声明
本文是学习GB-T 39725-2020 信息安全技术 健康医疗数据安全指南. 下载地址 http://github5.com/view/628而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
健康医疗数据安全 缩略语
下列缩略语适用于本文件。
ACL:访问控制列表(Access Control Lists)
EDC:电子数据采集(Electronic Data Capture)
GCP:临床试验规范标准(Good Clinical Practice)
HIS:医院信息系统(Hospital Information Systems)
HIV:艾滋病病毒(Human Immunodeficiency Virus)
ID:身份标识(Identity)
IP:互联网协议(Internet Protocol)
IPSEC:网际协议安全(Internet Protocol Security)
IT:信息技术(Information Technology)
LDS:受限制数据集(Limited Data Set Files)
PIN:个人识别号码(Personal Identity Number)
PUF:公用数据集(Public Use Files)
RIF:可标识数据集(Research Identifiable Files)
TLS:传输层安全(Transport Layer Security)
USB:通用串行总线(Universal Serial Bus)
VPN:虚拟专用网络(Virtual Private Network)
健康医疗数据安全目标
健康医疗数据控制者应采取合理和适当的管理与技术保障措施,以达到以下目标:
- 确保健康医疗数据的保密性、完整性和可用性;
- 确保健康医疗数据使用和披露过程的合法性和合规性,保护个人信息安全、公众利益和国家安全;
- 确保健康医疗数据在符合上述安全要求的前提下满足业务发展需求。
健康医疗数据安全分类体系
数据类别范围
健康医疗数据可以分为个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据以及公共卫生数据等类别,具体内容如表1所示。在卫生信息领域使用的数据元、数据集、值域代码等相关标准可参考附录B。
- 个人属性数据是指能够单独或者与其他信息结合识别特定自然人的数据。
- 健康状况数据是指能反映个人健康情况或同个人健康情况有着密切关系的数据。
- 医疗应用数据是指能反映医疗保健、门诊、住院、出院和其他医疗服务情况的数据。
- 医疗支付数据是指医疗或保险等服务中所涉及的与费用相关的数据。
- 卫生资源数据是指那些可以反映卫生服务人员、卫生计划和卫生体系的能力与特征的数据。
- 公共卫生数据是指关系到国家或地区大众健康的公共事业相关数据。
表1 健康医疗数据类别与范围
| 数据类别 | 范围 |
|---|---|
| 个人属性数据 | 1)人口统计信息,包括姓名、出生日期、性别、民族、国籍、职业、住址、工作单位、家庭成员信息、联系人信息、收入、婚姻状态等; 2)个人身份信息,包括姓名、身份证、工作证、居住证、社保卡、可识别个人的影像图像、健康卡号、住院号、各类检查检验相关单号等; 3)个人通讯信息,包括个人电话号码、邮箱、账号及关联信息等; 4)个人生物识别信息,包括基因、指纹、声纹、掌纹、耳廓、虹膜、面部特征等; 5)个人健康监测传感设备ID等。 |
| 健康状况数据 | 主诉、现病史、既往病史、体格检查(体征)、家族史、症状、检验检查数据、遗传咨询数据、可穿戴设备采集的健康相关数据、生活方式、基因测序、转录产物测序、蛋白质分析测定、代谢小分子检测、人体微生物检测等。 |
| 医疗应用数据 | 门(急)诊病历、住院医嘱、检查检验报告、用药信息、病程记录、手术记录、麻醉记录、输血记录、护理记录、入院记录、出院小结、转诊(院)记录、知情告知信息等。 |
| 医疗支付数据 | 1)医疗交易信息,包括医保支付信息、交易金额、交易记录等; 2)保险信息,包括保险状态、保险金额等。 |
| 卫生资源数据 | 医院基本数据、医院运营数据等。 |
| 公共卫生数据 | 环境卫生数据、传染病疫情数据、疾病监测数据、疾病预防数据、出生死亡数据等。 |
数据分级划分
根据数据重要程度和风险级别以及对个人健康医疗数据主体可能造成的损害以及影响的级别进行分级,例如数据划分为以下5级:
- 第1级:可完全公开使用的数据。包括可以通过公开途径获取的数据,例如医院名称、地址、电话等,可直接在互联网上面向公众公开。
- 第2级:可在较大范围内供访问使用的数据。例如不能标识个人身份的数据,各科室医生经过申请审批可以用于研究分析。
- 第3级:可在中等范围内供访问使用的数据,如果未经授权披露,可能对个人健康医疗数据主体造成中等程度的损害。例如经过部分去标识化处理,但仍可能重标识的数据,仅限于获得授权的项目组范围内使用。
- 第4级:在较小范围内供访问使用的数据,如果未经授权披露,可能会对个人健康医疗数据主体造成较高程度的损害。例如可以直接标识个人身份的数据,仅限于参与诊疗活动的医护人员访问使用。
- 第5级:仅在极小范围内且在严格限制条件下供访问使用的数据,如果未经授权披露,可能会对个人健康医疗数据主体造成严重程度的损害。例如特殊病种(例如艾滋病、性病)的详细资料,仅限于主治医护人员访问且需要进行严格管控。
相关角色分类
针对特定数据特定场景,相关组织或个人可划分为以下四类角色。对任何特定组织或个人,围绕特定数据,在特定场景或特定的数据使用处理行为上,其只能归为其中一个角色。
- 个人健康医疗数据主体(以下简称“主体 ”):个人健康医疗数据所标识的自然人。
- 健康医疗数据控制者(以下简称“控制者 ”):判断组织或个人能否决定健康医疗数据的处理目的、方式及范围,可以考虑:
- 该项健康医疗数据处理行为是否属于该组织或个人履行某项法律法规规定所必需;
- 该项健康医疗数据处理行为是否为该组织或个人行使其公共职能所必需;
- 该项健康医疗数据处理行为是否由该组织或个人自行或与其他组织或个人共同决定;
- 该项健康医疗数据处理行为是否由相关个人或者政府授权该组织或个人。
共同决定一项数据使用处理行为的目的、方式及范围等的组织或个人,为共同控制者。
- 健康医疗数据处理者(以下简称“处理者 ”):代表控制者采集、传输、存储、使用、处理或披露其掌握的健康医疗数据,或为控制者提供涉及健康医疗数据的使用、处理或者披露服务的相关组织或个人。常见的处理者有:健康医疗信息系统供应商、健康医疗数据分析公司、辅助诊疗解决方案供应商等。
- 健康医疗数据使用者(以下简称“使用者 ”):针对特定数据的特定场景,不属于主体,也不属于控制者和处理者,但对健康医疗数据进行利用的相关组织或个人。
流通使用场景
基于不同角色之间的数据流动,数据流通使用场景可分为以下6类,如图1所示。
- 主体-控制者间数据流通使用;
- 控制者-主体间数据流通使用;
- 控制者内部数据流通使用;
- 控制者-处理者间数据流通使用;
- 控制者间数据流通使用;
- 控制者-使用者间数据流通使用。
图1 数据流通使用场景分类示意图
数据开放形式
数据公开共享类型可划分为完全公开共享、受控公开共享、领地公开共享,对应的去标识化要求不同,参见GB/T 37964—2019。常见的数据开放形式包括网站公开、文件共享、API接入、在线查询、数据分析平台。常见的数据开放形式及其适用的公开共享类型详见表2。
表2 常见数据开放形式
| 开放形式 | 说明 | 适用公开共享类型 |
|---|---|---|
| 网站公开 | 统计概要类数据或经匿名处理后的数据,向大众开放,可自行下载分析。 | 完全公开共享 |
| 文件共享 | 由数据系统生成文件并推送至SFTP接口设备或应用系统,或采用移动介质进行共享。 | 受控公开共享 |
| API接入 | 系统之间通过请求回应方式提供数据,由数据系统提供实时或准实时面向特定用户的数据服务应用接口,需求方系统发起请求数据系统返回所需数据,例如通过Webservice接口。 | 受控公开共享 |
| 在线查询 | 在数据系统提供的功能页面上查询相关数据。 | 完全公开共享(匿名查询) 受控公开共享(用户查询) |
| 数据分析平台 | 提供数据分析平台、系统环境、挖掘工具以及不含敏感数据的样本数据或模拟数据。平台用户共享或者专用硬件和数据资源,可以部署自有数据和数据分析算法,可以查询权限内的数据和分析结果。平台所有原始数据不能导出;分析结果的输出、下载必须经审核通过后才能对外输出。 | 领地公开共享 |
延伸阅读
更多内容 可以点击下载 GB-T 39725-2020 信息安全技术 健康医疗数据安全指南. http://github5.com/view/628进一步学习
