近年来，随着《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》《国务院办公厅关于促进“互联网+医疗健康”行业发展的意见》《关于深入开展“互联网+医疗健康”便民惠民活动的通知》《关于进一步推动互联网医疗服务发展和规范管理的通知》《关于深入推进“互联网+医疗健康”“五个一”服务行动的通知》等政策文件的出台，以及大数据、人工智能等新型技术的发展，健康医疗数据应用、“互联网+医疗健康”和智慧医疗蓬勃发展。与此同时，各种新业务、新应用的不断出现也使得健康医疗数据在全生命周期各阶段面临着越来越多的安全挑战。例如在新冠肺炎疫情期间，国内医疗影像AI公司汇医慧影遭黑客入侵，[1]青岛胶州6000余人就诊名单信息泄露[2]等等。

　　健康医疗数据具有普遍的真实性和隐私性，从微观上包含个体身体健康情况、医疗就诊情况等数据，从宏观上包含疾病传播、区域人口健康状况等数据，健康医疗数据安全事关患者生命安全、个人信息安全、社会公共利益和。为了更好地保护健康医疗数据安全，规范和推动健康医疗数据的融合共享、开放应用，促进健康医疗事业发展，《信息安全技术 健康医疗数据安全指南》（GB/T 39725-2020，以下简称《安全指南》）经多次修订完善、验证试点、修改名称后已对外发布，将于2021年7月1日起正式实施。

　　本文将围绕健康医疗数据安全的实现，从健康医疗数据的概念出发，结合典型场景对健康医疗数据的安全目标及其实现的基础、原则、措施要点和具体方式进行体系化解读。

　　《安全指南》对健康医疗数据进行了较为明确的界定，“包括个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据。”其中，“个人健康医疗数据”与《信息安全技术 个人信息安全规范》（GB/T 35273—2020，以下简称《个人信息安全规范》）中的“个人信息”基本保持同样的逻辑基础，是指“单独或者与其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的相关电子数据。”可以理解为“个人健康医疗数据”是一种特殊的“个人信息”。而“由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据”则包括群体总体分析结果、趋势预测、疾病防治统计数据等。值得注意的是，《安全指南》中对健康医疗数据的界定仅限于电子数据，主要是基于“互联网+医疗健康”的快速发展扩大了电子数据的应用，并提升了电子数据安全保护的重要性和迫切性，而且，纵览《安全指南》，其内容也基本是围绕电子数据展开的。

　　此外，在我国现有法律法规以及其他标准中，对健康医疗数据相关的术语表述及内涵也各有差异，此次《安全指南》通过定义和划分类别及范围（详见三、（一）健康医疗数据分类分级）的方式，已基本将下述数据纳入并统一整合。

　　与立法目的相似，安全目标是制定《安全指南》所要达到的任务目的，决定了《安全指南》的具体内容并统领其价值取向。在《安全指南》中，健康医疗数据保护的安全目标共分为三个层次：一是从数据本身的角度，确保其保密性、完整性和可用性；二是从数据使用和披露安全性角度，确保合法合规性，保护个人信息安全、公众利益和；三是从业务的角度，确保在符合安全要求的前提下满足业务发展需求。

　　可以看出，在目标设计上，《安全指南》兼顾了安全需要和发展需要，并且安全的含义不仅仅是技术上的保密性、完整性和可用性要求，也包含了对其他主体合法权益的保护要求。

　　《安全指南》参考健康医疗数据的应用场景、特征等因素，将健康医疗数据分为如下类别，并划定相应范围：

　　《安全指南》根据数据重要程度、风险级别以及对个人健康医疗数据主体可能造成的损害和影响的级别进行分级，具体如下：

　　尽管《安全指南》仅为推荐性标准，但此处分类分级对于相关组织开展数据分类分级工作具有重要现实意义，一方面可以满足遵从性的合规要求，另一方面也可以提升其自身信息化水平和运营能力。具体而言，数据分类可以更好地将数据资产化，保护数据的可用性，以便持续性提供精准的数据服务；数据分级可以从安全角度保驾护航，明确不同等级数据在不同场景的安全策略，以实现聚焦和资源的合理化配置，更好地保护数据的完整性、保密性。此外，健康医疗数据分类分级是安全目标实现的基础，数据开放形式划分和使用披露原则也是基于数据分类分级而确定，从而实现更精细化的管理。

　　数据开放形式是相对于《健康医疗数据安全指南（征求意见稿）》（2019年4月4日）增加的内容，《安全指南》根据数据公开共享类型划分为完全公开共享、受控公开共享、领地公开共享，相应确定常见数据开放形式及其适用的公开共享类型。具体而言，《安全指南》列出常见的数据开放形式有：网站公开（完全公开共享）、文件共享（受控公开共享）、API接入（受控公开共享）、在线查询（匿名查询：完全公开共享；用户查询：受控公开共享）、数据分析平台（领地公开共享）。可以看出，完全公开共享可对应数据分级中的第1级，受控公开共享和领地公开共享可以对应数据分级中的第2级至第5级，其中，受控公开共享强调通过数据使用协议对数据使用进行约束，领地公开共享则强调将数据限定在物理或虚拟的领地范围内。

　　《安全指南》共列出18条健康医疗数据使用披露原则，包含数据收集、使用、委托处理、提供、存储、汇聚融合、跨境传输、主体权利等方面，基本覆盖数据全生命周期环节。值得注意的是，由于健康医疗数据的特殊性，《安全指南》中提出的部分使用披露原则相对现有法律法规、标准具有一定特别之处，鉴于《安全指南》仅为推荐性标准，仍建议在实践中遵照现有生效的法律法规规定予以执行。对相关使用披露原则列举如下：

　　（1）数据授权同意的例外。《安全指南》明确了四种可以使用或披露相应个人健康医疗数据的授权同意例外情形，具体为：1)向主体提供其本人健康医疗数据；2)治疗、支付或保健护理；3)涉及公共利益或法律法规要求；4)受限制数据集用于科学研究、医学/健康教育、公共卫生目的。并指出控制者可依靠法律法规要求、职业道德、伦理和专业判断来确定哪些个人健康医疗数据允许被使用或披露。

　　其中，受限制数据集是指“经过部分去标识化处理，但仍可识别相应个人并因此需要保护的个人健康医疗数据集”。《民法典》规定经过加工无法识别特定个人且不能复原的个人信息才可向他人提供，《个人信息安全规范》中规定在个人信息控制者为学术研究机构，出于公共利益开展统计或学术研究所必要，且其对外提供学术研究或描述的结果时，对结果中所包含的个人信息进行去标识化处理的，才可不必征得主体的授权同意。《安全指南》将可识别相应个人的受限数据集用于科学研究、医学/健康教育、公共卫生目的作为授权同意的例外，可以看出是在健康医疗数据的可用性与公共利益保护之间寻求平衡。此外，《安全指南》指出控制者可依靠法律法规要求、职业道德、伦理和专业判断来确定哪些个人健康医疗数据允许被使用或披露，提出了一种具有一定操作性的豁免同意的实现路径，但鉴于健康医疗数据本身的复杂性、敏感性，依靠职业道德、伦理等判断是否可在未取得个人授权同意的情况下使用或披露存在较大不确定性，也有可能被司法、行政机关认定为非法提供数据行为而具有一定风险。因此，稳妥的做法仍然是遵照现有生效法律法规要求。

　　（2）限制使用或披露的主体权利。对于数据主体要求控制者限制使用或披露、限制向相关人员披露数据，《安全指南》明确控制者没有义务同意该限制请求，但一旦同意，除非法律法规要求以及医疗紧急情况下，控制者宜遵守约定的限制。《民法典》《网络安全法》《个人信息安全规范》等并未明确规定主体要求控制者限制使用、披露的权利，但主体有权撤回授权同意，控制者应提供撤回授权同意的方法并对主体提出的请求及时响应。《安全指南》规定控制者可以不响应数据主体的限制请求，很可能是基于健康医疗数据个体性与群体性相结合的特殊之处，出于维护公共安全、公共卫生等公共利益的考量，但结合现有规定，建议控制者在不同意主体限制请求时同时说明理由，且该理由应出于维护国家利益、公共利益等的需要。

　　（3）历史回溯查询的主体权利。《安全指南》规定，主体有权对控制者或处理者使用或披露数据的情况进行历史回溯查询，最短回溯期为6年。《民法典》《个人信息安全规范》等并未对主体的历史回溯查询的权利进行明确规定，且在《安全指南》中历史回溯查询的权利并不同于访问的权利。此外，最短回溯期的时间也不完全等同于数据存储时间，《个人信息安全规范》明确个人信息存储期限应为实现个人信息主体授权使用的目的所必需的最短时间，但回溯期则要求了最短时限，并未限制健康医疗机构可存储数据的最长期限。主体可查询历史数据主要是基于对既往病史等健康医疗信息了解的需要，值得注意的是，《电子病历应用管理规范（试行）》规定门（急）诊电子病历保存时间自患者最后一次就诊之日起不少于15年，住院电子病历保存时间自患者最后一次出院之日起不少于30年。针对不同规定中的不同时限要求，建议在实际操作中同时结合现有法律法规的规定予以执行。

　　（4）健康医疗数据的跨境传输。根据《安全指南》，基于学术研讨需要的健康医疗数据跨境传输宜进行必要的去标识化处理，经数据安全委员会（关于“数据安全委员会”见五、（一）安全管理要求）讨论审批同意，且数量在250条以内的非涉密非重要数据可以提供。对于不涉及国家秘密、重要数据或者其他禁止或限制向境外提供的数据，宜经主体授权同意和数据安全委员会讨论审批同意，且累计数据量控制在250条以内。

　　关于重要数据的概念，《个人信息和重要数据出境安全评估办法（征求意见稿）》中规定，重要数据是指“与、经济发展，以及社会公共利益密切相关的数据，具体范围参照国家有关标准和重要数据识别指南。”但截至目前，国家尚未出台重要数据识别指南相关法律文件或标准，重要数据的概念和范围仍待明确。

　　健康医疗数据普遍具有重要性，对其是否可以跨境传输更需谨慎。根据《个人信息和重要数据出境安全评估办法（征求意见稿）》，出境数据中包含人口健康领域数据的，应报请行业主管或监管部门组织安全评估。《国家健康医疗大数据标准、安全和服务管理办法（试行）》规定，“健康医疗大数据应当存储在境内安全可信的服务器上，因业务需要确需向境外提供的，应当按照相关法律法规及有关要求进行安全评估审核”。《人口健康信息管理办法（试行）》明确要求“不得将人口健康信息存储于境外服务器，不得托管、租赁在境外的服务器”。《生物安全法》（尚未生效）和《人类遗传资源管理条例》均规定，将我国人类遗传资源信息向境外提供或者开放使用的，应当向国务院科学技术部门事先报告（或备案）并提交信息备份。

　　首先，健康医疗数据中的非涉密非重要数据认定本身就具有较大的不确定性，其次，将250条以内不涉及国家秘密、重要数据或者其他禁止或限制的数据允许跨境传输中“其他禁止或限制的数据”的兜底规定也给操作带来了困难。因此，在实践层面，完整执行《安全指南》关于健康医疗数据跨境传输的规定的可行性仍有待时间考验。

　　根据前述健康医疗数据安全目标实现的基础和原则，《安全指南》分别相应确定了分级安全措施要点、场景安全措施要点和开放安全措施要点。

　　分级安全措施要点针对不同级别的数据实施不同安全保护措施，重点在于授权管理、身份鉴别、访问控制管理。具体而言，对于第1级数据仅需评审是否可公开；对于第2级数据宜进行去标识化处理，通过协议或领地公开共享模式管控，确保数据的完整性和线级数据需部分遮蔽个人信息，环境与接收人数量需受到限制；对于第4级数据宜严格管控环境与接收人，高标准保证数据完整性和可用性；对于第5级数据需采取严格的身份鉴别、访问控制等措施。

　　结合健康医疗数据实际场景，《安全指南》将相关组织或个人划分为四类角色，具体包括：1）个人健康医疗数据主体（简称“主体”。