导语
近日,国家卫生健康委、公安部、国家互联网信息办公室、国家中医药管理局、国家疾控局联合印发《医疗卫生机构数据安全和个人信息保护管理办法(试行)》。从医院管理实践来看,这份文件传递出的信号已经非常明确:医疗数据不是不能用,而是必须在安全、合规、可审计、可追责的框架下规范使用;数据安全也不再只是信息部门的事务,而是医院治理体系中的重要组成部分。
一、这份文件首先明确:数据安全是医院的主体责任
从医院角度看,这份办法最重要的变化,是把数据安全和个人信息保护责任进一步压实到医疗卫生机构本身。文件明确,医疗卫生机构对本单位数据安全和个人信息保护管理负主体责任;县级以上医疗卫生机构应建立网络安全和信息化工作领导机制,由主要负责人牵头研究部署相关工作,主要负责人是第一责任人,分管负责人是直接责任人。
这意味着,今后医院不能再把数据安全简单理解为“信息科负责、技术人员落实”的专项工作,而必须上升为院级治理事项,形成主要负责人统筹、分管负责人推进、业务部门共同落实、信息部门技术支撑的工作格局。
二、医院数据治理,正式进入“分类分级管理”阶段
办法提出,医疗卫生机构应当按照规定对数据实施分类分级保护,将数据划分为核心数据、重要数据和一般数据,并对重要数据进行识别、梳理、报送和动态管理。文件同时强调,对在原始数据基础上形成的衍生数据,也要重新评估其数据级别,而不能简单认为“加工后就不敏感了”。
对医院来说,这一要求影响非常现实。今后需要纳入分类分级管理的,不只是电子病历、检查检验、影像和健康档案等传统业务数据,还包括专病库、科研数据库、数据中台汇聚库、模型训练数据集、标签数据、统计分析结果等衍生数据资源。
三、文件管的不是一个“点”,而是数据全生命周期
这份办法的突出特点,是管理范围覆盖了数据收集、存储、使用、加工、传输、提供、公开、删除等全过程。文件要求医院从制度、人员、技术、管理、应急等多个层面建立保障机制,定期开展教育培训、风险评估、隐患整改,并通过加密、鉴权、访问控制、日志审计、脱敏去标识化等措施强化安全保护。
这说明,医院未来的数据治理重点,不再只是“服务器安不安全”“有没有防火墙”,而是要形成贯穿业务流程、管理流程和技术流程的全链条治理体系。换句话说,数据安全已经从系统建设问题,转变为制度建设、流程建设和运营管理问题。
四、医院数据“能用”,但必须“合规地用”
值得注意的是,办法并不是单纯强调限制数据流动,而是明确支持在确保安全和个人信息安全前提下,依法依规开展数据共享、调用和开发利用,并提出通过“原始数据不出域、数据可用不可见、数据可控可计量”等方式促进数据合理使用。
这对医院具有非常现实的指导意义。无论是院内科研、医联体协同、医保商保合作、专病库建设,还是高质量数据集构建、人工智能训练与评测,未来都不是简单地问“能不能做”,而是要重点回答“是否建立了合法合规的审批机制、权限边界、技术控制和留痕审计体系”。
五、第三方合作、外包运维、云服务将成为重点监管场景
在医院实际工作中,很多数据风险并不是发生在核心业务环节,而是发生在第三方合作、系统运维、接口调试、驻场开发和云服务使用过程中。对此,办法作出了非常明确的规定:委托他人处理医疗卫生机构数据的,数据安全责任不因委托而转移;医院应经过严格审批,明确受托方处理权限和保护义务,并监督其履责。
同时,文件对云计算服务、安全评估、运维单位责任、设备生产经营企业责任等也提出要求。对医院而言,这意味着今后不论是驻场运维、远程维护、上云部署、数据托管还是设备更换,都不能仅凭“业务方便”推进,而必须纳入制度、合同、审批和审计闭环。
六、医院最容易出问题的几个场景,文件几乎都点到了
细看这份办法,会发现它针对的正是医院日常最常见、也最容易出问题的具体场景。比如:不得超范围采集数据,不得违法存储数据,不得通过邮箱、网盘、社交软件等传输核心数据、重要数据和敏感数据,不得越权查询和使用数据,不得未经批准对外提供数据,不得随意公开医疗卫生机构数据,设备报废前必须做好数据清除,发生数据安全事件不得瞒报、谎报。
这说明,未来医院接受检查时,被重点关注的往往不是文件写得多不多,而是这些高风险场景有没有制度依据、有没有技术控制、有没有审批留痕、有没有日志记录、有没有责任闭环。
七、个人信息保护要求,明显进入“精细化管理”阶段
办法专章规定了个人信息保护要求,提出医疗卫生机构应定期开展个人信息保护合规审计;委托处理个人信息时,要事前开展个人信息保护影响评估,并与受托方签订相关协议,明确处理目的、期限、方式和保护措施。
文件同时明确禁止违法收集、过度收集、超范围使用、违法提供、违法公开和违法出境个人信息,并对孕产妇、新生儿、艾滋病患者、精神障碍患者等特殊群体信息保护提出更高要求。对医院来说,这意味着患者信息保护不能只停留在原则口号层面,而要真正落到最小必要授权、动态审批、全程留痕、访问可追溯等精细化管理要求上。
八、人工智能应用,正式被纳入医院数据合规框架
这份办法还有一个非常值得关注的点,就是把人工智能等新技术应用纳入了医疗卫生机构数据安全和个人信息保护治理范围。文件明确,医疗卫生机构使用人工智能等新技术处理数据时,应评估其带来的安全风险,并采取必要措施保护数据和个人信息安全。
这一要求对当前医院的大模型应用、AI辅助诊断、病历质控、科研建模和数据集建设都有直接影响。今后医院推进人工智能项目,不能只关注模型效果和应用效率,更要同步考虑数据来源是否合法、使用边界是否清晰、训练环境是否隔离、脱敏规则是否到位、日志审计是否完整、责任链条是否明确。
九、从医院治理角度看,这份文件本质上推动了“三个转变”
第一,从“信息科单独负责”转向“医院整体治理”;
第二,从“重系统安全”转向“重数据治理和合规运营”;
第三,从“出问题后补救”转向“事前分类分级、事中审计管控、事后应急追责”的全过程治理。
可以预见,未来医院的数据治理能力,将不只是安全管理能力的一部分,也将成为医院高质量发展、科研创新、数智化建设和外部合作的重要基础能力。
十、医院下一步最值得优先推进什么?
结合这份办法,医院下一步至少应重点推进几项工作:一是健全院级数据安全和个人信息保护组织机制;二是开展全院数据资产梳理和分类分级;三是建立统一的数据使用、导出、共享和对外提供审批机制;四是完善第三方合作、外包运维、云服务使用等专项管理制度;五是补齐账号权限、最小授权、日志审计、异常预警、加密脱敏等技术控制措施;六是围绕科研、教学、人工智能、数据合作等重点场景形成专项合规规则。
对于医院而言,谁先把这些基础能力建起来,谁就更有可能在未来的数据利用、科研协同和智慧医院建设中走得更稳、更远。
结语
总体来看,《医疗卫生机构数据安全和个人信息保护管理办法(试行)》并不是一份单纯增加管理负担的文件,而是在为医院数字化发展划定更清晰的规则边界、责任边界和应用边界。它释放出的政策导向非常明确:医院数据可以开发利用,但必须建立在安全、合规、可审计、可追责的制度基础之上。
对于医院管理者来说,这既是监管要求,也是一次倒逼医院完善治理体系、提升数字化成熟度、保障患者权益、推动数据价值转化的重要契机。