1. 首页
  2. 分类分级
  3. 上海市卫生健康数据分类分级指南
菜单
本页目录

上海市卫生健康数据分类分级指南

《上海市卫生健康数据分类分级要求》是上海市卫生健康委员会牵头编制、上海市市场监督管理局批准发布的地方标准(DB31/T 1545—2025),将于2025年7月1日正式实施。该标准依据《中华人民共和国数据安全法》等上位法,结合卫生健康行业特点,系统规范了卫生健康数据的分类分级原则、方法、流程与动态更新机制,为全市医疗卫生机构开展数据安全治理提供了统一、可操作的技术依据。以下从出台背景、适用范围、核心内容、实施要点与行业影响五个方面进行1500字左右的总结。

一、出台背景

“健康中国”战略和数字中国建设双重驱动下,卫生健康数据呈爆炸式增长,数据价值与风险同步放大。2021年《数据安全法》提出“对数据实行分类分级保护”,2024年国家标准《数据分类分级规则》(GB/T 43697)给出通用框架,但卫生健康场景具有专业性强、敏感性高、主体多元等特点,亟需细化落地文件。上海作为数字健康先行城市,拥有500余家公立医院、3000余家基层机构,日均产生门急诊记录3000万条、检验检查结果1000万条,数据互通共享需求迫切,安全事件后果严重。为此,市卫生健康委联合医保、疾控、申康中心、复旦交大系统、头部企业等48家单位、近百名专家,历时两年完成本标准编制,填补国内卫生健康领域地方标准空白。

二、适用范围

标准适用于“上海市辖区内所有医疗卫生机构”开展数据分类分级工作,既包括公立二三级医院、社区卫生服务中心、公共卫生机构,也覆盖社会办医、互联网医院、医学检验实验室、医疗大数据企业等“数据处理者”。数据范围涵盖“在疾病防治、健康管理、医学相关教学研究、医疗管理等过程中产生的原始数据和衍生数据”,既包括电子病历、健康档案、检验检查、医保结算等核心业务数据,也包括科研、运营、设备、人力资源等支撑数据,实现“应采尽采、应分尽分”。

三、核心内容

(一)分类体系:三横十纵

标准在卫生信息资源分类国标(WS/T 787)基础上,构建“基础资源、业务资源、主题资源”三大一级类,下设29个二级项、近600个三级目,形成“三横十纵”目录。

1. 基础资源类(A)聚焦“人、财、物、法、信息化”等支撑要素,如患者、医务人员、单位法人、财务、设备、全民健康信息平台接口等;

2. 业务资源类(B)按“公共卫生、医疗服务、医疗保障、中医药、综合管理、综合监督”六条业务线细分,覆盖传染病监测、慢病管理、门急诊住院、医保结算、行政处罚等全场景;

3. 主题资源类(C)面向共享与科研,设置电子病历数据库、电子健康档案数据库、医学研究数据库、其他数据库四类,支持跨机构、跨系统主题汇聚。

(二)分级模型:三阶四级

标准采用“核心数据、重要数据、一般数据”三阶,一般数据再细分为4级、3级、2级、1级,形成“3+4”七级梯度。分级逻辑遵循“影响对象+影响程度”矩阵:对象分国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益六类;程度分特别严重危害、严重危害、一般危害三档。其中

- 核心数据:一旦泄露对国家安全、经济命脉、公共利益造成特别严重危害,如大规模基因数据、烈性传染病溯源数据;

- 重要数据:严重危害经济运行、社会秩序或大规模个人权益,如市级医保统筹基金运行数据、千万级居民健康档案;

- 一般数据4级:特别严重危害个人,或可还原出敏感个人信息,如患者完整病历、生物识别影像;

- 3级:严重危害个人或组织,如处方、医嘱、检验结果;

- 2级:一般危害,如脱敏后的业务统计、非敏感物资库存;

- 1级:可公开传播,如医院科室字典、药品字典、已发布卫生年鉴。

(三)实施流程:四步闭环

标准给出“资源梳理—规则制定—分类实施—分级实施”四步闭环,并首次在地方标准中细化“动态更新”要求。数据处理者需先建立数据资源清单,再结合自身业务制定细则,按附录A、B、C逐项对照,形成“数据—类别—级别”三维映射表;当数据内容、规模、场景、敏感程度等任一要素变化时,须重新评估并变更级别,确保“数据生命周期内级别状态可追踪”。

(四)技术对接:等保+密码+脱敏

标准与现行安全体系无缝衔接:4级及以上数据要求系统满足等保三级及密码应用三级;涉及个人信息的数据处理须符合GB/T 35273、GB/T 37964,对4级数据强制采用去标识化或匿名化;跨机构共享时,按级别实施差异化审批、加密、审计、水印、防泄漏等技术策略,实现“级别越高、安全措施越强”。

四、实施要点

1. 组织保障:机构主要负责人为第一责任人,信息、业务、法务、纪检多部门协同,设立数据分类分级管理委员会,形成“一把手—分管领导—数据专员—科室联络员”四级责任链。

2. 工具赋能:鼓励使用自动化发现、智能标注、敏感数据识别、机器学习分级等工具,解决人工标注效率低、主观性强问题;上海已配套发布“卫生健康数据分类分级工具包”,提供6000余条标准词根、200余条正则模板、10余种分级算法,供机构免费使用。

3. 试点先行:市卫生健康委遴选中山、华山、瑞金、市疾控、静安区等12家单位开展先行评估,累计梳理数据项21万条,平均分级时长由人工3小时/条降至0.2小时/条,验证标准可行性。

4. 培训考核:标准纳入院长培训、信息人员继续教育学分,2025—2026年全市轮训覆盖率要求≥90%;对未按标准开展分级、导致数据泄露的,依据《数据安全法》最高可处500万元罚款,并追究直接负责的主管人员责任。

五、行业影响

1. 数据安全治理“上海方案”上升为地方标准,可为长三角、全国提供复制模板,推动卫生健康领域形成统一“数据普通话”。

2. 数据要素流通加快:分级结果直接作为公共数据开放、数据产品交易、跨境流动安全评估的依据,预计2026年上海市健康数据开放规模可提升3倍,商业保险、AI辅诊、创新药研发等场景将受益。

3. 产业生态升级:标准带动数据分类分级、脱敏、加密、审计、保险等上下游企业集聚,上海已规划“浦东数据安全产业园”,3年内引育50家专精特新企业,形成百亿级数据安全服务市场。

4. 患者权益保护升级:通过级别对应最小够用、敏感数据可撤销、可索赔等机制,降低过度收集、滥用、泄露风险,提升百姓对数字医疗的信任度与获得感。

综上,《上海市卫生健康数据分类分级要求》以“统一目录、科学分级、动态更新、技管结合”为核心,构建覆盖全生命周期、全业务链条的数据安全底座,既守住安全底线,又释放数据价值,将为上海打造“国际数字医学之都”提供关键支撑,也为全国卫生健康数据治理贡献“上海智慧”。

下载全文:上海市卫生健康数据分类分级要求.pdf

上一篇 卫生健康行业数据分类分级指南(试行)
下一篇 GB/T43697-2024数据安全技术-数据分类分级规则