欢迎访问智慧医疗网 | 网站首页
 
当前位置:首页 > 云医疗与数据安全

数据安全合规 | 医疗健康数据的安全红线:如何平衡业务流转与合规监管?

发布时间:2026-07-14 来源:BytesPulse 浏览量: 字号:【加大】【减小】 手机上观看

打开手机扫描二维码
即可在手机端查看

一、开篇导语

2026年5月,纽约市最大公立医疗系统NYC Health + Hospitals披露一起重大数据泄露事件——黑客成功入侵系统并盗取了包含指纹等生物特征数据在内的医疗记录,波及至少180万人(Whittaker, 2026)[1]。该事件已于2026年3月24日向美国卫生与公众服务部(HHS)报备,是2026年迄今规模最大的医疗数据泄露事件之一,泄露内容不仅包括电子健康记录,还涉及社会安全号、银行账户细节乃至指纹等不可重置的生物特征。仅仅一个月前,HHS民权办公室(OCR)宣布与四家医疗实体就勒索软件违规达成和解,标志着HIPAA执法逻辑从"事后结果导向"向"事前预防能力审查"的范式转变(HHS OCR, 2026)[2]。

在地球的另一端,中国医疗数据安全监管同样进入深水区。2025年,湖南省网信办联合省卫健委对全省369家单位的应用程序(App)开展个人信息保护专项检查,其中医疗机构成为重点执法对象——约谈244家、责令整改198份、行政处罚31家。同年3月,衡山县中医医院因体检系统MySQL数据库弱口令漏洞及公网暴露被行政处罚,成为基层医疗机构数据安全违规的典型案例。

这两组跨大西洋的镜像案例揭示了一个共同命题:在互联网医院遍地开花、区域医疗数据互联互通加速推进的时代,医疗健康数据——这个被《个人信息保护法》(Personal Information Protection Law, PIPL)第28条明确定义为"敏感个人信息"的特殊数据类别——正站在业务流转效率与合规监管安全的交叉点上。据行业研究报告,我国公立医院互联网医院数量已从2020年的不足百家增长至2025年的上万家规模,但其中真正实现跨机构数据互通的比例仍然偏低——这意味着"数据多跑路"让患者少跑腿的同时,数据暴露面也在成倍扩大;"互联互通"提升诊疗协同效率,但也使单点安全失守可能引发区域性的数据灾难。如何在这条安全红线上找到平衡支点,是每一位医疗信息化从业者、合规官和政策制定者必须直面的核心命题。

值得注意的是,医疗行业已连续多年成为全球数据泄露的"重灾区"。据多份行业报告,医疗行业在近年数据泄露事件中的占比已超过金融行业跃居首位,单次泄露的平均损失长期高居各行业前列,与医疗行业相关的勒索软件攻击数量亦持续攀升。这一宏观背景,使得医疗健康数据的合规治理不再是"锦上添花"的可选项,而是关乎机构存续与患者权益的"生命线"。

本文将从中国现行法律法规体系出发,结合真实监管处罚案例与国际比较视角,系统梳理互联网医院和区域医疗数据互联互通场景下的合规要求与技术实践路径。

二、背景与法规定位

2.1 医疗健康数据的法律定性:敏感中的敏感

在中国数据法律体系中,医疗健康数据受到多层级的交叉保护。上位法层面,《个人信息保护法》(2021年8月20日通过,2021年11月1日施行)第28条将"医疗健康"明确列为敏感个人信息(sensitive personal information),确立了处理该等数据的"三重门槛"原则——只有同时满足"特定目的""充分必要性"和"采取严格保护措施"三个条件,个人信息处理者方可处理(全国人大常委会, 2021)[3]。

PIPL第28条原文要点:"敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。"

第29条进一步要求处理敏感个人信息须取得个人的"单独同意"(separate consent),即不得通过"一揽子"隐私政策获取概括同意,每个涉及敏感信息处理的场景均需独立的授权告知;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。第30条规定了增强告知义务——处理敏感个人信息的,除一般告知事项外,还应当向个人告知处理敏感个人信息的"必要性"以及"对个人权益的影响"。这些要求在互联网医院的挂号、问诊、处方流转等多环节场景中均有具体落地意义。此外,PIPL第55条还要求处理敏感个人信息前应当进行个人信息保护影响评估(PIA),并将报告和记录至少保存三年。

《数据安全法》(Data Security Law, DSA,2021年6月10日通过,2021年9月1日施行)第21条建立了数据分类分级保护的三层架构——一般数据、重要数据、核心数据。医疗健康数据因其横跨"个人权益—公共卫生—国家安全"三个维度,分类分级尤为复杂。第27条要求重要数据的处理者明确数据安全负责人和管理机构,落实数据安全保护责任,为医疗机构的组织合规提供了法律依据(全国人大常委会, 2021)[4]。

《网络安全法》(2016年11月7日通过,2017年6月1日施行;2025年10月28日经全国人大常委会修改,自2026年1月1日起施行并对条文顺序作相应调整、重新公布)确立了网络安全等级保护制度和关键信息基础设施(Critical Information Infrastructure, CII)保护制度。在现行有效(2026年)文本中,网络安全等级保护制度规定于第23条,CII运营者境内存储义务规定于第39条——即关键信息基础设施的运营者在中华人民共和国境内运营中收集和产生的个人信息和重要数据应当在境内存储,因业务需要确需向境外提供的,应当按照国家网信部门会同有关部门制定的办法进行安全评估(全国人大常委会, 2025)[5]。承载大规模电子病历或区域健康档案的医疗信息平台可能落入CII范畴,触发数据本地化存储义务。

《网络数据安全管理条例》(国务院令第790号,2024年9月24日签署,2025年1月1日施行,共9章64条)作为三部上位法的体系化实施细则,在第5条重申分类分级保护框架;第9条明确要求处理者在网络安全等级保护基础上采取"加密、备份、访问控制、安全认证"等技术措施和其他必要措施;第11条规定了发生安全事件时的"立即"应急响应及报告与告知义务;第29条规定了重要数据目录制度(国家协调机制统筹协调制定,各地区、各部门确定本行业、本领域具体目录);第30条规定了网络数据安全负责人与管理机构制度(全国人大及国务院立法机关,2024)[6]。此外,条例第28条明确处理1000万人以上个人信息的处理者应参照重要数据处理者履行部分义务,这对承载海量患者信息的大型医疗平台具有直接约束力。

此外,《基本医疗卫生与健康促进法》(2019年12月28日通过,2020年6月1日施行)第92条从领域法层面规定:"国家保护公民个人健康信息,确保公民个人健康信息安全。任何组织或者个人不得非法收集、使用、加工、传输公民个人健康信息,不得非法买卖、提供或者公开公民个人健康信息。"(全国人大常委会, 2019)[7]

2.2 行业专项法规:互联网医院与医共体的数据合规

在行业规范层面,《互联网诊疗监管细则(试行)》(国卫办医发〔2022〕2号,2022年2月8日印发)是互联网医院数据合规的核心文件。其核心要求包括:建立省级互联网医疗服务监管平台,对辖区内互联网医院实施实时监管;医疗机构应保障互联网诊疗活动数据安全;电子病历(Electronic Medical Record, EMR)应按照门诊电子病历管理规范归档管理;处方流转中的药品数据与患者身份数据应加密传输,全程不得篡改(国家卫生健康委, 2022)[8]。该细则同时确立了医师"实名制"执业、诊疗过程全程留痕可追溯等要求,为数据完整性和责任可追溯提供了制度基础。

紧密型县域医共体信息化功能指引》(国卫办规划函〔2025〕63号,由国家卫生健康委办公厅、国家中医药局综合司、国家疾控局综合司于2025年2月20日联合印发)是区域医疗数据互联互通领域的最新规范文件。该文件要求依托区域全民健康信息平台,推进医学影像诊断、心电诊断、医学检验、病理诊断和远程会诊的协同服务,同时强调数据共享须遵守"目的限制"(purpose limitation)与"最小必要"(data minimization)原则(国家卫生健康委等, 2025)[9]。

2.3 标准体系:从国标到地方标准的合规金字塔

技术标准层面,GB/T 39725-2020《信息安全技术 健康医疗数据安全指南》是最核心的技术标准文件。该标准将健康医疗数据分为六大类——个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据和公共卫生数据,并从数据重要程度及泄露后的影响出发划分安全等级(由第1级"可完全公开使用"到最高级"仅极小范围且严格限制访问",逐级递增保护强度)(国家标准化管理委员会, 2020)[10]。该标准还对去标识化、数据共享披露、数据使用等典型场景提出了针对性的安全措施建议,是行政执法与司法实践中判断医疗机构"是否尽到安全保护义务"的重要参照。

地方与行业层面,江苏省DB32/T 5257-2025《健康医疗数据安全管理规范》(由江苏省卫生健康委员会提出并组织实施、省卫生健康标准化技术委员会归口)和广东省T/GDWJ 013-2022《健康医疗数据安全分类分级管理技术规范》分别提供了区域级和分类分级的落地指引。部分处于征求意见稿阶段、尚未正式发布或生效的团体标准,不宜作为合规依据直接引用。

三、核心解析:业务流转与合规监管的六组张力

3.1 PIPL"三重门槛"在互联网医院场景的落地

以一次典型的在线复诊流程为例,PIPL第28条的"三重门槛"在每一个环节均有具体映射:

挂号环节:患者通过互联网医院App提交姓名、身份证号、手机号和症状描述。平台需论证收集身份证号的"特定目的"为实名验证以对接国家电子健康卡体系,"充分必要性"体现为医保脱卡支付和处方合规的法定要求,"严格保护措施"应包括传输加密(TLS 1.3)、前端脱敏显示和后端存储加密。

问诊环节:医生查看患者既往电子病历并开具检查申请。病历数据属高度敏感的个人健康信息,平台须确保仅本次接诊医师可访问、访问操作全量审计日志留存、会话超时自动登出。

处方流转环节:处方从互联网医院流转至药品配送平台的过程中,处方中的疾病诊断信息与患者身份信息共同构成受保护数据集。合规方案应实现"数据不落地"传输或即时脱敏处理——配送环节仅暴露必要的数据字段(如姓名、地址、联系方式),疾病诊断信息不得向物流环节暴露。

"单独同意"(PIPL第29条)在互联网医院中的实现面临特殊挑战:患者一次就诊可能触发多个敏感信息收集场景。需要强调的是,《网络数据安全管理条例》第62条对"单独同意"作出了权威定义——即"个人针对其个人信息进行特定处理而专门作出具体、明确的同意",这为互联网医院设计同意机制提供了明确的合规标尺。行业实践中通常采用以下路径:

  • 弹窗式单独同意:在每个敏感信息收集节点(如首次查看电子病历、开具处方、发起医保结算)弹出独立同意窗口;

  • 分层同意管理:在患者个人中心的"隐私授权管理"模块中可分别管理各项授权并随时撤回;

  • 不可捆绑原则:不得以"拒绝授权即无法使用服务"的方式强迫同意,核心诊疗服务须提供不依赖敏感授权的替代方案,也不得在个人明确拒绝后频繁征求同意。

对于14周岁以下未成年患者,PIPL及网数条例还要求取得其父母或其他监护人的同意,并制定专门的个人信息处理规则——这在儿科互联网诊疗场景中尤须特别关注。

3.2 数据分类分级在医疗行业的适用边界与实践争议

DSA第21条建立的分类分级制度在医疗行业面临适用上的复杂性。参照GB/T 39725-2020的分类体系,以下是一个典型的数据分级映射(分级为示例性说明,实际定级应结合具体场景与最新目录):

数据类型
分类归属
建议等级
核心考量
电子病历(EMR)
医疗应用数据
高敏感级
含完整诊疗记录和个人标识
医学影像(DICOM)
医疗应用数据
高敏感级
含患者身份标识
基因测序数据
健康状况/个人属性数据
高敏感级/可能纳入重要数据
涉及国家生物安全
处方数据(脱敏后)
医疗应用数据
内部使用级
去除个人标识后可降级
公共卫生统计数据
公共卫生数据
内部使用级
经聚合和脱敏处理
医院运营数据
卫生资源数据
内部使用级
不含个人标识符

基因测序数据因其涉及中华民族基因安全和国家生物安全,在实践中可能被纳入重要数据甚至核心数据目录,受到比一般敏感个人信息更为严格的管控。《生物安全法》(2021年4月15日施行)和《人类遗传资源管理条例》(国务院令第717号,2019年公布、2019年7月1日施行)构成基因数据分类分级的特殊法律基础。需特别注意的是,人类遗传资源信息出境须履行备案或审批程序,将中国人类遗传资源信息向境外提供或开放使用,须遵守《条例》及其实施细则的严格规定。

适用争议点:目前国家卫健委尚未正式发布统一的医疗行业重要数据具体目录,不同省份的地方标准和团体标准在分类维度与分级阈值上存在差异。网数条例第29条虽然授权"各地区、各部门"确定本行业重要数据具体目录,并规定"对确认为重要数据的,相关地区、部门应当及时向网络数据处理者告知或者公开发布",但目录空白期内如何界定重要数据、执法标准如何把握,仍是实务中的模糊地带。一个可操作的稳健策略是:处理者应按照国家有关规定主动识别、申报可能的重要数据,同时以"就高不就低"原则先行采取相应保护措施,待官方目录明确后再动态调整。

3.3 区域医疗数据共享的合规框架:目的限制与最小必要的实现路径

紧密型县域医共体(County Medical Community)的数据共享需遵守一套合规原则矩阵:

  1. 目的限制:医共体成员机构之间的数据共享应仅限于"不可替代的诊疗目的",如跨院影像诊断协同和电子病历连续性查阅。禁止将共享数据用于商业分析或未经患者单独同意的科研目的。

  2. 最小必要:共享数据集应为满足诊疗目的的最小数据子集。例如远程会诊中,上级医院仅需获取当前病症相关的病历片段,而非患者全部健康档案。

  3. 去标识化:在数据共享链路中尽可能采用去标识化处理,仅在最终诊疗节点由授权医师还原身份标识。GB/T 39725-2020对去标识化的技术方法(如假名化、泛化、抑制、扰动等)有详细规定。

  4. 访问控制与审计:共享平台须部署基于角色的访问控制(Role-Based Access Control, RBAC),记录所有跨机构数据访问日志,实现"谁在什么时间访问了谁的什么数据"的全链路可追溯。

  5. 数据提供的合同约束:网数条例第12条要求,向其他处理者提供或委托处理个人信息和重要数据的,应当通过合同约定处理目的、方式、范围及安全保护义务,并对接收方履行义务的情况进行监督;相关处理情况记录应当至少保存3年。这为医共体跨机构数据共享的书面化、责任化提供了明确的法律依据。

3.4 防篡改与数据完整性的法规与技术双重保障

电子病历(EMR)作为医疗纠纷中的关键证据,其防篡改与完整性保障具有法律与技术的双重需求。《电子签名法》(2019年修正)明确可靠电子签名与手写签名或盖章具有同等法律效力。互联网医院中的电子处方、电子病历签署应使用符合该法要求的数字证书签名体系(通常采用国密SM2/SM3算法),并集成可信时间戳服务(Time Stamping Authority, TSA),确保每一份病历记录的生成时间不可篡改和可审计。

在技术实现层面,部分省市的互联网医院已探索将电子病历哈希值上链存证——采用"链上索引、链下存储"架构,每份病历完成签名后计算SHA-256哈希值打包上链,链上仅存储哈希值与操作元数据(操作者ID、时间戳和操作类型),原始病历仍存储于各医院EMR系统。验证时重新计算病历哈希并与链上记录比对,任何篡改都将导致哈希不匹配(牛淑芬等, 2022)[11]。这种架构在保障完整性的同时避免了原始敏感数据上链带来的隐私风险,是"完整性保障"与"隐私保护"平衡的典型工程实践。

3.5 中外制度比较:PIPL vs GDPR vs HIPAA

三套制度在健康数据的保护逻辑上存在结构性差异:

维度
中国PIPL
欧盟GDPR
美国HIPAA
健康数据定性
敏感个人信息(第28条)
特殊类别数据(Art. 9)
受保护健康信息(PHI)
核心处理逻辑
"满足条件方可处理"
"原则禁止+例外允许"
"授权使用+最小必要披露"
同意机制
单独同意
明示同意(explicit consent)
授权(authorization)
处罚上限
5,000万元或上一年度营业额5%
2,000万欧元或全球年营业额4%
按违规主观状态分四档,单项违规年度上限约150万美元(经通胀调整后更高)
数据本地化
CII运营者须境内存储
原则允许跨境(充分性认定/SCC)
无硬性本地化要求

(European Parliament and Council, 2016)[12];(US Congress, 1996)[13]

GDPR第9条与PIPL第28条的核心差异在于:GDPR属于"原则禁止+特定例外允许"(如取得明示同意、为公共健康利益、为医疗诊断目的等),而PIPL属于"满足条件方可处理"。在实践效果上,GDPR的立法技术更侧重"禁止为原则",PIPL更侧重"规范引导",但两种模式在医疗数据保护的效果上各有优劣,不宜简单断言孰优孰劣。HIPAA则采取"行业专门法+分级处罚"模式,其罚则根据违规主体的主观过错状态(是否知情、是否属合理注意仍未避免、是否属willful neglect等)划分为四个档次,最严重档次的单项违规年度上限约150万美元(该数额会随通胀指数调整,实际适用金额逐年上浮)。

值得关注的是,欧盟《欧洲健康数据空间条例》(European Health Data Space, EHDS)已于2025年3月正式生效并进入过渡期,正尝试在GDPR框架内开辟健康数据"二次使用"(secondary use)的合法通道——允许在严格条件下、经国家健康数据准入机构(HDAB)许可后,将去标识化或假名化的健康数据用于科研、创新和政策制定等法定允许目的。其优先类别数据(如患者摘要、电子处方等)的相关机制将在生效数年后分阶段落地(European Commission, 2025)[14]。这一"在保护框架内释放数据价值"的思路,对中国区域医疗数据互联互通与健康医疗大数据的合规利用具有比较法参考价值。

3.6 隐私计算技术的合规价值

在区域医疗数据共享场景中,隐私增强技术(Privacy-Enhancing Technologies, PETs)为"目的限制"和"最小必要"提供了技术性合规方案:

  • 联邦学习(Federated Learning):允许多家医疗机构在不共享原始数据的前提下联合训练AI模型——各医院在本地计算模型梯度并加密上传,中心服务器聚合后更新全局模型。为防止通过梯度反推还原患者数据,实践中通常在梯度传输前叠加差分隐私(Differential Privacy)噪声,通过设定合理的隐私预算(ε)在模型效用与隐私保护之间取得平衡。国内外已有多起将联邦学习应用于医学影像分析、疾病预测(如脑卒中风险预测)等多中心协作研究的实践案例。

  • 多方安全计算(Secure Multi-Party Computation, SMPC):基于秘密共享和混淆电路等密码学协议,在多个计算节点上执行联合统计分析,任一方无法获知他方原始输入,适用于跨机构联合统计、联合建模等场景。

  • 可信执行环境(Trusted Execution Environment, TEE):如Intel SGX/AMD SEV,在CPU硬件层面创建隔离的Enclave安全区,适用于需要低延迟的跨院数据查询场景。

这些技术的合规价值在于:它们将"数据不共享"或"数据可用不可见""数据不出域"等原则从政策口号转化为密码学与硬件级别的保障,从而在不违反PIPL目的限制与最小必要原则的前提下释放数据协同价值。需要提醒的是,隐私计算并非"合规免死金牌"——其部署仍需结合具体场景评估参数配置(如差分隐私预算)、密钥管理、可信根信任链等,方能真正达到预期的保护效果。

四、案例与实践洞察

4.1 中国案例:从弱口令到数据黑产的监管演进

案例一:衡山县中医医院——基层医疗数据安全的"教科书式"违规(2025年)

2025年3月,衡山县互联网信息办公室在巡查中发现衡山县中医医院体检系统存在严重安全漏洞——MySQL数据库使用弱口令,且数据库服务被映射到公网IP地址端口。攻击者无需复杂技术手段即可远程访问并获取包含体检数据在内的医疗健康信息。经立案调查,该医院因未依法采取必要的数据安全保护措施,被认定违反《数据安全法》相关安全保护义务规定,受到行政处罚(衡山县人民政府, 2025)[15]。

合规启示:弱口令+公网暴露是医疗行业最常见且最致命的组合漏洞。此案揭示了基层医疗机构数据库安全管理基线薄弱的普遍现状——在区域医疗互联互通场景下,此类漏洞可能引发连锁式数据泄露。数据库禁用弱口令、禁止公网直接暴露、启用最小权限,是任何医疗机构都不应逾越的安全基线。

案例二:湖南省民生领域个人信息保护专项行动——医疗行业执法的常态化信号(2025年)

2025年度,湖南省网信办联合省卫健委等部门组织开展民生领域个人信息权益保护专项执法行动。行动覆盖全省369家单位的App,其中对部分重点医院进行了现场检查并督促整改。最终约谈244家、下达责令整改通知书198份、行政处罚31家(网信湖南, 2025)[16]。

合规启示:医疗行业已进入"主动执法"阶段,App合规检查与现场执法检查成为常态化机制。互联网医院App在患者注册、在线问诊、处方流转等环节收集大量敏感个人信息,成为执法关注的重点领域。机构应常态化开展App合规自查(收集范围、告知同意、权限申请、第三方SDK等),避免"被动挨罚"。

案例三:电子病历倒卖——内部威胁的黑色产业链

多地法院审结医疗机构内部人员侵犯公民个人信息刑事案件。典型作案模式为:内部人员利用医院信息系统(Hospital Information System, HIS)工作便利批量导出产妇分娩信息、新生儿出生信息,通过社交平台等渠道出售给母婴用品推销商、早教机构等下游买家——形成"医院内鬼—中间商—下游营销"的完整黑色产业链。部分案件泄露数据量达数十万条。涉案人员以《刑法》第253条之一(侵犯公民个人信息罪)被判处有期徒刑并处罚金(司法案例综合, 2023)[17]。

合规启示:医疗数据泄露的最大风险源往往来自内部。在区域医疗互联互通场景下,单点内部违规可能导致跨机构数据批量流出,业务流转便利性与安全管控形成直接张力。防范内部威胁需从最小权限、批量导出审批、操作全量审计、异常行为监测、离职权限回收等多维度构建"人防+技防"体系。

案例四:人类遗传资源违规——基因数据的国家安全红线

科技部人类遗传资源管理相关部门曾对多起涉及未经许可将中国人类遗传资源信息向境外提供或传递的案件作出行政处罚。较早的典型案例中,相关单位因"未经许可将部分人类遗传资源信息从网上传递出境"而受到处罚,责令停止相关研究、销毁未出境的遗传资源材料及相关研究数据等。《生物安全法》(2021年施行)生效后,相关违法成本大幅提升,人类遗传资源的采集、保藏、利用、对外提供均纳入更为严格的审批与备案管理(科学技术部相关公示综合, 2015—2023)[18]。

合规启示:基因数据具有不可重置性和群体关联性,一旦泄露或违规出境,其损害不可逆且可能上升至国家安全层面。涉及人类遗传资源的科研合作、临床试验、数据出境,必须在项目启动前完成合规审查与审批备案。

4.2 国际案例:从Change Healthcare到NYC Health+Hospitals

案例五:Change Healthcare——"缺MFA"引发的系统性灾难(2024年)

2024年2月,UnitedHealth Group旗下Change Healthcare(全美最大医疗支付与数据交换平台之一,处理全美相当大比例的医疗支付交易)遭ALPHV/BlackCat勒索软件攻击。攻击者利用一个未启用多因素认证(Multi-Factor Authentication, MFA)的Citrix远程访问入口实施初始入侵。大量受保护健康信息(Protected Health Information, PHI)受影响,全美医疗机构支付系统大面积瘫痪。UnitedHealth确认支付了约2,200万美元赎金,且CEO在国会听证会上承认涉事入口"未启用MFA"(U.S. Senate Committee on Finance, 2024)[19]。

合规启示:一个基础安全控制(MFA)的缺失,即可撬动整个国家级医疗支付网络的瘫痪。基础安全卫生(MFA、补丁管理、远程访问收敛)的价值,往往在灾难发生后才被真正认识。

案例六:NYC Health + Hospitals——"医疗数据+生物特征"双重泄露(2026年)

2026年5月,纽约市最大公立医疗系统遭黑客入侵,泄露数据波及至少180万人(该事件于2026年3月24日报备HHS)。尤为严重的是,泄露数据不仅包含常规电子健康记录、社会安全号和银行账户信息,还包含指纹等生物特征识别数据——此类数据一旦泄露即无法重置,构成不可逆的终身隐私损失(Whittaker, 2026)[1]。

合规启示:生物特征数据的"不可重置性"使其成为最高优先级的保护对象。医疗机构在采集指纹、人脸、虹膜等生物特征前,须严格论证必要性,并采取最高等级的加密与访问控制。

案例七:HHS OCR四起勒索软件和解——执法逻辑的范式转变(2026年)

2026年4月23日,HHS OCR与四家医疗实体(Regional Women's Health Group/Axia、Assured Imaging、Consociate Health、Star Group Health Plan)就HIPAA安全规则违规达成和解。这四起勒索软件事件合计影响超过42.7万人,涉及人口统计数据、社会安全号、财务信息、化验结果、用药和诊断等电子受保护健康信息(ePHI)。调查发现这些实体的共同问题是未实施HIPAA安全规则所要求的基本保障措施——尤其是未进行准确、充分的风险评估。四家实体合计向OCR支付约116.5万美元,并需接受为期两年的整改计划监督(HHS OCR, 2026)[2]。

合规启示:OCR此番系统性地追究"在勒索软件面前安全准备不足(尤其是风险评估缺失)"的责任,而非仅追究"数据已被泄露"的结果责任,标志着执法重心从"结果处罚"向"预防能力审查"的范式转变。这对中国医疗机构的启示是:合规不能停留在"没出事就没问题",而应建立可举证的常态化风险评估与安全管理体系。

4.3 跨案例核心教训

汇总七个案例的共性规律:

维度
关键发现
涉及案例
基础安全控制
弱口令、MFA缺失、未打补丁是最大公共因子
案例一、五、七
内部威胁
内部人员违规访问/倒卖是医疗数据泄露的主要源头之一
案例三
基因/生物特征
不可重置性使泄露后果不可逆且跨生命周期
案例四、六
供应链风险
数据处理者和API接口构成攻击面延伸
案例五、六
执法趋势
从"结果处罚"转向"预防能力审查"(含风险评估)
案例七
聚合平台风险
数据交换枢纽既是效率引擎也是系统性风险节点
案例五、六

五、合规建议与未来展望

5.1 制度建设层面

行业实践中,领先的医疗机构通常已完成以下制度建设:建立覆盖数据分类分级、访问控制、安全审计、应急响应等全生命周期环节的数据安全管理制度体系;参照GB/T 39725-2020完成全量数据资产的分类分级定级工作,形成书面的数据资产清单;在二级及以上医院和互联网医疗平台设立专职数据安全负责人(Data Security Officer, DSO)岗位与数据安全管理机构,并确保其独立于业务运营线、具备直接向管理层与主管部门报告的权限(这与网数条例第30条对重要数据处理者的组织要求相衔接)。此外,机构还应建立常态化的个人信息保护影响评估(PIA)与数据安全风险评估机制,并妥善留存评估报告与记录以备举证。

5.2 技术措施层面

技术合规自查清单通常涵盖以下方面:

  1. 传输加密:所有涉及患者数据的传输链路启用TLS 1.3,医共体跨机构数据交换部署双向mTLS认证;

  2. 数据库安全基线:核心数据库禁止使用弱口令、禁止公网直接暴露,启用数据库透明加密(TDE)或字段级加密,并对高危操作实施审批与审计;

  3. 访问控制与审计:部署RBAC细粒度权限管控,坚持最小权限原则,全量审计日志留存并定期复核,异常行为实时告警;

  4. 防篡改机制:电子病历集成可靠电子签名和可信时间戳服务,关键操作日志采用WORM(一次写入多次读取)存储或区块链存证;

  5. 隐私计算能力:在跨机构数据协同场景中,优先评估联邦学习、多方安全计算或可信执行环境等隐私增强技术的适用性,并合理配置隐私参数;

  6. 身份认证强化:所有远程访问、特权账户和管理后台强制启用多因素认证(MFA),收敛暴露在公网的远程访问入口——这正是Change Healthcare事件留下的最直接教训。

5.3 业务流程层面

在互联网医院的日常运营中,单独同意的实现需要嵌入业务流程而非游离于外。各环节的数据处理活动应形成"特定目的+充分必要性+严格保护措施"的书面论证文档。区域医共体数据共享应建立跨机构数据使用审批流程,明确共享数据集的"最小必要"范围界定和去标识化处理要求,并按网数条例第12条以合同方式约定接收方的安全保护义务、保存相关处理记录不少于3年。对涉及未成年人、生物特征、基因等特殊数据的场景,应设置更严格的审批与保护流程。

5.4 未来展望

最后,以下几个趋势值得关注:

  • 国家层面有望进一步推动医疗行业重要数据具体目录的制定,为网数条例第29条的落地提供更明确的操作指引,缓解目录空白期的执法不确定性;

  • 医疗AI场景中的数据合规问题(包括生成式AI训练数据来源合法性、算法与服务备案、自动化决策透明度与患者知情权)将成为新的监管热点,网数条例第19条已对生成式AI训练数据安全管理提出要求;

  • 随着《网络安全法》2025年修订版于2026年施行,处罚力度显著提升(对造成严重后果的违规,最高可处二百万元至一千万元罚款),医疗机构与省级互联网医疗服务监管平台的数据处理者角色将受到更严格的合规审视;

  • 隐私增强技术将在区域医疗数据共享中从试点走向规模化部署,"数据可用不可见"的技术性合规方案有望获得监管层面的进一步认可与推动;

  • 借鉴欧盟EHDS的经验,我国健康医疗大数据"二次利用"的合规通道(科研、公共卫生、创新)有望在严格保护框架下逐步探索成型。

六、参考资料

[1] Whittaker, Z. (2026, May 18). NYC Health + Hospitals says hackers stole medical data and fingerprints during breach affecting at least 1.8 million people. TechCrunch. https://techcrunch.com/

[2] HHS Office for Civil Rights. (2026, April 23). HHS' Office for Civil Rights Settles Four HIPAA Security Rule Ransomware Investigations. U.S. Department of Health and Human Services. https://www.hhs.gov/press-room/ocr-settles-four-ransomware-investigations.html

[3] 全国人大常委会. (2021). 中华人民共和国个人信息保护法(主席令第91号). 2021年8月20日通过,2021年11月1日施行. http://www.npc.gov.cn/

[4] 全国人大常委会. (2021). 中华人民共和国数据安全法(主席令第84号). 2021年6月10日通过,2021年9月1日施行. http://www.npc.gov.cn/

[5] 全国人大常委会. (2016; 2025修改). 中华人民共和国网络安全法(主席令第53号;2025年10月28日修改,自2026年1月1日起施行并重新公布). http://www.npc.gov.cn/

[6] 国务院. (2024). 网络数据安全管理条例(国务院令第790号). 2024年9月24日签署,2025年1月1日施行. https://www.gov.cn/

[7] 全国人大常委会. (2019). 中华人民共和国基本医疗卫生与健康促进法(主席令第38号). 2019年12月28日通过,2020年6月1日施行. http://www.npc.gov.cn/

[8] 国家卫生健康委. (2022). 互联网诊疗监管细则(试行)(国卫办医发〔2022〕2号). 2022年2月8日印发. http://www.nhc.gov.cn/

[9] 国家卫生健康委办公厅、国家中医药局综合司、国家疾控局综合司. (2025). 紧密型县域医共体信息化功能指引(国卫办规划函〔2025〕63号). 2025年2月20日印发. http://www.nhc.gov.cn/

[10] 国家标准化管理委员会. (2020). GB/T 39725-2020 信息安全技术 健康医疗数据安全指南. 北京: 中国标准出版社.

[11] 牛淑芬, 陈俐霞, 李文婷, 王彩芬, 杜小妮. (2022). 基于区块链的电子病历数据共享方案. 自动化学报48(8), 2028–2038.

[12] European Parliament and Council. (2016). Regulation (EU) 2016/679 (General Data Protection Regulation). Official Journal of the European Union, L 119, 1–88. https://eur-lex.europa.eu/eli/reg/2016/679/oj

[13] US Congress. (1996). Health Insurance Portability and Accountability Act of 1996 (HIPAA). Public Law 104-191. https://www.congress.gov/

[14] European Commission. (2025). Regulation on the European Health Data Space (EHDS). https://health.ec.europa.eu/ehealth-digital-health-and-care/european-health-data-space-regulation-ehds_en

[15] 衡山县人民政府. (2025). 衡山县互联网信息办公室行政处罚决定书(山信执法决字〔2025〕第01号). https://www.hengshan.gov.cn/

[16] 网信湖南. (2025). 湖南省民生领域个人信息权益保护专项行动通报.

[17] 司法案例综合. (2023). 侵犯公民个人信息罪相关刑事判决(医疗数据类). 中国裁判文书网.

[18] 科学技术部. (2015–2023). 人类遗传资源管理相关行政处罚公示. https://www.most.gov.cn/

[19] U.S. Senate Committee on Finance. (2024). Hearing on Change Healthcare cyberattack. https://www.finance.senate.gov/


特别声明:智慧医疗网转载其他网站内容,出于传递更多信息而非盈利之目的,内容仅供参考。版权归原作者所有,若有侵权,请联系我们删除。

凡来源注明智慧医疗网的内容为智慧医疗网原创,转载需获授权。

Copyright © 2022 上海科雷会展服务有限公司 旗下「智慧医疗网」版权所有    ICP备案号:沪ICP备17004559号-5