声明
本文是学习GB-T 39725-2020 信息安全技术 健康医疗数据安全指南. 下载地址 http://github5.com/view/628而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们
健康医疗数据安全使用披露要求
控制者在使用或披露健康医疗数据的过程中,应遵循以下要求:
- 控制者在使用或披露个人健康医疗数据时,应告知主体并获得主体的授权(以下b中情况除外);所有告知应使用通俗易懂的语言,并且包含要披露或使用的数据内容、数据的接收方、数据的用途以及使用方式、数据使用期限、数据主体权利以及控制者采取的保护措施等具体信息。使用或披露个人健康医疗数据不能超出个人授权范围。因业务需要,确需超出范围使用或披露的,应再次征得主体同意。
- 控制者在没有获得主体的授权,在以下情况可以使用或披露相应个人健康医疗数据:
- 向主体提供其本人健康医疗数据时;
- 治疗、支付或保健护理时;
- 涉及公共利益或法律法规要求时;
- 受限制数据集用于科学研究、医学/健康教育、公共卫生目的时;
在上述情况下,控制者可依靠法律法规要求、职业道德、伦理和专业判断来确定哪些个人健康医疗数据允许被使用或披露。
- 控制者应获得主体授权才能使用或披露个人健康医疗数据进行市场营销活动,但控制者与主体之间进行面对面的营销沟通除外。用于市场营销活动的授权应以合理方式提示主体,并让其充分知悉,明确、自主作出同意。该授权应是独立的,并且不得作为主体获得任何公共服务、医疗服务的前置条件或者捆绑于其他服务条款之中。控制者在取得授权的同时,应书面告知主体其有权随时撤销该授权。
- 主体(或其授权代表)有权访问其个人健康医疗数据或要求披露其数据,控制者应按其要求披露相应个人健康医疗数据。
- 主体有权复查并获得其个人健康医疗数据的副本,控制者应提供,例如通过文件共享或者在线查询方式提供。
- 主体发现控制者所持有的该主体的个人健康医疗数据不准确或不完整时,控制者应为其提供请求更正或补充信息的方法。
- 主体有权对控制者或其处理者使用或披露数据的情况进行历史回溯查询,最短回溯期为六年。
- 主体有权要求控制者在诊断、治疗、支付、健康服务等过程中限制使用或披露个人健康医疗数据,以及限制向相关人员披露信息,控制者没有义务同意上述限制请求;但一旦同意,除非法律法规要求以及医疗紧急情况下,控制者应遵守约定的限制。
- 控制者可以使用治疗笔记用于治疗,在进行必要的去标识化处理后,可以在未经个人授权的情况下使用或披露治疗笔记进行内部培训和学术研讨。
- 控制者应制定、实施合理的策略与流程,将使用和披露限制在最低限度。
- 控制者应确认处理者的安全能力满足安全要求,并签署数据处理协议后,才能让处理者为其进行数据处理,处理者应当按照控制者的要求处理数据,未经控制者许可,处理者不能引入第三方协助处理数据。
- 控制者向政府授权的第三方控制者提供数据前,应获得加盖政府公章的相关文件,数据提供后,数据安全责任以及传输通道的安全责任由第三方控制者承担。
- 控制者在确认数据使用的合法性、正当性和必要性,并确认使用者具备相应数据安全能力,且使用者签订了数据使用协议并承诺保护受限制数据集中的个人健康医疗数据后,可将受限制数据集用于科学研究、医疗保健业务、公共卫生等目的;使用者只能在协议约定的范围内使用数据并承担数据安全责任,在使用数据完成后,应按照控制者要求归还、彻底销毁或者进行其他处理。未经控制者许可,使用者不能将数据披露给第三方。
- 如果控制者针对个人健康医疗数据汇聚分析处理之后得到了不能识别个人的健康医疗相关数据,该数据不再属于个人信息,但其使用和披露应遵守国家其他相关法规要求。
- 控制者因为学术研讨需要,需要向境外提供相应数据的,在进行必要的去标识化处理后,经过数据安全委员会讨论审批同意,数量在250条以内的非涉密非重要数据可以提供,否则应提请相关部门审批。
- 不涉及国家秘密、重要数据或者其他禁止或限制向境外提供的数据,经主体授权同意,并经数据安全委员会讨论审批同意,控制者可向境外目的地提供个人健康医疗数据,累计数据量应控制在250条以内,否则应提请相关部门审批。
- 控制者不应将健康医疗数据在境外的服务器中存储,不托管、租赁在境外的服务器;使用云平台的应符合国家相关要求。
- 控制者对外进行数据合作开发利用时,宜采用“数据分析平台”开放形式,对数据使用披露进行严格管控。
健康医疗数据安全安全措施要点
分级安全措施要点
可以根据数据保护的需要进行数据分级,对不同级别的数据实施不同的安全保护措施,重点在于授权管理、身份鉴别、访问控制管理。例如,从个人信息安全风险角度划分的数据分级和安全措施要点如表3所示。医生调阅场景下的数据分级及安全措施详见11.1。临床研究场景下的数据分级详见11.3。
表3 从个人信息安全风险出发的数据分级与安全措施要点
| 数据分级 | 数据特点 | 适用场合 | 特征与案例 | 安全措施要点 |
|---|---|---|---|---|
| 第1级 | 业务要求:可公开发布 数据内容:某些统计值 数据接收与使用者:大众 | 公告 | 需要公众了解,例如剩余床位信息、剩余可就诊号源信息 | 是否可公开需要评审 |
| 第2级 | 业务要求:不需要识别个人 数据内容:一般人口信息、各类医疗、卫生服务信息 数据接收与使用者:科研教育等人员 | 管理、研究、教育与统计分析 | 例如病例分析、各类病种分布统计、流行病研究、疾病队列研究等 **场景举例:**临床研究、医学健康教育、药品/医疗器械研发 | 宜进行去标识化处理,通过协议或领地公开共享模式管控,宜确保数据的完整性和真实性 |
| 第3级 | 业务要求:服务对象个人可识别,周边人不易识别 数据内容:部分个人可识别信息或代码,与其他信息内容分离,例如张XX、排队序号等 数据接收与使用者:局部小范围人群 | 服务对象告知 | 在公开场合通知服务对象,例如门诊叫号、检查叫号、体检服务叫号等 | 个人信息需部分遮蔽,环境与接收人数量受到限制 |
| 第4级 | 业务要求:必须准确识别个人 数据内容:包含完整准确的个人健康医疗数据 数据接收与使用者:比较小范围人员、有审计和保护隐私义务 | 个性化服务与管理 | 针对个人的医疗服务、卫生健康服务,传染病管控、基因组测序等 **场景举例:**医院互联互通、远程医疗、健康传感数据管理、移动应用、商业保险对接 | 由于涉及个人标识信息,环境与接收人宜严格管控,宜高标准保证数据完整性和可用性 |
| 第5级 | 业务要求:特殊疾病诊疗所必须 数据内容:特殊病种详细资料 数据接收与使用者:极小范围人员、有审计、有保密义务 | 特殊疾病诊疗 | 疾病极其敏感,比如艾滋病等 | 严格的身份鉴别、访问控制等措施 |
场景安全措施要点
基于数据流通使用场景的不同,各角色在健康医疗数据使用过程中所涉及的安全环节与责任不同,由此决定了各角色需要满足的安全控制要求不同。各角色在不同应用场景和安全环节应承担的安全责任和安全措施要点如表4所示,针对常见场景需要重点关注的安全措施详见第11章。
表4 数据使用安全责任与安全措施要点
| 场景分类 | 安全环节 | 安全责任与安全措施要点 | 场景与用户举例 |
|---|---|---|---|
| 主体-控制者间数据流通 | 采集安全 | 控制者 :采集数据知情同意 | **场景举例:**医生调阅、健康传感、移动应用 **主体:**个人 **控制者:**医疗机构、科研机构、医保机构、商业保险公司、健康服务企业 |
| 传输安全 | 控制者 :加密、存储介质管控 | ||
| 存储安全 | 控制者 :境内存储、加密、分类分级、去标识化、备份恢复、存储介质管控 | ||
| 控制者-主体间数据流通 | 传输安全 | 控制者 :加密、存储介质管控 | **场景举例:**患者查询 **主体:**个人 **控制者:**医疗机构 |
| 使用安全 | 控制者 :身份鉴别、访问控制、敏感数据控制 | ||
| 控制者内部数据使用 | 收集安全 | 控制者: 收集数据知情同意、审批 | **场景举例:**内部数据使用 **控制者:**医疗机构 |
| 处理安全 | 处理者: 去标识化、权限管理、质量管理、元数据管理 | ||
| 使用安全 | 控制者: 审批授权、身份鉴别、访问控制、审计 | ||
| 存储安全 | 控制者: 境内存储、加密、分类分级、去标识化、备份恢复、存储介质管控 | ||
| 控制者-处理者间数据流通 | 传输安全 | 控制者: 传输前的审查、评估、授权;加密、审计、流量控制、存储介质管控 **处理者:**数据传输加密、传输方式控制 | **场景举例:**医疗器械维护 **控制者:**医疗机构、政府机构 **处理者:**科研机构、健康医疗信息服务企业、医疗器械厂商 |
| 处理安全 | 处理者: 去标识化、权限管理、质量管理、元数据管理、审计 | ||
| 存储安全 | 控制者: 境内存储、加密、分类分级、去标识化、备份恢复、存储介质管控、管理处理者数据存储过程 **处理者:**境内存储、加密、分类分级、去标识化、备份恢复、存储介质管控、销毁机制 | ||
| 控制者间数据流通 | 传输安全 | 控制者A: 对接安全、加密、审计、流量控制、存储介质管控 **控制者B:**对接安全、加密、审计、流量控制、存储介质管控 | **场景举例:**互联互通;远程医疗 **控制者:**政府机构、医疗机构、医保机构 |
| 使用安全 | 控制者A: 审批授权、身份鉴别、访问控制、审计 控制者B: 审批授权、身份鉴别、访问控制、审计 | ||
| 存储安全 | 控制者A :境内存储、加密、分类分级、去标识化、备份恢复、存储介质管控、销毁机制 控制者B:境内存储、加密、分类分级、去标识化、备份恢复、存储介质管控、销毁机制 | ||
| 控制者-使用者间数据流通 | 传输安全 | 控制者: 传输前的审查、评估、授权;加密、审计、流量控制、存储介质管控 | **场景举例:**商业保险对接、临床研究、二次利用 **控制者:**医疗机构 **使用者:**商业保险公司、科研机构 |
| 使用安全 | 使用者 :审批授权、身份鉴别、访问控制、审计 | ||
| 存储安全 | 控制者: 境内存储、加密、分类分级、去标识化、备份恢复、存储介质管控、管理使用者数据存储过程 **使用者:**境内存储、加密、分类分级、去标识化、备份恢复、存储介质管控、销毁机制 |
注:在数据实际应用场景中,存在一个控制者对应多个流通使用场景的情况,此时需参照多个数据流通使用场景实施安全措施。
开放安全措施要点
不同数据开放形式均宜:
- 遵循“最少必要原则”;
- 数据开放的目的、内容、使用方等经过数据安全委员会审批,确保符合合法性、正当性和必要性的要求;
- 根据使用目的尽可能的去标识化;
- 明确数据开发和使用目的、使用方需要承担的安全责任、安全措施等,并签署相应的协议;
涉及出境的应依规进行安全评估,涉及重要数据的应依规进行评估审批。
此外,不同数据开放形式还需要满足的安全措施要点详见表5所示。
表5 不同数据开放形式安全措施要点
| 数据开放形式 | 安全措施要点 |
|---|---|
| 网站公开 | 公开数据宜经过数据安全委员会审批。 |
| 文件共享 | 宜采用密码技术保障数据完整性和可追溯性; 宜对文件的大小、内容、生成时间等进行审计; 通过移动介质传输的数据宜采用具有加密或访问控制的移动介质方案。 |
| API接入 | 宜采用口令、密码技术、生物技术等鉴别技术对接入用户进行身份鉴别; 宜采用校验技术或密码技术保证通信过程中的数据完整性,并通过加密等方式保证数据在传输过程中的保密性,加密技术的选择宜考虑应用场景、数据规模、效率要求等方面; 宜对API的调用情况进行日志审计,包括但不限于调用方、调用时间、调用接口名称、调用结果等; 宜采取WEB安全措施防止SQL注入、XSS、爆破密码等攻击措施。 |
| 在线查询 | 匿名可查询的数据经过数据安全委员会审批,确保不涉及个人信息、重要数据等; 宜采用口令、密码技术、生物技术等鉴别技术对查询用户进行身份鉴别; 宜采用校验技术或密码技术保证通信过程中的数据完整性,并通过加密等方式保证数据在传输过程中的保密性,加密技术的选择宜考虑应用场景、数据规模、效率要求等方面; 对查询的数据量、查询次数和查询时间进行审计,形成异常报告; 宜对批量查询操作进行监控,发现高频查询及时告警; 宜采取WEB安全措施防止SQL注入、XSS、爆破密码等攻击措施。 |
| 数据分析平台 | 任何分析结果的导出宜经过数据安全委员会审批; 宜对平台的访问进行权限管理,包括访问权限和数据使用权限; 数据分析平台的数据操作宜具备留痕和溯源功能; 导出数据或者结果留存备案待审计。 |
延伸阅读
更多内容 可以点击下载 GB-T 39725-2020 信息安全技术 健康医疗数据安全指南. http://github5.com/view/628进一步学习
