ICS35.240.99醫療健康個人信息保護規范MedicalandHealthPersonalInformationProtectionStandards廣東省計算機信息網絡安全協會發布IT/GDNS007-2023前言 2規范性引用文件 3術語和定義 24縮略語 55醫療健康個人信息保護原則 56醫療健康個人信息保護安全目標 67醫療健康個人信息保護基本安全要求 67.1醫療健康個人信息保護崗位責任制 77.2醫療健康個人信息保護管理要求 87.3人員管理 107.4醫療健康個人信息收集 137.5醫療健康個人信息傳輸 147.6醫療健康個人信息存儲 147.7醫療健康個人信息處理 157.8醫療健康個人信息主體權利 18 參考文獻 IT/GDNS007-2023前言本標準按照GB/T1.1—2020《標準化工作導則第1部分：標準化文件的結構和起草規則》要求編本標準由廣東省計算機信息網絡安全協會提出并歸口。本標準起草單位：廣東省計算機信息網絡安全協會、廣東省人民醫院、江門市中心醫院、中山大學附屬第一醫院、南方醫科大學南方醫院、南方醫科大學第三附屬醫院、南方醫科大學珠江醫院、南方醫科大學順德醫院、中山大學附屬第三醫院、中山大學附屬第三醫院肇慶醫院、暨南大學、網絡安全檢測與防護技術國家地方聯合工程研究中心、中山大學附屬第五醫院、中山大學附屬第六醫院、中山大學附屬第八醫院、中山大學附屬口腔醫院、中山大學孫逸仙紀念醫院、中山大學附屬腫瘤醫院、廣州醫科大學附屬第一醫院、廣州醫科大學附屬第二醫院、廣州醫科大學附屬第三醫院、廣州醫科大學附屬口腔醫院、廣州醫科大學附屬第五醫院、南部戰區總院、廣東藥科大學附屬第一醫院、廣州市番禺區中心醫院、廣州市番禺區何賢紀念醫院、東莞市第六人民醫院、佛山市婦幼保健院、肇慶市第一人民醫院、清遠市人民醫院、中山市人民醫院、香港大學深圳醫院、粵北人民醫院、梅州市人民醫院、汕頭市中心醫院、東莞市濱海灣中心醫院、連州市醫療總院、陸豐市人民醫院、江門市新會區中醫院、香港中文大學（深圳）醫學院、粵北第二人民醫院、順德區第三人民醫院、清遠市中醫院、茂名市人民醫院、韶關市婦幼保健院、廣州番禺職業技術學院、廣州科技貿易職業學院、廣州星鼎網絡科技有限公司、杭州安恒信息技術股份有限公司、深圳市龍華區衛生健康局信息中心、東莞市衛生統計信息中心、深圳市龍崗區政務服務數據管理局、廣州競遠安全技術股份有限公司、深圳觀安信息技術有限公司、深圳市網安計算機安全檢測技術有限公司、廣東北源律師事務所、廣東珠江智聯信息科技股份有限公司、廣東創醫元信息技術有限公司、珠海慧港信息技術有限公司、北京鼎世律師事務所、北京數字認證股份有限公司、中移互聯網有限公司、江蘇金盾檢測技術股份有限公司、深信服科技股份有限公司、奇安信安全技術（廣東）有限公司、廣州盛揚信息科技有限公司、中科匯能科技有限公司、廣州理想資訊科技有限公司、深圳市易聆科信息技術股份有限公司。本標準起草人：楊洋、郝黎、李迎新、余俊蓉、嚴靜東、張家慶、張巍、郭揚帆、銀琳、范年豐、裴廷睿、魏林鋒、李明、周欣、周郵、陳浩、高峰、羅敏、蘇悅洪、陳智、楊廣黔、代科偉、張亮鳴、李斌、趙霞、林嘉楠、蘇榕彬、何耀德、何穎新、熊勁光、馬麗明、鐘志耕、鄧聯丙、藍懷仁、龐勤、廖茂成、葉欣、邱揚、涂華、鄧意恒、陳招俊、伍毅強、黃遠湖、吳鼎寧、鄭華國、高國靜、李衛昌、黃玉龍、王偉、田鈞、嚴曉明、鄧曉暉、潘天祥、陳永輝、吳龍、張芳健、劉翰騰、曾藝、林貞煒、陳錦鉅、李玄、呂文財、曾帥、陳廣、陳惠城、林敬揚、彭世強、王東、李麗萍、植呂梅、譚鑫、孔文威、韓柳、龐理鵬、駱啟宏、徐露露、高陽、蘇偉鈞、任重遠、王君、鄧郁昌、黃能紋、歐陽雪源、苗喜武。本標準為首次發布。T/GDNS007-2023《中華人民共和國個人信息保護法》于2021年11月1日起正式施行，這標志著我國個人信息保護立法體系進入新的階段，個人醫療健康信息作為敏感個人信息更是保護對象的重中之重。醫療行業中公共衛生、臨床服務、醫學研究等領域產生的醫療數據中包含著大量醫療健康個人信息，對于醫療健康個人信息安全應予以高度重視，患者個人隱私數據泄露等數據安全隱患已成為國家和媒體關注的重要社會焦點問題。加強醫療健康個人信息技術和管理監管，是醫療健康大數據安全應用和發展必不可少的一環。醫療健康機構（包括醫療美容機構、養老機構內設醫療機構）是醫療數據匯集、形成中心，也是醫療數據主要控制者。它的數據操作模式，從信息收集、存儲，到使用、傳輸，都直接影響著對醫療健康個人信息的保護。近年來互聯網醫療企業蓬勃發展，更凸顯出醫療健康機構數據合規建設、個人醫療健康信息保護的重要性。有鑒于此，為指導醫療健康機構建立健全公民醫療健康個人信息保護管理制度和技術措施，有效防范侵犯公民醫療健康個人信息違法行為，保障公民醫療健康個人信息數據安全和公民合法權益，根據《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律法規要求，參照專業領域規章、信息安全規范標準以及技術標準，為促進醫療健康個人信息安全，提升健康個人信息安全對健康衛生事業和個人生命健康權益優化效益，為醫療健康個人信息安全應用中國家安全、社會公共利益與個人隱私及相關信息權益提供更高層次的保障，特制定本標準。本標準主要為醫療健康個人信息保護提供合規實踐指引，如有未盡事項，或相關事項因立法、法律修改等事由在法律法規等規范文件中另有規定的，應依法遵循相關法律法規規定。1T/GDNS007-2023醫療健康個人信息保護規范本標準確立了醫療健康個人信息保護的總體原則和目標，給出了醫療健康個人信息保護的規范指引，規定了醫療健康個人信息服務的收集、傳輸、存儲、使用、共享、轉讓、公開披露等數據處理活動的安全管理機制和安全技術措施。本標準適用于醫療健康個人信息處理者規范醫療健康個人信息處理活動，同時可供醫療健康機構、相關主管部門以及第三方評估機構等組織開展醫療健康個人信息的安全監督管理與評估工作參考。2規范性引用文件下列文件中的內容通過文中的規范性引用而構成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對應的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。中華人民共和國民法典中華人民共和國網絡安全法中華人民共和國數據安全法中華人民共和國個人信息保護法國家醫療健康信息醫院信息互聯互通標準化成熟度測評方案（2020年版）全國醫院信息化建設標準與規范（試行）GB/T50174-2017數據中心設計規范GB/T22081-2016信息技術安全技術信息安全控制實踐指南GB/T22239-2019信息安全技術網絡安全等級保護基本要求GB/T25070-2019信息安全技術網絡安全等級保護安全設計技術要求GB/T28448-2019信息安全技術網絡安全等級保護測評要求GB/T25069-2022信息安全技術術語GB/T35273-2020信息安全技術個人信息安全規范2T/GDNS007-2023GB/T35274-2017信息安全技術大數據服務安全能力要求GB/T37964-2019信息安全技術個人信息去標識化指南GB/T42460-2023信息安全技術個人信息去標識化效果評估指南GB/T39725-2020信息安全技術健康醫療數據安全指南GB/T41391-2022信息安全技術移動互聯網應用程序（App）收集個人信息基本要求GB/T42582-2023信息安全技術移動互聯網應用程序（App）個人信息安全測評規范GB/T42888-2023信息安全技術機器學習算法安全評估規范GB/T41817-2022信息安全技術個人信息安全工程指南GB/T39335-2020信息安全技術個人信息安全影響評估指南GB/T42574-2023信息安全技術個人信息處理中告知和同意的實施指南3術語和定義個人信息personalinformation個人信息是以電子或者其他方式記錄的能夠單獨或者與其他信息結合識別特定自然人的各種信息，包括自然人的姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子郵箱、健康信息、行蹤信息等。[來源：中華人民共和國民法典第一千零三十四條]敏感個人信息sensitivepersonalinformation敏感個人信息是一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年人的個人信息。只有在具有特定的目的和充分的必要性，并采取嚴格保護措施的情形下，個人信息處理者方可處理敏感個人信息。[來源：中華人民共和國個人信息保護法第二十八條]個人信息主體personalinformationsubject個人信息所標識或者關聯的自然人。[來源：GB/T35273-2020]醫療健康個人信息處理者medicalandhealthpersonalinformationprocessors3T/GDNS007-2023有能力決定醫療健康個人信息處理目的、方式等的組織或個人。個人醫療健康數據personalhealthdata單獨或者與其他信息結合后能夠識別特定自然人或者反映特定自然人生理或心理健康的相關電子數據。[來源：GB/T39725-2020]醫療健康數據healthdata個人醫療健康數據以及由個人醫療健康數據加工處理之后得到的醫療健康相關電子數據。[來源：GB∕T39725-2020]醫療健康服務healthservice由醫療健康專業人員或專業輔助人員提供的對健康狀況有影響的服務。[來源：GB∕T39725-2020]醫療健康信息系統healthinformationsystem以計算機可處理的形式采集、存儲、處理、傳輸、訪問、刪除醫療健康數據的系統。[來源：GB∕T39725-2020]收集collect獲得個人信息的控制權的行為。[來源：GB/T35273-2020]明示同意explicitconsent個人信息主體通過書面、口頭等方式主動作出紙質或電子形式的聲明，或者自主作出肯定性動作，對其個人信息進行特定處理作出明確授權的行為。[來源：GB/T35273-2020]授權同意consent個人信息主體對其個人信息進行特定處理作出明確授權的行為。4T/GDNS007-2023[來源：GB/T35273-2020]用戶畫像userprofiling通過收集、匯聚、分析個人信息，對某特定自然人個人特征，如職業、經濟、健康、教育、個人喜好、信用、行為等方面做出分析或預測，形成其個人特征模型的過程。[來源：GB/T35273-2020]個人信息安全影響評估personalinformationsecurityimpactassessment針對個人信息處理活動，檢驗其合法合規程度，判斷其對個人信息主體合法權益造成損害的各種風險，以及評估用于保護個人信息主體的各項措施有效性的過程。[來源：GB/T35273-2020]刪除delete在實現日常業務功能所涉及的系統中去除個人信息的行為，使其保持不可被檢索、訪問的狀態。[來源：GB/T35273-2020]公開披露publicdisclosure向社會或不特定人群發布信息的行為。[來源：GB/T35273-2020]轉讓transferofcontrol將個人信息控制權由一個控制者向另一個控制者轉移的過程。[來源：GB/T35273-2020]共享sharing個人信息控制者向其他控制者提供個人信息，且雙方分別對個人信息擁有獨立控制權的過程。[來源：GB/T35273-2020]匿名化anonymization通過對個人信息的技術處理，使得個人信息主體無法被識別或者關聯，且處理后的信息不能被復原的過程。[來源：GB/T35273-2020]5T/GDNS007-2023去標識化de-identification通過對個人信息的技術處理，使其在不借助額外信息的情況下，無法識別或者關聯個人信息主體的過程。[來源：GB/T35273-2020]個性化展示personalizeddisplay基于特定個人信息主體的網絡瀏覽歷史、興趣愛好、消費記錄和習慣等個人信息，向該個人信息主體展示信息內容、提供商品或服務的搜索結果等活動。[來源：GB/T35273-2020]業務功能businessfunction滿足醫療健康個人信息主體的具體使用需求的服務類型。數據脫敏datadesensitization通過一系列數據處理方法對原始數據進行處理以屏蔽敏感數據的一種數據保護方法。[GB/T37988—2019]合規compliance對數據安全所適用的法律法規的符合程度。[GB/T37988—2019]4縮略語下列縮略語適用于本文件。APP：應用（Application）ID：身份標識（Identity）GPS：全球定位系統（GlobalPositioningSystem）5醫療健康個人信息保護原則a.合法依規原則：獲取信息的行為應保證其合法性、合理性、必要性以及應得到信息主體明示同6T/GDNS007-2023意。對于用戶醫療健康個人信息獲取、使用以及存儲必須先得到用戶本人的同意，并且必須在法律法規、技術規范的范圍之內操作。b.權利保護原則：醫療健康機構應當尊重用戶的隱私權、知情權、控制權和取消權、修改權和刪除權，保障用戶隱私自由，尤其是在涉及用戶敏感信息或涉及用戶疑似侵犯個人權利時，應當始終關注用戶醫療健康個人信息權益保護。c.目的透明原則：在進行醫療健康個人數據收集時，醫療健康機構必須事先向用戶明確告知收集信息的目的、用途和范圍等內容，并且保障醫療健康個人信息不被濫用。告示信息的收集目的，有利于雙方達成共識，增強彼此之間的信任。d.細化管理原則：醫療健康機構應當建立完善的管理制度，并嚴格執行各項規定，確保醫療健康個人信息不被外泄和濫用，從而保障用戶信息的安全。這種管理制度不僅包括整個數據采集過程，也包括傳輸、存儲、使用和加工等。e.信息最小化原則：醫療健康機構管理醫療健康個人信息收集時，應以最少原則為前提，避免收集過多不必要信息，不應收集與其業務無關的信息。醫療健康機構處理醫療健康個人信息應當具有明確、合理目的，并應當與處理目的直接相關，采取對個人權益影響最小的方式。f.安全保障原則：醫療健康機構應當加強技術安全保障，宜對收集的醫療健康個人信息進行加密處理，以防止不法分子通過網絡攻擊等手段獲取用戶醫療健康個人信息，其數據存儲宜經過數據存儲相關安全管理體系資格認證。6醫療健康個人信息保護安全目標醫療健康個人信息的控制者應采取合理和適當的管理與技術保障措施，以達到以下目標：a.確保醫療健康個人信息的保密性、完整性和可用性。b.確保醫療健康個人信息使用和披露過程的合法性和合規性，保護醫療健康個人信息安全、公眾利益和國家安全。c.確保醫療健康個人信息在符合上述安全要求的前提下滿足業務發展需求。7醫療健康個人信息保護基本安全要求7T/GDNS007-20237.1醫療健康個人信息保護崗位責任制a.醫療健康機構應明確法定代表人或主要負責人對醫療健康個人信息安全負全面領導責任，主要職責包括：1)貫徹落實國家和行業有關醫療健康個人信息保護相關政策要求，審議醫療健康個人信息保護相關重大規劃及重要報告，審批醫療健康個人信息保護制度。2)統一領導和組織指揮醫療健康個人信息保護重大突發事件的應急處置工作。3)定期召開會議對醫療健康個人信息保護相關管理情況及風險狀況進行審議，督促各崗位人員持續做好醫療健康個人信息保護保障工作。4)評審和監督重大信息安全事故的處理。b.在滿足GB/T35273-2020關于機構設置相關要求的同時，還應設立專職的醫療健康個人信息保護負責人和醫療健康個人信息保護工作機構，負責醫療健康個人信息保護的運營、管理和評估等工作。c.醫療健康個人信息保護負責人由具有相關管理工作經歷和醫療健康個人信息保護專業知識的人員擔任，涉及醫療健康個人信息處理活動重要決策時，醫療健康個人信息保護負責人與醫療健康機構網絡安全和信息化領導小組討論并向組織主要負責人報告工作。d.醫療健康個人信息保護負責人和醫療健康機構的職責包括但不限于：1)負責組織制定醫療健康個人信息保護相關管理制度和計劃，實施醫療健康個人信息保護體系相關規劃、建設、運營及維護并督促落實。2)制定、簽發、實施、定期更新醫療健康個人信息保護相關規程。3)對醫療健康個人信息實行分類管理，建立、維護和更新組織所持有的醫療健康個人信息清單（包括醫療健康個人信息的類型、數量、來源、接收方等）、制定訪問控制策略等。4)開展醫療健康個人信息保護風險評估，提出醫療健康個人信息保護的對策建議，督促整改安全隱患。5)收集、分析醫療健康個人信息保護相關培訓需求并組織開展醫療健康個人信息保護培訓。6)在涉及醫療健康個人信息的移動應用系統、客戶端或業務系統上線發布前進行檢測，避免未知的醫療健康個人信息收集、使用、共享等處理行為。7)組織實施醫療健康個人信息保護相關檢查、安全審計及問題改進。8)醫療健康個人信息保護相關突發事件的監控與應急處置，在發生安全事件后，與監督、管8T/GDNS007-2023理部門保持溝通，通報或報告醫療健康個人信息保護相關突發事件處置等情況。9)定期按要求向監督、管理部門報告個人醫療健康數據安全保護和事件處置情況。10)受理并處理用戶投訴和舉報。7.2醫療健康個人信息保護管理要求7.2.1醫療健康個人信息保護過程監督管理a.醫療健康機構負責牽頭協調組織醫療健康個人信息保護檢查的管理工作。相關管理員配合安全檢查，如實提供所需要的檢查信息，對安全檢查所發現的問題制定整改措施、整改計劃并實施整改。b.醫療健康機構牽頭建立檢查機制，各負責人配合制定檢查計劃，定期（每年至少一次）開展檢查活動。檢查計劃要根據實際情況及時進行補充和調整。c.定期（每年至少一次）對責任部門和安全崗位組織安全檢查，檢查內容包括醫療健康個人信息保護技術措施的有效性、安全配置與安全策略的一致性、醫療健康個人信息保護管理規定的執行情況。d.可根據實際需要組織專項檢查，對于醫療健康個人信息發生的重大事故和問題，要進行專項檢查，對重大事件實施全面的監控和評價。e.對于新系統，包括網絡設備、主機設備、應用系統（包括但不限于WEB端、APP、公眾號、小程序等）上線或安裝前必須經過安全檢查，檢查方式可包括系統安全配置、漏洞評估、惡意代碼檢測等技術手段，根據檢查結果進行整改后方可上線。f.定期（每年至少一次）對醫療健康個人信息保護情況開展安全檢查工作，檢查過程中做好檢查結果的記錄工作。檢查完成后由醫療健康機構組織編寫檢查報告并提出整改建議。g.相關醫療健康個人信息保護負責人按照檢查報告中整改的時間要求，針對檢查報告中所提出的問題制定整改實施計劃并組織整改。h.醫療健康機構對整改措施的落實情況進行跟蹤，驗證整改措施的實施結果是否有效，必要時可進行復查確認。i.醫療健康機構根據安全檢查結果和整改情況進行匯總，形成安全狀況通報。7.2.2醫療健康個人信息保護運維管理a.醫療健康機構應設立醫療健康個人信息安全事件處置方案，預案根據相關法律法規變化情況以及事件處置情況及時更新。9T/GDNS007-2023b.定期（每年至少一次）組織相關人員應急響應培訓和應急演練，使其掌握崗位職責和應急處置策略和規程。c.定期（每年至少一次）開展醫療健康個人信息安全影響評估相關事宜。d.當發生安全事件時，及時把事件相關情況以郵件、信函、電話、推送通知等方式告知受影響的個人信息主體。難以逐一告知醫療健康個人信息主體時，采取合理、有效的方式發布與公眾有關的警示信息。e.定期（每年至少一次）審計醫療健康個人信息保護政策、相關規程和安全措施有效性：1)建立自動化審計系統，監測記錄醫療健康個人信息處理活動。2)審計過程形成的記錄應能對安全事件的處置、應急響應和事后調查提供支撐。3)防止非授權訪問、篡改或刪除審計記錄。4)及時處理審計過程中發現的醫療健康個人信息違規使用、濫用等情況。5)審計記錄和留存時間應符合法律法規的要求。f.采取技術與管理并重的方式對醫療健康個人信息的收集、存儲、使用等全生命周期的醫療健康個人信息處理活動進行安全防護，明確安全管理要求。7.2.3醫療健康個人信息保護管理制度a.制定醫療健康個人信息保護工作的總體方針和安全策略，闡明醫療健康機構安全工作的總體目標、范圍、原則和安全框架等。b.管理制度通過正式、有效的方式發布，并進行版本控制。c.定期（每年至少一次）論證和審定安全管理制度合理性和適用性。7.2.3.1醫療健康個人信息保護審計a.應采用技術手段，收集監控相關設備與系統的運行日志、安全日志，滿足數據留存要求。b.結合業務操作日志，監測與分析醫療健康個人信息異常使用、用戶異常行為，及時發現醫療健康個人信息異常訪問行為，避免敏感醫療健康個人信息泄密或濫用，并形成醫療健康個人信息安全監測報告，統計分析醫療健康個人信息安全狀況，及時反饋給醫療健康個人信息處理者。c.醫療健康個人信息保護崗位（專職機構）定期（每年至少一次）安全評估醫療健康個人信息處理者關鍵信息系統承載與處理的醫療健康個人信息安全管理狀況。T/GDNS007-20237.3人員管理7.3.1內部人員管理a.醫療健康機構應明確安全管理崗位人員的配備，包括數量、專職還是兼職情況等，配備負責數據保護的專門人員。b.應建立安全管理崗位人員信息表，登記機房管理員、系統管理員、數據庫管理員、網絡管理員、安全管理員等重要崗位人員的信息，安全管理員不應兼任網絡管理員、系統管理員、數據庫管理員等崗位。c.安全管理崗位人員應使用符合國密要求的身份鑒別方式，如個人數字證書、手機應用掃碼、生物特征識別、多因素認證等。7.3.1.1內部人員的錄用管理a.應設立專門的部門或人員負責人員的錄用工作。b.應明確人員錄用時對人員條件要求，審查被錄用人身份、背景和專業資格，考核技術人員技術技能。c.錄用后應簽署針對醫療健康個人信息保密協議。d.應建立管理文檔，說明錄用人員應具備的條件。e.應記錄錄用人身份、背景和專業資格等，記錄審查內容和審查結果等。f.應記錄錄用人錄用時技能考核文檔或記錄，記錄考核內容和考核結果等。g.應簽訂保密協議，其中包括保密范圍、保密責任、違約責任、協議的有效期限和責任人簽字等h.應簽訂網絡安全承諾書，其中包括承諾不得從事違法違規的活動、不得利用接觸到的數據信息謀取私利、嚴格遵循相關制度等內容。7.3.1.2內部人員的離崗管理a.人員離崗時應辦理調離手續，簽署調離后醫療健康個人信息保密義務承諾書。b.應及時終止離崗人員的所有訪問權限，取回其身份認證的配件，諸如身份證件、鑰匙、徽章以及醫療健康機構提供的軟硬件設備。c.應形成離崗人員安全處理記錄（如交還身份證件、設備等的登記記錄）。d.應具備離崗程序辦理調離手續記錄。T/GDNS007-20237.3.1.3內部人員的考核a.應設立專人負責定期（每年至少一次）對接觸個人信息數據工作的工作人員進行全面、嚴格的安全審查、意識考核和技能考核。b.應按照考核周期形成考核文檔，考核人員應包括各個崗位的人員。c.應制定處罰制度懲戒違反安全策略和規定人員。d.應定期（每年至少一次）考查安全管理員、系統管理員和網絡管理員工作相關信息安全基礎知識、安全責任和懲戒措施、相關法律法規等的理解程度，并記錄存檔考核記錄。7.3.1.4內部人員的實施管理a.應制定嚴格的系統訪問控制權限機制，通過流程審核等形式，明確內部人員訪問的時間、地點、數據范圍、服務器位置等信息。b.應形成內部人員訪問個人信息數據庫的全鏈路審計日志，日志內容應能全面記錄該人員訪問數據過程。7.3.1.5內部人員的教育培訓a.應制定培訓計劃并按計劃對各崗位員工進行基本的安全意識教育培訓和崗位技能培訓。b.應定期（每年至少一次）考查安全管理員、系統管理員和網絡管理員其對工作相關的信息安全基礎知識、安全責任和懲戒措施等的理解程度。c.應制定安全教育和培訓計劃文檔，明確培訓方式、培訓對象、培訓內容、培訓時間和地點等，d.培訓內容包含信息安全基礎知識、崗位操作規程等。e.應形成安全教育和培訓記錄，記錄包含培訓人員、培訓內容、培訓結果等。7.3.2外部人員管理7.3.2.1臨時來訪外部人員管理a.前臺或保安室應登記臨時來訪人員來訪事由、來訪人、訪問對象等內容，并等待訪問對象完成接待。登記時，來訪人應出示身份證明材料。b.臨時來訪人員訪問單位機房等受限訪問區域時，應遵守有關規定，向機房管理人員提出申請且經批準后，由相關人員全程陪同方可進入。c.臨時來訪人員自帶電子設備未經授權禁止接入單位網絡和醫療健康信息系統。d.臨時來訪人員與駐場外包人員為同一個單位的，未經許可，禁止在外包人員的引領下進入單位T/GDNS007-2023任何區域。7.3.2.2非臨時來訪外部人員管理a.駐場工作的非臨時來訪外部人員應遵守醫療健康機構各項管理制度和合同中約定的各種條款并簽署保密協議和網絡安全承諾書。b.對于駐場工作外部人員資質履歷，應由醫療健康機構審核，并留存復印件進行統一保管。c.聘請駐場工作外部人員醫療健康機構應對駐場工作的非臨時來訪外部人員進行相關安全制度等方面培訓，以增強人員的安全意識，并定期（每年至少一次）考核安全意識和單位安全制度執行情況。對于考核不合格者，應調換工作人員。d.醫療健康機構應安排專人負責駐場工作外部人員工位、資產領用、申請相應賬號及權限、申請網絡訪問配置信息等工作。e.駐場工作外部人員申請賬號和權限時，應符合最小權限及實名制原則。f.駐場工作外部人員在訪問機房等受限訪問區域時，應遵守醫療健康機構有關規定，向機房管理人員提出申請并經批準后，由單位員工全程陪同方可進入受限訪問區域。g.駐場工作外部人員不得利用醫療健康機構的網絡、服務器等資源從事未經允許的活動。不得在醫療健康機構內部未授權使用網絡掃描、刺探等軟件。h.違反以上條款時，醫療健康機構應采取人員調換、追究民事及刑事責任等處罰措施。7.3.2.2.1非臨時來訪外部人員考核與評價a.醫療健康機構應采取日常考核和定期考核相結合方式，評價駐場工作非臨時來訪外部人員的日常考勤、工作成果、服務質量等方面。b.當醫療健康機構開展駐場工作非臨時來訪外部人員服務質量考核時，發現提供服務有偏差的，應書面通知相關責任人及時進行調整和改進。7.3.2.2.2非臨時來訪外部人員離場安全要求a.駐場工作的外部人員離場時要有完整工作交接清單及接收人簽字證明材料。b.駐場工作的外部人員離場前，要歸還領用的醫療健康機構資產。c.駐場工作的外部人員離場后，醫療健康機構應按照單位有關流程，及時刪除人員的賬戶和權限d.駐場工作的外部人員離場后，保密協議承諾中持續生效的條款，駐場工作外部人員需繼續履行保密義務。T/GDNS007-20237.4醫療健康個人信息收集醫療健康個人信息處理者收集個人信息應在滿足GB/T35273-2020中第5章要求基礎上符合以下要求：a.通過移動應用系統收集必要個人信息應符合GB/T41391-2022附錄A中A15規定的問診掛號類移動應用系統收集范圍。b.通過移動應用系統收集用戶醫療健康個人信息應獲得用戶授權同意（用戶線上同意隱私政策或線下簽署知情同意書等）且限于提供服務或履行法律法規規定的義務所必需。c.對于以間接方式收集醫療健康個人信息情形，須在收集或使用前確認其來源合法性。d.收集醫療健康個人信息之前，應具備被收集人身份認證機制，該身份認證機制應具有相應安全e.收集醫療健康個人信息時，宜采用加密算法保護醫療健康個人信息傳輸過程，加密算法建議使用國家密碼管理局推薦使用的加密算法。f.收集醫療健康個人信息時應有對收集內容進行安全檢測和過濾的機制，防止非法內容提交，且宜采取技術措施保障用戶信息輸入。g.收集醫療健康個人信息系統應落實網絡安全等級保護要求。7.4.1申請系統權限a.醫療健康系統不應申請與業務功能無關的系統權限。7.4.2告知同意醫療健康個人信息處理者收集個人信息的告知同意應在滿足GB/T35273-2020中第5章要求基礎上符合以下要求：a.向其他個人信息處理者（如第三方服務提供者）提供醫療健康個人信息前，應向用戶告知接收方的名稱或者姓名、聯系方式、處理目的、處理方式和個人信息的種類，并取得用戶同意。b.處理敏感個人信息前，應取得用戶的單獨同意（頁面彈窗提示或隱私政策中寫明等并告知處理的必要性及對個人權益的影響。c.為用戶提供拒絕同意的方式，醫療健康個人信息主體拒絕同意后避免頻繁打擾醫療健康個人信息主體以再次征得同意，用戶主動操作觸發取得同意機制的除外。d.為用戶提供便捷的撤回同意的方式并設置適當的撤回同意機制：1)可通過多種方式實現撤回同意，如關閉處理個人信息的特定業務、停止處理特定個人信息T/GDNS007-2023種類、關閉特定權限等。2)具備將撤回同意結果及時反饋到產品服務功能的機制，使撤回同意后不再處理相應醫療健康個人信息。3)醫療健康個人信息主體撤回同意后宜立即處理，如無法立即處理的需向醫療健康個人信息主體說明處理時間。4)醫療健康個人信息主體撤回同意后，避免頻繁打擾個人信息主體以再次征得同意。e.醫療健康個人信息處理者處理醫療健康個人信息，有法律、行政法規規定應當保密或者不需要告知的情形的，可以不向個人告知前條第一款規定的事項。f.緊急情況下為保護自然人的生命健康和財產安全無法及時向個人告知的，醫療健康個人信息處理者應當在緊急情況消除后及時告知。7.5醫療健康個人信息傳輸醫療健康個人信息處理者進行數據傳輸活動時，應在滿足GB/T35273-2020中第6章要求基礎上符合以下要求：a.向第三方醫療健康個人信息處理者通過系統接口傳輸醫療健康個人信息時，應至少使用白名單（IP、域名等）方式進行控制，同時宜使用數字簽名等方式保證安全性。b.通過互聯網傳輸及線下途徑傳輸醫療健康個人信息時，宜在傳輸前數據加密，并使用安全通道傳輸，加密算法建議使用國家密碼管理局推薦使用的加密算法。c.宜記錄數據傳輸日志，日志內容需至少包含數據傳輸方信息、接收方信息、傳輸數據類別、傳輸結果、傳輸時間。7.6醫療健康個人信息存儲醫療健康個人信息處理者進行數據存儲活動時，應在滿足GB/T35273-2020中第6章要求基礎上符合以下要求：a.收集的醫療健康敏感個人信息宜根據不同級別采取相應的安全加密存儲等安全措施進行處理，加密算法建議使用國家密碼管理局推薦使用的加密算法，加密技術可采用專用加密芯片和設備的硬加密方式，也可采用SM系列算法等軟加密技術。所有保存的數據宜為非明文方式。b.應使用必要的隔離（虛擬專網或物理專網等或采用加密技術、使用安全的硬件存儲設備等，確保數據傳輸和存儲時的信息安全。c.醫療健康個人信息存儲期限應為實現個人信息處理目的所必需的最短時間，超出存儲期限應對T/GDNS007-2023個人信息進行刪除或匿名化處理，法律法規另有規定的除外。d.如超出個人信息存儲期限，但法律、行政法規規定的保存期限未屆滿，或者刪除個人信息從技術上難以實現的，應停止除存儲和采取必要的安全保護措施之外的處理。e.宜將用戶個人身份信息與用戶生物識別信息采用物理或邏輯隔離的方式分開隔離存儲。f.應至少使用本地備份、異地備份及場外備份中的兩種方式對醫療健康個人信息數據進行備份，關鍵數據應采取異地容災。g.采取必要的技術和管控措施保證醫療健康個人信息存儲轉移過程中的安全性。h.定期（每年至少一次）檢測儲存醫療健康個人信息載體安全性。7.7醫療健康個人信息處理7.7.1醫療健康個人信息使用和加工7.7.1.1醫療健康個人信息展示醫療健康個人信息展示應在滿足GB/T35273-2020中第7章的要求基礎上符合以下要求：a.宜對如登錄口令等涉及賬號安全的敏感個人信息采取GB/T37964-2019中的方法進行脫敏展示并采取身份驗證措施確保僅個人用戶能夠查看其個人資料。b.應對內部業務系統需展示的用戶個人信息采取去標識化處理，對操作行為留存審計日志。c.用戶輸入登錄口令登錄系統或設置登錄口令時，宜采取展示屏蔽等措施防止完整口令明文顯示。d.醫療健康相關信息系統在用戶處于未登錄狀態時，不應展示醫療健康個人信息。e.醫療健康相關信息系統在用戶處于已登錄狀態時，宜根據用戶權限以及業務功能需求最小化或脫敏展示醫療健康個人信息，若需訪問明文醫療健康個人信息，宜采用多因素身份鑒別等安全驗證措施。f.用戶訪問其敏感個人信息時，醫療健康個人信息處理者宜采用多因素身份鑒別等安全驗證措施。7.7.1.2醫療健康個人信息訪問控制措施醫療健康個人信息的訪問控制措施應在滿足GB/T35273-2020中第7章要求基礎上符合以下要求：a.醫療健康個人信息處理者內部人員使用的業務系統，宜對用戶個人信息進行脫敏展示。因業務正常開展所需，需要查看未經脫敏處理醫療健康個人信息時，宜在展示界面中采用數字水印技T/GDNS007-2023b.應遵循最少夠用、職責分離的原則，按照數據分級（可參考附錄A）建立相應的數據訪問控制措施和訪問權限申請審批流程，訪問權限應明確數據查閱、更正、刪除、下載等操作。c.對于涉及醫療健康用戶個人信息的操作，宜通過建立審批流程、限制數據訪問范圍等措施，限制批量查詢、導出醫療健康用戶個人信息的操作功能。d.對于確需訪問醫療健康用戶個人信息的業務場景，應記錄觸發訪問特定用戶個人信息的事件、操作行為，并定期（每年至少一次）開展審計。7.7.1.3醫療健康個人信息用戶畫像使用限制醫療健康個人信息用戶畫像使用限制措施應在滿足GB/T35273-2020中第7章要求基礎上符合以下要求：a.基于用戶畫像的推薦功能應允許用戶自主選擇。b.向用戶提供內容個性化展示功能時，應為用戶提供設置特定期限或永久退出、關閉個性化展示的功能。c.向用戶提供自主設置、調整或校正用戶畫像標簽的功能，應針對單項內容或廣告設置“不感興趣”“屏蔽此類內容”等選項。d.以個性化展示為基本業務形態的醫療健康服務，醫療健康個人信息處理者應為用戶提供設置、校正或重置其畫像標簽的功能，或單獨提供非基于用戶畫像推送的內容欄目。e.通過自動化決策方式進行信息推送、商業營銷，應同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式。7.7.1.4醫療健康個人信息加工醫療健康個人信息加工限制措施應在滿足GB/T35273-2020中第7章要求基礎上符合以下要求：a.未經用戶同意，不應對用戶醫療健康個人信息進行分析挖掘，當獲得用戶同意后，在科研、大數據分析等應用中應對用戶醫療健康個人信息進行脫敏處理。b.利用收集醫療健康個人信息進行自動化決策時應允許用戶自主選擇，并遵守以下要求：1)應提供不針對其個人特征的選項，或向個人提供便捷的拒絕方式。2)第三方應明確告知醫療健康個人信息開展自動化決策方式，決策算法應保證透明度和結果公平、公正，不應對個人實行不合理的差別待遇。3)如通過自動化決策方式作出對個人權益有重大影響的決定，應對用戶予以說明，并得到用戶同意，保障用戶拒絕僅通過自動化決策的方式作出決定的權利。T/GDNS007-20234)應向用戶提供針對自動化決策結果便捷有效的投訴渠道。5)應在自動化決策功能的規劃設計階段或首次使用前開展醫療健康個人信息安全影響評估，并依據評估結果采取有效保護措施。7.7.2醫療健康個人信息委托處理醫療健康個人信息被委托處理應滿足GB/T35273-2020中9.1要求基礎上符合以下要求：a.委托處理醫療健康個人信息時，應簽訂相關協議要求受托方遵守相關規范。b.受托方處理完成醫療健康個人信息相關數據后，應刪除存儲醫療健康個人信息數據內容。7.7.3醫療健康個人信息共享、轉讓醫療健康個人信息處理者向第三方共享轉讓用戶個人信息時，應滿足GB/T35273-2020中9.2、9.3、9.5要求基礎上符合以下要求：a.用戶點擊鏈接時明示所跳轉第三方應用界面并提示用戶關注第三方應用的醫療健康個人信息收集使用規則。b.醫療健康個人信息共享和轉讓時應進行個人信息安全影響評估，應評估接收方數據安全能力，并根據評估結果采取有效保護措施。c.為實現關聯賬號等功能，共享用戶數據（如用戶個人常用設備信息、操作日志）時，宜共建獨立的數據庫存儲前述數據，并采取嚴格的授權訪問機制。d.其他單位或部門申請時，須提交書面函件，經負責法務法規部門評估后，由個人信息數據業務部門審批并報分管領導同意后方可共享，同時控制共享流轉范圍，規范交接手續。7.7.4醫療健康個人信息公開披露a.醫療健康個人信息處理者對用戶違法違規信息公開披露時，宜在滿足GB/T35273-2020中9.4-9.5要求基礎上，去標識化處理用戶醫療健康個人信息。7.7.5醫療健康個人信息第三方接入管理a.醫療健康個人信息服務接入到第三方服務平臺的，醫療健康個人信息處理者應遵循必要原則，與第三方服務平臺約定提供個人信息范圍并限于醫療健康個人信息服務所必需。7.7.6醫療健康個人信息跨境傳輸醫療健康個人信息處理者數據出境應在滿足GB/T35273-2020中9.8要求基礎上符合以下要求：a.醫療健康個人信息處理者如因業務需要向境外提供數據，應遵守國家相關法律法規和標準的要T/GDNS007-2023b.應對醫療健康個人信息服務出境行為進行監測，及時發現并阻止違規數據出境，如對租用的網絡鏈路進行出境流量分析、對服務移動應用系統與境外網絡通信行為進行檢測分析等。c.根據業務發展和運營情況，醫療健康個人信息處理者每年應自行或委托第三方機構對數據出境至少進行一次數據出境風險評估。7.8醫療健康個人信息主體權利7.8.1基本安全措施a.用戶申請查詢、復制、更正、補充、撤回同意、刪除等醫療健康個人信息時，應采取賬號安全檢測技術措施，核驗用戶身份（身份核驗的方式通常包括常用設備校驗、短信驗證碼校驗等）。b.針對已注銷用戶已上傳的部分用戶數據（如彈幕、評論、圖片、音視頻內容），醫療健康個人信息處理者依據相關法律法規或與用戶的約定仍有權繼續展示、使用的，宜采用匿名化的方式繼續展示、使用。7.8.2醫療健康個人信息查詢和復制醫療健康個人信息查詢和復制，醫療健康個人信息處理者應滿足GB/T35273-2020中8.1要求基礎上符合以下要求：a.應為用戶提供醫療健康個人信息在線閱服務，個人信息在閱服務應簡單方便、易于操作。b.用戶可查閱的醫療健康個人信息范圍應包括用戶上傳提供的全部醫療健康個人信息。c.為用戶提供在線醫療健康個人信息復制功能時，應采取技術措施防范醫療健康個人信息副本泄露或被竊取。7.8.3醫療健康個人信息更正醫療健康個人信息更正，醫療健康個人信息處理者應滿足GB/T35273-2020中8.2要求基礎上符合以下要求：a.應為用戶提供醫療健康個人信息在線更正或補充服務，信息更正或補充服務應簡單方便、易于操作。b.應向醫療健康個人信息主體提供更正的醫療健康個人信息包括但不限于用戶通過填寫等方式主動提交給醫療健康個人信息處理者的醫療健康個人信息。c.宜提供更正醫療健康個人信息處理者服務評價功能，如通過追加評論功能，實現醫療健康個人T/GDNS007-2023信息主體對其評價