欢迎访问智慧医疗网 | 网站首页
 
当前位置:首页 > 云医疗与数据安全

医疗数据合规新规落地!《医疗卫生机构数据安全和个人信息保护管理办法(试行)》核心解读与行动指南

发布时间:2026-07-02 来源:浩天海口律师事务所 浏览量: 字号:【加大】【减小】 手机上观看

打开手机扫描二维码
即可在手机端查看

引言:

2026年2月,国家卫生健康委、公安部、国家网信办、国家中医药局、国家疾控局五部委联合印发《医疗卫生机构数据安全和个人信息保护管理办法(试行)》(以下简称《办法》),共七章四十条,自印发之日起施行。这是医疗卫生领域首部以专门部门规章形式系统规定数据安全和个人信息保护的规范性文件,标志着医疗健康数据合规从原则倡导迈入刚性约束的新阶段。无论您是公立三甲医院的信息化负责人,还是民营医疗机构的合规管理者,亦或是从事临床研究、健康大数据开发的行业从业者,这份《办法》都将对您的日常工作产生深远影响。本文为您系统梳理核心要点、监管变化和实操建议,助您快速掌握合规密码。

一、核心制度速览:五大要点必须掌握

(一)谁负责?一把手挂帅,责任到人

《办法》明确:县级以上医疗卫生机构应当成立网络安全和信息化工作领导小组,单位主要负责人为第一责任人,分管负责人为直接责任人。同时确立管业务必须管安全,谁主管谁负责、谁运营谁负责、谁使用谁负责的刚性原则。


这意味着:数据安全不再是信息部门独自的技术活,而是必须纳入医院最高管理层的议事日程。临床科室、科研科室在开展任何涉及数据处理的研究或业务时,都不能再以不掌握技术为由置身事外,每一项数据操作都需在合规框架下前置审查。


(二)数据怎么分?三类分级,动态调整

所有医疗卫生机构数据划分为核心数据、重要数据、一般数据三类,实行差异化保护。混合处理时按最高级别执行。级别不是一成不变的:当数据内容、规模、时效性、应用场景、加工方式发生较大变化时,必须及时变更级别。衍生数据要重新定级:经过脱敏、标签、统计、汇聚融合等加工产生的衍生数据,必须在原始数据定级基础上重新评估。这对临床科研、真实世界研究中的二次数据利用尤为关键。


(三)全生命周期怎么管?制度+技术+应急三位一体

《办法》要求通过制度、人员、管理、技术、应急等保障措施,确保数据持续处于有效保护和合法合规利用状态。处理重要数据的机构应当:明确安全负责人和管理机构;每年开展风险评估并报送报告;在提供、委托处理、共同处理重要数据前,进行风险评估;存储处理重要数据应落实三级及以上等保;核心数据涉及关基的落实关基保护,不涉及的落实四级等保。同时,《办法》明确列出十项禁止行为,涵盖违法采集、超范围传输、违规对外提供、擅自公开、向境外提供数据等,条条都是红线。


(四)出事了怎么办?监测预警+应急处置

建立多层次监测预警机制:国家和地方卫健部门建立健全风险监测预警体系,机构内部要制定应急预案并定期演练。发生安全事件后,应当及时处置、报告。风险信息实行上报和共享机制,重要数据或核心数据的安全隐患必须第一时间上报。


(五)患者信息怎么保?单独同意+合规审计

《办法》对个人信息保护提出专项要求:处理敏感个人信息(包括医疗健康信息)应当取得个人的单独同意,不能打包授权。委托处理个人信息前,应进行影响评估并签订协议。使用人工智能等新技术涉及患者病历等个人信息的,必须确保安全。定期开展个人信息保护合规审计(建议每年至少一次)。


二、六大监管变化:您的合规体系需全面升级

(一)变化一:责任上移,从信息部门的事到一把手工程

过去,很多医疗机构的数据安全由信息科或IT部门负责,业务部门只管用数据。《办法》将第一责任直接压在单位主要负责人肩上,并明确管业务必须管安全。这意味着:业务部门发起任何涉及数据调取、共享、委托处理的项目,都必须经过合规前置审查,部门负责人同样承担安全管理责任。


(二)变化二:规则细化,从原则性要求到可操作清单

此前,医疗数据安全规定散见于《网络安全法》《数据安全法》《个人信息保护法》以及《人口健康信息管理办法》等多部文件中,缺乏行业统一的操作指引。《办法》将上位法原则细化为四十条具体规则,明确了分类分级操作程序、全生命周期安全要求、十项禁止行为和八项禁令,让合规工作有了清晰的操作手册。


(三)变化三:视角转变,从静态存储保护到动态全流程管控

传统安全侧重存储加密和访问控制,对数据流动中的风险关注不足。《办法》引入动态管理理念:数据级别随内容、规模、场景变化而动态调整;衍生数据必须重新定级;要求建立监测预警机制和定期演练,推动安全管理从事后处置转向事前预防和事中管控。


(四)变化四:精细化管理,一类一策取代一刀切

分类分级制度让机构能够根据不同数据的重要性和敏感性,采取差异化的保护措施。委托处理前的影响评估、个人信息保护的合规审计等机制,将合规管理内化为常态化工作。同时,《办法》鼓励原始数据不出域等安全利用方式,支持数据分类分级授权运营,体现了安全与发展并重的思路。


(五)变化五:链条延伸,从内部管理到全业务链管控

合规义务不再局限于机构内部,而是延伸至所有涉及第三方的业务场景,委托处理、共同处理、对外提供等,均需进行影响评估、签订协议并监督执行。这要求医疗机构建立全链条数据安全管理体系,将合规责任传导至每一位合作伙伴。


(六)变化六:监管加码,执法力度和密度显著增强

《办法》施行之际,正值个人信息保护系列专项行动将卫生健康领域列为七大重点治理领域(2026年4月,中央网信办、工信部、公安部联合公告)。专项行动直指超范围收集、身份核验缺失、人脸识别滥用、第三方人员管理不到位等系统性短板。法规+专项行动形成监管合力,医疗数据合规面临前所未有的制度约束和执法压力。



三、通用合规行动指南:制度与流程这样建

无论您是哪种类型的医疗卫生机构,以下五项核心制度和五项关键流程都值得优先落地。

(一)必须建立的五项制度

1.数据分类分级管理制度

制定内部规程,明确核心、重要、一般三类数据的划分标准及对应保护措施;建立动态更新机制,当数据内容、规模、场景、加工方式变化时及时调整级别;对衍生数据在原始定级基础上重新评估;定期梳理数据台账,识别重要数据并向属地卫健部门报送(不含数据内容本身)。


2.数据安全影响评估制度

规定必须启动评估的情形:重要数据对外提供、跨境传输、委托处理、共同处理等;明确评估程序、标准和报告归档要求;处理重要数据的机构,每年开展风险评估并报送报告;涉及敏感个人信息或复杂场景的,建议引入独立第三方评估机构。


3.数据匿名化/去标识化处理规程

明确技术标准、质量控制流程和有效性验证方法;区分去标识化(仍受个人信息保护规则约束,用于研究分析)与匿名化(不再适用个保法,可用于商业化交易)的不同适用场景;若涉及商业化数据产品,建议由第三方出具《匿名化合规报告》。


4.个人信息保护合规审计制度

定期开展合规审计(建议每年至少一次),覆盖数据收集、存储、使用、提供、删除全生命周期;审计结果纳入年度数据安全风险评估报告;设立数据合规专项岗位,建议配备具有数据安全法律背景的专职人员。


5.数据安全事件应急预案与演练制度

制定分级分类的应急预案,明确不同等级事件的响应流程、通知义务和上报时限。定期组织演练(建议每半年至少一次),确保预案可操作、可执行。


(二)必须优化的五项流程

1.数据源接入审查流程

在数据接入前,要求提供方出具合法性证明(知情同意书模板、伦理审批文件、授权链完整证明等);进行数据质量预评估,确保符合真实性、准确性、完整性要求;评估提供方的数据安全能力(如等保情况);签署正式协议后方可接入,接入后持续监督。


2.第三方合作准入与委托处理流程

与CRO、技术供应商、数据服务商等合作前,开展数据安全能力和合规记录尽职调查;委托处理前进行影响评估,并签订专门协议,明确处理目的、期限、方式、安全措施、返还或删除机制、违约责任;监督受托方执行情况,保留监督记录。


3.重要数据对外提供审批流程

遵循评估→审批→签约→报送的完整链路:先进行安全影响评估,再经决策层批准,与接收方签订数据安全协议,最后向主管部门报送评估结果(如涉及)。任何对外提供行为均须有书面记录,确保可追溯。


4.数据出镜安全评估申报流程

预判跨境场景(国际多中心研究、境外申办方数据调取等),判断是否涉及重要数据或大规模敏感个人信息;重要数据应当在境内存储。确需出境的,先进行安全自评估,经单位同意和属地部门审核后,依法申报数据出境安全评估;评估完成前,暂停相关数据传输。


5.涉及数据的研究项目伦理与合规双审流程

在研究方案设计阶段即嵌入数据合规审查,确保知情同意授权范围覆盖全部数据处理活动;伦理审查之外,增加数据安全影响评估环节,特别是跨机构数据融合分析项目;对研究过程中的数据使用进行持续监督,确保不超出授权范围。



四、合同签署专项建议:守住法律屏障

(一)合同是合规义务落地的重要载体。以下四类常见合同,建议重点完善相关条款,与数据提供方/合作医疗机构的协议。

1.明确委托处理关系:单独增加数据处理条款或附件,明确处理目的、范围、期限、返还/删除安排、安全责任边界。


2.区分去标识化与匿名化:约定各自适用场景,对衍生数据重新定级。


3.细化数据质量标准和争议解决机制:标准应具体、可量化,争议时可引入第三方评估。


4.强化来源合法性保证与追责:要求提供方承诺数据来源合法、授权充分,因来源不合法导致的法律责任由提供方独立承担。


(二)与技术服务商(平台开发、云服务等)的协议

1.明确技术方案的合规承诺:服务商须承诺其方案符合等保和《办法》安全要求,因技术缺陷导致的安全事件由服务商担责。


2.约定数据最小化原则:限制服务商仅可访问完成服务所必需的最小数据集,禁止超范围使用。


3.明确合同终止后的数据删除/返还义务及贵院的监督权。


(三)临床研究/科研项目协议(申办方或管理方)

1.统一知情同意书模板:授权范围应覆盖数据采集、存储、质量核查、安全性分析、监管报送、二次分析(如有)、跨境传输(如适用)等,确保各项处理均有单独同意基础。


2.规范多层级委托处理:医疗机构→申办者→CRO,每一层均需签订书面委托协议,明确权限边界,CRO不得再委托第三方。


3.数据出境条款:如涉及跨境,应明确出境范围、目的地、接收方,约定安全评估申报责任,评估完成前不得传输。


(四)外部数据采购/合作引入协议

1.来源合法性保证与赔偿条款:要求提供方保证权属清晰、授权完整,因数据不合法导致的一切损失由提供方赔偿。


2.明确使用范围限制:约定数据仅可用于约定研究目的,不得向第三方提供或用于其他用途。


3.数据处理期限和终止后安排:明确协议终止后数据的删除或返还义务,以及提供方的监督权。



五、结语:合规是底线,更是竞争力

《医疗卫生机构数据安全和个人信息保护管理办法(试行)》的施行,标志着医疗健康数据治理进入了一个全新的阶段。它不只是约束,更是为行业规范发展提供了清晰的制度保障。


对于每一家医疗卫生机构而言,当下最紧迫的任务是:对照《办法》四十条,逐项梳理自身业务,识别合规差距,尽快完善制度和流程。谁先完成合规体系建设,谁就能在后续的数据价值挖掘、科研合作、跨境业务中占得先机。


合规不是成本,而是面向未来的投资。在数据成为核心生产要素的时代,只有筑牢安全基石,才能让医疗健康数据的价值充分释放,最终惠及每一位患者。

特别声明:智慧医疗网转载其他网站内容,出于传递更多信息而非盈利之目的,内容仅供参考。版权归原作者所有,若有侵权,请联系我们删除。

凡来源注明智慧医疗网的内容为智慧医疗网原创,转载需获授权。

Copyright © 2022 上海科雷会展服务有限公司 旗下「智慧医疗网」版权所有    ICP备案号:沪ICP备17004559号-5