从广东省技术规范出发健康医疗数据安全分类分级落标指引

健康医疗数据安全保护应遵循国家和行业部门指导和监管的原则，应遵循国家网络安全等级保护、大数据安全相关法律法规及标准规范要求，落实数据保护的主体责任和监管职责。

随着健康医疗数据应用、“互联网+医疗健康”和智慧医疗的蓬勃发展，各种新业务、新应用不断出现，健康医疗数据在全生命周期各阶段均面临着越来越多的安全挑战，安全问题频发。

由于健康医疗数据安全事关患者生命安全、个人信息安全、社会公共利益和国家安全，为了更好的保护健康医疗数据安全，规范和推动健康医疗数据的融合共享、开放应用，促进健康医疗事业发展，特制定的《信息安全技术健康医疗数据安全指南 GB/T 39725-2020》国家标准。

在广东省卫生经济学会发布的《广东省健康医疗数据安全分类分级管理技术规范 T/GDWJ 013—2022》中明确，健康医疗数据安全保护应遵循国家监管部门和行业部门指导和监管的原则，落实数据保护的主体责任和监管职责。应遵循国家网络安全等级保护、大数据安全相关法律法规及标准规范要求。

健康医疗数据包括个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关数据。涉及人类遗传资源数据（是指含有人体基因组、基因及其产物的器官、组织、细胞、血液、制备物、重组脱氧核糖核酸（DNA）构建体等遗传材料的信息资料）等重要数据的，按照相关部门要求执行。

根据数据级别采取相应的管理措施和技术手段对数据采集、汇聚、传输、存储、加工、共享、开放、使用、销毁等环节进行有针对性的保护，个人信息、敏感数据和重要数据要加强安全管控措施。

一、数据分类分级原则

数据分类分级宜遵循以下十项原则：

合法性合规性原则：数据分类分级应满足国家法律法规及行业主管部门相关规定；
综合性原则：执行数据分类分级时，应结合数据的应用场景、组合、取值、数据量的大小等，力求数据分类分级准确合理；
规范性原则：所采用的数据类目名称能够确切表达该数据分类的实际内容范围，内涵、外延情况；在表达相同的概念时，保证用语一致性；在不影响数据类目涵义表达的情况下，保证用语简洁性。在医疗健康行业已有统一数据用语的情况下，使用统一数据用语；
可执行性原则：数据分类分级规则制定宜避免过于复杂，保证可执行性；
稳定性原则：宜选择分类对象最稳定的特性作为数据分类的基础和依据；
明确性原则：数据类目间应界限分明。当数据类目不能明确各自界限时，可以用注释来加以明确；
时效性原则：数据的分级具有一定的有效期，由于数据项或数据项集合与业务应用场景有关，因此在不同应用场景下，数据的级别也会发生变化；
自主性原则：组织可根据自身的数据管理需要，例如业务需要、对风险的接受程度等，按照数据分类原则进行分类之后，按照数据分级方法自主确定更多的数据层级，但不宜将高敏感度数据定为低敏感度级别；
就高不就低原则：不同级别的数据被同时处理、应用时且无法精细化管控时，应按照其中级别最高的要求来实施保护；
关联叠加效应原则：对于非敏感数据关联后可能产生敏感数据的场景，关联后的数据级别应高于原始数据。

二、分类分级流程

1. 建立数据分类分级组织保障

数据分类分级工作的开展需要有组织保障，应明确数据分类分级的决策机构和最高责任人。决策机构负统筹和决策职责，决策数据分类分级工作的目标、内容、标准规范等。决策机构的最高责任人对数据分类分级工作负全面领导责任。

应明确数据分类分级的牵头部门。牵头部门负责牵头推动数据分类分级工作的开展，牵头部门负责按照决策机构议定的工作目标和要求开展数据分类分级工作，牵头制定企业数据分类分级管理办法、制度、流程、标准规范，协调解决分类分级工作中的问题，牵头进行数据分类分级工作的评价。

应明确数据分类分级的实施部门，实施部门负责本部门数据分类分级的具体实施工作，具体包括：按照牵头部门制定的制度、流程、规范等梳理本部门的数据资源，并提交给牵头部门。实施部门包括医院各业务科室和信息技术部门，业务科室包括行政、急诊、门诊、住院、药房、技生、体检中心、理疗中心、采购、财务等支撑医院运转的部门。

2. 建立数据分类分级制度保障

数据分类分级工作的开展需要有制度保障，应明确：
数据分类分级的总体要求；
数据分类分级的相关制度、规范、标准、工作流程等的制定、发布、维护和更新的机制以及评审和修订周期；
数据分类分级管理相关绩效考评和评价机制；
数据资产分类分级清单的确立、审核、修订周期和原则；
数据分类分级保护的总体原则和目标；
操作人员的操作规程。

3. 数据资源梳理

牵头部门应牵头全面梳理医疗健康机构内部的所有数据资源，业务部门和技术部门配合数据梳理工作，梳理的内容包括以物理或电子形式记录的数据表、数据项、数据文件等，明确数据梳理的要求，包括数据内容描述、数据量、保存位置、保存期限、数据处理情况（数据处理目的、数据处理所涉及的信息系统）、数据对外提供情况（共享转让、公开披露、数据出境）、数据生命周期各环节安全措施配套情况等内容。

应对重要医疗支撑信息系统的业务流程进行分析，绘制业务流程图。
应根据业务流程，梳理每个业务节点所产生的数据资源。
应明确业务节点的数据资源的访问对象、访问权限、处理单元、存储单元、传输单元等。
应对每个部门的所有数据资源进行逻辑汇聚，对所有部门的数据集合，进行合并然后统一列表，形成数据资源列表。

4. 建立数据资源目录

对每个部门的所有数据资源进行逻辑汇聚，对所有部门的数据集合，进行合并然后统一列表，形成数据资源列表。

5. 对数据资源分类

根据健康医疗数据自身管理特点，按照树形结构，建立数据资源分类目录树。并将整理后的数据资源列表对应到目录树，确定数据资源列表中每个数据项在目录树中所在的位置，即确定该数据项的数据类型。

6. 对数据资源分级

根据健康医疗数据重要程度和敏感程度，确定数据资源的安全等级。

7. 数据分类分级标识

应根据数据分类分级方法，采用人工与技术手段相结合的方法，实现数据资源的梳理与分类分级，并进行数据分类分级标识。

8. 建立数据分类分级清单

应根据数据分类分级情况对数据资源进行分类分级标识后，输出企业的数据分类分级清单。清单内容至少包括所属部门、所在系统、数据类型、安全等级、内容描述、数据量、保存位置、保存期限、数据处理情况（数据处理目的、数据处理所涉及的信息系统）、数据对外提供情况（共享转让、公开披露、数据出境）、数据生命周期各环节安全措施配套情况等。且应建设必要的网络数据资源清单管理技术手段，确保网络数据资源清单内容覆盖全面、信息真实完整。

三、数据分类分级方法

1. 数据分类方法

数据分类按照 GB/T 10113 中的线分类法为基础结合业务信息，根据医疗健康机构业务运营特点和内部管理方法，收集机构内所有部门的数据资源，梳理所有数据资源。按照线分类法，按照业务属性（或特征），将健康医疗数据分为若干数据大类，然后按照大类内部的数据隶属逻辑关系，将每个大类的数据分为若干层级，每个层级分为若干子类，同一分支的同层级子类之间构成并列关系，不同层级子类之间构成隶属关系。所有数据类及数据子类构成数据资源目录树，如图下所示。目录树的所有叶子节点是最小数据类。最小数据类是指属性（或特征）相同或相似的一组数据。

图1 数据分类方法

2. 数据分级方法

在数据分类基础上，根据健康医疗数据重要程度以及泄露后对国家安全、社会秩序、医疗机构经营管理和公众利益造成的影响和危害程度，对健康医疗数据资源进行分级。数据分级的步骤和方法宜采用下图：

图2 数据分级的步骤和方法

确定数据分级对象

数据分级对象可以是最小数据类，也可以是最小数据类之下的具体数据字段。

确定数据安全受到破坏时造成影响的客体

数据的安全属性（机密性、完整性、可用性）遭到破坏时造成的影响的客体包括：国家安全、社会公共利益、健康医疗机构利益和个人健康医疗信息主体利益。

1) 对国家安全和社会公共利益的影响应考虑数据一旦未经授权披露、丢失、滥用、篡改、销毁，可能造成的后果对国家安全和社会公共利益的影响程度。
2) 对健康医疗机构利益的影响应考虑如下3个方面：
— 业务影响应考虑数据安全事件发生后对生产业务造成的影响。
— 财务影响应考虑数据安全事件发生后导致的财务损失。包括：直接损失（收入受损、缴纳罚款、赔偿金或其他资源损失等）和恢复成本（比如恢复数据、恢复业务、消除影响等涉及的资金或人工成本等）。
— 声誉影响应考虑数据安全事件发生后被外界所知所造成的声誉受损。
3) 对个人健康医疗信息主体利益的影响应考虑如下个人健康医疗信息一旦发生安全事件后，对个人财产、声誉、生活状态以及生理和心理等方面产生的影响。

评定对影响客体的影响程度

将分级对象对照数据分级影响程度参照表进行映射，判断分级对象发生丢失、泄露、被篡改、被损毁等安全事件时对影响客体的侵害程度。

确定数据分级对象的安全等级

根据数据对象对客体的影响程度，取影响程度中的最高影响等级为该数据对象的重要敏感程度。

四、分类体系

1. 数据类别范围

健康医疗数据可以分为个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据以及公共卫生数据等类别，具体内容如表 1 所示。

个人属性数据是指能够单独或者与其他信息结合识别特定自然人的数据。
健康状况数据是指能反映个人健康情况或同个人健康情况有着密切关系的数据。
医疗应用数据是指能反映医疗保健、门诊、住院、出院和其他医疗服务情况的数据。
医疗支付数据是指医疗或保险等服务中所涉及的与费用相关的数据。
卫生资源数据是指那些可以反映卫生服务人员、卫生计划和卫生体系的能力与特征的数据。
公共卫生数据是指关系到国家或地区大众健康的公共事业相关数据。

数据类别	范围
个人属性数据	1) 人口统计信息，包括姓名、出生日期、性别、民族、国籍、职业、住址、工作单位、家庭成员信息、联系人信息、收入、婚姻状态等； 2) 个人身份信息，包括姓名、身份证、工作证、居住证、社保卡、可识别个人的影像图像、健康卡号、住院号、各类检查检验相关单号等； 3) 个人通讯信息，包括个人电话号码、邮箱、账号及关联信息等； 4) 个人生物识别信息，包括基因、指纹、声纹、掌纹、耳廓、虹膜、面部特征等； 5) 个人健康监测传感设备ID等。
健康状况数据	主诉、现病史、既往病史、体格检查（体征）、家族史、症状、检验检查数据、遗传咨询数据、可穿戴设备采集的健康相关数据、生活方式、基因测序、转录产物测序、蛋白质分析测定、代谢小分子检测、人体微生物检测等。
医疗应用数据	门（急）诊病历、住院医嘱、检查检验报告、用药信息、病程记录、手术记录、麻醉记录、输血记录、护理记录、入院记录、出院小结、转诊（院）记录、知情告知信息等。
医疗支付数据	1) 医疗交易信息，包括医保支付信息、交易金额、交易记录等； 2) 保险信息，包括保险状态、保险金额等。
卫生资源数据	医院基本数据、医院运营数据等。
公共卫生数据	环境卫生数据、传染病疫情数据、疾病监测数据、疾病预防数据、出生死亡数据等。

表1 健康医疗数据类别与范围

2. 数据分级划分

根据数据重要程度和风险级别以及对个人健康医疗数据主体可能造成的损害以及影响的级别，建议数据划分为以下5级：

第1级：可完全公开使用的数据。例如医院名称、地址、电话等，可直接在互联网上面向公众公开。
第2级：可在较大范围内供访问使用的数据。例如不能标识个人身份的数据，各科室医生经过申请审批可以用于研究分析。
第3级：可在中等范围内供访问使用的数据。例如经过部分去标识化处理，但仍可能重标识的数据，仅限于获得授权的项目组范围内使用。
第4级：在较小范围内供访问使用的数据。例如可以直接标识个人身份的数据，仅限于相关医护人员访问使用。
第5级：仅在极小范围内且在严格限制条件下供访问使用的数据。例如特殊病种（例如艾滋病、性病）的详细资料，仅限于主治医护人员访问且需要进行严格管控。

3. 相关角色分类

针对特定数据特定场景，相关组织或个人可划分为以下四类角色。对任何特定组织或个人，围绕特定数据，在特定场景或特定的数据使用处理行为上，其只能归为其中一个角色。

个人健康医疗数据主体（以下简称“主体”）：个人健康医疗数据所标识的自然人。
健康医疗数据控制者（以下简称“控制者”）：能够决定健康医疗数据处理目的、方式及范围等的组织或个人。包括提供健康医疗服务的组织、医保机构、政府机构、健康医疗科学研究机构、个体诊所等，其以电子形式传输或处理健康医疗数据。判断组织或个人能否决定健康医疗数据的处理目的、方式及范围，可以考虑：

1) 该项健康医疗数据处理行为是否属于该组织或个人履行某项法律法规规定所必需；
2) 该项健康医疗数据处理行为是否为该组织或个人行使其公共职能所必需；
3) 该项健康医疗数据处理行为是否由该组织或个人自行决定；
4) 是否由相关个人或者政府授权。
共同决定一项数据使用处理行为的目的、方式及范围等的组织或个人，为共同控制者。

健康医疗数据处理者（以下简称“处理者”）：代表控制者采集、传输、存储、使用、处理或披露其掌握的健康医疗数据，或为控制者提供涉及健康医疗数据的使用、处理或者披露服务的相关组织或个人。常见的处理者有：健康医疗信息系统供应商、健康医疗数据分析公司、辅助诊疗解决方案供应商等。
健康医疗数据使用者（以下简称“使用者”）：针对特定数据的特定场景，不属于主体，也不属于控制者和处理者，但对健康医疗数据进行利用的相关组织或个人。

4. 流通使用场景

基于不同角色之间的数据流动，数据流通使用场景可分为以下6类：

1) 主体-控制者间数据流通使用；
2) 控制者-主体间数据流通使用；
3) 控制者内部数据流通使用；
4) 控制者-处理者间数据流通使用；
5) 控制者间数据流通使用；
6) 控制者-使用者间数据流通使用。

5. 数据开放形式

数据公开共享类型可划分为完全公开共享、受控公开共享、领地公开共享，对应的去标识化要求不同，参见GB/T 37964—2019。常见的数据开放形式包括网站公开、文件共享、API接入、在线查询、数据分析平台。常见的数据开放形式及其适用的公开共享类型详见表2。

开放形式	说明	适用公开共享类型
网站公开	统计概要类数据或经匿名处理后的数据，向大众开放，可自行下载分析。	完全公开共享
文件共享	由数据系统生成文件并推送至SFTP接口设备或应用系统，或采用移动介质进行共享。	受控公开共享
API接入	系统之间通过请求回应方式提供数据，由数据系统提供实时或准实时面向特定用户的数据服务应用接口，需求方系统发起请求数据系统返回所需数据，例如通过Webservice接口。	受控公开共享
在线查询	在数据系统提供的功能页面上查询相关数据。	完全公开共享（匿名查询）受控公开共享（用户查询）
数据分析平台	提供数据分析平台、系统环境、挖掘工具以及不含敏感数据的样本数据或模拟数据。平台用户共享或者专用硬件和数据资源，可以部署自有数据和数据分析算法，可以查询权限内的数据和分析结果。平台所有原始数据不能导出；分析结果的输出、下载必须经审核通过后才能对外输出。	领地公开共享

表2 常见数据开放形式

6. 安全措施要点

根据数据保护的需要进行数据分级，对不同级别的数据实施不同的安全保护措施，重点在于授权管理、身份鉴别、访问控制管理。不同数据开放形式均宜：

遵循“最少必要原则”；
数据开放的合法性、正当性、必要性、目的、内容、使用方等经过数据安全委员会审批；
根据使用目的尽可能的去标识化；
明确数据使用目的、使用方需要承担的安全责任、安全措施等，签署相应的协议；
涉及出境的应依规进行安全评估，涉及重要数据的应依规进行评估审批。

此外，不同数据开放形式还需要满足的安全措施要点详见表5所示。

数据开放形式	安全措施要点
网站公开	1)	公开数据宜经过数据安全委员会审批。
文件共享	1) 2) 3)	宜采用密码技术保障数据完整性和可追溯性；宜对文件的大小、内容、生成时间等进行审计；通过移动介质传输的宜采用具有加密或访问控制的移动介质方案。
API接入	1) 2) 3) 4)	宜采用口令、密码技术、生物技术等鉴别技术对接入用户进行身份鉴别；宜采用校验技术或密码技术保证通信过程中的数据完整性，并通过加密等方式保证数据在传输过程中的保密性，加密技术的选择宜考虑应用场景、数据规模、效率要求等方面；宜对API的调用情况进行日志审计，包括但不限于调用方、调用时间、调用接口名称、调用结果等；宜采取WEB安全措施防止SQL注入、XSS、爆破密码等攻击措施。
在线查询	1) 2) 3) 4) 5) 6)	匿名可查询的数据经过数据安全委员会审批，确保不涉及个人信息、重要数据等；宜采用口令、密码技术、生物技术等鉴别技术对查询用户进行身份鉴别；宜采用校验技术或密码技术保证通信过程中的数据完整性，并通过加密等方式保证数据在传输过程中的保密性，加密技术的选择宜考虑应用场景、数据规模、效率要求等方面；对查询的数据量、查询次数和查询时间进行审计，形成异常报告；宜对批量查询操作进行监控，发现高频查询及时告警；宜采取WEB安全措施防止SQL注入、XSS、爆破密码等攻击措施。
数据分析平台	1) 2) 3) 4)	任何分析结果的导出宜经过数据安全委员会审批；宜对平台的访问进行权限管理，包括访问权限和数据使用权限；数据分析平台的数据操作宜具备留痕和溯源功能；导出数据或者结果留存备案待审计。