导语:近日,国家卫生健康委、公安部、国家互联网信息办公室、国家中医药管理局、国家疾病预防控制局五部门联合发布了《医疗卫生机构数据安全和个人信息保护管理办法(试行)》(以下简称《办法》)。这一重磅文件的出台,为医疗卫生机构在数字化转型中如何守住“安全底线”指明了方向。
本文将为您梳理《办法》中的三大核心亮点:商用密码应用、数据分类分级保护以及个人信息深度合规。
一、 商用密码:核心数据的“防弹衣”
在本次新规中,商用密码的地位被提升到了前所未有的高度。《办法》明确要求,医疗卫生机构在处理不同等级的数据时,必须严格遵守商用密码保护的有关规定 。
-
强制与优先原则: 法律法规要求使用商用密码进行保护的,必须严格遵守。
-
核心数据重点防护: 在处理“核心数据”时,《办法》明确提出应优先使用商用密码进行保护。
-
技术手段综合运用: 密码技术不仅用于加密,还应与鉴权、认证、脱敏、数字水印等手段综合运用,确保数据在收集、存储、传输等全生命周期的安全。
二、 数据分类分级:告别“胡子眉毛一把抓”
《办法》的核心思路是分类分级保护。医疗数据不再被视为一个整体,而是被细分为:核心数据、重要数据和一般数据。
-
动态定级: 医疗机构需定期梳理数据类别,识别重要数据,并向属地卫健部门报送。当数据规模、应用场景发生较大变化时,需及时变更级别。
-
衍生数据重新定级: 经过脱敏、标签、统计、汇聚融合产生的衍生数据,需在原始数据定级基础上重新评估。
-
差异化监管: 处理“重要数据”的机构需明确专门的数据安全负责人和管理机构,且每年至少开展一次风险评估并报送报告。
三、 个人信息保护:从“合规审计”到“生命周期管理”
个人信息被定义为“特别重要的一种数据”,当达到一定精度和规模时,将纳入国家重要数据目录进行重点保护。
-
全流程严控: 医疗机构必须坚持“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则。
-
合规审计要求: 医疗机构应当按照要求,自行或委托专业机构定期开展个人信息保护合规审计工作。
-
共享与开发利: 支持在确保安全的前提下加强数据要素开发利用,但必须严格执行“业务部门同意、领导核准、技术部门支撑”的审批程序。
-
“可用不可见”: 鼓励通过“原始数据不出域,数据可用不可见,数据可控可计量”等新技术手段,平衡数据利用与隐私保护。
《办法》的发布,标志着医疗卫生行业数据安全管理进入了“强监管”时代。
对于医疗机构而言,安全不再是信息部门一家的事,而是需要成立由主要负责人担任组长的网络安全和信息化工作领导小组,统筹全局。只有筑牢商用密码的安全屏障,落实分类分级的管理要求,才能真正实现医疗数据的“合法合规利用”,保障每一位患者的隐私安全。
文章来源:密码头条
【免责声明】本文素材内容来源于互联网,为转载内容,仅供读者交流使用,其版权属原作者所有,若来源标注错误或侵犯到您的权益,请联系本号删除。
