信息安全技術(shù)健康醫(yī)療數(shù)據(jù)隱私保護(hù)安全要求

1范圍

本文件規(guī)定了健康醫(yī)療數(shù)據(jù)隱私保護(hù)安全的總則、職責(zé)、數(shù)據(jù)采集保護(hù)、數(shù)據(jù)存儲(chǔ)保護(hù)、數(shù)據(jù)處理、

數(shù)據(jù)使用和技術(shù)支撐。

本文件適用于健康醫(yī)療數(shù)據(jù)隱私保護(hù)安全的監(jiān)督、管理和評(píng)估。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過(guò)文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T37964信息安全技術(shù)個(gè)人信息去標(biāo)識(shí)化指南

GB/T39725—2020信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南

GM/T0054信息系統(tǒng)密碼應(yīng)用基本要求

3術(shù)語(yǔ)和定義

GB/T39725—2020界定的以及下列術(shù)語(yǔ)和定義適用于本文件。

3.1

個(gè)人信息personalinformation

能夠單獨(dú)或者與其他信息結(jié)合識(shí)別自然人個(gè)人身份的各種信息。

注：包括但不限于自然人的姓名、出生日期、身份證件號(hào)碼、個(gè)人生物識(shí)別信息，住址和電話號(hào)碼等。

3.2

個(gè)人信息主體personalinformationsubject

個(gè)人信息所標(biāo)識(shí)或關(guān)聯(lián)的自然人。

3.3

匿名化anonymization

通過(guò)對(duì)個(gè)人信息的技術(shù)處理，使得個(gè)人信息主體無(wú)法被識(shí)別或者關(guān)聯(lián)，且處理后的信息不能被復(fù)原，

的過(guò)程。

注：個(gè)人信息經(jīng)匿名化處理后所得的信息不屬于個(gè)人信息。

3.4

去標(biāo)識(shí)化de-identification

通過(guò)對(duì)個(gè)人信息的技術(shù)處理，使其在不借助額外信息的情況下，無(wú)法識(shí)別或者關(guān)聯(lián)個(gè)人信息主體的

過(guò)程。

注：建立在個(gè)體基礎(chǔ)之上，保留了個(gè)體顆粒度，采用假名、加密、哈希函數(shù)等技術(shù)手段替代對(duì)個(gè)人信息的標(biāo)識(shí)。

3.5

敏感數(shù)據(jù)sensitivedata

由權(quán)威機(jī)構(gòu)確定的受保護(hù)的信息數(shù)據(jù)。

注：敏感信息數(shù)據(jù)的泄露、修改、破壞或丟失會(huì)對(duì)人或事產(chǎn)生可預(yù)知的損害。

3.6

個(gè)人健康醫(yī)療數(shù)據(jù)personalhealthdata

單獨(dú)或者與其他信息結(jié)合后能夠識(shí)別特定自然人或者反應(yīng)特定自然人生理或心理健康的相關(guān)電子

數(shù)據(jù)。

3.7

健康醫(yī)療數(shù)據(jù)healthdata

個(gè)人健康醫(yī)療數(shù)據(jù)以及由個(gè)人健康醫(yī)療數(shù)據(jù)加工處理之后得到的健康醫(yī)療相關(guān)電子數(shù)據(jù)，如匿名化

處理后的個(gè)人健康醫(yī)療數(shù)據(jù)。

注：個(gè)人健康醫(yī)療數(shù)據(jù)涉及個(gè)人過(guò)去、現(xiàn)在或者將來(lái)的身體或精神健康狀況、接受的醫(yī)療保健服務(wù)和支付的醫(yī)療保

健服務(wù)費(fèi)用等。

3.8

脫敏desensitization

通過(guò)模糊化等方法處理原始數(shù)據(jù)，以實(shí)現(xiàn)屏蔽敏感數(shù)據(jù)且屏蔽后的數(shù)據(jù)不可逆向恢復(fù)的數(shù)據(jù)保護(hù)方

式。

4總則

4.1目標(biāo)

針對(duì)健康醫(yī)療數(shù)據(jù)隱私保護(hù)宜采取合理的管理和技術(shù)保障措施，目標(biāo)如下：

a)保障健康醫(yī)療數(shù)據(jù)的保密性、完整性和可用性；

b)確保健康醫(yī)療數(shù)據(jù)使用和披露過(guò)程的合法性和合規(guī)性，保護(hù)個(gè)人信息安全、公眾利益和國(guó)家

安全；

c)保障健康醫(yī)療數(shù)據(jù)在符合上述安全要求的前提下滿足業(yè)務(wù)發(fā)展需求。

4.2范疇

健康醫(yī)療數(shù)據(jù)共享過(guò)程中涉及到符合GB/T39725—2020中數(shù)據(jù)分類分級(jí)范圍內(nèi)的所有健康醫(yī)療數(shù)

據(jù)，包括但不限于個(gè)人屬性數(shù)據(jù)。

4.3原則

4.3.1權(quán)責(zé)一致原則

對(duì)個(gè)人信息主體合法權(quán)益造成的損害應(yīng)承擔(dān)責(zé)任。

4.3.2目的明確原則

具有合法、正當(dāng)、必要、明確的個(gè)人信息處理目的。

4.3.3選擇同意原則

向個(gè)人信息主體明示個(gè)人信息處理目的、方式、范圍、規(guī)則等，征求其授權(quán)同意。

4.3.4最小必要原則

除與個(gè)人信息主體另有約定外，只處理滿足個(gè)人信息主體授權(quán)同意的、目的所需的最少個(gè)人信息類

型和數(shù)量。目的達(dá)成后，應(yīng)及時(shí)根據(jù)約定刪除個(gè)人信息。

4.3.5公開(kāi)透明原則

以明確、易懂和合理的方式公開(kāi)處理個(gè)人信息的范圍、目的、規(guī)則等，并接受外部監(jiān)督。

4.3.6確保安全原則

具備與所面臨的安全風(fēng)險(xiǎn)相匹配的安全能力，并采取足夠的管理措施和技術(shù)手段，保護(hù)個(gè)人信息的

保密性、完整性、可用性。

4.3.7主體參與原則

向個(gè)人信息主體提供能夠訪問(wèn)、更正、刪除其個(gè)人信息，以及撤回同意、注銷賬戶等方法。

4.4隱私保護(hù)的參與方

健康醫(yī)療數(shù)據(jù)共享過(guò)程中數(shù)

相關(guān)知識(shí)

醫(yī)療信息技術(shù)與健康數(shù)據(jù)安全.pptx
信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南（26頁(yè)）
信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南
醫(yī)療數(shù)據(jù)隱私保護(hù)：構(gòu)建安全病例環(huán)境
隱私保護(hù)與數(shù)據(jù)安全，全民健康信息平臺(tái)建設(shè)的關(guān)鍵
政策：《信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南》
淺談互聯(lián)網(wǎng)醫(yī)療的隱私保護(hù)與信息安全
健康數(shù)據(jù)隱私：健康數(shù)據(jù)的隱私保護(hù)和安全性
智慧醫(yī)院信息系統(tǒng)中的患者數(shù)據(jù)安全與隱私保護(hù)
互聯(lián)網(wǎng)醫(yī)療服務(wù)的數(shù)據(jù)安全與隱私保護(hù).pptx

網(wǎng)址: 信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)隱私保護(hù)安全要求.pdf http://m.gysdgmq.cn/newsview1459313.html