2020年年底，信安標委第28號國家標準公告，正式發(fā)布了《信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南》（GB/T 39725-2020，以下簡稱“安全指南”），自2021年7月1日期實施。

該指南的目的主要是根據(jù)健康醫(yī)療數(shù)據(jù)進行分級管理，對不同級別的數(shù)據(jù)實施不同的安全措施，從而實現(xiàn)相應(yīng)的數(shù)據(jù)安全防護。

天融信作為參編單位，依據(jù)指南內(nèi)容，從適用范圍、功能描述、體系建設(shè)、場景描述進行解讀，具體如下：

01 指南適用范圍

指南并不局限于某個行業(yè)，更多的是針對健康醫(yī)療控制者的指南。其中不僅包含具備健康醫(yī)療數(shù)據(jù)的醫(yī)院、衛(wèi)健委等部門，也可為適用健康醫(yī)療數(shù)據(jù)的第三方提供相應(yīng)的指導(dǎo)意見，如互聯(lián)網(wǎng)+醫(yī)療、醫(yī)療業(yè)務(wù)提供商等。

02 明確定義健康醫(yī)療數(shù)據(jù)的分類分級

指南中定義了健康醫(yī)療數(shù)據(jù)的分類，包含個人屬性數(shù)據(jù)、健康狀態(tài)數(shù)據(jù)、醫(yī)療應(yīng)用數(shù)據(jù)、醫(yī)療支付數(shù)據(jù)、衛(wèi)生資源數(shù)據(jù)、公共衛(wèi)生數(shù)據(jù)。在原有個人信息規(guī)范中的基礎(chǔ)上，增加了一些與醫(yī)療相關(guān)的屬性數(shù)據(jù)。具體分類如下：

在分類的基礎(chǔ)上，還根據(jù)數(shù)據(jù)重要程度、風(fēng)險級別和對個人健康醫(yī)療數(shù)據(jù)主體可能造成的損害及影響分為5個級別，每一級采用的判別標準如下：

03 清晰界定角色分類及流通場景

本次指南中，根據(jù)數(shù)據(jù)的特征及使用方式界定了相關(guān)角色，包括數(shù)據(jù)主體、數(shù)據(jù)控制者、數(shù)據(jù)處理者、數(shù)據(jù)使用者幾種角色。同時，還闡述了每種角色的釋義以及責(zé)任，這點對于推動數(shù)據(jù)安全建設(shè)具備一定的基礎(chǔ)意義。對于幾種角色如何進行流通，指南中也給出了6類場景，主要分為：主體-控制者、控制者-主體、控制者內(nèi)部、控制者-處理者、控制者間、控制者-使用者。場景描述是以控制者角色為核心進行流通，指南中基本上涵蓋了大部分醫(yī)療健康數(shù)據(jù)使用的場景，給予了相關(guān)從業(yè)者參考建議。

04 依據(jù)分類及場景提供建議安全措施要點

依據(jù)于上文給出的分類及場景，提供相應(yīng)的數(shù)據(jù)安全措施，包括通過管理手段約束，或者通過技術(shù)手段如標識化、訪問控制、遮蔽、身份鑒別、加密、脫敏、審計等，對醫(yī)療健康數(shù)據(jù)進行安全保護。并提出數(shù)據(jù)共享開放原則需遵循“最小必要原則”，區(qū)別于原有數(shù)據(jù)使用的粗獷模式?？紤]醫(yī)療健康數(shù)據(jù)開放的特殊性，本次指南還針對網(wǎng)站公開、文件共享、API共享、在線查詢、數(shù)據(jù)分析平臺等數(shù)據(jù)共享形式也提供了相應(yīng)安全措施指引，更貼近實際用戶在使用醫(yī)療健康數(shù)據(jù)的使用場景。

05 提出建設(shè)完善的數(shù)據(jù)安全管理體系

在這次的指南中，也明確指出，宜建立完善的組織保障體系確保健康醫(yī)療數(shù)據(jù)安全的管理工作，并對整個體系的過程進行了描述，從規(guī)劃、實施、檢查、改進等多個過程形成可循環(huán)、可優(yōu)化、可執(zhí)行的體系過程。又針對相應(yīng)的應(yīng)急處置提出了建議的方向。

06 涵蓋最全的典型場景描述

區(qū)別于以往的指南，本次指南針對醫(yī)療健康數(shù)據(jù)，細化了典型場景的描述，包括醫(yī)生調(diào)閱、患者查詢、臨床研究、二次利用、健康傳感、移動應(yīng)用等典型場景，針對每個典型場景都從業(yè)務(wù)數(shù)據(jù)使用的流程進行了完整的描述，以數(shù)據(jù)生命周期的視角對當前應(yīng)用應(yīng)加強的安全措施提供了相應(yīng)的意見及建議，給與后續(xù)建設(shè)者一個參考依據(jù)。

該指南的發(fā)布，對于醫(yī)療健康數(shù)據(jù)的安全建設(shè)具備非常重要的意義，一直以來，醫(yī)療健康數(shù)據(jù)的數(shù)據(jù)安全建設(shè)成為眾多單位關(guān)注的重點，但是如何做、怎么做成為當前的難題，本次指南從數(shù)據(jù)分級分類、流通安全管控、數(shù)據(jù)安全體系建設(shè)、典型應(yīng)用描述等，讓相關(guān)單位有參考依據(jù)，加快醫(yī)療健康數(shù)據(jù)的數(shù)據(jù)安全建設(shè)。

近些年來，數(shù)據(jù)安全越來越重要，天融信作為安全行業(yè)的龍頭企業(yè)，也努力為國內(nèi)數(shù)據(jù)安全領(lǐng)域貢獻力量。目前，天融信已參加國家數(shù)據(jù)安全方面標準10余項，行業(yè)數(shù)據(jù)安全方面標準50余項。天融信全程參與本次指南編撰過程，將多年積累的數(shù)據(jù)安全經(jīng)驗融入到指南中，提升醫(yī)療健康數(shù)據(jù)的安全性，為醫(yī)療健康數(shù)據(jù)的相關(guān)從業(yè)單位提供建設(shè)依據(jù)，助力醫(yī)療衛(wèi)生行業(yè)數(shù)據(jù)安全。