路径: 主页 > GB/T > 第208页 > GB/T 39725-2020 | 标准编号 | GB/T 39725-2020 (GB/T39725-2020) | | 中文名称 | 信息安全技术 健康医疗数据安全指南 | | 英文名称 | Information security technology - Guide for health data security | | 行业 | 国家标准 (推荐) | | 中标分类 | L80 | | 国际标准分类 | 35.040 | | 字数估计 | 70,738 | | 发布日期 | 2020-12-14 | | 实施日期 | 2021-07-01 | | 标准依据 | 国家标准公告2020年第28号 | | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | GB/T 39725-2020
Information security technology -- Guide for health data security
ICS 35.040
L80
中华人民共和国国家标准
信息安全技术
健康医疗数据安全指南
2020-12-14发布
2021-07-01实施
国 家 市 场 监 督 管 理 总 局
国 家 标 准 化 管 理 委 员 会 发 布
目次
前言 Ⅲ
引言 Ⅳ
1 范围 1
2 规范性引用文件 1
3 术语和定义 1
4 缩略语 2
5 安全目标 3
6 分类体系 3
6.1 数据类别范围 3
6.2 数据分级划分 4
6.3 相关角色分类 4
6.4 流通使用场景 5
6.5 数据开放形式 6
7 使用披露原则 6
8 安全措施要点 7
8.1 分级安全措施要点 7
8.2 场景安全措施要点 8
8.3 开放安全措施要点 10
9 安全管理指南 10
9.1 概述 10
9.2 组织 11
9.3 过程 11
9.4 应急处置 12
10 安全技术指南 13
10.1 通用安全技术 13
10.2 去标识化 13
11 典型场景数据安全 15
11.1 医生调阅数据安全 15
11.2 患者查询数据安全 17
11.3 临床研究数据安全 17
11.4 二次利用数据安全 23
11.5 健康传感数据安全 24
11.6 移动应用数据安全 25
11.7 商业保险对接安全 27
11.8 医疗器械数据安全 30
附录A(资料性附录) 个人健康医疗数据范围 33
附录B(资料性附录) 卫生信息相关标准 34
附录C(资料性附录) 数据使用管理办法示例 43
附录D(资料性附录) 数据申请审批示例 47
附录E(资料性附录) 数据处理使用协议模板 50
附录F(资料性附录) 健康医疗数据安全检查表 55
附录G(资料性附录) 卫生信息数据元去标识化示例 60
参考文献 62
信息安全技术
健康医疗数据安全指南
1 范围
本标准给出了健康医疗数据控制者在保护健康医疗数据时可采取的安全措施。
本标准适用于指导健康医疗数据控制者对健康医疗数据进行安全保护,也可供健康医疗、网络安全
相关主管部门以及第三方评估机构等组织开展健康医疗数据的安全监督管理与评估等工作时参考。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不标注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 22080-2016 信息技术 安全技术 信息安全管理体系 要求
GB/T 22081-2016 信息技术 安全技术 信息安全控制实践指南
GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求
GB/T 25069 信息安全技术 术语
GB/T 31168 信息安全技术 云计算服务安全能力要求
GB/T 35273 信息安全技术 个人信息安全规范
GB/T 35274-2017 信息安全技术 大数据服务安全能力要求
GB/T 37964-2019 信息安全技术 个人信息去标识化指南
3 术语和定义
GB/T 25069界定的以及下列术语和定义适用于本文件。
3.1
个人健康医疗数据 personalhealthdata
单独或者与其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的相关电子
数据。
注:个人健康医疗数据涉及个人过去、现在或将来的身体或精神健康状况、接受的医疗保健服务和支付的医疗保健
服务费用等,参见附录A。
3.2
健康医疗数据 healthdata
个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据。
示例:经过对群体健康医疗数据处理后得到的群体总体分析结果、趋势预测、疾病防治统计数据等。
3.3
经政府或行业组织授权有资格履行特定健康医疗工作职责的人员。
其有权随时撤销该授权。
d) 主体(或其授权代表)有权访问其个人健康医疗数据或要求披露其数据,控制者宜按其要求披
露相应个人健康医疗数据。
e) 主体有权复查并获得其个人健康医疗数据的副本,控制者宜提供,例如通过文件共享或者在线
查询方式提供。
f) 主体发现控制者所持有的该主体的个人健康医疗数据不准确或不完整时,控制者宜为其提供
请求更正或补充信息的方法。
g) 主体有权对控制者或其处理者使用或披露数据的情况进行历史回溯查询,最短回溯期为六年。
h) 主体有权要求控制者在诊断、治疗、支付、健康服务等过程中限制使用或披露其个人健康医疗
数据,以及限制向相关人员披露信息,控制者没有义务同意上述限制请求;但一旦同意,除非法
律法规要求以及医疗紧急情况下,控制者宜遵守约定的限制。
i) 控制者可以使用治疗笔记用于治疗,在进行必要的去标识化处理后,可以在未经个人授权的情
况下使用或披露治疗笔记进行内部培训和学术研讨。
j) 控制者宜制定、实施合理的策略与流程,将使用和披露限制在最低限度。
k) 控制者宜确认处理者的安全能力满足安全要求,并签署数据处理协议后,才能让处理者为其进
行数据处理,处理者宜按照控制者的要求处理数据,未经控制者许可,处理者不能引入第三方
协助处理数据。
l) 控制者向政府授权的第三方控制者提供数据前,宜获得加盖政府公章的相关文件,数据提供
后,数据安全责任以及传输通道的安全责任由第三方控制者承担。
m) 控制者在确认数据使用的合法性、正当性和必要性,并确认使用者具备相应数据安全能力,且
使用者签订了数据使用协议并承诺保护受限制数据集中的个人健康医疗数据后,可将受限制
数据集用于科学研究、医疗保健业务、公共卫生等目的;使用者只能在协议约定的范围内使用
数据并承担数据安全责任,在使用数据完成后,宜按照控制者要求归还、彻底销毁或者进行其
他处理。未经控制者许可,使用者不能将数据披露给第三方。
n) 如果控制者针对个人健康医疗数据汇聚分析处理之后得到了不能识别个人的健康医疗相关数
据,该数据不再属于个人信息,但其使用和披露宜遵守国家其他相关法规要求。
o) 控制者因为学术研讨需要,需要向境外提供相应数据的,在进行必要的去标识化处理后,经过
数据安全委员会讨论审批同意,数量在250条以内的非涉密非重要数据可以提供,否则宜提请
相关部门审批。
p) 不涉及国家秘密、重要数据或者其他禁止或限制向境外提供的数据,经主体授权同意,并经数
据安全委员会讨论审批同意,控制者可向境外目的地提供个人健康医疗数据,累计数据量宜控
制在250条以内,否则宜提请相关部门审批。
q) 控制者不宜将健康医疗数据在境外的服务器中存储,不托管、租赁在境外的服务器。
r) 控制者对外进行数据合作开发利用时,宜采用“数据分析平台”开放形式,对数据使用披露进行
严格管控。
8 安全措施要点
8.1 分级安全措施要点
可以根据数据保护的需要进行数据分级,对不同级别的数据实施不同的安全保护措施,重点在于授
权管理、身份鉴别、访问控制管理。例如,从个人信息安全风险角度划分的数据分级和安全措施要点如
表3所示。医生调阅场景下的数据分级及安全措施详见11.1。临床研究场景下的数据分级及安全措施
详见11.3。
进行检查,持续改进。
控制者可参照附录C建立数据使用管理办法,参照附录D对数据申请进行审批,参照附录E与处
理者(使用者)签署数据处理(使用)协议,参照附录F进行自查。
9.2 组织
宜建立完善的组织保障体系,组织架构中至少包括健康医疗数据安全委员会和健康医疗数据安全
工作办公室,以确保做好健康医疗数据安全管理工作,并形成相应的文档记录,包括但不限于:
a) 建立健康医疗数据安全委员会(简称委员会),对健康医疗数据安全工作全面负责,讨论决定健
康医疗数据安全重大事项,委员会宜:
1) 包含组织高层管理人员和各业务口负责人等;
2) 涵盖信息安全、伦理、法律、统计、审计、保密等相关专业人员;
3) 由组织最高负责人担任主任委员;
4) 可依托现有的伦理委员会、院务会等,不必重新建立;
5) 协调配置健康医疗数据安全工作必要的人力、物力、资金等资源,例如基于权限分离的原
则,配备安全管理员、安全审计员、系统管理员等;
6) 负责审核健康医疗数据安全策略、风险评估方案、合规评估方案、风险处置方案和应急处
置方案;
7) 负责审核数据安全相关规章制度(例如数据使用审批流程);
8) 负责审核去标识化策略和流程;
9) 定期召开工作会议,建议每月至少召开一次。
b) 建立健康医疗数据安全工作办公室,指定专人(例如数据安全官)负责健康医疗数据安全日常
工作:
1) 负责落实执行健康医疗数据安全委员会的各项决定,并向委员会报告工作;
2) 负责制定、维护和更新健康医疗数据安全策略、风险评估方案、合规评估方案、风险处置方
案和应急处置方案;
3) 负责建立、维护和更新数据安全相关规章制度;
4) 负责制定、维护和更新数据使用审批流程,以及去标识化策略和流程;
5) 梳理业务流程及涉及的健康医疗信息系统和数据,并进行安全风险分析和合规分析,提出
健康医疗数据安全工作建议;
6) 形成并管理好元数据结构,形成符合业务流程的数据和系统供应链结构;
7) 负责人员的数据安全教育与培训,确保相关人员具备相应数据安全能力;
8) 至少每年对健康医疗数据安全工作进行全面自查,并做出整改建议;
9) 审计健康医疗数据使用情况,并适时调整改进安全措施;
10) 监测预警健康医疗数据安全状态,并适时调整改进安全措施。
9.3 过程
9.3.1 规划
规划阶段主要工作如下,各项工作宜形成相应文档记录。
a) 界定健康医疗数据安全工作范围,确定工作目标,建立工作计划;
b) 建立健康医疗数据安全策略并通告全组织;
c) 建立健康医疗数据安全相关规章制度并通告全组织;
d) 建立健康医疗数据安全风险评估方案和合规评估方案;
e) 梳理健康医疗数据相关业务及涉及的系统和数据;
f) 识别健康医疗数据安全风险并评估影响;
g) 识别健康医疗数据安全合规风险点并评估影响;
h) 针对风险建立风险处置方案;涉及数据使用披露的,宜按照第7章“使用披露要求”处置;涉及
网络和系统安全的,宜按照GB/T 22081-2016、GB/T 22239-2019进行处置;涉及基础安全
和数据服务安全的,宜按照 GB/T 35274-2017进行处置;涉及云计算安全的,宜按照
GB/T 31168进行处置;
i) 评审并通过风险处置方案;
j) 建立数据安全应急处置方案。
9.3.2 实施
实施阶段主要工作如下,各项工作宜形成相应文档记录。
a) 健康医疗数据使用和披露过程中,各个环节宜严格执行既定数据安全相关规章制度、安全策略
和流程;
b) 实施风险处置方案,包括实施选定的安全措施;
c) 配备适当的资源,包括人力、物力、资金,支撑安全工作开展;
d) 开展必要的信息安全教育和培训;
e) 对开展的信息安全工作和投入信息安全工作的各项资源实施有效地管控;
f) 针对信息安全事件采取有效应对措施。
9.3.3 检查
检查阶段主要工作如下,各项工作宜形成相应文档记录。
a) 监控健康医疗数据安全相关工作过程,例如安全措施实施过程;
b) 定期评审风险处置方案的实施有效性,包括评估相应措施在实施后剩余风险的可接受程度等;
c) 定期检查健康医疗数据使用披露是否符合第7章“使用披露要求”;
d) 定期检查是否按照第10章进行了安全技术工作和去标识化工作;
e) 检查过程纳入组织的内部管理;
f) 根据情况实施自查,或是请第三方机构进行检查。
9.3.4 改进
改进阶段主要工作如下,各项工作宜形成相应文档记录。
a) 针对监控或检查结果改进安全措施,包括采取预防性措施,或是调整可能影响健康医疗数据安
全的业务活动内容;
b) 建立整改计划,并按计划实施。
9.4 应急处置
应急处置主要工作如下,各项工作宜形成相应文档记录。
a) 建立应急预案,包括启动应急预案的条件、应急处理流程、系统恢复流程、事件报告流程、事后
教育和培训等内容。宜对网络安全应急预案定期进行评估修订,每年至少组织1次应急演练。
b) 宜指定专门数据安全应急支撑队伍、专家队伍,保障安全事件得到及时有效处置。
c) 宜制定灾难恢复计划,确保健康医疗信息系统能及时从网络安全事件中恢复,并建立安全事件
追溯机制。
d) 在数据安全事件发生后,宜按应急预案进行处置;事件处置完成后及时按规定向安全保护工作
部门书面报告事件情况,内容宜至少包括:事件描述、原因和影响分析、处置方式等信息。
e) 宜根据检测评估、监测预警中发现的安全问题及处置结果开展综合评估,必要时重新开展风险
识别,并更新安全策略。
10 安全技术指南
10.1 通用安全技术
控制者宜按照GB/T 22081-2016、GB/T 22239-2019、GB/T 31168和GB/T 35274-2017等做
好数据安全管理工作。
a) 宜对承载健康医疗数据的信息系统和网络设施以及云平台等进行必要的安全保护。
b) 宜针对数据生命周期内的各项活动,包括数据采集、数据传输、数据存储、数据处理、数据交换、
数据销毁等实施数据安全措施,以降低安全风险,保障数据安全。
c) 宜围绕规划、开发、部署、运维等系统生命周期各阶段特点,对数据平台与应用采取必要的安全
措施,建立安全的数据管理基础设施,降低数据平台与应用运行安全风险,保障业务连续性。
d) 宜对健康医疗数据进行分类分级管理,制定、实施合理的策略与流程,将使用和披露限制在最
低限度。
e) 宜实施身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、介质使用管理等安全措施。
f) 宜确保数据质量满足业务需求,实施备份恢复、剩余信息保护等安全措施。
g) 宜采用密码技术保证数据在采集、传输和存储过程中的完整性、保密性、可追溯性;使用介质传
输的,宜对介质实施管控。
h) 存储个人生物识别信息时,宜采用技术措施处理后再进行存储,例如仅存储个人生物识别信息
的摘要。
i) 密码技术使用宜符合国家密码管理相关要求。
j) 宜符合重要数据管理、关键信息基础设施安全管理等政策的相关通用要求。
10.2 去标识化
控制者宜按照GB/T 37964-2019开展去标识化工作,去标识化的数据宜应用于受控公开共享或
领地公开共享(控制者完全控制的环境),宜通过数据使用协议约定数据使用目的、方式、期限、安全保障
措施等。去标识化策略、流程和结果宜由数据安全委员会审批。数据应用于临床研究和医药/医疗研发
时,相关要求如下:
a) 宜去除个人属性数据中可唯一识别到个人的信息或披露后会给个人造成重大影响的信息,例
如:姓名;身份证/驾照等证件号;电话号码、传真、电子邮件;医疗保险号、病历档案号、账户;生
物识别信息(指纹、声音等与应用目的无关的信息);照片;爱好、信仰等。
b) 个人属性数据中可间接关联到个人的信息,宜进行泛化、转换等处理,例如:
1) 单位、地址、邮政编码等信息,如果单位信息或与其他信息组合后覆盖的人群在2万人以
上,可以保留单位信息;如果地址信息包括省(直辖市)、市(县)、街道(乡镇)或与其他信息
组合后覆盖的人群在2万人以上,可以保留,否则宜去除街道(乡镇),保证组合覆盖的人
群在2万人以上;如果邮编信息或与其他信息组合覆盖的人群在2万以上,可以保留,否
则宜将邮编低位设置为‘0’,保证可以覆盖的人群在2万以上。
2) 对具体年龄进行泛化处理,例如给出一个年龄范围。例如:38岁可以转换成30~40岁,
确保同区域内满足相同年龄条件的人数在2万人以上。
3) 生日及其他所有日期信息,例如:入院时间、出院时间,只能具体到年,或者进行时间漂移
处理。
11.2 患者查询数据安全
11.2.1 概述
适用于患者通过在线方式查询其本人健康医疗数据的场景。患者承担主体角色。
11.2.2 重点安全措施
11.2.2.1 身份识别
患者通过在线系统查询其健康医疗数据,首次注册需关联实名制手机后通过实名制手机和手机验
证码登录。考虑子女代替年老父母等查询信息需要,账号可绑定子女手机(上传身份证或户口本扫描件
即可或由系统后台认证),监护人代替未成年人查询信息等情况,仿照处理。
完成注册后,个人需设置账号与密码,系统宜对密码复杂度有一定要求,包括定期更改密码等。
11.2.2.2 信息查询
为防止账户被他人冒用,造成个人信息大量泄漏,系统宜对可查询信息进行适当限制。例如 HIV、
肝炎等敏感检查结果不予显示。默认仅可查询三个月内相关检查检验报告、用药情况等信息。
11.2.2.3 操作权限
系统宜对个人的操作权限进行合理设置,权限包括另存、复制、打印、下载等。个人进行相应操作
时,页面宜显示用户须知,例如告知患者下载后数据的信息安全义务在于其本人等,提示个人注重信息
保护,同时重点语句突出显示(例如标红)。
11.2.2.4 传输安全
宜采用校验技术或密码技术保证个人健康医疗数据在传输过程中的保密性、完整性,加密方法的选
择宜考虑应用场景、传输方式、数据规模、效率要求等。设备宜默认开启数据加密功能。
11.3 临床研究数据安全
11.3.1 概述
临床研究一般是在学术性的医学中心、研究机构或者医疗科研机构进行,其过程主要包括临床试验
的方案设计、组织实施、监查、核查、检查,以及数据的采集、记录、维护、统计、分析总结和报告等。
临床研究主要包括以下类型:
a) 按临床数据获取方法区分:回顾性临床研究和前瞻性临床研究;
b) 按研究目的区分:临床基础研究、临床应用研究和临床路径研究;
c) 按产品获准上市与否区分:产品上市前研究和产品上市后研究。
以产品上市获批为目的的临床试验的数据安全,请按照相关主管部门规定执行,不属于本标准
范畴。
基于真实世界数据的临床研究是根据在日常医疗实践中收集的病人医疗数据及产品使用效果进行
临床研究。
人工智能(包括深度学习)技术可以应用于医疗健康领域,提供辅助决策、健康咨询、辅助提高健康
医疗服务及健康保险理赔效率、质量及专业水平,在产品研发和验证阶段,如果需要涉及患者及相应群
体的数据,本质上也属于临床研究的范畴。
11.3.2 涉及的相关方
临床研究主要涉及的相关方及其扮演的角色如下:
a) 临床研究主要涉及的相关方有:
1) 申办者:负责临床研究的发起、管理和提供临床研究财务支持的个人、组织或者机构,例
如:医疗机构、学术研究机构或健康医疗相关企业。
2) 临床研究机构:具有资质的临床试验医疗机构,例如:医疗机构。
3) 研究者:在临床研究机构中负责实施临床试验的人。如果临床研究机构是由一组人员实
施试验的,则该组的负责人是研究者,也称主要研究者,主要研究者在多中心临床研究中
负责协调参加各中心研究者工作。
4) 受试者:参加临床研究,并作为研究用药品或临床研究的接受者,例如:患者、健康受试者。
5) 伦理委员会:由生物医学领域和伦理学、法学、社会学等领域的专家和非本机构的社会人
士中遴选产生,人数不宜少于7人,并且宜有不同性别的委员;宜建立伦理审查工作制度
或操作规程,保证伦理审查过程的独立、客观、公正。伦理委员会职责是保护受试者合法
权益,维护受试者尊严,促进生物医学研究规范开展。伦理委员会宜采取相关利益冲突防
范机制,保证伦理审查工作的独立性。
6) 监查员:由申办者任命并对申办者负责的具备相关知识的人员,其任务是监查和报告试验
的进行情况和核实数据。
7) 核查员:受申办者委托对临床试验项目进行核......
|