《醫療健康網絡數據安全自律公約》解讀
為貫徹《中華人民共和國網絡安全法》《國務院辦公廳關于促進和規范醫療健康大數據應用發展的指導意見》《國務院辦公廳關于促進“互聯網+醫療健康”發展的意見》有關要求,更好推動《國家醫療健康大數據標準、安全和服務管理辦法(試行)》落實,引導相關單位嚴格遵守國家有關法律、法規以及政策和標準,提升醫療健康網絡數據安全保護能力,促進行業持續健康有序發展,2020年11月19日,在行業主管部門指導下,中國互聯網協會互聯網醫療健康工作委員會于2020中國5G+工業互聯網大會“5G+醫療健康專題會議”正式發布了《醫療健康網絡數據安全自律公約》(以下簡稱《自律公約》)。
《自律公約》旨在引導簽署單位持續完善本機構醫療健康網絡數據安全保障能力,開展醫療健康網絡數據資產梳理和分類分級工作,圍繞醫療健康網絡數據全生命周期各環節推動部署差異化安全保障措施,建立機構內部醫療健康網絡數據安全合規性評估制度規范和工作流程。
發起背景
醫療健康數據應用價值逐步顯現
合理用藥分析
通過大數據高效分析用藥成分、用藥劑量、用藥時間,尋找最佳組合
臨床病因分析
通過大量臨床數據進行科學分析,由癥狀確定具體病因,環節癥狀
可穿戴數據監測
通過智能可穿戴收集數據,實現人體生命體征監測,預警潛在健康風險
基因組學分析
通過對基因序列大量分析,快速篩查和預測疾病和潛在基因缺陷
遠程醫學診斷
對患者進行遠程疾病數據采集,結合大量臨床病因數據分析,實現遠程診療
醫保決策分析
應用大數據高位聚類分析師算法,制定醫保支付標準等更加精準的政策
醫療健康網絡數據安全形勢嚴峻
醫聯體訪問數據
醫聯體等第三方服務機構人員在對敏感數據進行訪問瀏覽的過程均可能導致醫患隱私等重要信息面臨泄露風險
臨床科研數據
臨床科研數據涉及人口學資料、檢查信息、檢驗信息、藥品醫囑、診斷信息、病例及患者報告,傳輸過程中一旦發生泄漏,后果非常嚴重
醫保數據
醫保數據涉及與第三方機構對接,在系統對接、數據傳輸、數據使用、數據存儲、數據銷毀等環節面臨安全風險
醫療設備維保數據
醫療器械廠商在進行遠程醫療設備維護保養時,數據將面臨非授權訪問、不安全鏈接、隱私數據泄露、維護記錄保存不當等安全風險
醫療健康APP數據
移動應用涉及眾多在線健康醫療服務,存在泄露個人健康狀況數據、支付數據、衛生資源數據以及公共衛生信息的隱患
可穿戴健康設備數據
可穿戴設備數據在采集、存儲、使用階段均存在著不同程度的安全隱患
健康大數據中心數據
分類分級機制缺失導致將非法登錄、越權訪問、異常調閱、冒名查詢、批量竊取、明文泄露等數據安全隱患
遠程醫療數據
檢驗報告、診斷結果、既往病史等健康醫療數據存在因漏洞攻擊、病毒感染等導致的非法訪問、竊取篡改和惡意上傳等風險
數據安全政策密集出臺,立法進程加快,倡議頻發
2017年6月1日,《中華人民共和國網絡安全法》網絡安全法正式實施,提及國家鼓勵開發網絡數據安全保護和利用技術,促進公共數據資源開發,推動技術創新和經濟社會發展。
2020年7月3日,《中華人民共和國數據安全法(草案)》草案內容對數據活動、數據安全等概念進行定義,強調建立數據安全保護體系,并對違法數據活動及相應法律責任進行了明確。
2020年7月22日,《關于為新時代加快完善社會主義市場經濟體系提供司法服務和保障的意見》明確加強數據權利和個人信息安全保護,依法保護數據收集、使用、交易、以及由此產生的智力成果,完善數據保護法律制度。
2020年9月14日,《全球數據安全倡議》中方提出希望歐方同中方一道,推動制定全球數字領域標準和規則,促進全球數字經濟治理良性發展。
2020年10月21日,《個人信息保護(草案)》第二十九條 個人信息處理者具有特定的目的和充分的必要性,方可處理敏感個人信息。敏感個人信息是一旦泄露或者非法使用,可能導致個人受到歧視或者人身、財產安全受到嚴重危害的個人信息,包含種族、民族、宗教信仰、個人生物特征、醫療健康、金融賬戶、個人行蹤等信息。
2020年11月3日,《中共中央關于制定國民經濟和社會發展第十四個五年規劃和二O三五年遠景目標的建議》提出建立數據資源產權、交易流通、跨境傳輸和安全保護等基礎制定和標準規范,推動數據資源開發利用,保障國家數據安全,加強個人信息保護。
醫療健康網絡數據安全監管力度不斷提升,覆蓋面擴大
醫療健康網絡數據安全自律公約應運而生
執行機構
中國互聯網協會互聯網醫療健康工作委員會作為公約執行機構,在行業主管部門的指導下負責組織簽署和實施本公約。
參與原則
各級各類醫療衛生機構和相關企事業單位自愿簽署本公約后成為公約成員機構,受本公約約束,遵守執行本公約內容。
發起愿景
本公約旨在貫徹國家相關法律法規、政策標準,提升醫療健康網絡數據安全保護能力,促進行業持續健康有序發展。
《醫療健康網絡數據安全自律公約(征求意見稿)》于中國互聯網協會醫療健康工作委員會第二屆委員會第一次全體成員會議發布。(2020年11月13日)
內容解讀
醫療健康網絡數據安全自律公約框架
醫療健康網絡數據涵蓋范圍
醫療健康網絡數據是指醫療衛生機構或企事業單位在網絡服務和管理過程中收集、存儲、傳輸、處理和產生的與醫療健康相關的數據,不包含醫療衛生機構和企事業單位內部經營和管理數據。
收集→存儲→傳輸→處理→備份→銷毀
各級各類醫療衛生機構和相關企事業單位是醫療健康網絡數據安全和應用管理的責任單位。
醫療健康網絡數據具體內容
包含但不限于
醫療機構
通過網絡診療服務、便民服務、醫院管理等方面生成和使用的用戶醫療數據
公共衛生機構
通過網絡服務提供、統計管理過程中生成和使用的用戶健康數據
互聯網醫療健康平臺
在服務過程中生成和使用的用戶健康數據
醫療健康大數據中心
通過網絡匯總、統計的醫療健康行業治理數據
機構管理體系
管理責任部門
明確醫療健康網絡數據安全管理責任部門
管理制度規范
制定醫療健康網絡數據安全管理制度規范
合規性評估
開展醫療健康網絡數據安全合規性評估
管理技術措施
配備醫療健康網絡數據安全管理和技術措施
配套流程工作
做好醫療健康網絡數據安全審計管理、應急處置、教育培訓等工作
持續完善本機構醫療健康網絡數據安全保障能力
數據分級分類
重要程度 嚴格依據國家法律法規,梳理醫療健康數據資產重要程度,分別對院內、院前、院外數據重要性定期核查,重要數據境內存儲
敏感程度 綜合考慮各類數據泄露、丟失、破壞可能造成的危害程度,嚴格區分醫療健康數據敏感程度
類別屬性 依據國家政策和監管文件,結合重要程度和敏感程度,對院外健康數據、院內核心醫療信息數據等進行分類
使用目的 依據健康監測、科學研究、臨床試驗、疾病診斷等不同目的,對醫療健康數據進行分級分類管理
分類分級梳理數據資產
- 開展醫療健康網絡數據資產
- 梳理和分類分級工作
部署差異化安全保障措施
- 圍繞醫療健康網絡數據全生命周期個環節推動部署差異化安全保障措施
安全合規評估
制度規范和評估要求為指南
流程評估要點 對醫療健康網絡數據采集、傳輸、存儲、使用、備份、共享、銷毀等過程進行評估
工作機制為保障
評估工作機制 形成新上線業務全覆蓋評估、存量重點業務定期評估工作機制
評估評測為抓手
評估報告為輸出成果
評估報告 以數據安全能力成熟度模型為參照,輸出不同評估對象的評估結果
應急響應與舉報受理機制
合作協同與人員培訓規程
合作協同
- 建立并不斷完善數據合作方安全管理
- 通過簽訂合同和安全保密協議等方式,明確合作企業對合作中數據安全保護方式和合作方責任、義務落實要求
人員培訓
- 針對醫療健康網絡數據安全崗位人員制定培訓計劃并開展定期培訓
- 培訓內容應包括醫療健康網絡數據安全制度和實操規范等
技術能力提升
- 加強醫療健康網絡數據安全技術能力研發和建設稅
- 積極參與醫療健康網絡數據安全相關試點
- 不斷提升醫療健康網絡數據安全技術保障能力
公約執行要求
落實定期自查任務
- 公約執行機構組織、指導公約成員機構履行情況定期開展自查,任何單位和個人均有權向公約執行機構投訴或舉報
開展第三方風險評估
- 組織第三方評測機構開展醫療健康網絡數據安全風險評估,結合自查和公眾監督舉報情況,對違反本公約的簽署單位進行指導和督促整改,必要時予以公示,發現違法違規線索,交相關司局處理
制定能力提升計劃
- 健全完善醫療健康網絡數據安全合規管理體系
- 推動制定醫療健康網絡數據分級分類目錄
- 加強醫療健康網絡數據安全管理和技術支撐平臺建設
行業發展建議
醫療健康數據安全發展建議
提高政治站位,強化責任意識
醫療健康行業事關人民福祉和國家安全,醫療健康數據具有重要價值,與國家和地區的公共衛生、醫療保障和人民健康密切相關,數據泄露、破壞等安全為題應警鐘長鳴,堅決做好醫療健康數據保障工作。
加強政策引領,促進行業發展
加強醫療健康領域整體安全體系建設,政策引領推進行業試點示范,提升醫療健康網絡安全防護能力,為醫療健康數據安全、高效、可信利用開發保駕護航。
推進標準制定,建立規范體系
推動醫療健康網絡數據安全治理體系建設,全面切實推進醫療健康數據安全標準化體系構建,制定醫療健康數據安全能力成熟度標準,提升各類機構醫療健康數據安全治理能力。
完善能力建設,構建長效機制
定期開展風險評估工作,評估系統抵御網絡入侵的防護能力,發現潛在的安全隱患,定期進行安全培訓及應急演練,提升團隊安全意識和風險應對能力,充分發揮第三方評測機構的專業支撐能力,保障醫療健康數據安全。
