立法为基,筑牢健康中国数字安全防线。2026年2月14日,为指导医疗卫生机构加强数据安全和个人信息保护管理,国家卫生健康委、公安部、国家互联网信息办公室、国家中医药管理局、国家疾病预防控制局五部委联合印发《医疗卫生机构数据安全和个人信息保护管理办法(试行)》。《办法》作为“十五五”开局之年医疗数据安全领域的重要新规,共七章四十条,以专项制度规范医疗数据全生命周期管理与个人信息保护,推动医疗数据治理从原则倡导迈向刚性制度约束,在新发展阶段为加快建设健康中国筑牢数字安全屏障。
制度为纲,构建全生命周期安全防护体系。《办法》立足医疗卫生行业数据特性与安全需求,贯彻落实《网络安全法》《数据安全法》《个人信息保护法》《基本医疗卫生与健康促进法》《网络数据安全管理条例》等上位法,明确医疗数据分类分级、全生命周期安全管理、个人信息保护、监测预警与应急处置、监督管理等核心要求,确立 “谁主管谁负责、谁运营谁负责、谁使用谁负责”的责任原则与“核心、重要、一般”三级数据分级规则,将合规要求深度融入医疗业务全流程。同时,《办法》突出技术防护核心作用,将商用密码提到重要高度,要求医疗卫生机构在处理核心数据时,在重要数据保护要求的基础上,优先使用商用密码进行保护。明确在数据存储、传输等关键环节采取加密等安全措施,细化个人信息处理合规要求,对数据对外提供、跨境传输做出专项规范,建立健全安全事件应急响应机制,统筹推进医疗数据开发利用与安全保障。
场景为用,落地八大典型安全路径。一图胜千言,炼石以图解形式对《办法》开展系统性解读,聚焦医疗数据安全制度体系,全面梳理医疗行业国家政策、技术与管理要求以及典型场景安全需求,结合医疗卫生安全、电子病历和智慧医疗等国家政策规定,围绕数据分类分级、流通数据保护、数据安全技术和组织管理保障等关键维度,细化医生调阅数据安全、患者查询数据安全、临床研究数据安全、二次利用数据安全、健康传感数据安全、移动应用数据安全、商保对接数据安全、医疗器械数据安全等八大典型场景的安全落地路径。同时,立足医疗行业实践,提炼形成可操作、可落地的医疗数据安全建设方案。
