《医疗健康大数据安全要求》团体标准正式发布

日前，《医疗健康大数据安全要求》团体标准正式发布，由北京航空航天大学提出，中国国际科技促进会归口，北京航空航天大学、河北大学、国家卫生健康委科学技术研究所、北京大学第一医院等二十余家单位共同起草。

标准规定了医疗健康大数据分级保护的安全要求，适用于指导医疗健康大数据服务提供者分等级的大数据安全能力建设和管理。

标准指出，拥有医疗健康大数据资源的组织机构，应当根据医疗健康大数据对个人合法权益、社会公共秩序、国家安全利益的重要程度，以及遭到损害后对个人合法权益、社会公共秩序、国家安全利益的危害程度等，对医疗健康大数据进行分类分级保护。

标准从组织安全管理能力、数据处理安全能力和安全风险管理能力三个方面，提出对医疗健康大数据采取必要的安全管控措施，确保医疗健康大数据达到以下目标：

• a)确保医疗健康大数据的保密性、完整性和可用性；
• b)确保医疗健康大数据使用和发布共享过程的合法性和合规性，保护个人信息安全、社会公共利益和国家安全；
• c)确保医疗健康大数据在符合上述安全要求的前提下满足业务发展需求。

标准提出了医疗健康大数据分类分级方法。

根据数据反映的信息内容的不同，医疗健康大数据划分为基础资源类数据、业务资源类数据、主题资源类数据，各类数据可进一步划分为更加详细的类别。

根据数据可供访问使用的范围、应施加的基本安全措施、数据安全目标受到损害造成的负面影响，建议医疗健康大数据由低到高划分为四个安全保护等级：

第一级：可公开发布或在较大范围内供访问使用的医疗健康大数据，数据面向有医疗数据服务需求的大众以及科研教育人员。数据内容为一般人口信息或各类医疗卫生服务信息，不可直接识别该类数据中包含的个体信息。此级数据泄露不会威胁个人隐私信息，不会对患者和医务人员的工作和生活造成损害。

第二级：可在中等范围内供访问使用的医疗健康大数据，仅限于获得授权的项目组范围内使用。数据中包含部分个人可识别信息或代码，可被服务对象个人识别，周边人不易识别。此级数据泄露不仅会对患者和医务人员的工作和生活造成影响，也会威胁到范围人群的隐私信息，对公共卫生利益造成损害。

第三级：在较小范围内供访问使用的医疗健康大数据，仅限于相关医护人员访问使用。数据内容为面向特定领域、特定群体、特定区域或达到一定精度和规模的数据。此级数据一旦泄露会对个人以及公共卫生利益造成严重损害，危害国家安全。

第四级：在极小范围内供访问使用的医疗健康大数据，仅限于相关医护人员访问使用。数据内容为对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的重要数据。此级数据泄露会对个人以及公共卫生利益造成特别严重损害，严重危害国家安全。