医疗大数据安全与隐私保护手册（执行版）.docxVIP

医疗大数据安全与隐私保护手册（执行版）

医疗大数据安全与隐私保护手册（执行版）

第一章总则与合规要求

第一节法律法规体系解读

《中华人民共和国数据安全法》确立了数据分类分级保护的基本原则，规定医疗数据因其涉及公民健康隐私，必须按照重要程度进行分级，最高级别为“重要数据”，需采取严格保护措施。医疗机构作为数据处理者，必须建立全流程的数据安全管理制度，确保数据在采集、传输、存储、使用、共享等环节合法合规。《中华人民共和国个人信息保护法》进一步细化了个人信息的处理规则，明确医疗数据包含大量敏感个人信息，处理前必须进行“告知-同意”机制，除非法律另有规定或为履行法定义务所必需。本手册要求医疗机构在收集患者医疗数据时，必须获得患者的明确授权，并建立专门的授权记录台账，确保可追溯。

《网络安全法》要求网络运营者采取技术措施和其他必要措施，确保其网络及所使用网络的数据安全，防止数据泄露、篡改和丢失。医疗机构应部署防火墙、入侵检测系统等网络防护设备，并定期开展网络安全风险评估，对发现的漏洞立即修复，不得因疏忽导致网络数据遭受恶意攻击。《医疗卫生机构网络安全管理办法》针对医疗卫生机构提出了具体的网络安全建设标准，要求医疗机构将网络安全纳入医院整体发展规划，明确网络安全责任人，并建立网络安全事件应急预案。对于涉及患者隐私的医疗数据，必须实行“专网”或“隔离网”管理，严禁将医疗数据