2020年年底，信安標委第28號國家標準公告，正式發布了《信息安全技術健康醫療數據安全指南》（GB/T 39725-2020，以下簡稱“安全指南”），自2021年7月1日期實施。

該指南的目的主要是根據健康醫療數據進行分級管理，對不同級別的數據實施不同的安全措施，從而實現相應的數據安全防護。

天融信作為參編單位，依據指南內容，從適用范圍、功能描述、體系建設、場景描述進行解讀，具體如下：

01 指南適用范圍

指南并不局限于某個行業，更多的是針對健康醫療控制者的指南。其中不僅包含具備健康醫療數據的醫院、衛健委等部門，也可為適用健康醫療數據的第三方提供相應的指導意見，如互聯網+醫療、醫療業務提供商等。

02 明確定義健康醫療數據的分類分級

指南中定義了健康醫療數據的分類，包含個人屬性數據、健康狀態數據、醫療應用數據、醫療支付數據、衛生資源數據、公共衛生數據。在原有個人信息規范中的基礎上，增加了一些與醫療相關的屬性數據。具體分類如下：

在分類的基礎上，還根據數據重要程度、風險級別和對個人健康醫療數據主體可能造成的損害及影響分為5個級別，每一級采用的判別標準如下：

03 清晰界定角色分類及流通場景

本次指南中，根據數據的特征及使用方式界定了相關角色，包括數據主體、數據控制者、數據處理者、數據使用者幾種角色。同時，還闡述了每種角色的釋義以及責任，這點對于推動數據安全建設具備一定的基礎意義。對于幾種角色如何進行流通，指南中也給出了6類場景，主要分為：主體-控制者、控制者-主體、控制者內部、控制者-處理者、控制者間、控制者-使用者。場景描述是以控制者角色為核心進行流通，指南中基本上涵蓋了大部分醫療健康數據使用的場景，給予了相關從業者參考建議。

04 依據分類及場景提供建議安全措施要點

依據于上文給出的分類及場景，提供相應的數據安全措施，包括通過管理手段約束，或者通過技術手段如標識化、訪問控制、遮蔽、身份鑒別、加密、脫敏、審計等，對醫療健康數據進行安全保護。并提出數據共享開放原則需遵循“最小必要原則”，區別于原有數據使用的粗獷模式。考慮醫療健康數據開放的特殊性，本次指南還針對網站公開、文件共享、API共享、在線查詢、數據分析平臺等數據共享形式也提供了相應安全措施指引，更貼近實際用戶在使用醫療健康數據的使用場景。

05 提出建設完善的數據安全管理體系

在這次的指南中，也明確指出，宜建立完善的組織保障體系確保健康醫療數據安全的管理工作，并對整個體系的過程進行了描述，從規劃、實施、檢查、改進等多個過程形成可循環、可優化、可執行的體系過程。又針對相應的應急處置提出了建議的方向。

06 涵蓋最全的典型場景描述

區別于以往的指南，本次指南針對醫療健康數據，細化了典型場景的描述，包括醫生調閱、患者查詢、臨床研究、二次利用、健康傳感、移動應用等典型場景，針對每個典型場景都從業務數據使用的流程進行了完整的描述，以數據生命周期的視角對當前應用應加強的安全措施提供了相應的意見及建議，給與后續建設者一個參考依據。

該指南的發布，對于醫療健康數據的安全建設具備非常重要的意義，一直以來，醫療健康數據的數據安全建設成為眾多單位關注的重點，但是如何做、怎么做成為當前的難題，本次指南從數據分級分類、流通安全管控、數據安全體系建設、典型應用描述等，讓相關單位有參考依據，加快醫療健康數據的數據安全建設。

近些年來，數據安全越來越重要，天融信作為安全行業的龍頭企業，也努力為國內數據安全領域貢獻力量。目前，天融信已參加國家數據安全方面標準10余項，行業數據安全方面標準50余項。天融信全程參與本次指南編撰過程，將多年積累的數據安全經驗融入到指南中，提升醫療健康數據的安全性，為醫療健康數據的相關從業單位提供建設依據，助力醫療衛生行業數據安全。