国家标准 GB/T39725一2020 信息安全技术健康医疗数据安全指南 Infomationseeuritytechnology一Guideforhealhdataseurity 2020-12-14发布 2021-07-01实施国家市场监督管理总局发布国家标涯花管理委员会国家标准
GB/39725一2020 目次前言引言范围 2 规范性引用文件术语和定义缩略语 5 *#* 安全目标分类体系 6.1数据类别范围 6.2数据分级划分相关角色分类 6.3 6.4流通使用场景 6.5数据开放形式使用披露原则安全槽施要点 8.1分级安全措施要点 8.2场景安全措施要点 8.3开放安全措施要点安全管理指南 9.1概述 l0 9.2组织 ll 9.3过程 9.4应急处置 12 1o安全技术指南 13 10.1通用安全技术 13 13 0.2去标识化 15 11 典型场景数据安全医生调阅数据安全 15 11.2患者查询数据安全 17 1.3临床研究数据安全 23 1.4二次利用数据安全 24 11.5健康传感数据安全 25 1.6移动应用数据安全
GB/T39725一2020 27 1.7商业保险对接安全 30 1.8医疗器械数据安全 33 附录A资料性附录个人健康医疗数据范围 34 附录B(资料性附录卫生信息相关标准 43 附录C资料性附录数据使用管理办法示例 47 附录D资料性附录数据申请审批示例 50 附录E资料性附录数据处理使用协议模板 55 附录F资料性附录健康医疗数据安全检查表 60 附录G资料性附录卫生信息数据元去标识化示例参考文献
GB/39725一2020 前言本标准按照GB/T1.1一2009给出的规则起草本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口本标准起草单位:清华大学北京清华长庚医院、网络安全审查技术与认证中心、中电数据服务有限公司、电子技术标准化研究院、上海市儿童医院、深圳市腾讯计算机系统有限公司、山东国数爱健康大数据有限公司、东软集团股份有限公司、零氮科技(北京)有限公司、阿里巴巴(北京)软件服务有限公司、泰康保险集团股份有限公司、平安保险(集团)股份有限公司、北京邮电大学、四川大学、中国信息安全测评中心,北京天融信网络安全技术有限公司、上海市方达律师事务所、软件评测中心中南大学、启明星辰信息技术集团股份有限公司中医科学院,湖南科创信息技术股份有限公司,奇安信科技集团股份有限公司、陕西省信息化工程研究院、北京数字认证股份有限公司、中电长城网际系统应用有限公司、顾信科技有限公司、浙江蚂蚁小微金融服务集团股份有限公司、北京协和医院本标准主要起草人;金涛、刘海一,王建民、道家鸿、左晓栋张剑、刘贤刚、屈劲、于广军,赵再再袁耀文.傅兴良、杨造、来子棋,苏凌云、叶晓俊、陶蓉、于惊涛、马诗诗、王枞、殷晋、付蝶、王奠、张毅姚建伟、陈先来、谢安明、文天才、肖国荣、周亚超、郭颖、张勇、宋玲娓、闵京华、洪延青、程瑜琦、王昕孟晓阳、罗妍
GB/T39725一2020 引言健康医疗数据包括个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关数据随着健康医疗数据应用、“互联网十医疗健康”和智慧医疗的蓬勃发展,各种新业务、新应用不断出现,健康医疗数据在全生命周期各阶段均面临着越来越多的安全挑战,安全问题频发由于健康医疗数据安全事关患者生命安全、个人信息安全、社会公共利益和国家安全,为了更好地保护健康医疗数据安全,规范和推动健康医疗数据的融合共享、开放应用,促进健康医疗事业发展,特制定健康医疗数据安全指南 IN
GB/39725一2020 信息安全技术健康医疗数据安全指南范围本标准给出了健康医疗数据控制者在保护健康医疗数据时可采取的安全措施本标准适用于指导健康医疗数据控制者对健康医疗数据进行安全保护,也可供健康医疗、网络安全相关主管部门以及第三方评估机构等组织开展健康医疗数据的安全监督管理与评估等工作时参考规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文件凡是不标注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GB/T220802016 信息技术安全技术信息安全管理体系要求 GB/T22081一2016信息技术安全技术信息安全控制实践指南 GB/T222392019信息安全技术网络安全等级保护基本要求 GB/T25069信息安全技术术语 GB/T31168信息安全技术云计算服务安全能力要求 GB/T35273信息安全技术个人信息安全规范 GB/T35274一2017信息安全技术大数据服务安全能力要求 GB/T37964一2019信息安全技术个人信息去标识化指南 1sG80001整合医疗设备的网络风险管理的应用(ApplicationofriskmanagementforIT-net worksincorporatingmedicaldevices) 术语和定义 GB/T25069界定的以及下列术语和定义适用于本文件 3.1 个人健康医疗数据personalhealthdata 单独或者与其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的相关电子数据注;个人健康医疗数据涉及个人过去,现在或将来的身体或精神健康状况.接受的医疗保健服务和支付的医疗保健服务费用等,参见附录A 3.2 健康医疗数据healthdata 个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据示例:经过对群体健康医疗数据处理后得到的群体总体分析结果、趋势预测、疾病防治统计数据等 3.3 eprotesiwal 健康医疗专业人员healthseric 经政府或行业组织授权有资格履行特定健康医疗工作职责的人员
GB/T39725一2020 示例:医生 3.4 healthservice 健康医疗服务由健康医疗专业人员或专业辅助人员提供的对健康状况有影响的服务 3.5 健康医疗数据控制者healthdatacontroler 能够决定健康医疗数据处理目的、方式及范围等的组织或个人示例，提供健康医疗服务的组织,医保机构,政府机构、健康医疗科学研究机构、个体诊所等 3.6 健康医疗信息系统healthinformationsystem 以计算机可处理的形式采集,存储,处理,传输访间销毁健康医疗数据的系统 3.7 受限制数据集limiteddataset 经过部分去标识化处理,但仍可识别相应个人并因此需要保护的个人健康医疗数据集示例:从健康医疗数据中删除与个人及其家属、家庭成员和雇主直接相关的标识注;受限制数据集可在未经个人授权的情形下用于科学研究、医学/健康教育、公共卫生目的 3.8 治疗笔记notesoftreatment 健康医疗专业人员在提供健康医疗服务过程中记录的观察、思考、方案探讨、结论等内容注治疗笔记具有知识产权属性,其知识产权归健康医疗专业人员和/或其单位所有 3.9 披露disclosure 将健康医疗数据向特定个人或组织进行转让、共享,以及向不特定个人、组织或社会公开发布的行为 3.10 临床研究eliniealresearch 以患者或健康人为研究对象,由医疗机构学术研究机构和/或医疗健康相关企业发起的,以探索疾病原因,预防、诊断.治疗和预后为目的的科学研究话动注临床研究属于医学研究的一个分支 3.11 完全公开共享completelypubliesharing 数据一旦发布,很难召回，一般通过互联网直接公开发布 [GB/T37964一2019,定义3.12] 3.12 受控公开共享controledlpubliesharing 通过数据使用协议对数据的使用进行约束 [GB/T37964一2019,定义3.13] 3.13 领地公开共享enclavepubliesharimg 在物理或者虚拟的领地范围内共享,数据不能流出到领地范围外. [GB/T37964一2019,定义3.14] 缩略语下列缩略语适用于本文件
GB/39725一2020 ACL;访问控制列表(AccessControlLists) AP;应用程序接口(ApplieationProgrammingInterface' APP;应用(Applieation) DNA;脱氧核糖核酸(DeoxyriboNucleicAcid) rronicDataCapture EDC电子数据采集(Electr GCP:临床试验规范标准(GoodClinicalPractice HIs;医院信息系统(HospitalInformationSystems) HIV;艾滋病病毒(HumanImmunodeficiencyVirus) HL.7;医疗第七层(HealthcareLevel7 D;身份标识(Identity) P;互联网协议(InternetProtocol) PSEC;网际协议安全(InternetProtocolSecurity) LDS;受限制数据集(LimitedDataSetFiles) PIN:个人识别号码(Per lldentity ersonal Number PUF;公用数据集(PublieUseFiles) esearchIdentifiableFiles RIF:可标识数据集(Rest RNA;核糖核酸(RiboNucleicAcid ucturedQueryLanguage sQL:结构化查询语言(Str TLS:传输层安全(TransportlayerSecurity USB;通用串行总线(UniversalSerialBus) VPN;虚拟专用网络(VirtualPrivateNetwork) XSs;跨站点脚本(eross-sitescripting) 安全目标健康医疗数据控制者宜采取合理和适当的管理与技术保障措施,以达到以下目标确保健康医疗数据的保密性,完整性和可用性 aa b 确保健康医疗数据使用和披露过程的合法性和合规性,保护个人信息安全、公众利益和国家安全; 确保健康医疗数据在符合上述安全要求的前提下满足业务发展需求分类体系 6.1数据类别范围健康医疗数据可以分为: 个人属性数据是指单独或者与其他信息结合能够识别特定自然人的数据 a D 健康状况数据是指能反映个人健康情况或同个人健康情况有着密切关系的数据医疗应用数据是指能反映医疗保健、门诊、住院、出院和其他医疗服务情况的数据 c 医疗支付数据是指医疗或保险等服务中所涉及的与费用相关的数据 d 卫生资源数据是指那些可以反映卫生服务人员、卫生计划和卫生体系的能力与特征的数据 e 公共卫生数据是指关系到国家或地区大众健康的公共事业相关数据各类数据具体内容如表1所示在卫生信息领域使用的数据元、数据集、值域代码等相关标准可参考附录B
GB/T39725一2020 表1健康医疗数据类别与范围数据类别范围 1)人口统计信息,包括姓名、出生日期、性别、民族、国籍、职业、住址、工作单位、家庭成员信息、联系人信息、收人.婚姻状态等; 2)个人身份信息,包括姓名、身份证、工作证、居住证、社保卡、可识别个人的影像图像、健康卡个人属性数据号,住院号、各类检查检验相关单号等 3)个人通讯信息,包括个人电话号码,邮箱、账号及关联信息等， 4)个人生物识别信息,包括基因、指纹,声纹,掌纹、耳廓、虹膜、面部特征等; )个人健康监测传感设备D邻主诉,现病史,既往病史、体格检查(体征),家族史,症状,检验检查数据,遗传咨询数据,可穿健康状况数据戴设备采集的健康相关数据、生活方式、基因测序、转录产物测序将蛋白质分析测定、代谢小分子检,人体微生物检测等门(急)诊病历,住院医啊、检查检验报告,用药信息、病程记录、手术记录、麻醉记录、输血记医疗应用数据录,护理记录,人院记录、出院小结、转诊(院)记录、知情告知信息等 )医疗交易信息,包括医保支付信息,交易金额,交易记录等医疗支付数据 2)保险信息,包括保险状态,保险金额等卫生资源数据医院基本数据、医院运营数据等公共卫生数据环境卫生数据传染病疫情数据、疾病监测数据、疾病预防数据、出生死亡数据等 6.2数据分级划分根据数据重要程度、风险级别以及对个人健康医疗数据主体可能造成的损害和影响的级别进行分级,可将健康医疗数据划分为以下5级: a 第1级;可完全公开使用的数据包括可以通过公开途径获取的数据,例如医院名称,地址、电话等,可直接在互联网上面向公众公开 b 第2级;可在较大范围内供访问使用的数据例如不能标识个人身份的数据,各科室医生经过申请审批可以用于研究分析第3级;可在中等范围内供访问使用的数据,如果未经授权披露,可能对个人健康医疗数据主体造成中等程度的损害例如经过部分去标识化处理,但仍可能重标识的数据,仅限于获得授权的项目组范围内使用第4级;在较小范围内供访问使用的数据,如果未经授权披露,可能会对个人健康医疗数据主体造成较高程度的损害例如可以直接标识个人身份的数据,仅限于参与诊疗活动的医护人员访问使用第5级:仅在极小范围内且在严格限制条件下供访问使用的数据,如果未经授权披露,可能会对个人健康医疗数据主体造成严重程度的损害例如特殊病种(例如艾滋病、性病)的详细资料,仅限于主治医护人员访问且需要进行严格管控 6.3相关角色分类针对特定数据特定场景,相关组织或个人可划分为以下四类角色对任何组织或个人,围绕特定数据,在特定场景或特定的数据使用处理行为上,其只能归为其中一个角色个人健康医疗数据主体(以下简称“主体”):个人健康医疗数据所标识的自然人 a
GB/39725一2020 b 健康医疗数据控制者(以下简称“控制者”);详见定义3.5,判断组织或个人能否决定健康医疗数据的处理目的、方式及范围,可以考虑该项健康医疗数据处理行为是否属于该组织或个人履行某项法律法规所必需; 1) 22 该项健康医疗数据处理行为是否为该组织或个人行使其公共职能所必需; 33 该项健康医疗数据处理行为是否由该组织或个人自行或与其他组织或个人共同决定; ！该项健康医疗数据处理行为是否由相关个人或者政府授权该组织或个人共同决定一项数据使用处理行为的目的、方式及范围等的组织或个人,为共同控制者健康医疗数据处理者(以下简称“处理者”);代表控制者采集、传输,存储、使用、处理或披露其掌握的健康医疗数据,或为控制者提供涉及健康医疗数据的使用、处理或者披露服务的相关组织或个人常见的处理者有:健康医疗信息系统供应商、健康医疗数据分析公司、辅助诊疗解决方案供应商等 d 健康医疗数据使用者(以下简称“使用者”)针对特定数据的特定场景,不属于主体,也不属于控制者和处理者,但对健嚷医疗数据进行利用的相关组织或个人 6.4流通使用场景基于不同角色之间的数据流动,数据流通使用场景可分为以下6类,如图1所示主体-控制者间数据流通使用; a 控制者-主体间数据流通使用 b 控制者内部数据流通使用 c 控制者-处理者间数据流通使用 d 控制者间数据流通使用 e 控制者-使用者间数据流通使用处理者主体控制者使用者控制者图1数据流通使用场景分类示意图
GB/T39725一2020 6.5数据开放形式数据公开共享类型可划分为完全公开共享、受控公开共享、领地公开共享,对应的去标识化要求不同,按照GB/T37964一2019的规定处理常见的数据开放形式及其适用的公开共享类型详见表2 表2常见数据开放形式开放形式说明适用公开共享类型统计概要类数据或经匿名处理后的数据,向大众开放,可自行下载网站公开完全公开共享分析由数据系统生成文件并推送至SFTP接口设备或应用系统,或采用文件共享受控公开共享移动介质进行共享系统之间通过请求响应方式提供数据,由数据系统提供实时或准实 AP接人时面向特定用户的数据服务应用接口,需求方系统发起请求,数据受控公开共享系统返回所需数据,例如通过webServiee接口完全公开共享(匿名查询在线查询在数据系统提供的功能页面上查询相关数据受控公开共享(用户查询提供系统环境、分析挖掘工具以及去标识后的样本数据或模拟数据平台用户共享或者专用硬件和数据资源,可以部署自有数据郁数据分析数据分析算法,可以查询权限内的数据和分析结果平台所有原始领地公开共享平台数据不能导出;分析结果的输出,下载必须经审核通过后才能对外输出使用披露原则控制者在使用或披露健康医疗数据的过程中,宜遵循以下原则控制者在使用或披露个人健康医疗数据时,宜告知主体并获得主体的授权(以下b)中情况除 a 外);所有告知宜使用通俗易懂的语言,并且包含要披露或使用的数据内容、数据的接收方,数据的用途以及使用方式、数据使用期限、数据主体权利以及控制者采取的保护措施等具体信息使用或披露个人健康医疗数据不能超出个人授权范围因业务需要,确需超出范围使用或披露的,宜再次征得主体同意 b 控制者在没有获得主体的授权,在以下情况可以使用或披露相应个人健康医疗数据向主体提供其本人健康医疗数据时; 1 治疗、支付或保健护理时 2 33 涉及公共利益或法律法规要求时; 受限制数据集用于科学研究、医学/健康教育、公共卫生目的时 4 在上述情况下,控制者可依靠法律法规要求、职业道德、伦理和专业判断来确定哪些个人健康医疗数据允许被使用或披露控制者宜获得主体授权才能使用或披露个人健康医疗数据进行市场营销活动,但控制者与主体之间进行面对面的营销沟通除外用于市场营销活动的授权宜以合理方式提示主体,并让其充分知悉,明确、自主做出同意该授权宜是独立的,不宜作为主体获得任何公共服务、医疗服务的前置条件或者捆绑于其他服务条款之中控制者在取得授权的同时,宜书面告知主体
GB/39725一2020 其有权随时撤销该授权 d 主体(或其授权代表)有权访问其个人健康医疗数据或要求披露其数据,控制者宜按其要求披露相应个人健康医疗数据主体有权复查并获得其个人健康医疗数据的副本,控制者宜提供,例如通过文件共享或者在线查询方式提供主体发现控制者所持有的该主体的个人健康医疗数据不准确或不完整时,控制者宜为其提供 f 请求更正或补充信息的方法主体有权对控制者或其处理者使用或披露数据的情况进行历史回溯查询,最短回溯期为六年 g h)主体有权要求控制者在诊断、治疗、支付、健康服务等过程中限制使用或披露其个人健康医疗数据,以及限制向相关人员披露信息,控制者没有义务同意上述限制请求;但一旦同意,除非法律法规要求以及医疗紧急情况下,控制者宜遵守约定的限制控制者可以使用治疗笔记用于治疗,在进行必要的去标识化处理后,可以在未经个人授权的情况下使用或披露治疗笔记进行内部培训和学术研讨控制者宜制定、实施合理的策略与流程,将使用和披露限制在最低限度 j k5 控制者宜确认处理者的安全能力满足安全要求,并签署数据处理协议后,才能让处理者为其进行数据处理,处理者宜按照控制者的要求处理数据,未经控制者许可,处理者不能引人第三方协助处理数据控制者向政府授权的第三方控制者提供数据前,宜获得加盖政府公章的相关文件,数据提供后,数据安全责任以及传输通道的安全责任由第三方控制者承担控制者在确认数据使用的合法性、正当性和必要性,并确认使用者具备相应数据安全能力,且 m 使用者签订了数据使用协议并承诺保护受限制数据集中的个人健康医疗数据后,可将受限制数据集用于科学研究、,医疗保健业务、公共卫生等目的;使用者只能在协议约定的范围内使用数据并承担数据安全责任,在使用数据完成后,宜按照控制者要求归还、彻底销毁或者进行其他处理未经控制者许可,使用者不能将数据披露给第三方如果控制者针对个人健康医疗数据汇聚分析处理之后得到了不能识别个人的健康医疗相关数 n 据,该数据不再属于个人信息,但其使用和披露宜遵守国家其他相关法规要求控制者因为学术研讨需要,需要向境外提供相应数据的,在进行必要的去标识化处理后,经过数据安全委员会讨论审批同意,数量在250条以内的非涉密非重要数据可以提供,否则宜提请相关部门审批不涉及国家秘密,重要数据或者其他禁止或限制向境外提供的数据,经主体授权同意,并经数 p 据安全委员会讨论审批同意,控制者可向境外目的地提供个人健康医疗数据,累计数据量宜控制在250条以内,否则宜提请相关部门审批控制者不宜将健康医疗数据在境外的服务器中存储,不托管、租赁在境外的服务器 g 控制者对外进行数据合作开发利用时,宜采用“数据分析平台”开放形式,对数据使用披露进行 r 严格管控安全措施要点 8.1分级安全措施要点可以根据数据保护的需要进行数据分级,对不同级别的数据实施不同的安全保护措施,重点在于授权管理、身份鉴别,访问控制管理例如,从个人信息安全风险角度划分的数据分级和安全措施要点如表3所示医生调阅场景下的数据分级及安全措施详见11.1 临床研究场景下的数据分级及安全措施详见11.3
GB/T39725一2020 表3从个人信息安全风险出发的数据分级与安全措施要点适用场合特征与案例数据分级数据特点安全措施要点业务要求;可公开发布需要公众了解,例如剩余床第1 级数据内容;某些统计值公告位信息、剩余可就诊号源是否可公开需要评市数据使用者;大众信息不需要识别个人,例如病例业务要求;不需要识别个人分析、各类病种分布统计、数据内容;一般人口信息、管理、研究、流行病研究、疾病队列研宜进行去标识化处理,通过协议或第2级各类医疗,卫生服务信息教育与统计究等领地公开共享模式管控,宜确保数数据使用者，科研教育等分析场景举例;临床研究,医学据的完整性和真实性人员健康教育、药品/医疗器械研发业务要求;服务对象个人可识别,周边人不易识别数据内容;部分个人可识别在公开场合通知服务对象. 信息或代码,与其他信息内服务对象个人信息需部分遮蔽,环境与接收第3级例如门诊叫号、检查叫号、人数量受到限制容分离,例如张×x,排队告知体检服务叫号等序号等数据使用者;局部小范围人群必须准确识别个人,例如针业务要求;必须准确识别对个人的医疗服务、卫生健康服务,传染病管控、基因由于涉及个人标识信息,环境与接数据内容;包含完整准确的个性化服务组测序等第4级收人宜严格管控,宜高标准保证数个人健康医疗数据与管理场景举例:医院互联互通、据完整性和可用性数据使用者;比较小范围人远程医疗,健康传感数据管员、有审计和保护隐私义务理、移动应用、商业保险对接业务要求;特殊疾病诊疗所必须数据内容特殊病种详细特殊疾病疾病极其敏感,例如艾滋第5级 |严格的身份鉴别访问控制等措施资料诊疗 |病等数据使用者;极小范围人员,有审计、有保密义务 8.2场景安全措施要点基于数据流通使用场景的不同各角色在健康医疗数据使用过程中所涉及的安全环节与责任不同由此决定了各角色需要满足的安全控制要求不同各角色在不同应用场景和安全环节宜承担的安全岚任和安全措施要点如表4所示,针对常见场景需要重点关注的安全措施详见第11章
GB/39725一2020 表4数据使用安全责任与安全措施要点场景分类安全责任与安全措施要点场景与用户举例安全环节控制者;采集数据知情同意采集安全场景举例:医生调阅、健康传感,移动应用传输安全控制者;加密、存储介质管控主体-控制者间数据主体;个人流通控制者;医疗机构、科研机控制者;境内存储,加密,分类分级,去标识化、备份恢存储安全构,医保机构、商业保险公复、存储介质管控司、健康服务企业场景举例;患者查询传输安全控制者;加密、存储介质管控控制者-主体间数据主体;个人流通使用安全控制者身份鉴别.访问控制,敏感数据控制控制者;医疗机构收集安全控制者;收集数据知情同意,审批处理安全处理者:去标识化、权限管理质量管理,元数据管理场景举例:内部数据使用控制者内部数据使用控制者;审批授权,身份鉴别,访间控制、审计使用安全控制者;医疗机构控制者;境内存储,加密、分类分级、去标识化、备份恢存储安全复、存储介质管控控制者传输前的审查、评估、授权;加密、审计,流量控制、存储介质管控传输安全场景举例,医疗器械维护处理者;数据传输加密、传输方式控制 H控制者:医疗机构、政府处理者;去标识化、权限管理,质量管理,元数据管理机构 |控制者-处理者间数据处理安全审计处理者;科研机构、健康医流通控制者;境内存储,加密,分类分级,去标识化、备份恢疗信息服务企业、医疗器械复、存储介质管控、管理处理者数据存储过程厂商存储安全 |处理者;境内存储、加密,分类分级、去标识化、备份恢复、存储介质管控、销毁机制控制者A对接安全,加密,市计、流量控制、存储介质管控传输安全控制者B对接安全,加密,审计,流量控制存储介质管控场景举例:互联互通;远程医疗控制者A;审批授权、身份鉴别,访问控制审计控制者间数据流通使用安全控制者B，审批授权,身份鉴别,访问控制,审计控制者;政府机构、医疗机构,医保机构控制者A:境内存储、加密、分类分级、去标识化、备份恢复、存储介质管控、销毁机制存储安全控制者B;境内存储、加密,分类分级、去标识化、备份恢复、存储介质管控、销毁机制控制者;传输前的审查,评估、授权;加密,审计,流量传输安全控制、存储介质管控场景举例:商业保险对接、使用安全使用者;审批授权,身份鉴别,访间控制、审计临床研究、二次利用控制者-使用者间数据控制者:医疗机构控制者:境内存储、加密、分类分级、去标识化、备份恢流通使用者;商业保险公司、科复、存储介质管控、管理使用者数据存储过程存储安全 l研机构使用者;境内存储加密,分类分级、去标识化、备份恢复、存储介质管控,销毁机制
GB/T39725一2020 注在数据实际应用场景中,存在一个控制者对应多个流通使用场景的情况,此时需参照多个数据流通使用场景实施安全措施 8.3开放安全措施要点不同数据开放形式均宜: 遵循“最少必要原则”; aa 数据开放的目的、内容、使用方等经过数据安全委员会审批,确保符合合法性、正当性和必要性的要求根据使用目的尽可能地去标识化 c d 明确数据开发和使用目的、使用方需要承担的安全责任、安全措施等,并签署相应的协议; 涉及出境的宜依规进行安全评估,涉及重要数据的宜依规进行评估审批此外,不同数据开放形式还需要满足的安全措施要点详见表5所示表5不同数据开放形式安全措施要点数据开放形式安全措施要点网站公开公开数据宜经过数据安全委员会审批宜采用密码技术保障数据完整性和可追溯性文件共享 2 宜对文件的大小,内容,生成时间等进行审计通过移动介质传输的数据宜采用具有加密或访问控制的移动介质方案宜采用口令,密码技术,生物技术等鉴别技术对接人用户进行身份鉴别宜采用校验技术或密码技术保证通信过程中的数据完整性,并通过加密等方式保证数据在传输过程中的保密性,加密技术的选择宜考虑应用场景,数据规模,效率要求等方而; AP接人宜对AP的调用情况进行日志审计,包括但不限于调用方,调用时间,.调用接日名称,调用结果等; 宜采取wEB安全措施防止sQL注雪码等攻击措施 XSS爆破密" 匿名可查询的数据经过数据安全委员会审批 ,确保不涉及个人信息、重要数据等; 宜采用口密码技术等鉴别技术对查询用户进行身份鉴别在线查询在传输过程中的保密性,加密技术的选择宜考虑应用场景、数据规模、效率要求等方面; 净发现高频查询及时台 ,XSS,爆破密码等攻击措施任何分析结果的导出宜经过数据安全委员会审批宜对平台的访问进行权限管理,包括访问权限和数据使用权限数据分析平台数据分析平台的数据操作宜具备留痕和溯源功能; 导出 ;数据或者结果留存备案待审计 9 安全管理指南 9.1概述控制者为实现第5章所述安全目标,宜按照GB/T220802016要求,参照第6章进行数据分类分级和场景分析,分析健康医疗数据安全面临的风险,有针对性地采取安全措施,并对实施措施后的效果 10
GB/39725一2020 进行检查,持续改进控制者可参照附录C建立数据使用管理办法,参照附录D对数据申请进行审批,参照附录E与处理者使用者)签署数据处理(使用)协议,参照附录F进行自查 9.2组织宜建立完善的组织保障体系，组织架构中至少包括健康医疗数据安全委员会和健康医疗数据安全工作办公室,以确保做好健康医疗数据安全管理工作,并形成相应的文档记录,包括但不限于建立健康医疗数据安全委员会(简称委员会),对健康医疗数据安全工作全面负责,讨论决定健 a 康医疗数据安全重大事项,委员会宜包含组织高层管理人员和各业务口负责人等 2 涵盖信息安全、伦理、法律、统计,审计、保密等相关专业人员 3 由组织最高负责人担任主任委员; 4 可依托现有的伦理委员会院务会等,不必重新建立; 协调配置健康医疗数据安全工作必要的人力、物力、资金等资源,例如基于权限分离的原 5 则,配备安全管理员,安全审计员、系统管理员等; 负责审核健康医疗数据安全策略、风险评估方案,合规评估方案、风险处置方案和应急处置方案; 77 负责审核数据安全相关规章制度(例如数据使用审批流程); 8 负责审核去标识化策略和流程; 9 定期召开工作会议,建议每月至少召开一次 b 建立健康医疗数据安全工作办公室,指定专人例如数据安全官)负责健康医疗数据安全日常工作负责落实执行健康医疗数据安全委员会的各项决定,并向委员会报告工作; 2 负责制定、维护和更新健康医疗数据安全策略、风险评估方案、合规评估方案、风险处置方案和应急处置方案; 负责建立、维护和更新数据安全相关规章制度; 33 负责制定、维护和更新数据使用审批流程,以及去标识化策略和流程; 4 梳理业务流程及涉及的健康医疗信息系统和数据,并进行安全风险分析和合规分析,提出 5 健康医疗数据安全工作建议形成并管理好元数据结构,形成符合业务流程的数据和系统供应链结构; 6 负责人员的数据安全教育与培训,确保相关人员具备相应数据安全能力; 77 至少每年对健康医疗数据安全工作进行全面自查,并做出整改建议; 8 审计健康医疗数据使用情况,并适时调整改进安全槽施 9 监测预警健康医疗数据安全状态,并适时调整改进安全措施 10) 9.3过程 9.3.1规划规划阶段主要工作如下,各项工作宜形成相应文档记录界定健康医疗数据安全工作范围,确定工作目标,建立工作计划 b 建立健康医疗数据安全策略并通告全组织建立健康医疗数据安全相关规章制度并通告全组织 c d)建立健康医疗数据安全风险评估方案和合规评估方案; 11
GB/T39725一2020 梳理健康医疗数据相关业务及涉及的系统和数据; e fD 识别健康医疗数据安全风险并评估影响识别健康医疗数据安全合规风险点并评估影响 8 h)针对风险建立风险处置方案;涉及数据使用披露的,宜按照第7章“使用披露要求”处置;涉及网络和系统安全的,宜按照GB/T22081一2016,GB/T22239一2019进行处置;涉及基础安全和数据服务安全的,宜按照GB/T35274一2017进行处置;涉及云计算安全的,宜按照 GB/T31168进行处置; i 评审并通过风险处置方案; 建立数据安全应急处置方案 9.3.2实施实施阶段主要工作如下,各项工作宜形成相应文档记录健康医疗数据使用和披露过程中,各个环节宜严格执行既定数据安全相关规章制度、安全策略 a 和流程 b 实施风险处置方案,包括实施选定的安全措施; 配备适当的资源,包折人力物力、资金，支撑安全工作开展 c 开展必要的信息安全教育和培训 d 对开展的信息安全工作和投人信息安全工作的各项资源实施有效地管控针对信息安全事件采取有效应对措施 9.3.3检查检查阶段主要工作如下,各项工作宜形成相应文档记录监控健康医疗数据安全相关工作过程,例如安全措施实施过程; a 定期评审风险处置方案的实施有效性,包括评估相应措施在实施后剩余风险的可接受程度等; b 定期检查健康医疗数据使用披露是否符合第7章“使用披露要求” c 定期检查是否按照第10章进行了安全技术工作和去标识化工作; d 检查过程纳人组织的内部管理; e 根据情况实施自查,或是请第三方机构进行检查 9.3.4改进改进阶段主要工作如下,各项工作宜形成相应文档记录针对监控或检查结果改进安全措施,包括采取预防性措施,或是调整可能影响健康医疗数据安 a 全的业务活动内容; 建立整改计划,并按计划实施 b g.4应急处置应急处置主要工作如下,各项工作宜形成相应文档记录建立应急预案,包括启动应急预案的条件、应急处理流程、系统恢复流程,事件报告流程、事后 a 教育和培训等内容宜对网络安全应急预案定期进行评估修订,每年至少组织1次应急演练宜指定专门数据安全应急支撑队伍、专家队伍,保障安全事件得到及时有效处置 b 宜制定灾难恢复计划,确保健康医疗信息系统能及时从网络安全事件中恢复,并建立安全事件 c 追溯机制 d 在数据安全事件发生后,宜按应急预案进行处置;事件处置完成后及时按规定向安全保护工作 12
GB/39725一2020 部门书面报告事件情况,内容宜至少包括:事件描述、原因和影响分析、处置方式等信息宜根据检测评估监测预警中发现的安全问题及处置结果开展综合评估,必要时重新开展风险识别,并更新安全策略 0安全技术指南 10.1通用安全技术控制者宜按照GB/T22081一2016.GBT22239一2019.GB/T31168和GB/T35274一2017等做好数据安全管理工作宜对承载健康医疗数据的信息系统和网络设施以及云平台等进行必要的安全保护 aa 宜针对数据生命周期内的各项活动,包括数据采集、数据传输、数据存储、数据处理、数据交换、 b 数据销毁等实施数据安全措施,以降低安全风险,保障数据安全宜围绕规划,开发、部署运维等系统生命周期各阶段特点,对数据平台与应用采取必要的安全措施,建立安全的数据管理基础设施,降低数据平台与应用运行安全风险,保障业务连续性宜对健康医疗数据进行分类分级管理,制定,实施合理的策略与流程,将使用和披露限制在最低限度宜实施身份鉴别访问控制、安全审计、人侵防范、恶意代码防范、介质使用管理等安全措施 ee fD 宜确保数据质量满足业务需求,实施备份恢复、剩余信息保护等安全措施 g 宜采用密码技术保证数据在采集、传输和存储过程中的完整性、保密性、可追溯性;使用介质传输的,宜对介质实施管控 h存储个人生物识别信息时,宜采用技术措施处理后再进行存储例如仅存储个人生物识别信息的摘要密码技术使用宜符合国家密码管理相关要求 i 宜符合重要数据管理、关键信息基础设施安全管理等政策的相关通用要求 10.2去标识化控制者宜按照GB/T379642019开展去标识化工作,去标识化的数据宜应用于受控公开共享或领地公开共享(控制者完全控制的环境),宜通过数据使用协议约定数据使用目的,方式,期限,安全保障措施等去标识化策略、流程和结果宜由数据安全委员会审批数据应用于临床研究和医药/医疗研发时,相关要求如下宜去除个人属性数据中可唯一识别到个人的信息或披露后会给个人造成重大影响的信息,例 a 如:姓名;身份证/驾照等证件号;电话号码、传真电子邮件;医疗保险号、病历档案号、账户;生物识别信息(指纹、声音等与应用目的无关的信息);照片;爱好、信仰等 b)个人属性数据中可间接关联到个人的信息,宜进行泛化、转换等处理,例如单位、地址、邮政编码等信息,如果单位信息或与其他信息组合后覆盖的人群在2万人以 1 上,可以保留单位信息;如果地址信息包括省(直辖市),市(县),街道(乡镇)或与其他信息组合后覆盖的人群在2万人以上,可以保留,否则宜去除街道(乡镇),保证组合覆盖的人群在2万人以上;如果邮编信息或与其他信息组合覆盖的人群在2万以上,可以保留,否则宜将邮编低位设置为*0',保证可以覆盖的人群在2万以上对具体年龄进行泛化处理,例如给出一个年龄范围例如;38岁可以转换成3040岁确保同区域内满足相同年龄条件的人数在2万人以上 3 生日及其他所有日期信息,例如:;人院时间、出院时间,只能具体到年,或者进行时间漂移处理 13
GB/T39725一2020 宜删除医护人员姓名以及其他身份标识信息 c d 数据集中所有属性值相同的人数最低宜在5人以上 e 对需要追溯到患者的情况,宜由控制者内部建立患者代码索引 fD 去标识化过程中使用的各种参数配置,例如时间漂移范围、患者代码索引将各种个人代码生成规则等宜严格保密,仅限于控制者内部专人管理在需要进行重标识确定主体时,宜由控制者内部专人处理,处理过程严格保密 8 h)宜禁止使用者参与去标识化相关工作 i 宜签署数据使用协议,约束数据的使用目的、期限以及数据保护措施等 j 在受控公开共享模式下,使用者宜记录数据使用情况,并接受控制者审计相关示例如表6所示卫生信息数据元的标识符类别及建议的去标识化方法可参考附录G 表6去标识化示例属性去标识化方法建议适用数据受试者姓名、医生姓名、姓名建议删除或置空研究者姓名、家庭成员姓名个人电话号码,邮箱、账建议删除或置空或泛化联系方式例如;住址只具体到市县级,隐藏县级以下地址号、住址 |建议采用“时间偏移方法”,转换法或泛化,例如;为不同研究项目定义不同的随机偏移量,通过日期时间十或一随机偏移量进行数据扰动以实现数据的去标识化例如医疗应用数据中能通过人院日期2018一01一01十随机偏移量100=人院日期:2018一04 数据分析关联到个人的 -ll 日期 l时间信息:例如人院日出院日期2018一04一01十随机偏移量100=出院日期;2018一07” 期、出院日期、手术日期等出院日期一人院日期=90天通过该方法可以保证数据去标识化的同时保证计算逻辑正确 |转换法即用其与其他日期运算得到结果来替换,例如住院天数泛化只保留年月,甚至只保留年出生日期建议删除、置空或者替换为年龄出生日期建议采用“数据泛化”方法例如年龄二89或者>89 年龄年龄 -年龄区间<25，25一29，3034,85一89，>89 不能再继续细分注;>89 建议删除或置空如需要利用号码的唯一性进行逻辑分析,例如通过身份证号判断多份病历是否属于同一个人的场景,可采用基于原数据的随机化产生唯一身份证号、社保卡号、工号码作证号,居住卡号标识进行替换如需要利用邮编等隐含地理信息的号码,可采用扰动和泛化方法进行处理,例如;原始邮编记录100080,去标识化后100 14
GB/39725一2020 表6(续属性去标识化方法建议适用数据建议置换或剔除检验结果报告单号,检查医疗机构内部所用通过这些号码进行逻辑分析而需要保留的,可采用基于原数据的随机报告单号、住院号、门号码化产生唯一标识进行替换急)诊号等如不需要这些号码进行逻辑分析,则刷除这些号码典型场景数据安全 1 1.1医生调阅数据安全 1.1.1概述适用于医生在提供健康医疗服务过程中调阅相应患者数据的场景医生所在的组织承担控制者角色,患者承担主体角色 11.1.2重点安全措施 11.1.2.1 数据分级医生调阅场景下,数据可分为默认级、告知级、授权级,分别对应6.2中的第2级、第3级,第4级默认级资料,例如检验检查名称、就诊医院、就诊科室等告知级资料,例如检验检查报告、手术记录、出院小结等小结报告类资料授权级资料,例如住院详细病历等此外,涉及特殊病种、特殊身份的资料均需授权或告知 11.1.2.2角色定义医生按职能范围可分为诊疗医生、本科室非诊疗组医生、其他科室医生等,按职称可分为住院医师、主治医师,主任医师等,不同角色的调阅权限不同,角色定义明晰,方可进行下一步的权限分配原则上,宜按所在科室,职称,诊疗组来定义角色类型科室即不同诊疗科室,按照医院科室划分,例如消化科、心脏外科 aa b 职称表征医生的专业性及上下级关系,例如住院医师、主治医师,主任医师 c 诊疗组即科室内部的诊疗组划分,视医院科室的具体划分而定,不同诊疗组之间的患者管辖相对独立,例如普外科内部分为胃肠诊疗组、肝胆胰诊疗组等,若科室内部未划分则无需定义在医院互联互通场景下,医院需向汇聚中心上传科室组织架构情况(上下级关系及诊疗组),形成权限组权限组的调整可下放到科室主任,上级医生可动态调配下级医生的诊疗组归属(考虑到诊疗组可能变动频繁,不增加医生工作负担),医院医务科负责日常审计当人事状态或诊疗状态发生变更时,角色宜随之更新 11.1.2.3数据标注将数据按分级、颗粒度标注标注数据的分级,即定义标识符、特殊病种、特殊就诊身份,以供后期与相应角色的权限匹配 15
GB/T39725一2020 1 标识符;例如;姓名;身份证/驾照等证件号;电话号码、传真、电子邮件;医疗保险号、病历档案号,账户;生物识别信息(指纹、视网膜、声音、基因等);照片;爱好、信仰等 22 特殊病种;性生殖相关疾病、传染性疾病、心理疾病、恶性肿瘤、遗传性疾病、肛门疾病、罕见病、其他不治之症等8类疾病 33 特殊身份;婴幼儿、孕产妇,恶性肿瘤患者等 b)标注特殊病种相关数据的颗粒度,不同详细程度资料的隐私级别不同,颗粒度分为以下三类概要级资料:例如检验检查名称、就诊医院、就诊科室等 1) 22 摘要级资料;例如检验检查报告、手术小结、住院小结、用药情况等小结报告类资料 33 详细级资料:例如住院详细病历等 1.1.2.4权限分配将医生的科室、职称,诊疗组与数据分级、颗粒度匹配: 对于普通病种的资料,权限范围内医生均可调阅 a b 对于特殊病种的资料,不同职称医生的权限不同对于传染性疾病,考虑保护医务人员的原则,默认向接诊医护人员披露 c 每个医生仅可调阅自身管辖范围内患者的数据,上级医师可查看下级医师管辖范围内的患者 d 数据权限分配示例如表7所示,同一医生满足多种角色时,其权限取并集表7角色权限示例表权限角色科室医生仅可调阅本科室患者数据住院医师仅可调阅普通病种资料及概要级特殊病种资料主治医师仅可调阅普通病种资料及摘要级特殊病种资料可调阅普通病种资料及详细级特殊病种资料主任医师诊疗组仅可调阅本诊疗组管辖范围内患者资料,不可调阅本科室其他诊疗组内患者资料 1.1.2.5身份鉴别调阅时需进行身份鉴别,方式包括账号口令基于数字证书的身份认证,生物特征(例如人脸、指纹等)识别认证等多因素结合的认证方式需限制访问时间,地点,非院内IP调阅、非工作时间调阅为异调阅后无动作一定时间(例如10m)后账号自动退出,屏幕自动锁屏常调阅 1.1.2.6数据调阅数据调阅时,宜考虑患者知情同意,例如调阅患者在其他机构的数据时,通过患者手机扫码授权调阅系统需具备异常行为感知能力,建立监控系统,达到能够追踪异常源头的效果,用来追踪完整访问轨迹报警方式包括提供现场报警、手机短信、邮件等方式,异常行为达到一定级别后能够触发权限锁报警内容包括异常调阅用户的P,时间、账号,访问内容,并能够进行自动阻断同时制定应定功能急预案等重点关注处理结果和处理率调阅日志保存时间宜不少于6个月,定期审核调阅日志,并对敏感数据及特殊身份患者的调阅记录进行审计 16
GB/39725一2020 11.2患者查询数据安全 1.2.1概述适用于患者通过在线方式查询其本人健康医疗数据的场景患者承担主体角色 11.2.2重点安全措施 11.2.2.1 身份识别患者通过在线系统查询其健康医疗数据,首次注册需关联实名制手机后通过实名制手机和手机验证码登录考虑子女代替年老父母等查询信息需要,账号可绑定子女手机(上传身份证或户口本扫描件即可或由系统后台认证),监护人代替未成年人查询信息等情况,仿照处理完成注册后,个人需设置账号与密码,系统宜对密码复杂度有一定要求,包括定期更改密码等 11.2.2.2信息查询为防止账户被他人冒用,造成个人信息大量泄漏,系统宜对可查询信息进行适当限制例如HIv、默认仅可查询三个月内相关检查检验报告、用药情况等信息肝炎等敏感检查结果不予显示 1.2.2.3操作权限系统宜对个人的操作权限进行合理设置,权限包括另存,复制、打印、下载等个人进行相应操作时,页面宜显示用户须知,例如告知患者下载后数据的信息安全义务在于其本人等,提示个人注重信息保护,同时重点语句突出显示(例如标红 1.2.2.4传输安全宜采用校验技术或密码技术保证个人健康医疗数据在传输过程中的保密性,完整性,加密方法的选择宜考虑应用场景、传输方式、数据规模,效率要求等设备宜默认开启数据加密功能 11.3临床研究数据安全 1.3.1概述临床研究一般是在学术性的医学中心,研究机构或者医疗科研机构进行,其过程主要包括临床试验的方案设计、组织实施、监查、核查、检查,以及数据的采集,记录、维护,统计,分析总结和报告等临床研究主要包括以下类型按临床数据获取方法区分:回顾性临床研究和前瞻性临床研究 a b 按研究目的区分;临床基础研究、临床应用研究和临床路径研究; 按产品获准上市与否区分;产品上市前研究和产品上市后研究 c 以产品上市获批为目的的临床试验的数据安全,请按照相关主管部门规定执行,不属于本标准范基于真实世界数据的临床研究是根据在日常医疗实践中收集的病人医疗数据及产品使用效果进行临床研究人工智能(包括深度学习)技术可以应用于医疗健康领域,提供辅助决策、健康咨询、辅助提高健康医疗服务及健康保险理赔效率、质量及专业水平,在产品研发和验证阶段,如果需要涉及患者及相应群体的数据,本质上也属于临床研究的范睛 17
GB/T39725一2020 11.3.2涉及的相关方临床研究主要涉及的相关方及其扮演的角色如下临床研究主要涉及的相关方有 a 1 申办者:负责临床研究的发起、管理和提供临床研究财务支持的个人、组织或者机构,例如:医疗机构、学术研究机构或健康医疗相关企业临床研究机构:具有资质的临床试验医疗机构,例如;医疗机构 22 研究者在临床研究机构中负责实施临床试验的人如果临床研究机构是由一组人员实 33 施试验的,则该组的负责人是研究者,也称主要研究者,主要研究者在多中心临床研究中负责协调参加各中心研究者工作受试者;参加临床研究,并作为研究用药品或临床研究的接受者,例如;患者、健康受试者！ 5 伦理委员会:由生物医学领域和伦理学、法学、社会学等领域的专家和非本机构的社会人士中遵选产生,人数不宜少于7人,并且宜有不同性别的委员;宜建立伦理审查工作制度或操作规程,保证伦理审查过程的独立、客观、公正伦理委员会职责是保护受试者合法权益,维护受试者尊严,促进生物医学研究规范开展伦理委员会宜采取相关利益冲突防范机制,保证伦理审查工作的独立性监查员;由申办者任命并对申办者负责的具备相关知识的人员,其任务是监查和报告试验的进行情况和核实数据核查员;受申办者委托对临床试验项目进行核查的人员在不同类型的临床研究中,相关方扮演的角色不同: b 对回顾性临床研究而言,申办者根据需要,从临床研究机构获得既往数据从事医药/医疗产品和诊疗方案研究在这个过程中,临床研究机构、申办者共同承担控制者的角色,受试者是主体在前瞻性临床研究过程中,申办者和临床研究机构合作,根据具体研究目的,确认需要采集的数据类型,对采集的受试者医疗数据进行研究在这个过程中申办者和医疗机构共同承担控制者的角色,受试者是主体在临床路径研究中,学术研究机构或健康医疗相关企业和医疗机构及相关医护人员合作,收集了解医疗机构的临床路径及医护人员对临床路径的认识在这个过程中,学术研究机构或健康医疗相关企业扮演控制者的角色,相关医护人员是主体如果在该研究中,医疗机构是发起者,医疗机构也承担控制者的角色在产品上市后研究中,申办者与临床研究机构合作,根据研究目的确认需要采集的数据类型,收集相关数据研究产品的质量和治疗/诊断效果在这个过程中,申办者和医疗机构共同承担控制者的角色,受试者是主体在基于真实世界数据的临床研究中,申办者和临床研究机构合作,根据具体研究目的,从临床研究机构获得医疗实践中产生的受试者医疗数据进行研究在这个过程中申办者和医疗机构共同承担控制者的角色,受试者是主体 11.3.3涉及的数据临床研究涉及的数据可能包括但不限于人口统计信息、健康状况数据、医疗应用数据、医疗支付数据等相关主管部门对基因数据的安全有专门规定,所以本标准不涉及基因数据安全 18
GB/39725一2020 11.3.4重点安全措施 11.3.4.1概述任何涉及人的医学研究都宜得到相应伦理委员会的批准对于符合免除知情同意的情况,可经过伦理委员会批准后免除知情同意同时鉴于新产品、新诊疗方案开发和产品实际质量和有效性验证的目的,在不影响科研目的的前提下,对数据实施去标识化处理如需要追溯到个人的情况,宜按照相关法律法规和标准,例如《临床试验数据管理工作技术指南》和 GB/T35273等,建立数据保密及患者隐私保护制度临床研究机构和申办者通过合同/协议等形式约定数据使用范围,明确数据保密及隐私保护合同协议双方的责任和义务临床研究数据安全包括数据权限控制、个人信息去标识化、数据加密等,宜遵循医疗行业的伦理规范和网络安全等级保护规范,仅使用所需的最小数据集,同时进行访问审计对不同权限用户进行权限配置,不同角色不同科室的用户可以查看不同范围的内容,提供业务 a 所需最小数据集各数据权限拥有不同的数据浏览与检索权限,包括全院层级数据、科室层级数据、所在医疗组层级数据的浏览与检索 b 对于病历进行去标识化处理,保护患者隐私与信息安全可选择对患者的姓名、年龄、性别、手机号,身份证号、电话号码、住址、家庭成员、职业等标识信息进行去标识化对于数据导出有完整的审批流程并对审批记录进行存档、管理 c d)遵循医疗行业的伦理规范和网络安全等级保护规范,提供业务所需最小数据集,同时进行访问审计 1.3.4.2伦理审查和知情同意在正式研究开始之前,申办者宜准备研究计划,叙述研究目的合法性依据,包括;研究内容、目的,涉及的数据类型、数据数量和预期结果,将研究计划报相关医疗机构的伦理委员会审批涉及人类遗传资源收集的,同时宜向有关部门申报批准临床研究原则上都需要受试者知情同意对于研究型医疗机构在患者就诊时可以采用广泛知情同意(BroadConsent nt)方式,使患者授权其个人健康医疗数据在去标识化前提下用于未来的临床研究中对于临床路径研究由于不涉及个人健康医疗数据,所以不需要获得主体知情同意,也不需要得到伦理委员会批准例外和豁免情况如下临床研究征得知情同意的例外: 对于产品上市后研究,以验证产品安全性和有效性为目的,在数据去标识化的前提下,相关申办者不需要获得受试者知情同意申办者出于公共利益开展统计或学术研究所必要,且其对外提供学术研究或描述的结果人信息进行去标识化处理的,不需要获得受试者知情同意时,对结果中所包含的个 b)以下情况可以向伦理委员会申请知情同意豁免受试者可能遭受的风险不超过最低限度; 1) 豁免征得受试者的知情同意并不会对受试者的权益产生负面影响 2 对于回顾性研究,已无法追溯到患者,或获取受试者知情同意代价太高,在数据去标识化 3 的前提下,可以申请知情同意豁免; 4 对于回顾性研究,主体已签署知情同意书,范围包含现有范围,在数据去标识化的前提下， 19
GB/T39725一2020 可以申请知情同意豁免 1.3.4.3数据分级临床研究场景下,可分为公用数据集(PUF)受限制数据集(L.Ds),可标识数据集(RIF),分别对应 6.2中的第1级,第3级,第4级 PUF主要是汇总概要级的数据;L.DS涉及患者级别的受保护数据,但身份标识数据被加密或泛化;RIF则包含患者的身份标识数据隐私级别越高,对数据应用范围、用途要求越严格 1.3.4.4数据采集临床研究数据采集实施的原则研究者或其指定的代表在数据收集之前要先确定元数据的格式和内容,并对元数据有必要的 a 描述信息;研究者或其指定的代表需要将所收集的数据内容、用途、共享计划或数据不共享说明提交给监查员;监查员需要确定所收集的健康医疗数据的责任人,并对其进行收编归档,如碰到人员调动等情况,需要及时变更数据的责任人研究者或其指定的代表需与受试者签署相关协议并说明有关临床试验的详细情况;使受试者 b 了解,参加试验及在试验中的个人数据均属保密;伦理委员会、药品监督管理部门或申办者在工作需要时,按规定可以查阅参加试验的受试者资料等数据可以通过多种方式进行接收,例如传真,邮寄,可追踪有保密措施的快递、监查员亲手传递、网络录人或其他电子方式数据接收过程宜有相应记录,以确认数据来源和数据是否已被接收提交到健康医疗信息系统时宜保护受试者标识信息的安全性数据录人流程宜明确该试验的数据录人要求一般使用的数据录人方式包括;双人双份录人,带手工复查的单人录人或直接采用电子数据采集(EDC)方式采用EDC方式采集宜保证EDC软件设计符合研究要求的安全规范,包含但不限于个人信息去标识化、数据加密等功能临床试验受试者的个人隐私宜得到充分的保护,对基本人口学资料进行去标识化处理个人 d 隐私的保护措施在设计数据库时就宜在技术层面考虑,在不影响数据的完整性和不违反临床实验质量管理规范(GCP)的条件下尽可能不收集个人标识信息,例如数据库不宜包括受试者的全名,而宜以特定代码指代 11.3.4.5数据传输主要涉及临床研究机构和申办者之间的数据传输,宜采取以下安全措施保护数据 a 确定临床研究数据的传输方法,包括但不限于;专线、互联网线路、VPN等链路上,采用TLs IPSEC等安全传输方式;若采用离线传输方式,例如;光盘、优盘等可移动存储介质,数据宜加密,加密数据和密钥分开存储,宜有数据导人导出和介质交接记录 b 确保数据传输的保密性,完整性,宜采用密码技术保证通信过程中敏感信息或整个数据集不被窃取、不被篡改确保数据的完整性、有效性和正确性在进行数据核查之前,宜列出详细的数据核查计划,数据核查包括但不限于以下内容:确定原始数据被正确、完整地导人到数据库中,检查缺失数据，查找并删除重复导人的数据,核对某些特定值的唯一性(例如受试者ID). 端口安全,不宜使用未通过审批的对外端口,不宜改变已经审批通过的对外服务端口的服务数据存储类服务严禁对外开放端口实施访问控制,按照临床研究电子系统的用户身份及其归属的用户组的身份来允许,限制或禁 20
GB/39725一2020 止其对系统的登录或使用,或对系统中某项信息资源项的访问、输人,修改、浏览 1.3.4.6数据存储原则上,患者知情同意书和患者代码索引由医疗机构保存,健康医疗相关企业只能获得去标识化后的数据数据存储阶段可采取的安全措施如下建议临床研究申办者在数据存储阶段采取以下安全措施保护数据安全 a 如果患者知情同意书和患者代码索引以纸质形式记录,宜在物理保存上加锁,由专人负责;如果患者知情同意书和患者代码索引以数字形式记录,数据宜加密并建立访问控制机制,加密数据和密钥宜分别存储其他数据宜建立访问控制机制,推荐使用加密机制,加密数据和密钥宜分开存储 22 3 宜对数据进行完整性验证,保证数据的完整性及不被篡改; 在研究结束后,宜对数据每5年做一次安全和使用审查,如果没有必要继续保存,需对数据进行匿名化或删除,如果匿名化后的数据属于重要数据范胯,按国家相关规定处理确保数据服务的可用性制定数据备份及恢复策略,定期进行数据备份,建立介质存取、验证和转储管理制度建议医疗机构在数据存储阶段采取以下安全措施保护数据安全 b 通过密码技术等方式实施完整性控制,确保健康医疗数据是准确的、完整的,并为其提供针对非法修改的保护机制; 临床试验所有过程宜产生准确和完整的记录,且清晰可读,便于回顾,生成过程的数据含 2 元数据)与结果数据需归档保存,在回顾数据时,能够从最后的结果追溯到原始数据 33 中间过程的数据宜以合适的方式例如版本升级等形式加以保存,不宜覆盖原有过程记录宜制定数据备份及恢复策略,定期进行数据备份,建立介质存取、验证和转储管理制度,并按介质特性对备份数据进行每年不少于1次的定期恢复的有效性验证; 对于公有云上的临床研究信息共享系统,宜采取必要的验证和加密处理,要对临床研究信息共享系统进行访问授权控制,确保数据访问的安全性宜对传输到临床研究信息共享系统的数据进行加密存储,同时宜确保临床研究信息共享系统数据的灾备对于院内私有云存储的数据,要通过网闸、网络隔离等方式,保证院内网络环境与公网环境的隔离,并限制移动存储设备(例如光盘、U盘)的使用 11.3.4.7数据使用临床研究数据使用时,宜采取以下措施: 利用数据库管理数据,宜确保数据管理过程可追溯数据库锁定是为防止对数据库文档进行无意或未授权的更改,而取消数据库编辑权限数据库锁定过程和时间宜有明确的文档记录对于盲法临床试验,数据库锁定后才可以揭盲如果对数据库锁定和开锁过程进行记录和控制,数据库开锁的流程宜至少包括;通知项目团队;给出要进行的更改内容,更改原因以及更改日期;并由主要研究者、数据管理人员和统计分析师等人员共同签署第一次的数据录人以及每一次的更改、删除或增加,其稽查轨迹都宜保留在临床研究数据库系 b 统中稽查轨迹宜包括更改的日期,时间、更改人、更改原因,更改前数据值,更改后数据值此稽查轨迹宜被系统保护,不宜任何人为的修改和编辑稽查轨迹记录宜存档并可查询数据宜在去标识化后进行使用,宜支持患者信息去标识化设置,例如去除患者姓名家庭地址 21
GB/T39725一2020 身份证号、手机号码、联系人姓名、联系人电话等建立数据权限管理机制,包括授权查看、授权使用、可查看的数据、可使用的数据 d 临床试验中所有观察结果和发现都宜加以核实,以保证数据的可靠性,确保临床试验中各项结 e 论来源于原始数据在数据处理的每一阶段宜采取质量控制,以保证所有数据的可靠性和数据处理的正确性多中心试验场景下数据宜实施集中管理与分析,并宜满足数据传输安全各项条件 f) 建立数据访问控制机制,例如只有被授权的角色可以访问被授权的数据对象日 h 数据传输宜使用加密技术、身份验证技术和数据完整性校验技术保证数据以安全的方式传输给指定的对象宜为主要研究者、数据管理员、统计分析师等不同角色的不同人员设置不同的账号且赋予不同的权限 11.3.4.8数据发布和共享研究者或相应研究机构在对数据进行发布和共其享的时候,宜对健康医疗数据形成共享说明,包括:数据限制性访问说明、隐私及保密协议说明、科研数据用 a 途说明等搭建科研数据共享平台,对不同级别的数据进行评估，确定不同的共享规范和访问控制 b 权限对共享和发布的健康医疗数据建立可溯源体系,做到可以分析审计跟踪溯源数据对数据的利用、存储、传输、访问控制等要遵守共享说明或相关合同的规定 d 政府预算资金资助形成的科研数据按照开放为常态、不开放为例外的原则,由主管部门组织编制科学数据资源目录,有关目录和数据宜及时接人国家数据共享交换平台,面向社会和相关部门开放共享国家法律法规有特殊规定的除外对于公益性科学研究需要使用的科研数据,研究者宜无偿提供确需收费的,宜按照规定程序和非营利原则制定合理的收费标淮,向社会公布并接受监督对于因经营性活动需要使用科研数据的,当事人双方宜签订有偿服务合同,明确双方的权利和义务科研数据的使用者宜遵守知识产权相关规定,在论文发表、专利申请、专著出版等工作中注明使用和参考引用的科研数据 1.3.4.9审计管理临床研究数据使用宜采取如下审计措施审计内容宜包括人员审计、管理审计、技术审计系统、网络、操作、日志审计等). a b 任何操作包括登录,创建、修改和删除记录的行为,都宜自动生成带有时间标记的审计记录，包括但不限于修改时间、修改原因、修改内容、修改人及签名等信息,并可供审计; 宜制定和部署健康医疗信息系统活动审计政策,重点对健康医疗数据的访间及操作的合规性进行审计,确定必要的审计控制范围和需要审计的数据 d 宜制定适当的标准操作流程,确定异常报告所需的审计跟踪数据和监视程序的类型审计记录宜安全存储并实施访问控制,只允许授权人员能够查看相关记录,保存的内容需反映临床医学研究整个过程 22
GB/39725一2020 11.4二次利用数据安全 11.4.1概述适用于第三方(政府部门、科研人员、企业等)出于非营利性目的申请对健康医疗数据的二次利用使用目的与数据被收集时的使用目的不同),涉及数据量大.包含可识别身份的信息,但无法联系主体或联系主体成本过高的情况用于提供医疗、医疗费用支付等为患者本人服务或其他法律法规规定的数据使用和临床研究数据使用不在此范围涉及的相关方包括数据汇聚中心和第三方,其中数据汇聚中心(医疗机构、区域卫生信息平台、医联体、学术平台等)为控制者,第三方为使用者重点安全措施 11.4.2 11.4.2.1 数据准备控制者宜明确数据资源目录,并提供数据描述,展示可供二次利用的数据资源及申请信息,包括数据信息(变量、样本量,年份),申请条件与范围、数据清洗处理成本、数据使用要求与责任,并提供少量样本数据或修饰后数据下载对于生物组学数据,根据组学类型的不同,制作不同的数据包控制者宜进行数据分类分级,并标签化,同时可以按隐私级别分为三大类,包括无标识数据集、受限制数据集以及可标识数据集,分别对应6.2的第2级、第3级、第4级无标识数据集主要是汇总概要级的信息,例如年度某疾病的统计数等群体数据;受限制数据集涉及患者级别的受保护信息,但身份标识符被删除,加密或泛化;可标识数据集则包含患者的身份识别信息,例如部分研究需要使用患者的地址、户籍类型、基因组学数据提供的基因型信息等对于隐私级别越高以及可能会给主体造成的影响和损害越大或者是可能会影响国家安全或公共安全的数据集,相应的申请者资质要求、申请流程、审批程序也宜更严格 11.4.2.2数据申请控制者宜对数据申请者的身份进行限制例如科研目的的使用,限定申请者为研究人员(有一定级别的课题支撑),在其研究领域有丰富经验和专业知识(有相应职称及高水平论著支撑、社会信用达到 A级等对申请渠道进行限制建议以单位的名义申请,单似宜挺前做好审核工作,申请者需提供单位审核意见,需单位负责人签字盖章等控制者宜规范数据使用的目的,仅可用于非营利性目的,包括科学研究、数据创新大赛、人工智能大赛等如对于科学研究目的,申请者宜有一定级别的课题立项,且课题符合伦理,申请提取的数据内容宜与研究主题紧密相关,满足最少必要原则控制者有必要对申请人的历史申请记录进行核查,防止数据分批分期泄露 11.4.2.3数据审批控制者宜成立数据安全委员会(或第三方独立审批),审批人员宜专业,构成合理建议建立审批专家库,专家按专业随机抽取制定数据安全委员会章程、数据审批流程,每次审批数据有审核记录,并对敏感数据的审批情况进行审计,定期开会总结审批合理性宜制定科学、定性或定量的数据申请审批判别指标例如可依据表8示例进行考量,制定数据审批评分表 23
GB/T39725一2020 表8数据审批判别指标示例维度判别指标举例合法性、正当性是否符合相关法规要求数据使用中是否会应用所申请的数据,控制超范围申请,保障最少必要的数据数据申请与数据需求一致性需要数据使用价值数据本身价值(数据量,涉及病种等)、数据应用价值(社会效益等) 数据泄漏风险影响人数、涉及病种、患者损失等提供数据成本提取.清洗、去标识化,传递所耗费的人力物力等 11.4.2.4去标识化结合数据申请者需求,宜对数据进行相应的去标识化工作,完成后进行重标识检测需要注意审查实际开展去标识化等具体工作团队的资质制定保护患者隐私的去标识化规则,例如定义姓名等标识符需满足最小计数原则,例如去标识化后满足相同描述的人数不少于5,如果某医院本年度诊断为宫颈癌的患者仅4名,计数小于5,则“宫颈癌”需泛化 11.4.2.5数据传输传输前,控制者与申请者需签署数据使用协议,约定双方权责、申请者对数据的保护措施或策略、数据泄露的应急方案、数据使用期限等不同级别数据的传递方式不同,无标识数据集可采取加密邮件、加密USB或其他可移动设备(仅特定电脑可使用)等方式受限制数据集和可标识数据集由于涉及患者部分个人标识信息,可采取数据本地操作,虚拟桌面远程访问在该系统进行分析,仅审批下载统计分析结果)、数据沙箱等方式 11.4.2.6数据销毁申请者在数据使用结束后书面通知控制者,在约定的使用期限后30天内销毁,并提供销毁的书面证明,数据使用衍生结果公开发表需注明数据来源于控制者控制者对数据销毁情况作核查 11.5健康传感数据安全 11.5.1概述健康传感数据是指通过健康传感器采集的,在软件支持下感知、记录、分析,与被采集者健康状况相关的,应用于医疗服务和健康生活的一切数据例如;监测诊疗数据血氧饱和度、血压,血糖、心率,睡眠);行为情绪数据(跑步距离、行走轨迹、步数、消耗能量、锻炼时长);环境数据(紫外线指数、污染指数、温度、湿度、噪声) 涉及的相关方包括个人、医疗机构、医保机构、商业保险公司、健康服务企业、信息系统服务商等主体;佩戴健康传感设备的人员 a b)控制者;使用健康传感设备采集健康医疗数据的机构包括但不限于医疗机构,医保机构、健康服务企业处理者;为控制者提供服务的机构,包括但不限于信息系统服务商 24
GB/39725一2020 11.5.2重点安全措施 11.5.2.1隐私保护在隐私保护方面: 使用和披露健康传感数据宜征得主体同意; a b)健康传感数据集成之后宜向主体说明应用目的和共享对象 11.5.2.2采集安全在数据采集方面: 健康传感设备宜支持用户认证,确保合法的控制和使用健康传感设备,用户认证手段包括但不 a 限于虹膜识别、指纹识别、密码技术采集控制措施,用户可开启或关闭数据采集,可选择上传的内容 b 如果健康传感设备通过网络向终端应用传输采集的健康数据,宜支持节点认证机制 11.5.2.3传输安全宜采用校验技术或密码技术保证个人健康医疗数据在传输过程中的保密性、完整性,加密方法的选择宜考虑应用场景、传输方式、数据规模、效率要求等设备宜默认开启数据加密功能 11.5.2.4存储安全在数据存储方面: 采用电子签名及时间戳等技术来保证数据的完整性和可追溯性 a b)确保数据可用性制定数据备份及恢复策略,定期进行数据备份,建立介质存取、验证和转储管理制度通过高性能、可扩展的数据库服务确保各类业务对数据获取服务的性能要求建立远程控制措施，一旦设备被窃或丢失,可自行选择删除设备中存储的数据 c d 健康传感设备宜支持个人健康数据的存储加密 11.5.2.5使用安全在数据使用方面: 建立数据访问认证和授权机制建立完善的身份认证以及基于角色的权限控制,严格区分不 a 同用户角色对数据访问的权限合理、精细的定义角色权限,避免不必要的、超过角色合法职责之外的授权对健康传感数据的使用活动进行审计,重点对健康医疗数据的访问及操作的合规性进行审计，确定必要的审计控制范围和需要审计的数据宜采取相应技术手段,保证审计日志的完整性 11.6移动应用数据安全 1.6.1概述移动应用是指通过网络技术为个人提供在线健康医疗服务(例如在线问诊、在线处方)或健康医疗数据服务的移动应用程序(例如个人电子健康档案) 符合医疗器械定义的应用,由医疗机构使用的用于现场健康医疗服务的应用[例如协助医生采集患者在腕内(门,忽诊,住院)的诊疗信息],不在本节范之内所涉及的相关方主要是应用发布者应用发布者是指与个人签订应用软件使用许可协议的主体， 25

信息安全技术健康医疗数据安全指南GB/T39725-2020解读

GB/T39725-2020标准的制定是为了加强健康医疗数据的安全管理和技术要求，规范医疗机构在信息安全方面的管理和控制。

医疗数据安全的现状

随着医疗领域的数字化建设，医疗数据已成为世界各国治理的重点之一。然而，医疗数据又具有敏感性和特殊性，因此安全风险较高。据统计，在过去的几年中，医疗行业数据泄露、病毒攻击和勒索软件等安全问题不断发生，给患者的隐私保护和医疗机构的信息安全带来了巨大挑战。

为了解决这些问题，GB/T39725-2020标准提出了一系列技术要求和管理规范，以确保健康医疗数据的安全和隐私。

GB/T39725-2020标准的主要内容

GB/T39725-2020标准主要包括以下方面：

1. 安全管理与控制

该部分对健康医疗数据的存储、传输、处理和使用等环节进行了详细的规范，旨在确保数据的安全性、完整性、可靠性和保密性。

2. 安全架构与设计

该部分针对健康医疗数据应用系统的安全架构进行了规范，包括系统结构和组成、用户身份认证与授权、系统日志和审计等方面。

3. 安全技术与工具

该部分提供了一些常用的安全技术和工具，如加密算法、数字证书、防火墙、入侵检测等，以保障健康医疗数据的安全。

GB/T39725-2020标准的应用

GB/T39725-2020标准的应用范围涵盖健康医疗数据的存储、传输、处理和使用等环节，适用于各类医疗机构及其部门、医疗行业信息系统建设单位、数据处理服务机 [Network Error]数据的安全和隐私，提高医疗数据管理的规范性和安全性。

结论

GB/T39725-2020标准的发布为健康医疗数据的安全管理和技术要求提供了有效的规范，并且能够保证健康医疗数据的安全和隐私。各类医疗机构及其部门、医疗行业信息系统建设单位、数据处理服务机构、医疗设备制造商等都应该认真遵循该标准来进行医疗数据的处理和管理。