6月4日，國家衛生健康委統計信息中心發布關于征求《互聯網醫療健康信息安全管理規范（征求意見稿）》（簡稱《征求意見稿》）標準意見的函，意見反饋表收集截止日期為6月17日。

《征求意見稿》共分為前言、范圍、規范性引用文件、術語和定義、總則、安全管理總體框架、相關方職責、過程管理、數據管理、技術管理和組織管理。

以下為《征求意見稿》全文：

互聯網醫療健康信息安全管理規范

1 范圍

本文件規定了互聯網醫療健康信息安全管理總體框架、信息安全相關方管理、信息安全過程管理、信息安全數據管理、信息安全技術管理和信息安全組織管理的規范和安全要求。本文件適用于組織、個人在中華人民共和國境內開展互聯網醫療健康活動所遵循信息安全管理。

2 規范性引用文件

下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

GB/T 22239 信息安全技術 網絡安全等級保護基本要求

GB/T 25069 信息安全技術 術語

GB/T 25070 信息安全技術 網絡安全等級保護安全設計技術要求

GB/T 28448 信息安全技術 網絡安全等級保護測評要求

GB/T 35273 信息安全技術 個人信息安全規范

GB/T 370448 信息安全技術 物聯網安全參考模型及通用要求

GB/T 37973 信息安全技術 大數據安全管理指南

3 術語和定義 

GB/T 25069界定的以及下列術語和定義適用于本文件。

3.1 互聯網醫療健康服務 internet medical and health services

應用互聯網及相關信息技術提供的互聯網醫療服務、互聯網公共衛生服務、互聯網家庭醫生簽約服務、互聯網藥品供應保障服務、互聯網醫療保障結算服務、互聯網醫學教育和科普服務、互聯網人工智能應用服務等。

3.2 互聯網醫療健康信息系統internet medical and health information system

應用信息化技術，支撐互聯網醫療健康服務、運營與監管業務開展，產生互聯網醫療健康信息，為互聯網醫療健康服務過程以及管理和決策提供支持的信息系統。為服務過程、完成后實際交付使用的、對外提供互聯網醫療健康服務的整套系統，包括計算機硬件、軟件、網絡等總稱。

3.3 互聯網醫療健康信息安全管理 internet medical and health information security management

國家和地方網信部門、衛生健康主管部門、醫療衛生機構及其他相關企業和機構，在互聯網醫療健康服務開展過程，在應用建設、運營管理和信息管理等階段，應用合理的技術與管理手段，保障信息安全的管理過程。

3.4 建設方 construction organization 

建設方是指互聯網醫療健康信息系統的建設責任主體。建設方可自行負責或委托第三方開展互聯網醫療健康信息系統的建設、互聯網醫療健康服務運營。

3.5 服務方 server organization

服務方是指互聯網醫療健康服務的提供主體和責任承擔主體。服務方負責保障互聯網醫療健康信息安全。

3.6 運營方 operation organization

運營方是指互聯網醫療健康服務的運營責任承擔主體。運營方負責互聯網醫療健康信息系統維護和互聯網醫療健康服務運營等，維護系統穩定運行，保障服務穩定開展、推動服務合法合規有序發展的工作內容。

3.7 監管方 regulator

監管方是指縣級以上衛生健康行政部門。監管方負責對本行政區域內互聯網醫療健康信息安全管理監管。

3.8 個人信息 personal information

以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息。

4 總則

互聯網醫療健康的信息安全管理是互聯網醫療健康信息系統建設、服務、運營與監管活動過程中的信息安全管理。

互聯網醫療健康信息安全管理應確保互聯網醫療健康信息系統的合規性、可用性和安全性；確保互聯網醫療健康信息采集、存儲、傳輸、應用、銷毀等全生命周期的信息處理合法、正當、必要的原則，不得過度處理，保障信息完整、保密，保護個人信息安全、公眾利益和國家安全。 

互聯網醫療健康信息安全管理應堅持與現有法律法規與政策標準一致性。對于民法典、網絡安全法、網絡安全等級保護條例，及其他信息安全相關法律法規與政策標準要求已覆蓋內容，本文件不再作規定。

5 互聯網醫療健康信息安全管理總體框架

互聯網醫療健康信息安全管理總體框架圖如圖1所示。

圖1 互聯網醫療健康信息安全管理總體框架圖

—— 互聯網醫療健康信息安全相關方管理：互聯網醫療健康信息安全管理明確建設方、服務方、運營方和監管方主體責任；

—— 互聯網醫療健康信息安全過程管理：互聯網醫療健康信息安全管理保障建設、服務、運營和監管全過程的信息安全；

—— 互聯網醫療健康信息安全數據管理：互聯網醫療健康信息安全管理明確數據在采集、存儲、傳輸、應用和銷毀等過程的信息安全要求；

—— 互聯網醫療健康信息安全技術管理：互聯網醫療健康信息安全管理明確互聯網醫療健康信息系統在應用安全、第三方接入安全和個人信息安全等方面需要遵從的安全規范；

—— 互聯網醫療健康信息安全組織管理：遵照國家相關安全標準規范體系要求，明確組織要求安全事件管理要求。

6 互聯網醫療健康信息安全相關方職責

6.1 建設方職責

建設方是互聯網醫療健康信息系統建設和管理的責任主體，是信息安全管理的第一責任方。建設方應當履行下列互聯網醫療健康信息安全保護義務：

—— 制定互聯網醫療健康信息安全工作的總體方針和安全策略，闡明安全工作的總體目標、范圍、原則和安全框架等，確定互聯網醫療健康信息安全責任人，落實互聯網醫療健康信息安全保護責任；

—— 在自行承擔或引入第三方機構開展建設、服務與運營時，負責指導與管理服務方與運營方遵照安全管理要求開展相關工作；

—— 建立互聯網醫療健康信息安全應急體系，制定應急預案，組建應急隊伍、開展應急演練；

—— 接受上級業務主管、信息安全監管部門的安全審查和監管。

6.2 服務方職責

服務方是互聯網醫療健康服務提供的責任主體，是互聯網醫療健康信息的主要產生方，是服務過程相關信息安全責任方。服務方應當履行下列互聯網醫療健康信息安全保護義務：

—— 按照相關規范要求開展互聯網醫療健康信息服務，包括服務機構與服務人員的執業資質規范、服務過程安全規范、服務結果可追溯；

—— 服務人員開展互聯網醫療健康服務過程中，應遵循信息安全管理要求，有義務保障服務對象個人隱私；

—— 配合建設方，完成網絡安全事件、突發信息安全事件的管理與處置；

—— 接受上級業務主管、信息安全監管部門的安全審查和監管。

6.3 運營方職責

運營方是互聯網醫療健康服務運營和信息系統維護責任主體，是運營過程相關信息安全責任方。運營方應當履行下列互聯網醫療健康信息安全保護義務：

—— 應當依照法律、行政法規的規定和國家標準的強制性要求，采取技術措施和其他必要措施，保障互聯網醫療健康信息系統及網絡安全、穩定運行；

—— 有效應對信息安全事件，及時處置系統漏洞、計算機病毒、網絡攻擊、網絡侵入等安全風險，防范信息安全違法犯罪活動，維護互聯網醫療健康信息數據的完整性、保密性和可用性；

—— 接受上級業務主管、信息安全監管部門的安全審查和監管。

6.4 監管方職責

監管方是對本行政區域內互聯網醫療健康服務開展的監管主體，是監管過程相關信息安全責任方。監管方應當履行下列互聯網醫療健康信息安全保護義務：

—— 對互聯網醫療健康服務準入信息安全監管，包括機構執業資格、服務人員執業資格、互聯網醫療健康服務范圍的執業資格等信息的真實性、完整性；

—— 對互聯網醫療健康服務過程信息進行監管，包括服務過程中形成的文字、視頻、音頻等內容信息的真實性、完整性、不可否認性；

—— 對個人信息保護進行監管，包括信息采集知情告知與授權許可，信息傳輸與存儲加密，以及信息脫敏使用、信息授權公開等；

—— 對互聯網醫療健康服務質量進行監管，包括投訴、舉報的公正性、及時性，以及處理結果告知投訴、舉報人等。

7 互聯網醫療健康信息安全過程管理

7.1 建設過程管理

建設方開展互聯網醫療健康信息系統建設和管理活動時，應滿足以下要求：

—— 建立健全互聯網醫療健康信息安全管理體系和相關管理制度。明確互聯網醫療健康信息安全管理相關崗位設置、工作要求與責任義務。包括但不限于安全管理制度、安全審核檢查制度、安全崗位、人員管理制度，組織相關方完成突發事件的應急預案制定并落實應急演練。

—— 互聯網醫療健康信息系統應通過網絡安全等級保護三級測評和定期復評。互聯網醫療健康信息系統集成第三方服務應用時，第三方服務也需要達到相關安全防護水平。

—— 互聯網醫療健康服務過程與運營過程中收集和產生的個人信息和重要數據應當在境內存儲。

—— 因業務需要，確需向境外提供的，應當按照國家網信部門會同國務院有關部門制定的辦法進行安全評估，法律、行政法規另有規定的，依照相關規定管理。

—— 建設方有義務配合公安機關、網安部門和相關機構提供技術支持和協助，并按照規定向有關主管部門報告。

—— 對各項操作行為進行審計，審計范圍應覆蓋到每個用戶，并對業務審批人員、監管人員等重要用戶行為和重要安全事件進行審計，并對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。

7.2 服務過程管理

服務方開展互聯網醫療健康服務活動時，應滿足以下要求：

—— 對服務對象與服務人員的個人隱私信息進行保護；

—— 建立信息安全投訴、舉報制度，公布投訴、舉報方式等信息，及時受理并處理有關信息安全的投訴和舉報；

—— 醫務人員開展互聯網醫療健康服務過程中，應根據相關管理要求使用數字證書和電子簽名技術。

7.3 運營過程管理

運營方開展互聯網醫療健康運營活動時，應滿足以下要求：

—— 運營方及其工作人員，必須對在履行職責中知悉的個人信息、隱私和商業秘密嚴格保密，不得泄露、出售或者非法向他人提供。第三方運營方應簽署信息隱私保密協議。

—— 第三方機構依托實體醫療機構開展互聯網醫療健康業務的，必須通過協議、合同等方式明確各方在醫療服務、信息安全、隱私保護等方面的職責權利。

7.4 監管過程管理

監管方開展互聯網醫療健康服務監管活動時，應至少包含以下工作內容：

—— 互聯網醫療健康信息系統是否開展網絡安全等級保護三級測評工作；

—— 監管方及其工作人員，必須對在履行職責中知悉的互聯網醫療健康信息嚴格保密，不得泄露、出售或者非法向他人提供；

—— 應對互聯網醫療健康服務相關建設方、服務方與運營方的互聯網醫療健康信息安全執行效果開展監督管理。監督方式可包括信息及網絡安全審計、互聯網醫療健康信息系統安全漏洞掃描、系統與網絡安全測試和信息安全事件處理監督等。監督工作可根據實際條件建立巡查抽查機制和行業監測預警機制；

—— 對互聯網醫療健康服務相關方不滿足信息安全管理要求，可根據情節嚴重程度，采取警告、通告批評、停服整頓、停止互聯網醫療健康服務資格等處罰措施。

8 互聯網醫療健康信息安全數據管理

8.1 采集數據管理

互聯網醫療健康服務過程中，采集數據時應滿足以下要求：

—— 應符合GB/T 35273的相關要求；

—— 個人信息收集、使用應遵循合法、正當、必要的原則；

—— 應公開收集、使用規則，明示收集、使用信息的目的、方式和范圍；

—— 采集數據需經被收集者、監護人或授權人同意。采集個人圖像、個人身份特征信息等敏感個人信息，需要告知個人必要性以及對個人影響，經過被收集者、監護人或授權人單獨授權同意；

—— 不得收集與提供服務無關的個人信息。

8.2 存儲數據管理

互聯網醫療健康服務過程中，存儲數據時應滿足以下要求：

—— 應符合GB/T 35273的相關要求，以及GB/T 22239第三級安全要求；

—— 應依照法律、行政法規的規定，使用管理、物理和技術措施來保護互聯網醫療健康信息免遭未經授權的訪問、泄露或破壞；

—— 應確保存儲數據的保密性、完整性，采用密碼技術和校驗技術保證存儲過程中敏感信息或整個數據集的保密性、完整性，確保不被竊取、不被篡改；

—— 對互聯網醫療健康服務過程的電子病歷資料，遵循電子病歷應用管理相關要求；

—— 應保留系統安全日志、訪問日志、操作日志等，保證相關日志保存不少于六個月。

8.3 傳輸數據管理

互聯網醫療健康服務過程中，傳輸數據的要求：

—— 應符合GB/T 35273的相關要求，以及GB/T 22239第三級安全要求；

—— 應確保信息傳輸的保密性、完整性，采用密碼技術和校驗技術保證傳輸過程中敏感信息或整個數據集的保密性、完整性，確保不被竊取、不被篡改；

—— 應滿足圖像、聲音、文字以及診療所需信息的安全，圖像清晰、數據準確；

—— 應滿足臨床診療要求，符合相關技術標準和規范要求。

8.4 應用數據管理

互聯網醫療健康服務過程中，應用數據的要求：

—— 應符合GB/T 35273的相關要求，以及GB/T 22239第三級安全要求；

—— 不得違反法律、行政法規的規定和雙方的約定收集、使用個人信息；

—— 未經相關部門許可，所采集的互聯網醫療健康服務相關個人信息不得公開或向他人提供；

—— 應使用權限控制和訪問日志記錄等適宜的安全技術方式，對系統信息的訪問、輸入、修改、刪除進行管理，防止內部非授權人員及其他人員未經授權獲取個人信息；

—— 應對信息發布內容進行監管，發現法律法規禁止發布或者傳播的信息，應當立即停止傳播該信息，采取警示、限制功能、暫停更新、關閉賬號等必要處置措施，防止信息擴散，保存有關記錄，并向有關主管部門報告；

—— 應支持敏感信息在第三方對接的授權使用，包括電子處方流轉平臺、醫療商用保險公司、電子處方配送企業及相關互聯網醫療健康合作方，無本人或監護人、委托代理人授權許可，不得開放個人敏感信息使用。

8.5 銷毀數據管理

互聯網醫療健康服務過程中，銷毀數據的要求：

—— 應符合GB/T 35273的相關要求；

—— 服務方停止互聯網醫療健康服務時，應及時停止繼續收集個人信息，對其持有的個人信息進行刪除或刪除處理；

—— 第三方運營承接方在停止運營服務時，有義務將歷史服務數據以安全可利用的方式向建設方提供；

—— 因建設方、運營方違反法律法規規定，或違反與個人信息主體的約定，收集、使用、公開披露或向第三方共享、轉讓個人信息的，個人信息主體要求刪除的，應及時刪除、停止公開披露、停止向第三方共享、轉讓的行為，并要求第三方及時刪除；

—— 個人信息主體申請注銷賬戶時，經身份核驗后，按信息存儲相關規定期限后，刪除或匿名化處理歷史互聯網醫療健康相關個人信息。

9 互聯網醫療健康信息安全技術管理

9.1 信息系統安全管理

互聯網醫療健康信息系統應滿足以下安全要求：

—— 應符合GB/T 35273的相關要求，以及GB/T 22239第三級安全要求；

—— 應具備與所面臨的安全風險相匹配的安全能力，并采取足夠的管理措施和技術手段，保護數據的保密性、完整性、可用性； 

—— 應具備基于數字證書的身份認證功能。在面向患者提供實名認證功能時，應符合國家相關規范要求，保護個人身份信息、生物識別信息等，防止泄露；

—— 應支持“最小授權”、“職責分離”、“角色分離”、“默認拒絕”等原則構建系統敏感數據的訪問控制、權限控制以及授權控制策略；

—— 應保障患者互聯網醫療健康服務的權益，確保服務記錄、服務流程可追溯；

—— 互聯網醫療健康相關移動端應用，應在可靠的應用渠道發布。建設方需要定期對移動應用進行監控，對于仿冒、釣魚類應用的出現及時通知應用渠道管理方進行下架處理；

—— 互聯網醫療健康相關移動端應用，未向用戶明示并經用戶同意，不得開啟收集地理位置、讀取通訊錄、使用攝像頭、啟用錄音等功能，不得開啟與服務無關的功能，不得捆綁安裝無關應用程序。

9.2 第三方接入安全管理

互聯網醫療健康信息系統與第三方信息系統對接應滿足以下要求：

—— 根據業務開展需要，互聯網醫療健康信息系統與包括醫療、醫保、醫藥、商保、物流、公安等第三方信息系統對接時，應遵循國家法律法規及行業相關第三方產品或服務接入管理機制進行接入管理和信息安全管理；

—— 對第三方應用互聯網醫療健康信息時，應通過相關部門審核同意，遵循最小原則，控制信息使用范圍。建設方應與第三方簽署隱私保護協議和數據使用協議，確保信息使用安全合規；

—— 對接全程應遵循相關信息安全管理要求。

9.3 個人信息安全管理

互聯網醫療健康信息系統應滿足以下個人信息安全管理要求：

—— 應遵循網絡安全保護法、民法典等法律法規，以及GB/T 35273的相關要求；

—— 開發具有處理個人信息功能的服務時，宜在需求、設計、開發、測試、發布等系統工程階段考慮個人信息保護要求，保證在系統建設時對個人信息保護措施同步規劃、同步建設和同步使用；

—— 應具備個人信息隱私保護能力，包括但不限于：數據權限控制、個人信息去標識化、數據加密、安全審計等，并落實必要的管理和技術措施，防止個人信息的泄漏、損毀、丟失、篡改。

10 互聯網醫療健康信息安全組織管理

10.1 制度管理

在開展互聯網醫療健康信息安全制度管理時，應滿足以下要求：

—— 應對互聯網醫療健康服務的各類信息安全管理內容建立適宜的安全管理制度、安全影響評估制度等；

—— 應制定互聯網醫療健康信息安全策略；

—— 應建立互聯網醫療健康信息安全管理的組織和崗位，根據相關政策和規范要求，明確具體管理組織職責和崗位要求，明確匯報決策機制；

—— 應定期對互聯網醫療健康信息安全管理工作進行全面自查，并作出整改建議。

10.2 人員管理

在開展互聯網醫療健康信息安全人員管理時，應滿足以下要求：

—— 應建立互聯網醫療健康信息安全管理領導人負責制，主管領導是網絡信息與數據安全第一負責人，分管領導是直接責任人；

—— 應劃分不同的管理員角色進行互聯網醫療健康信息安全管理，明確各個角色的責任和權限；

—— 應定期開展互聯網醫療健康信息安全教育與培訓，確保相關人員具備信息安全保護能力；

—— 應與從事互聯網醫療健康信息處理崗位上的相關人員簽署保密協議，進行安全審查，明確安全職責。對第三方組織和個人，涉及互聯網醫療健康信息處理業務，應簽署保密協議，并要求履行保密義務。

10.3 應急管理

在開展互聯網醫療健康信息安全應急管理時，應滿足以下要求：

—— 應制定互聯網醫療健康信息安全事件應急預案，落實崗位職責，并及時對應急預案進行維護和更新；

—— 應定期（至少每年一次）組織相關人員進行應急響應培訓和應急演練；

—— 應根據事件影響，區分信息安全事件嚴重等級，根據不同等級采取不同應急處置及上報程序。

來源：國家衛生健康委統計信息中心

點擊此處可查看《征求意見稿》原文并下載相關附件