在数字化转型日益加速的今天,个人信息处理已成为各行各业不可或缺的一部分,尤其在医疗领域,个人健康数据的敏感性和重要性不言而喻。近日,全国网络安全标准化技术委员会秘书处编制了《网络安全标准实践指南—敏感个人信息识别指南(征求意见稿)》,旨在为个人信息处理者提供一套科学、规范的操作框架,确保敏感个人信息的处理、出境及保护活动在各行业中得以妥善执行,这一举措对医疗行业的发展具有深远的影响。
标准精准识别金融敏感个人信息
随着医疗信息化的深入,个人健康数据的收集、存储、传输和使用变得频繁且复杂。《敏感个人信息识别指南》的出台,正是为了指导医疗行业内的个人信息处理者有效识别哪些信息属于敏感范畴,如遗传信息、病史记录、医疗影像资料等,这些信息一旦泄露,不仅会严重侵犯个人隐私,还可能对患者的生命安全造成不可估量的伤害。在《关于深入推进“互联网+医疗健康“五个一”服务行动的通知》中提出了要强化数据安全管理,切实保护个人隐私。
敏感个人信息保护工作始于敏感个人信息识别。敏感个人信息保护是我国《个人信息保护法》重要内容,敏感个人信息识别是基础和前提。《指南》提出了敏感个人信息识别方法,给出了常见敏感个人信息类别和示例。常见敏感个人信息共八类,包括生物识别信息、宗教信仰信息、特定身份信息、医疗健康信息、金融账户信息、行踪轨迹信息、不满十四周岁未成年人的个人信息、其他敏感个人信息。医疗健康信息包括与个人的医疗就诊、身体或心理健康状况相关的个人信息。个人过去、现在或未来的健康状况均属于医疗健康信息。 个人信息安全具有多维挑战 在数据成为经济社会发展重要资源的当下,对个人信息的保护已成为医疗行业刚需。个人信息保护的道路上,除了敏感信息泄露外,合规性挑战、外部威胁等因素也同样不容忽视。 1.个人信息安全合规挑战 已基本形成以《个人信息保护法》《网络安全法》《数据安全法》《密码法》等法律为核心,行政法规、部门规章为依托,地方性法规、地方规章为抓手,国家标准为指南的网络和个人信息安全法规保障体系,必须确保医疗行业个人信息处理活动符合法律法规要求,否则将面临法律制裁和信誉损失。 2.个人信息安全保障不全面 医疗机构许多系统缺乏先进的安全技术和工具,如数据加密、入侵检测系统、数据泄露防护等,难以有效防止外部攻击和内部泄露。发生个人信息数据泄露时,缺乏快速响应和有效应对的机制。 3.新技术应用带来众多威胁 虽然人工智能与大数据等众多技术能提升金融行业效率和服务个性化,但是也带来了众多威胁,如黑客攻击、信息泄露、恶意软件等 构建动态安全防护体系强化个人信息安全 面对复杂的个人信息保护形势,道普信息风险管控专家倡导构建全面的构建动态安全防护体系,积极跟踪国内主要政策,切实落实个人信息安全要求,建立起可信赖的医疗行业个人信息安全环境。 01 多规管理融合加强安全合规 基于网络安全责任制、等级保护、关基保护、密码应用、数据安全、个人信息保护等监管要求,开展等保、密码、关保等多规测评,针对风险提出改进建议,帮助医疗行业完成合规整改。 02 健全数据安全治理体系保障数据安全 通过数据治理体系建设,不断开发创新的数据服务,融合目标、流程、方法、工具,建立覆盖数据全生命周期的"数据管理机制、数据管理平台、数据开放平台“框架,实现数据的资产化、可视化、服务化,保障数据的核心价值。 强化数据安全风险评估,对数据全生命周期进行风险识别和评估,提升数据安全保障能力、风险发现能力,确保数据安全风险可控。 03 构建安全防护体系保护信息安全 从运营管理、运营运行、运行技术三方面,构建具备一体化的分析识别、安全防护、监测评估、监测预警、主动防御、事件处置功能的个人信息安全保障体系,形成终端防护、边界隔离与威胁监测的安全方案。
《网络安全标准实践指南—敏感个人信息识别指南(征求意见稿)》的出台,不仅为医疗行业提供了重要的指导原则,也是我国在个人信息保护领域迈出的重要一步。通过规范敏感信息的识别与处理,我们期待构建一个更加安全、可信的医疗信息化环境,为促进我国医疗行业高质量发展、保障人民生命健康安全提供坚实支撑。在数字化时代,这不仅是一项技术挑战,更是对社会伦理与公共责任的深刻践行。