)絡(luò)鏈路進(jìn)行出境流量分析、對(duì)服務(wù)移動(dòng)應(yīng)用系統(tǒng)與境外網(wǎng)絡(luò)通信行為進(jìn)行檢測(cè)分析等。c.根據(jù)業(yè)務(wù)發(fā)展和運(yùn)營情況，醫(yī)療健康個(gè)人信息處理者每年應(yīng)自行或委托第三方機(jī)構(gòu)對(duì)數(shù)據(jù)出境至少進(jìn)行一次數(shù)據(jù)出境風(fēng)險(xiǎn)評(píng)估。7.8醫(yī)療健康個(gè)人信息主體權(quán)利7.8.1基本安全措施a.用戶申請(qǐng)查詢、復(fù)制、更正、補(bǔ)充、撤回同意、刪除等醫(yī)療健康個(gè)人信息時(shí)，應(yīng)采取賬號(hào)安全檢測(cè)技術(shù)措施，核驗(yàn)用戶身份（身份核驗(yàn)的方式通常包括常用設(shè)備校驗(yàn)、短信驗(yàn)證碼校驗(yàn)等）。b.針對(duì)已注銷用戶已上傳的部分用戶數(shù)據(jù)（如彈幕、評(píng)論、圖片、音視頻內(nèi)容），醫(yī)療健康個(gè)人信息處理者依據(jù)相關(guān)法律法規(guī)或與用戶的約定仍有權(quán)繼續(xù)展示、使用的，宜采用匿名化的方式繼續(xù)展示、使用。7.8.2醫(yī)療健康個(gè)人信息查詢和復(fù)制醫(yī)療健康個(gè)人信息查詢和復(fù)制，醫(yī)療健康個(gè)人信息處理者應(yīng)滿足GB/T35273-2020中8.1要求基礎(chǔ)上符合以下要求：a.應(yīng)為用戶提供醫(yī)療健康個(gè)人信息在線閱服務(wù)，個(gè)人信息在閱服務(wù)應(yīng)簡(jiǎn)單方便、易于操作。b.用戶可查閱的醫(yī)療健康個(gè)人信息范圍應(yīng)包括用戶上傳提供的全部醫(yī)療健康個(gè)人信息。c.為用戶提供在線醫(yī)療健康個(gè)人信息復(fù)制功能時(shí)，應(yīng)采取技術(shù)措施防范醫(yī)療健康個(gè)人信息副本泄露或被竊取。7.8.3醫(yī)療健康個(gè)人信息更正醫(yī)療健康個(gè)人信息更正，醫(yī)療健康個(gè)人信息處理者應(yīng)滿足GB/T35273-2020中8.2要求基礎(chǔ)上符合以下要求：a.應(yīng)為用戶提供醫(yī)療健康個(gè)人信息在線更正或補(bǔ)充服務(wù)，信息更正或補(bǔ)充服務(wù)應(yīng)簡(jiǎn)單方便、易于操作。b.應(yīng)向醫(yī)療健康個(gè)人信息主體提供更正的醫(yī)療健康個(gè)人信息包括但不限于用戶通過填寫等方式主動(dòng)提交給醫(yī)療健康個(gè)人信息處理者的醫(yī)療健康個(gè)人信息。c.宜提供更正醫(yī)療健康個(gè)人信息處理者服務(wù)評(píng)價(jià)功能，如通過追加評(píng)論功能，實(shí)現(xiàn)醫(yī)療健康個(gè)人T/GDNS007-2023信息主體對(duì)其評(píng)價(jià)