8.2场景安全措施要点

表4数据使用安全责任与安全措施要点

主：在数据实际应用场景中，存在一个控制者对应 此时而参照多个数据流通使用场 旅安全措施

8.3开放安全措施要点

不同数据开放形式均宜： a）遵循“最少必要原则”； b） 数据开放的目的、内容、使用方等经过数据安全委员会审批，确保符合合法性、正当性和必要性 的要求； c）根据使用目的尽可能地去标识化； d）明确数据开发和使用目的、使用方需要承担的安全责任、安全措施等，并签署相应的协议； 涉及出境的宜依规进行安全评估，涉及重要数据的宜依规进行评估审批。 此外钢结构计算、软件，不同数据开放形式还需要满足的安全措施要点详见表5所示

表5不同数据开放形式安全措施要点

控制者为实现第5章所述安全目标，宜按照GB/ 22080一2016要求，参照第6章进行数据分类 场景分析，分析健康医疗数据安全面临的风险，有针对性地采取安全措施，并对实施措施后的效

GB/T 397252020

进行检查，持续改进。 控制者可参照附录C建立数据使用管理办法，参照附录D对数据申请进行审批，参照附录E与处 理者（使用者）签署数据处理（使用）协议参照附录F进行自查

宜建立完善的组织保障体系，组织架构中至少包括健康医疗数据安全委员会和健康医疗数据安全 乍办公室，以确保做好健康医疗数据安全管理工作，并形成相应的文档记录，包括但不限于： a）建立健康医疗数据安全委员会（简称委员会），对健康医疗数据安全工作全面负责，讨论决定健 康医疗数据安全重大事项，委员会宜： 1）包含组织高层管理人员和各业务口负责人等； 2） 涵盖信息安全、伦理、法律、统计、审计、保密等相关专业人员； 3） 由组织最高负责人担任主任委员； 4） 可依托现有的伦理委员会、院务会等，不必重新建立； 5） 协调配置健康医疗数据安全工作必要的人力、物力、资金等资源，例如基于权限分离的原 则，配备安全管理员、安全审计员、系统管理员等； 6） 负责审核健康医疗数据安全策略、风险评估方案、合规评估方案、风险处置方案和应急处 置方案； 7） 负责审核数据安全相关规章制度（例如数据使用审批流程）； 8） 负责审核去标识化策略和流程； 9） 定期召开工作会议，建议每月至少召开一次。 b） 建立健康医疗数据安全工作办公室，指定专人（例如数据安全官）负责健康医疗数据安全日常 工作： 1 负责落实执行健康医疗数据安全委员会的各项决定，并向委员会报告工作； 2） 负责制定、维护和更新健康医疗数据安全策略、风险评估方案、合规评估方案、风险处置方 案和应急处置方案； 3） 负责建立、维护和更新数据安全相关规章制度； 4） 负责制定、维护和更新数据使用审批流程，以及去标识化策略和流程； 5） 梳理业务流程及涉及的健康医疗信息系统和数据，并进行安全风险分析和合规分析，提出 健康医疗数据安全工作建议； 6） 形成并管理好元数据结构，形成符合业务流程的数据和系统供应链结构； 7 负责人员的数据安全教育与培训，确保相关人员具备相应数据安全能力； 至少每年对健康医疗数据安全工作进行全面自查，并做出整改建议； 审计健康医疗数据使用情况，并适时调整改进安全措施； 10） 监测预警健康医疗数据安全状态，并适时调整改进安全措施

规划阶段主要工作如下，各项工作宜形成相应文档记录。 a）界定健康医疗数据安全工作范围，确定工作目标，建立工作计划； b）建立健康医疗数据安全策略并通告全组织； c）建立健康医疗数据安全相关规章制度并通告全组织； d）建立健康医疗数据安全风险评估方案和合规评估方案

GB/T 397252020

e）梳理健康医疗数据相关业务及涉及的系统和数据； f) 识别健康医疗数据安全风险并评估影响； g） 识别健康医疗数据安全合规风险点并评估影响； 针对风险建立风险处置方案；涉及数据使用披露的，宜按照第7章“使用披露要求”处置；涉及 网络和系统安全的，宜按照GB/T22081一2016、GB/T22239一2019进行处置；涉及基础安全 和数据服务安全的，宜按照GB/T35274一2017进行处置；涉及云计算安全的，宜按照 GB/T31168进行处置； 1 评审并通过风险处置方案； i）建立数据安全应急处置方案

实施阶段主要工作如下，各项工作宜形成相应文档记录， 健康医疗数据使用和披露过程中，各个环节宜严格执行既定数据安全相关规章制度、安全策略 和流程； b） 实施风险处置方案，包括实施选定的安全措施； C）配备适当的资源，包括人力、物力、资金，支撑安全工作开展； l）开展必要的信息安全教育和培训； ）对开展的信息安全工作和投入信息安全工作的各项资源实施有效地管控； f）针对信息安全事件采取有效应对措施

检查阶段主要工作如下，各项工作宜形成相应文档记录。 监控健康医疗数据安全相关工作过程，例如安全措施实施过程； b 定期评审风险处置方案的实施有效性，包括评估相应措施在实施后剩余风险的可接受程度等： 定期检查健康医疗数据使用披露是否符合第7章“使用披露要求”； d 定期检查是否按照第10章进行了安全技术工作和去标识化工作； e) 检查过程纳人组织的内部管理： ） 根据情况实施自查，或是请第三方机构进行检查，

改进阶段主要工作如下，各项工作宜形成相应文档记录 a）针对监控或检查结果改进安全措施，包括采取预防性措施，或是调整可能影响健康医疗数据安 全的业务活动内容； b）建立整改计划,并按计划实施

应急处置主要工作如下，各项工作宜形成相应文档记录。 建立应急预案，包括启动应急预案的条件、应急处理流程、系统恢复流程、事件报告流程、事后 教育和培训等内容。宜对网络安全应急预案定期进行评估修订，每年至少组织1次应急演练。 b）宜指定专门数据安全应急支撑队伍、专家队伍，保障安全事件得到及时有效处置 c）宜制定灾难恢复计划，确保健康医疗信息系统能及时从网络安全事件中恢复，并建立安全事件 追溯机制。 d）在数据安全事件发生后，宜按应急预案进行处置；事件处置完成后及时按规定向安全保护工作

应急处置主要工作如下，各项工作宜形成相应文档记录。 建立应急预案，包括启动应急预案的条件、应急处理流程、系统恢复流程、事件报告流程、事后 教育和培训等内容。宜对网络安全应急预案定期进行评估修订，每年至少组织1次应急演练。 b）宜指定专门数据安全应急支撑队伍、专家队伍，保障安全事件得到及时有效处置 c）宜制定灾难恢复计划，确保健康医疗信息系统能及时从网络安全事件中恢复，并建立安全事件 追溯机制 d）在数据安全事件发生后，宜按应急预案进行处置；事件处置完成后及时按规定向安全保护工作

部书面报告事件 描述、原因和影响分析、处置方式等信息， 宜根据检测评估、监测预警中发现的安全问题及处置结果开展综合评估，必要时重新开展风险 识别，并更新安全策略

控制者宜按照GB/T22081—2016、GB/T22239—2019、GB/T31168和GB/T35274—2017等做 好数据安全管理工作。 宜对承载健康医疗数据的信息系统和网络设施以及云平台等进行必要的安全保护。 b）宜针对数据生命周期内的各项活动，包括数据采集、数据传输、数据存储、数据处理、数据交换 数据销毁等实施数据安全措施，以降低安全风险，保障数据安全。 C 宜围绕规划、开发、部署、运维等系统生命周期各阶段特点，对数据平台与应用采取必要的安全 措施，建立安全的数据管理基础设施，降低数据平台与应用运行安全风险，保障业务连续性。 d）宜对健康医疗数据进行分类分级管理，制定、实施合理的策略与流程，将使用和披露限制在最 低限度。 宜实施身份鉴别、访同控制、安全审计、入侵防范、恶意代码防范、介质使用管理等安全措施。 宜确保数据质量满足业务需求，实施备份恢复、剩余信息保护等安全措施。 g 宜采用密码技术保证数据在采集、传输和存储过程中的完整性、保密性、可追溯性；使用介质传 输的，宜对介质实施管控 h 存储个人生物识别信息时，宜采用技术措施处理后再进行存储，例如仅存储个人生物识别信息 的摘要。 i） 密码技术使用宜符合国家密码管理相关要求。 1 宜符合重要数据管理、关键信息基础设施安全管理等政策的相关通用要求

GB/T 397252020

c）宜删除医护人员姓名以及其他身份标识信息。 数据集中所有属性值相同的人数最低宜在5人以上。 e） 对需要追溯到患者的情况，宜由控制者内部建立患者代码索引。 去标识化过程中使用的各种参数配置，例如时间漂移范围、患者代码索引、各种个人代码生月 规则等宜严格保密，仅限于控制者内部专人管理， g） 在需要进行重标识确定主体时，宜由控制者内部专人处理，处理过程严格保密。 h）宜禁止使用者参与去标识化相关工作。 i） 宜签署数据使用协议，约束数据的使用目的、期限以及数据保护措施等， 在受控公开共享模式下，使用者宜记录数据使用情况，并接受控制者审计。 相关示例如表6所示。卫生信息数据元的标识符类别及建议的去标识化方法可参考附录G

11.1医生调阅数据安全

[11. 1.1 概述

[11.1.2 重点安全措施

[11.1.2.1数据分级

医生调阅场景下，数据可分为默认级、告知级、授权级，分别对应6.2中的第2级、第3级、第4级。 默认级资料，例如检验检查名称、就诊医院、就诊科室等。告知级资料，例如检验检查报告、手术记录、出 院小结等小结报告类资料。授权级资料，例如住院详细病历等。此外，涉及特殊病种、特殊身份的资料 均需授权或告知。

11.1.2.2角色定义

医生按职能范围可分为诊疗医生、本科室非诊疗组医生、其他科室医生等，按职称可分为住院医师、 主治医师、主任医师等，不同角色的调阅权限不同，角色定义明晰，方可进行下一步的权限分配。 原则上，宜按所在科室、职称、诊疗组来定义角色类型， a）科室即不同诊疗科室，接照医院科室划分，例如消化科、心脏外科。 b）职称表征医生的专业性及上下级关系，例如住院医师、主治医师、主任医师。 C 诊疗组即科室内部的诊疗组划分，视医院科室的具体划分而定，不同诊疗组之间的患者管 辖相对独立，例如普外科内部分为胃肠诊疗组、肝胆胰诊疗组等，若科室内部未划分则无需 定义。 在医院互联互通场景下，医院需向汇聚中心上传科室组织架构情况（上下级关系及诊疗组），形成权 限组。权限组的调整可下放到科室主任，上级医生可动态调配下级医生的诊疗组归属（考虑到诊疗组可 能变动频繁，不增加医生工作负担），医院医务科负责日常审计。当人事状态或诊疗状态发生变更时，角 色宜随之更新

11.1.2.3数据标注

将数据按分级、颗粒度标注： a）标注数据的分级，即定义标识符、特殊病种、特殊就诊身份，以供后期与相应角色的 匹配。

GB/T39725—2020

11.1.2.4权限分配

将医生的科室、职称、诊疗组与数据分级、颗粒度匹配 a）对于普通病种的资料，权限范围内医生均可调阅。 b）对于特殊病种的资料，不同职称医生的权限不同。 C 对于传染性疾病，考虑保护医务人员的原则，默认向接诊医护人员披露。 d）每个医生仅可调阅自身管辖范围内患者的数据，上级医师可查看下级医师管辖范围内的患者 数据。 权限分配示例如表7所示，同一医生满足多种角色时，其权限取并集

11.1.2.5身份鉴别

等)识别认证等多因素结合的认证方式。需限制访问时间、地点，非院内IP调阅、非工作时间调阅为异 常调阅。调阅后无动作一定时间（例如10min）后账号自动退出，屏幕自动锁屏

11.1.2.6数据调阅

11.2患者查询数据安全

11.2.2重点安全措施

[11.2.2.1身份识别

在线方式查询其本人健康医疗数据的场景。患者

惠者通过在线系统查询其健康医疗数据，首次注册需关联实名制手机后通过实名制手机和手机验 正码登录。考虑子女代替年老交母等查询信息需要，账号可绑定子女手机（上传身份证或户口本扫描件 即可或由系统后台认证），监护人代替未成年人查询信息等情况，仿照处理。 完成注册后，个人需设置账号与密码，系统宜对密码复杂度有一定要求，包括定期更改密码等

11.2.2.2信息查询

11.2.2.3操作权限

系统宜对个人的操作权限进行合理设置： 权限包括另存、复制、打印、下载等。个人进行相应 页面宜显示用户须知，例如告知患者下载后数据的信息安全义务在于其本人等，提示个人注重信 护，同时重点语句突出显示（例如标红）

[1.2.2.4传输安全

宜采用校验技术或密码技术保证个人健康医疗数据在传输过程中的保密性、完整性，加密方法 宜考虑应用场景、传输方式、数据规模、效率要求等。设备宜默认开启数据加密功能。

11.3临床研究数据安全

[11.3. 1 概述

临床研究一般是在学术性的医学中心、研究机构或者医疗科研机构进行，其过程主要包括临床试验 的方案设计、组织实施、监查、核查、检查，以及数据的采集、记录、维护、统计、分析总结和报告等 临床研究主要包括以下类型： a）按临床数据获取方法区分：回顾性临床研究和前瞻性临床研究； b）按研究目的区分：临床基础研究、临床应用研究和临床路径研究： c）按产品获准上市与否区分：产品上市前研究和产品上市后研究。 以产品上市获批为目的的临床试验的数据安全，请按照相关主管部门规定执行，不属于本标准 芭畴。 基于真实世界数据的临床研究是根据在日常医疗实践中收集的病人医疗数据及产品使用效果进行 临床研究。 人工智能（包括深度学习）技术可以应用于医疗健康领域，提供辅助决策、健康咨询、辅助提高健康 医疗服务及健康保险理赔效率、质量及专业水平，在产品研发和验证阶段，如果需要涉及患者及相应群 本的数捉本质上也屋王临床研的范睦

GB/T 397252020

11.3.2涉及的相关方

临床研究主要涉及的相关方及其扮演的角色如下： 临床研究主要涉及的相关方有： 1）申办者：负责临床研究的发起、管理和提供临床研究财务支持的个人、组织或者机构，例 如：医疗机构、学术研究机构或健康医疗相关企业。 2）临床研究机构：具有资质的临床试验医疗机构，例如：医疗机构， 3） 研究者：在临床研究机构中负责实施临床试验的人。如果临床研究机构是由一组人员实 施试验的，则该组的负责人是研究者，也称主要研究者，主要研究者在多中心临床研究中 负责协调参加各中心研究者工作。 4）受试者：参加临床研究，并作为研究用药品或临床研究的接受者，例如：患者、健康受试者。 5）伦理委员会：由生物医学领域和伦理学、法学、社会学等领域的专家和非本机构的社会人 士中遵选产生：人数不宜少于7人，并且宜有不同性别的委员：宜建立伦理审查工作制度 或操作规程，保证伦理审查过程的独立、客观、公正。伦理委员会职责是保护受试者合法 权益，维护受试者尊严，促进生物医学研究规范开展。伦理委员会宜采取相关利益冲突防 范机制，保证伦理审查工作的独立性。 6）监查员：由申办者任命并对申办者负责的具备相关知识的人员，其任务是监查和报告试验 的进行情况和核实数据。 7）核查员：受申办者委托对临床试验项目进行核查的人员 在不同类型的临床研究中，相关方扮演的角色不同： 1） 对回顾性临床研究而言，申办者根据需要，从临床研究机构获得既往数据从事医药/医疗 产品和诊疗方案研究。在这个过程中，临床研究机构、申办者共同承担控制者的角色，受 试者是主体。 2）在前瞻性临床研究过程中，申办者和临床研究机构合作，根据具体研究目的，确认需要采 集的数据类型，对采集的受试者医疗数据进行研究。在这个过程中申办者和医疗机构共 同承担控制者的角色，受试者是主体。 3） 在临床路径研究中，学术研究机构或健康医疗相关企业和医疗机构及相关医护人员合 作，收集了解医疗机构的临床路径及医护人员对临床路径的认识。在这个过程中，学术 研究机构或健康医疗相关企业扮演控制者的角色，相关医护人员是主体。如果在该研究 中，医疗机构是发起者，医疗机构也承担控制者的角色。 4）在产品上市后研究中，申办者与临床研究机构合作，根据研究目的确认需要采集的数据 类型，收集相关数据研究产品的质量和治疗/诊断效果。在这个过程中，申办者和医疗机 构共同承担控制者的角色，受试者是主体。 5）在基于真实世界数据的临床研究中，申办者和临床研究机构合作，根据具体研究目的，从 临床研究机构获得医疗实践中产生的受试者医疗数据进行研究。在这个过程中申办者 和医疗机构共同承担控制者的角色，受试者是主体

11.3.3涉及的数据

临床研究涉及的数据可能包括但不限于人口统计信息、健康状况数据、医疗应用数据、医疗支付 相关主管部门对基因数据的安全有专门规定，所以本标准不涉及基因数据安全。

11.3.4重点安全措施

11.3.4.2伦理审查和知情同意

在正式研究开始之前，申办者宜准备研究计划，叙述研究目的合法性依据，包括：研究内容、目的、涉 支的数据类型、数据数量和预期结果，将研究计划报相关医疗机构的伦理委员会审批。涉及人类遗传资 源收集的，同时宜向有关部门申报批准。 临床研究原则上都需要受试者知情同意。对于研究型医疗机构在患者就诊时可以采用广泛知情同 意（BroadConsent)方式，使患者授权其个人健康医疗数据在去标识化前提下用于未来的临床研究中。 对于临床路径研究，由于不涉及个人健康医疗数据，所以不需要获得主体知情同意，也不需要得到 伦理委员会批准。 例外和豁免情况如下： a 临床研究征得知情同意的例外： 1）对于产品上市后研究，以验证产品安全性和有效性为目的，在数据去标识化的前提下，相 关申办者不需要获得受试者知情同意； 2） 申办者出于公共利益开展统计或学术研究所必要，且其对外提供学术研究或描述的结果 时，对结果中所包含的个人信息进行去标识化处理的，不需要获得受试者知情同意。 b）以下情况可以向伦理委员会申请知情同意豁免 1） 受试者可能遭受的风险不超过最低限度； 2） 豁免征得受试者的知情同意并不会对受试者的权益产生负面影响； 对于回顾性研究，已无法追溯到患者，或获取受试者知情同意代价太高，在数据去标识化 的前提下，可以申请知情同意豁免； 4）对于回顾性研究，主体已签署知情同意书.范围包含现有范围.在数据去标识化的前提下

可以申请知情同意豁免

11.3.4.3数据分级

临床研究场景下，可分为公用数据集（PUF）、受限制数据集（LDS）、可标识数据集（RIF），分别对应 6.2中的第1级、第3级、第4级。PUF主要是汇总概要级的数据；LDS涉及患者级别的受保护数据，但 身份标识数据被加密或泛化；RIF则包含患者的身份标识数据。隐私级别越高，对数据应用范围、用途 要求越严格

11.3.4.4数据采集

临床研究数据采集实施的原则： a）研究者或其指定的代表在数据收集之前要先确定元数据的格式和内容，并对元数据有必要的 描述信息；研究者或其指定的代表需要将所收集的数据内容、用途、共享计划或数据不共享说 明提交给监查员；监查员需要确定所收集的健康医疗数据的责任人，并对其进行收编归档，如 碰到人员调动等情况，需要及时变更数据的责任人。 D 研究者或其指定的代表需与受试者签署相关协议并说明有关临床试验的详细情况：使受试者 了解，参加试验及在试验中的个人数据均属保密；伦理委员会、药品监督管理部门或申办者在 工作需要时，按规定可以查阅参加试验的受试者资料等。 c）数据可以通过多种方式进行接收，例如传真、邮寄、可追踪有保密措施的快递、监查员亲手传 递、网络录人或其他电子方式。数据接收过程宜有相应记录，以确认数据来源和数据是否已被 接收。提交到健康医疗信息系统时宜保护受试者标识信息的安全性。数据录入流程宜明确该 试验的数据录入要求。一般使用的数据录人方式包括：双人双份录入、带手工复查的单人录入 或直接采用电子数据采集（EDC)方式。采用EDC方式采集宜保证EDC软件设计符合研究要 求的安全规范，包含但不限于个人信息去标识化、数据加密等功能。 d）临床试验受试者的个人隐私宜得到充分的保护，对基本人口学资料进行去标识化处理。个人 隐私的保护措施在设计数据库时就宜在技术层面考虑，在不影响数据的完整性和不违反临床 实验质量管理规范（GCP）的条件下尽可能不收集个人标识信息，例如数据库不宜包括受试者 的全名，而宜以特定代码指代

11.3.4.5数据传输

主要涉及临床研究机构和申办者之间的数据传输，宜采取以下安全措施保护数据： a）确定临床研究数据的传输方法，包括但不限于：专线、互联网线路、VPN等链路上，采用TLSJ IPSEC等安全传输方式；若采用离线传输方式，例如：光盘、优盘等可移动存储介质，数据宜加 密，加密数据和密钥分开存储，宜有数据导人导出和介质交接记录。 b）确保数据传输的保密性、完整性，宜采用密码技术保证通信过程中敏感信息或整个数据集不被 窃取、不被纂改 确保数据的完整性、有效性和正确性。在进行数据核查之前，宜列出详细的数据核查计划，数 据核查包括但不限于以下内容：确定原始数据被正确、完整地导入到数据库中，检查缺失数据： 查找并删除重复导入的数据，核对某些特定值的唯一性（例如受试者ID）。 d）端口安全，不宜便用未通过审批的对外端口，不宜改变已经审批通过的对外服务端口的服务 数据存储类服务严禁对外开放端口。 e）实施访问控制，按照临床研究电子系统的用户身份及其归属的用户组的身份来允许、限制或禁

主要涉及临床研究机构和申办者之间的数据传输，宜采取以下安全措施保护数据： a）确定临床研究数据的传输方法，包括但不限于：专线、互联网线路、VPN等链路上，采用TLS IPSEC等安全传输方式；若采用离线传输方式，例如：光盘、优盘等可移动存储介质，数据宜加 密，加密数据和密钥分开存储，宜有数据导人导出和介质交接记录。 b）确保数据传输的保密性、完整性，宜采用密码技术保证通信过程中敏感信息或整个数据集不被 窃取、不被篡改。 C 确保数据的完整性、有效性和正确性。在进行数据核查之前，宜列出详细的数据核查计划，数 据核查包括但不限于以下内容：确定原始数据被正确、完整地导入到数据库中，检查缺失数据： 查找并删除重复导入的数据，核对某些特定值的唯一性（例如受试者ID）。 d 端口安全，不宜使用未通过审批的对外端口，不宜改变已经审批通过的对外服务端口的服务， 数据存储类服务严禁对外开放端口。 e） 实施访问控制，按照临床研究电子系统的用户身份及其归属的用户组的身份来允许、限制或禁

止其对系统的登录或使用，或对系统中某项信息资源项的访问、输人、修改、浏览

11.3.4.6数据存储

据。数据存储阶段可采取的安全措施如下： a）建议临床研究申办者在数据存储阶段采取以下安全措施保护数据安全： 1）如果患者知情同意书和患者代码索引以纸质形式记录，宜在物理保存上加锁，由专人负 责；如果患者知情同意书和患者代码索引以数字形式记录，数据宜加密并建立访问控制机 制，加密数据和密钥宜分别存储； 2） 其他数据宜建立访问控制机制，推荐使用加密机制，加密数据和密钥宜分开存储： 宜对数据进行完整性验证，保证数据的完整性及不被篡改； 4） 在研究结束后，宜对数据每5年做一次安全和使用审查，如果没有必要继续保存，需对 数据进行匿名化或删除，如果匿名化后的数据属于重要数据范畴，按国家相关规定 处理； 5）石 确保数据服务的可用性。制定数据备份及恢复策略，定期进行数据备份，建立介质存取 验证和转储管理制度。 b）建议医疗机构在数据存储阶段采取以下安全措施保护数据安全： 1）通过密码技术等方式实施完整性控制，确保健康医疗数据是准确的、完整的，并为其提供 针对非法修改的保护机制； 2）临床试验所有过程宜产生准确和完整的记录，且清晰可读，便于回顾，生成过程的数据（含 元数据）与结果数据需归档保存，在回顾数据时，能够从最后的结果追溯到原始数据； 3） 中间过程的数据宜以合适的方式例如版本升级等形式加以保存，不宜覆盖原有过程记录； 4）宜制定数据备份及恢复策略，定期进行数据备份，建立介质存取、验证和转储管理制度，并 按介质特性对备份数据进行每年不少于1次的定期恢复的有效性验证； 5） 对于公有云上的临床研究信息共享系统，宜采取必要的验证和加密处理，要对临床研究信 息共享系统进行访问授权控制，确保数据访问的安全性。宜对传输到临床研究信息共享 系统的数据进行加密存储，同时宜确保临床研究信息共享系统数据的灾备。对于院内私 有云存储的数据，要通过网闸、网络隔离等方式，保证院内网络环境与公网环境的隔离，并 限制移动存储设备（例如光盘、U盘）的使用

[11.3.4.7数据使用

临床研究数据使用时，宜采取以下措施： a）7 利用数据库管理数据，宜确保数据管理过程可追溯。数据库锁定是为防止对数据库文档进行 无意或未授权的更改，而取消数据库编辑权限。数据库锁定过程和时间宜有明确的文档记录， 对于盲法临床试验，数据库锁定后才可以揭盲。如果对数据库锁定和开锁过程进行记录和控 制，数据库开锁的流程宜至少包括：通知项目团队；给出要进行的更改内容、更改原因以及更改 日期；并由主要研究者、数据管理人员和统计分析师等人员共同签署。 b）第一次的数据录入以及每一次的更改、删除或增加，其稽查轨迹都宜保留在临床研究数据库系 统中。稽查轨迹宜包括更改的日期、时间、更改人、更改原因、更改前数据值、更改后数据值。 此稽查轨迹宜被系统保护，不宜任何人为的修改和编辑。稽查轨迹记录宜存档并可查询。

11.3.4.8数据发布和共享

研究者或相应研究机构在对数据进行发布和共享的时候，宜： a）对健康医疗数据形成共享说明，包括：数据限制性访问说明、隐私及保密协议说明、科研数据用 途说明等。 b）搭建科研数据共享平台，对不同级别的数据进行评估，确定不同的共享规范和访问控制 权限。 C 对共享和发布的健康医疗数据建立可溯源体系，做到可以分析审计跟踪溯源数据， d 对数据的利用、存储、传输、访问控制等要遵守共享说明或相关合同的规定。 e 政府预算资金资助形成的科研数据按照开放为常态、不开放为例外的原则，由主管部门组织编 制科学数据资源目录，有关目录和数据宜及时接人国家数据共享交换平台，面向社会和相关部 门开放共享。国家法律法规有特殊规定的除外。 对于公益性科学研究需要使用的科研数据，研究者宜无偿提供。确需收费的，宜接照规定程序 和非营利原则制定合理的收费标准，向社会公布并接受监督。对于因经营性活动需要使用科 研数据的，当事人双方宜签订有偿服务合同，明确双方的权利和义务。 g 科研数据的使用者宜遵守知识产权相关规定，在论文发表、专利申请、专著出版等工作中注明 使用和参考引用的科研数据

11.3.4.9审计管理

临床研究数据使用宜采取如下审计措施： a）审计内容宜包括人员审计、管理审计、技术审计（系统、网络、操作、日志审计等）； b）任何操作，包括登录、创建、修改和删除记录的行为，都宜自动生成带有时间标记的审计记录， 包括但不限于修改时间、修改原因、修改内容、修改人及签名等信息，并可供审计； c）宜制定和部署健康医疗信息系统活动审计政策，重点对健康医疗数据的访问及操作的合规性 进行审计，确定必要的审计控制范围和需要审计的数据； d 宜制定适当的标准操作流程，确定异常报告所需的审计跟踪数据和监视程序的类型； e 审计记录宜安全存储并实施访问控制，只允许授权人员能够查看相关记录，保存的内容需反映 临床医学研究整个过程

临床研究数据使用宜采取如下审计措施： a）审计内容宜包括人员审计、管理审计、技术审计（系统、网络、操作、日志审计等）； b）任何操作，包括登录、创建、修改和删除记录的行为，都宜自动生成带有时间标记的审计记录， 包括但不限于修改时间、修改原因、修改内容、修改人及签名等信息，并可供审计； c）宜制定和部署健康医疗信息系统活动审计政策，重点对健康医疗数据的访问及操作的合规性 进行审计，确定必要的审计控制范围和需要审计的数据； 宜制定适当的标准操作流程，确定异常报告所需的审计跟踪数据和监视程序的类型： 审计记录宜安全存储并实施访问控制，只允许授权人员能够查看相关记录，保存的内容需反映 临床医学研究整个过程，

11.4二次利用数据安全

适用于第三方（政府部门 使用目的与数据被收集时的使用目的不同），涉及数据量大，包含可识别身份的信息，但无法联系主体 或联系主体成本过高的情况。用于提供医疗、医疗费用支付等为患者本人服务或其他法律法规规定的 数据使用和临床研究数据使用不在此范围。 涉及的相关方包括数据汇聚中心和第三方，其中数据汇聚中心（医疗机构、区域卫生信息平台、医联 体、学术平台等）为控制者，第三方为使用者

1.4.2重点安全措施

[11.4.2.1数据准备

控制者宜明确数据资源目录，并提供数据描述，展示可供二次利用的数据资源及申请信息，包括数 据信息（变量、样本量、年份）、申请条件与范围、数据清洗处理成本、数据使用要求与责任，并提供少量样 本数据或修饰后数据下载。对于生物组学数据，根据组学类型的不同，制作不同的数据包。 控制者宜进行数据分类分级，并标签化，同时可以接隐私级别分为三大类，包括无标识数据集、受限 制数据集以及可标识数据集，分别对应6.2的第2级、第3级、第4级。无标识数据集主要是汇总概要 级的信息，例如年度某疾病的统计数等群体数据；受限制数据集涉及患者级别的受保护信息，但身份标 只符被删除、加密或泛化；可标识数据集则包含惠者的身份识别信息，例如部分研究需要便用患者的地 、户籍类型、基因组学数据提供的基因型信息等。对于隐私级别越高以及可能会给主体造成的影响和 员害越天或者是可能会影响国家安全或公共安全的数据集，相应的申请者资质要求、申请流程、审批程 序也宜更严格

11.4.2.2数据申请

控制者宜对数据申请者的身份进行限制。例如科研目的的使用，限定申请者为研究人员（有一定级 别的课题支撑）、在其研究领域有丰富经验和专业知识（有相应职称及高水平论著支撑）、社会信用达到 级等。 对申请渠道进行限制。建议以单位的名义申请，单位宜提前做好审核工作，申请者需提供单位审核 意见，需单位负责人签字盖章等。 控制者宜规范数据使用的目的，仅可用于非营利性目的，包括科学研究、数据创新大赛、人工智能大 赛等。如对于科学研究目的，申请者宜有一定级别的课题立项，且课题符合伦理，申请提取的数据内容 宜与研究主题紧密相关，满足最少必要原则。控制者有必要对申请人的历史申请记录进行核查，防止数 据分批分期泄露

11.4.2.3数据审批

控制者宜成立数据安全委员会（或第三方独立审批），审批人员宜专业，构成合理。建议建立审批专 家库，专家按专业随机抽取。制定数据安全委员会章程、数据审批流程，每次审批数据有审核记录，并对 敏感数据的审批情况进行审计，定期开会总结审批合理性。 宜制定科学、定性或定量的数据申请审批判别指标。例如可依据表8示例进行考量，制定数据审批 评分表。 Z1C

GB/T39725—2020

表8数据审批判别指标示例

11.4.2.4去标识化

结合数据申请者需求，宜对数据进行相应的去标识化工作，完成后进行重标识检测。需要注意审查 实际开展去标识化等具体工作团队的资质。制定保护患者隐私的去标识化规则，例如定义姓名等标识 符。需满足最小计数原则，例如去标识化后满足相同描述的人数不少于5，如果某医院本年度诊断为宫 颈癌的患者仅4名，计数小于5，则“宫颈癌”需泛化

11.4.2.5数据传输

传输前，控制者与申请者需签署数据使用协议，约定双方权责、申请者对数据的保护措施或策略、数 居泄露的应急方案、数据使用期限等， 不同级别数据的传递方式不同，无标识数据集可采取加密邮件、加密USB或其他可移动设备（仅特 定电脑可使用）等方式。受限制数据集和可标识数据集由于涉及患者部分个人标识信息，可采取数据本 地操作、虚拟桌面远程访问（在该系统进行分析，仅审批下载统计分析结果）、数据沙箱等方式。

11.4.2.6数据销毁

申请者在数据使用结束后书面通知控制者，在约定的使用期限后30天内销毁，并提供销毁的书 ，数据使用衍生结果公开发表需注明数据来源于控制者。控制者对数据销毁情况作核查

11.5健康传感数据安全

健康传感数据是指通过健康传感器采集的，在软件支持下感知、记录、分析，与被采集者健康状况相 关的，应用于医疗服务和健康生活的一切数据。例如：监测诊疗数据（血氧饱和度、血压、血糖、心率、睡 眠）；行为情绪数据（跑步距离、行走轨迹、步数、消耗能量、锻炼时长）；环境数据（紫外线指数、污染指数、 温度、湿度、噪声）。 涉及的相关方包括个人、医疗机构、医保机构、商业保险公司、健康服务企业、信息系统服务商等。 a）主体：佩戴健康传感设备的人员。 b）控制者：使用健康传感设备采集健康医疗数据的机构包括但不限于医疗机构、医保机构、健康 服务企业。

评定标准11.5.2重点安全措施

11.5.2.1隐私保护

在隐私保护方面： a）使用和披露健康传感数据宜征得主体同意； b）健康传感数据集成之后宜向主体说明应用目的和共享对象

11.5.2.2采集安全

在数据采集方面： a 健康传感设备宜支持用户认证，确保合法的控制和使用健康传感设备，用户认证手段包括但不 限于虹膜识别、指纹识别、密码技术。 b）采集控制措施，用户可开启或关闭数据采集，可选择上传的内容。 c）如果健康传感设备通过网络向终端应用传输采集的健康数据，宜支持节点认证机制

施工管理标准规范范本11.5.2.3传输安全

宜采用校验技术或密码技术 的保密性、完整性，加密方法的选 降宜考虑应用场景、传输方式、数据 开启数据加密功能

11.5.2.4存储安全