（二）场景安全措施要点

结合健康医疗数据实际场景 ， 《安全指南》将相关组织或个人划分为四类角色 ， 具体包括：1）个人健康医疗数据主体（简称“主体”） ， 即个人健康医疗数据所标识的自然人；2）健康医疗数据控制者（简称“控制者”） ， 即能够决定健康医疗数据处理目的、方式及范围等的组织或个人；3）健康医疗数据处理者（简称“处理者”） ， 即代表控制者采集、传输、存储、使用、处理或披露其掌握的健康医疗数据 ， 或为控制者提供涉及健康医疗数据的使用、处理或者披露服务的相关组织或个人；4）健康医疗数据使用者（简称“使用者”） ， 即对健康医疗数据进行利用的相关组织或个人 。对于任何组织或个人而言 ， 首先需要围绕特定数据 ， 结合所处的特定场景或特定的数据使用处理行为来判断自身角色定位 ， 且只能定位为其中一个角色 。

《安全指南》基于不同角色之间的数据流动 ， 划分了6类数据流通使用场景 ， 并针对不同场景以及各角色在健康医疗数据使用过程中所涉及的不同安全环节与责任 ， 明确相应安全措施要点（如下图表所示） 。需要明确的是 ， 在控制者与控制者之间的数据流通使用场景 ， 双方均需要满足数据传输、存储、使用相关要求 。另外 ， 《安全指南》区分了采集与收集的内涵 ， 将控制者从外部获取数据的过程界定为“采集” ， 将控制者内部数据使用过程中的数据获取界定为“收集” 。值得注意区别的一点是 ， 《民法典》《网络安全法》仅仅规定了“收集”这一概念 ， 并未使用“采集”的概念 。

文章图片

（三）开放安全措施要点

开放安全措施要点针对健康医疗数据开放形式 ， 明确所有开放形式均宜：1）遵循“最少必要原则”；2）确保符合合法性、正当性和必要性要求；3）根据使用目的尽可能去标识化；4）明确数据开发和使用目的、使用方需承担的安全责任、安全措施等 ， 涉及出境的宜依规进行安全评估 ， 涉及重要数据的宜依规进行评估审批 。此外 ， 针对前述五类不同的数据开放形式 ， 还需要满足对应的安全措施要点 。

五、安全目标实现的方式

（一）安全管理要求

为实现安全目标 ， 健康医疗机构进行数据分类分级 ， 采取有针对性的安全措施后 ， 需对实施措施后的效果进行检查 ， 并持续改进 。在安全管理方面 ， 《安全指南》明确了组织、过程和应急处置相关的管理要求 。

在组织上 ， 宜建立完善的组织保障体系 ， 组织架构中至少包括健康医疗数据安全委员会和健康医疗数据安全工作办公室 ， 其中委员会应是健康医疗数据安全的最高领导机构 ， 全面负责相关工作并讨论决定重大事项 ， 办公室则负责健康医疗数据安全日常执行工作 。在过程上 ， 《安全指南》划分规划、实施、检查、改进阶段 ， 并明确各阶段的主要工作 ， 将健康医疗数据安全工作覆盖事前、事中、事后全过程 ， 实现全流程的数据安全管理 。在应急处置上 ， 包含建立应急预案 ， 制定专门应急支撑队伍、专家队伍 ， 制定灾难恢复计划 ， 数据安全事件报告 ， 以及综合评估等工作 ， 保证在遇到数据安全事件时能够及时有序地应对 。

• 幽默段子：悲剧
• 元宵节|元宵节可以去医院看病吗
• 孩子|孩子出生医院会打乙肝疫苗吗
• 医院实习工作总结如何写？
• 医院运动会广播稿怎么写？
• 总务科工作计划怎么写？
• 红十字医院控烟工作计划怎么写？
• 医院实习介绍信如何写？
• 医院离职证明如何写？
• 医院护士个人述职报告如何写？