国家市场监督管理总局和国家标准化管理委员会联合发布的《信息安全技术健康医疗数据安全指南》（GB/T 39725—2020）（以下简称“《指南》”）将于2021年7月1日生效实施。各相关企业在开展合规业务过程中，可以将《指南》作为参考。本期专题从健康数据分类体系、指导原则、安全措施以及应用场景等方面，对《指南》要点进行解读。

• 健康数据分类体系
• 数据安全指导原则
• 数据安全措施
• 典型场景数据安全

《指南》对健康数据类别范围、数据等级、相关角色、流通使用场景和数据开放形式进行了分类，以便于针对不同场景、不同数据提出区别化、精细化的安全措施要求。

● 健康医疗数据

健康医疗数据是指，个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关数据，包括群体总体分析结果、趋势预测、疾病防治统计数据等。《指南》提出的具体类别与范围如下图：　

● 健康医疗数据的分级

根据数据重要程度、风险级别以及对个人健康医疗数据主体可能造成的损害和影响，健康数据从低到高分为五级。相关级别的举例及使用范围总结如下：　

● 相关组织或个人的角色

针对特定数据特定场景，相关组织或个人可划分为以下四种不同情形：

个人健康医疗数据主体（以下简称“主体”或“数据主体”）；

控制者：即能够决定健康医疗数据处理目的、方式及范围等的组织或个人；

处理者：即代表控制者采集、传输、存储、使用、处理或披露其掌握的健康医疗数据，或为控制者提供涉及健康医疗数据的使用、处理或者披露服务的相关组织或个人；

使用者：即针对特定数据的特定场景，不属于主体，也不属于控制着和处理者，但对健康医疗数据进行利用的相关组织或个人。（第6.3条）

（一）数据开放形式划分

数据开放形式是相对于《健康医疗数据安全指南（征求意见稿）》（2019年4月4日）增加的内容，《安全指南》根据数据公开共享类型划分为完全公开共享、受控公开共享、领地公开共享，相应确定常见数据开放形式及其适用的公开共享类型。具体而言，《安全指南》列出常见的数据开放形式有：网站公开（完全公开共享）、文件共享（受控公开共享）、API接入（受控公开共享）、在线查询（匿名查询：完全公开共享；用户查询：受控公开共享）、数据分析平台（领地公开共享）。可以看出，完全公开共享可对应数据分级中的第1级，受控公开共享和领地公开共享可以对应数据分级中的第2级至第5级，其中，受控公开共享强调通过数据使用协议对数据使用进行约束，领地公开共享则强调将数据限定在物理或虚拟的领地范围内。

（二）使用披露原则

《指南》第7条规定了17项具体的使用披露规则。对于个人健康医疗数据的收集和使用，《指南》遵循了个人信息收集、使用的告知同意原则，但同时规定了相关例外场景、回溯查询权、数据出境等创新性规定。这些规定总结如下：

● 无需个人授权使用及披露个人健康医疗数据　

● 数据主体权利行使　

● 控制者自主决定个人健康数据的使用及披露　

● 数据利用　

● 数据出境　

《指南》第8条、第9条和第10条分别从安全措施要点、安全管理和安全技术三个方面为健康医疗数据保护提供了指南。

● 安全措施要点

《指南》要求可以根据数据保护的需要进行数据分级，对不同级别的数据实施不同的安全保护措施，重点在于授权管理、身份鉴别、访问控制管理。第8条针对不同数据分级及数据流通使用场景具体规定了重点关注的安全措施，例如主体-控制者间数据流通、控制者-主体间数据流通、控制者内部数据使用、控制者-处理者间数据流通、控制者间数据流通和控制者-使用者间数据流通。　

● 安全管理

第9条从组织、过程（包括规划、实施、检查、改进）和应急处置三个方面规定了控制者宜有针对性地采取安全措施，并对实施措施后的效果进行检查，持续改进。控制者可参照附录C建立数据使用管理办法，参照附录D对数据申请进行审批，参照附录E与处理者（使用者）签署数据处理（使用）协议，参照附录F进行自查。

● 安全技术

第10条对通用安全技术和去标识化进行了指导。例如，对于去标识化，《指南》列示了对姓名、联系方式、日期、出生日期、年龄、号码和医疗机构内部所用号码去标识化的方法建议，去标识化策略、流程和结果宜由数据安全委员会审批。

《指南》则根据数据的使用主体和用途，将数据使用场景分为：医生调阅数据、患者查询数据、临床研究数据、二次利用数据、健康传感数据、移动应用数据、商业保险对接和医疗器械数据，并依附于每个场景对上述各条提出了具体化建议。

● 医生调阅数据

首先，对于数据分级，医生调阅场景下数据可分为默认级、告知级和授权级，分别对应数据分级中的第2级、第3级和第4级；其次，《指南》具体化了医生的角色定义和权限分配、如何将数据按分级和颗粒度标注、身份鉴别方式和数据调阅方式。（第11.1条）

● 临床研究数据安全

《指南》考虑了不同临床研究类型，如回顾性临床研究、前贍性临床研究、临床基础研究、临床应用研究、临床路径研究、产品上市前研究和产品上市后研究、基于真实世界数据的临床研究、涉及人工智能的研究等，并对涉及的相关方的角色进行了分类。例如，对回顾性临床研究而言，申办者根据需要从临床研究机构获得既往数据从事医药/医疗产品和诊疗方案研究。临床研究机构、申办者共同承担控制者的角色，受试者是主体。《指南》从伦理审查及知情同意、数据分级、数据采集、数据传输数据存储、数据使用、数据发布和共享、审计管理等角度对临床研究数据的使用规定了安全保护要求。（第11.3条）

● 通过网络为个人提供在线健康医疗服务或数据服务的移动应用程序

《指南》对于此类应用发布者提供了建议。比如，在数据采集时，需要明示信息并征得用户同意。在访问控制时，需要对访问权限进行一系列的限制。在数据存储时，需要定期备份应用程序数据，并且如果使用可移动介质存储数据和个人身份标识信息，则宜对存储在介质上的数据进行加密。

● 商业保险对接

购买商业保险的主体在定点医疗机构就医时，商业保险公司通过与医疗机构建立连接的医疗信息系统，及时掌握主体就诊情况以及相关费用，从而根据规则进行理赔业务。在该场景中，涉及的数据有个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据。医疗机构与商业保险公司建立连接时，可在医疗信息系统对接前、对接中、对接后三个阶段采取相应安全措施。在商业保险对接安全场景中，针对医疗机构向商业保险公司传输的五类相关数据，医疗机构为控制者，商业保险公司为使用者。此外，安全管理要求和技术要求也被落实在具体措施之中，从而实现在确保数据保密性、完整性和可用性，以及数据使用和披露合法合规的基础上，满足商业保险理赔业务的发展需求。　

• 《健康医疗数据安全指南》将于7月1日正式实施　[董潇、郭静荷、董俊杰，君合律师事务所]
• 《健康医疗数据安全指南》亮点解读　[蔡荣伟、钱闻侃，北京市中伦律师事务所]
• 健康医疗数据安全的实现新工具——《健康医疗数据安全指南》解读　[吴卫明、刘昀东、毛彤，上海市锦天城律师事务所]