2025年医疗健康数据隐私保护与合规手册.docxVIP

2025年医疗健康数据隐私保护与合规手册

第1章法律框架与基本原则

1.1国内外主要法律法规概述

在中国，核心法律依据是《中华人民共和国网络安全法》，它确立了网络运营者必须采取的安全防护措施，并规定了对违反安全规定行为的法律责任，为医疗数据管理提供了顶层法律保障。②同时，《中华人民共和国个人信息保护法》（PIPL）作为全球首部个人信息保护专门法，明确了“告知-同意”原则，要求处理个人信息的主体必须取得个人的单独同意，除非法律另有规定。针对医疗场景，《数据安全法》与《个人信息保护法》的交叉适用性日益凸显，明确了医疗数据作为敏感个人信息的具体属性，要求医疗机构在采集和使用时必须进行严格的风险评估。④国际层面，欧盟《通用数据保护条例》（GDPR）设定了极其严格的“被遗忘权”和“数据可携带权”，并建立了全球首个数据保护影响评估（DPIA）机制，对高风险处理活动提出更高要求。⑤美国方面，虽然未出台单一联邦数据保护法，但《医疗数据保护法》（HITRIS）试图规范联邦医疗数据（FHIR）的互操作性，同时各州的州法（如加州CCPA）也在逐步加强对患者数据权利的界定。《中国数据安全法》还细化了“最小必要”原则，要求数据处理者仅收集实现目的所必需的数据，不得过度收集或留存非必要数据。

医疗数据通常分为“结构化数据”（如病历主索引、检验结果数值）和“非结构化数据”（如电子病历