卫生健康行业数据分类分级指南(试行)
《卫生健康行业数据分类分级指南(试行)》全文共八章四十三条,配套《术语表》《数据分类示例表》《分级判定规则表》《重要数据识别参考表》等四个附件,对“分什么、怎么分、分到哪一级、分完怎么用”给出可落地的操作路线。
第一章“总则”明确立法依据、适用范围与三项原则:依法依规、就高从严、急用先行。强调数据分类分级是行业数据安全治理的“第一道工序”,所有公共卫生、临床医疗、健康管理、科研教学、产业开发、跨境流动等场景下的非涉密数据,无论存储在公有云、私有云还是本地机房,均须纳入本指南管理。
第二章“组织分工”首次在国家层面建立“1+3+N”责任体系:国家卫生健康委牵头制定规则,中医药局、疾控局按职责分工负责主管业务数据,各省级卫生健康委、医疗机构、第三方平台企业作为“N”方落实主体责任,形成横向到边、纵向到底的闭环。
第三章“分类框架”采用“业务视角+数据视角”双轴驱动。业务轴映射全民健康信息平台业务域,拆分为基础资源、业务资源、主题资源三大一级类:基础资源类包括人口信息、机构信息、标准代码等8子类;业务资源类覆盖医疗服务、公共卫生、医疗保障、药品供应、综合管理、科研教学等6子类;主题资源类聚焦整合后的决策支持、共享服务、产业应用等8子类。数据轴则采用“类别—子类—数据项”三级颗粒度,要求最小单元到数据库字段,确保不同系统对接时“同项同名、同义同码”。指南在附件中给出2200余项示例,医院可直接对照映射,减少重复梳理成本。
第四章“分级规则”确立“三重判定法”:先定量、再定性、后综合。定量指标以“数据规模+敏感字段占比”为核心,例如含有完整身份证号、基因序列、性病艾滋病标识的数据集,只要记录数超过10万即进入“重要”门槛;定性指标引入“对象特征+使用场景+泄露影响”三维评分,对象特征区分普通人群、孕产妇、精神障碍患者、少数民族、援外人员等12类脆弱群体;使用场景细分为临床诊疗、公共卫生应急、跨境合作、商业保险、互联网诊疗等8类;泄露影响按“个人隐私损害、社会秩序影响、国家安全风险”三档描述,只要有一项达到“严重”即上调一级。综合判定环节设置专家委员会仲裁机制,对边界模糊数据可启动“一票否决”,确保核心数据不遗漏、一般数据不升格。
第五章“核心数据与重要数据识别”给出两张“负面清单”。核心数据包括:①覆盖1000万人以上的完整人口基因、蛋白质、代谢组等多组学数据;②全国传染病网络直报原始个案;③国家药品不良反应监测源数据;④人类遗传资源国际合作审批关键信息;⑤关系国家战略的卫生健康统计指标。重要数据包括:①100万人以上的可追溯个人健康档案;②三级甲等医院电子病历数据库;③区域影像云存储的原始DICOM文件;④医保结算明细库;⑤互联网医院处方数据。指南要求对核心数据实行“境内存储+出境评估+专岗双人+加密存储+审计追溯”五级防护;对重要数据实行“加密传输+脱敏展示+权限最小化+定期评估”四级防护;一般数据则遵循网络安全等级保护2.0标准即可。
第六章“数据目录管理”首次提出“国家—省—机构”三级目录体系,统一使用《卫生健康数据编码规范(HDPC)》赋予终身标识符,确保同一数据在不同系统、不同地域名称、含义、分级一致。国家平台建立“数据分类分级服务门户”,提供在线自动识别工具、分级自测问卷、敏感特征库下载,医院上传字段列表后可一键生成初步分级报告,省级审核后回传国家库,实现“一地梳理、全国复用”。目录动态更新周期不超过6个月,新增业务系统上线前须完成分类分级,否则不予验收。
第七章“共享与流通”设置“分级管控+场景审批”双阀。核心数据原则上不出域,确需共享须报国家卫生健康委网络安全和信息化领导小组办公室个案审批;重要数据可在省级健康医疗大数据中心内部共享,跨省级流转须通过“数据出境安全评估”与“个人信息保护认证”双通道;一般数据在脱敏后可进入交易市场,鼓励用于AI训练、商业保险、健康管理App等场景。指南首次提出“健康医疗数据流通负面清单”,明确禁止将孕产妇、精神障碍、遗传缺陷三类数据直接商业化,违者由省级以上卫健行政部门依照《个人信息保护法》第六十六条顶格处罚。
第八章“监督与保障”要求各级卫健行政部门把数据分类分级纳入“双随机一公开”检查,每年抽查比例不低于10%,发现问题限期整改并纳入政务诚信记录。对未分类、错分级导致泄露的,依据《数据安全法》第四十五条对直接负责的主管人员处五万元以上二十万元以下罚款;造成严重后果的,暂停相关业务、关闭系统直至吊销执业许可证。指南同步发布《卫生健康数据分类分级成熟度模型》,从“制度流程、技术工具、人员能力、运营评估”四个维度设五级成熟度,三级以下单位不得申请国家智慧医院评级,倒逼医疗机构持续投入。随着指南落地,国家层面将配套出台《卫生健康数据安全管理办法》《健康医疗数据跨境流动安全管理规范》,形成“1个指南+N个配套标准+若干行业细则”的完整制度矩阵,为“十四五”期间健康医疗大数据产业规模达到3000亿元提供制度底座和安全护栏。