为加强医疗卫生机构网络安全管理，进一步促进“互联网+医疗健康”发展，充分发挥健康医疗大数据作为国家重要基础性战略资源的作用，加强医疗卫生机构网络安全管理，防范网络安全事件发生，2022年8月29日，国家卫生健康委员会、国家中医药管理局、国家疾病预防控制局三部门联合印发《医疗卫生机构网络安全管理办法》（国卫规划发〔2022〕29号）（下称“《办法》”）。

　　《办法》明确了各医疗卫生机构网络及数据安全管理基本原则、管理分工、执行标准、监督及处罚要求，体现了统筹安全与发展的总体平衡，与此前出台的一系列政策法规一脉相承，为医疗卫生机构指明了网络安全管理的总方向。[1]

　　国家规划发展与信息化司将《办法》的总体架构总结如下：

　　在此，我们将结合规范与实践，对于《办法》相关要点问题进行简要分析。

一、基本原则之“分等级保护、突出重点”

　　《办法》第2条规定了医疗卫生机构网络安全管理的四项基本原则，其中，第二项基本原则为：坚持分等级保护、突出重点；重点保障关键信息基础设施、网络安全等级保护第三级（以下简称第三级）及以上网络以及重要数据和个人信息安全。

　　《办法》规定的等级保护制度与上位法《网络安全法》（2017.6.1）规定的网络安全等级保护制度保持一致。该制度由《信息安全等级保护管理办法》（2007.6.22）首次在规范层面确立，现行标准在《信息安全技术 网络安全等级保护定级指南》（GB/T 22240-2020）（2020.4.28）中明确：

　　根据等级保护对象在国家安全、经济建设、社会生活中的重要程度，以及一旦遭到破坏、丧失功能或者数据被篡改、泄露、丢失、损毁后，对国家安全、社会秩序、公共利益以及公民、法人和其他组织的合法权益的侵害程度等因素，等级保护对象的安全保护等级分为以下五级：

• （1）第一级，等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成损害，但不危害国家安全、社会秩序和公共利益；
• （2）第二级，等级保护对象受到破坏后，会对相关公民、法人和其他组织的合法权益造成严重损害或特别严重损害，或者对社会秩序和公共利益造成危害，但不危害国家安全；
• （3）第三级，等级保护对象受到破坏后，会对社会秩序和公共利益造成严重危害，或者对国家安全造成危害；
• （4）第四级，等级保护对象受到破坏后，会对社会秩序和公共利益造成特别严重危害，或者对国家安全造成严重危害；
• （5）第五级，等级保护对象受到破坏后，会对国家安全造成特别严重危害。

　　而另一保障重点之关键信息基础设施则是指《关键信息基础设施安全保护条例》（2021.9.1）规定的公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

　　根据上述分析，医疗卫生机构网络安全管理和保障作为高质量发展、信息化建设的一环，其基本原则和保障重点依然需将保护国家安全、社会秩序和公共利益作为重要基准，与国家重要行业、领域的管理和保障相结合。

二、“网络”及“数据”的适用范围

　　如总体架构所示，《办法》的主要内容包括网络安全管理及数据安全管理两部分。《办法》第3条规定：

　　本办法所称的网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。

　　本办法所称的数据为网络数据，是指医疗卫生机构通过网络收集、存储、传输、处理和产生的各种电子数据，包括但不限于各类临床、科研、管理等业务数据、医疗设备产生的数据、个人信息以及数据衍生物。

　　《办法》“网络”及“数据”的具体内容较为广泛，例如，除所涉医疗卫生机构一般的系统外，还提及了云计算、物联网、区块链、5G、大数据、人工智能等新技术的使用；亦特别强调业务数据、医疗设备产生的数据、个人信息以及数据衍生物等多种数据类型。

三、顶层设计之等级保护定级

　　备案、测评、安全建设整改

　　《办法》第6条明确了等级保护定级、备案、测评、安全建设整改的工作重点：

1. 新建网络定级：对新建网络，应在规划和申报阶段确定网络安全保护等级，依据相关标准科学确定网络的安全保护等级，并报上级主管部门审核同意。

2. 新建网络投入使用应依法依规开展等级保护备案工作。第二级以上网络应在网络安全保护等级确定后10个工作日内，由其运营者向公安机关备案，并将备案情况报上级卫生健康行政部门。

3. 全面梳理分析网络安全保护需求，按照“一个中心（安全管理中心），三重防护（安全通信网络、安全区域边界、安全计算环境）”的要求，制定符合网络安全保护等级要求的整体规划和建设方案。

4. 各医疗卫生机构对已定级备案网络的安全性进行检测评估，第三级或第四级的网络应每年至少一次开展网络安全等级测评。第二级的网络应定期开展网络安全等级测评，其中涉及10万人以上个人信息的网络应至少三年开展一次网络安全等级测评，其他的网络至少五年开展一次网络安全等级测评。新建的网络上线运行前应进行安全性测试。

5. 针对等级测评中发现的问题隐患，各医疗卫生机构要结合外在的威胁风险，按照法律法规、政策和标准要求，制定网络安全整改方案，有针对性地开展整改，及时消除风险隐患，补强管理和技术短板，提升安全防护能力。

　　该等规定明确了，医疗卫生机构网络安全管理顶层设计环节的几个主要步骤，根据等级以制定方案、向监管部门备案以接受监督、自行进行检测评估并结合问题进行动态整改。

四、“三位一体”与“四个体系”

　　根据国家规划发展与信息化司发布的《<医疗卫生机构网络安全管理办法>的政策解读》（2022.8.30），《办法》的主要方向可以理解为“三位一体”与“四个体系”。

1. 融合三位一体

　　《办法》要求，形成融合管理、技术、运营三位一体的立体化网络安全管理模式。要求建立网络安全管理制度体系，加强网络安全防护，通过管理和技术手段保障数据安全和数据应用的有效平衡。在实际运用中，应将总体安全策略拆解到具体安全管理要求，并通过安全技术实现管理要求，最终融入对应到安全运营体系中。

2. 构建四个体系

　　《办法》指出，要建立防护、监测、处置、保障四个体系协同的综合防控格局。（1）在安全防护方面，要建立“实战化、体系化、常态化”的安全防护体系，形成“动态防御、主动防御、纵深防御、精准防御、整体防控、联防联控”的安全防护态势；（2）在安全监测层面，鼓励三级医院探索态势感知平台建设，及时收集、汇总、分析各方网络安全信息，并与国家及行业平台对接；（3）在安全处置方面，要形成监督管理、安全检查、应急预案、联防联控协同体系；（4）在安全保障方面，通过统筹领导和规划设计，在人才培养、安全培训、经费支持等方面实现全方位保障。

五、覆盖数据全生命周期的管控

　　《办法》第22条规定，医疗卫生机构应加强数据收集、传输、存储、处理、使用、交换、销毁全生命周期安全管理工作。国家规划发展与信息化司总结如下：

　　对此，我们认为可关注如下要点：

1. 数据传输、存储

　　2019年，德国漏洞分析和管理公司 Greenbone Networks 的专家发现，600个未受保护的服务器及其中大量医疗健康数据暴露于互联网，超过 7.37 亿个放射图像，涉及 2000 多万人，影响到 52个国家的患者。其中，中国有 14个未受保护的 PACS 服务器系统（医学影像归档和通信系统，应用于医院影像科室，可以把日常产生的各种医学影像，通过各种接口以数字化的方式海量保存起来），泄露 279000个数据记录，包括了患者姓名、出生日期、检查日期、调查范围、成像程序的类型、主治医师、研究所/诊所和生成的图像数量等。[2]

　　这种因技术原因泄露医疗健康数据的情况，对患者的信息安全、财产甚至人身安全都可能造成大规模的影响。同时，由于商业目的的驱使，有互联网功能的医疗设备的提供商等第三方机构，亦可能影响医疗机构存储数据的安全性。2021年，GE医疗（中国）发表声明，称提网传“武汉市政府就信息数据泄露一事约谈GE公司”的说法，纯属子虚乌有。[3]

　　因此，在医疗数据收集、传输、存储活动涉及多方主体且存在一定不确定性的情况下，《办法》规定的备份、加密传输及储存，合适的数据存储架构、介质，存储过程中访问控制安全、数据副本安全、数据归档安全管控，均是医疗机构段应结合管理制度、技术、运营手段着重加强的数据保护措施。

2. 数据发布、共享

　　新冠疫情爆发以来，新冠感染者的个人隐私数据非经本人同意被暴露的事件已屡见不鲜。福建、云南、浙江、杭州等多地都出现过类似事件。经过调查发现，信息泄露事件一般都来源于医疗机构的工作人员，这反映出医疗机构在数据保护制度欠缺，医护人员数据保护意识缺乏。[4]因此，作为数据的收集、储存主要责任主体，医疗卫生机构应当谨慎发布、共享、上报医疗信息，并制定严格的内部规定，规范及限制医护人员的相关行为。

六、细化相关组织、人员与责任主体的规定

1. 相关组织及责任主体

　　《办法》第5条、第6条明确了相关组织及各自责任：

• 1. 各医疗卫生机构应成立网络安全和信息化工作领导小组，由单位主要负责人任领导小组组长。
• 2. 有二级及以上网络的医疗机构应明确负责网络安全管理工作的职能部门，明确承担安全主管、安全管理员等职责的岗位。
• 3.  各医疗卫生机构按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则，在网络建设过程中明确本单位各网络的主管部门、运营部门、信息化部门、使用部门等管理职责。

　　该等规定系对应《办法》的第四项基本原则：坚持“管业务就要管安全”“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则，落实网络安全责任制，明确各方责任。

　　对于责任承担，《办法》未直接规定罚则，而是采用准用性规范的形式，在第32条规定了依据相关上位法规定进行处罚：“违反本办法规定，发生个人信息和数据泄露，或者出现重大网络安全事件的，按《网络安全法》《密码法》《基本医疗卫生与健康促进法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》以及网络安全等级保护制度等法律法规处理。”

　　我们注意到，《网络安全法》《个人信息保护法》《关键信息基础设施安全保护条例》等规范均要求确定网络安全负责人、个人信息保护负责人等，且在大部分罚则中同步处理数据及信息处理者，及直接负责的主管人员和其他直接责任人员，体现了相关主体落实责任的决心。

2. 相关个人的审查、培训、登记、保密等工作

　　《办法》第10条规定：关键信息基础设施运营者应对安全管理机构负责人和关键岗位人员进行安全背景审查。各医疗卫生机构要加强网络运营相关人员管理，包括本单位内部人员及第三方人员，明确内部人员入职、培训、考核、离岗全流程安全管理，针对第三方应明确人员接触网络时的申请及批准流程，做好实名登记、人员背景审查、保密协议签署等工作，防止因人员资质及违规操作引发的安全风险。

　　《办法》第22条第（4）项规定：各医疗卫生机构应严格规定不同人员的权限，加强数据使用过程中的申请及批准流程管理，确保数据在可控范围内使用，加强日志留存及管理工作，杜绝篡改、删除日志的现象发生，防止数据越权使用。各数据使用部门和数据使用人须严格按照申请所述用途与范围使用数据，对数据的安全负责。未经批准，任何部门和个人不得将未对外公开的信息数据传递至部门外，不得以任何方式将其泄露。

　　随着医疗信息化的发展和新冠疫情的持续，在医疗卫生机构大量采用电子病历、从事互联网诊疗、通过云端存储或共享医疗健康数据的大背景下，网络安全及网络数据安全问题时常源于个人信息保护问题。

　　《民法典》第1226条规定，医疗机构及其医务人员应当对患者的隐私和个人信息保密，泄露患者的隐私和个人信息，或者未经患者同意公开其病历资料的，应当承担侵权责任；《传染病防治法》第12条亦存在类似规定。

　　同时，《刑法》第253之一-侵犯公民个人信息罪亦规定，违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金；违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚；窃取或者以其他方法非法获取公民个人信息的，依照第一款的规定处罚；单位犯前三款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照各该款的规定处罚。

　　但即使存在包括但不限于上述规范的大量严格规定，依然存在大量因个人原因导致医疗健康信息泄露的情形。本次《办法》一方面明确了对安全管理机构负责人、关键岗位人员，尤其是第三方人员的严格审查，以审查、培训、考核、协议等多种方式，促进人员准入方面的可靠程度。

　　另一方面，《办法》亦要求医疗机构在内部系统及网络层面，加强权限设置、加强数据使用过程中的申请及批准流程管理、注意按申请用途使用等，对人员进行限制。事实上，医疗卫生机构的信息化实施已久，大多数医疗卫生机构在采购第三方信息化系统后，会制定并实施本机构的信息系统使用制度、网络数据安全保护制度。例如，《电子病历应用管理规范（试行）》（2017.4.1）第9条规定，电子病历系统应当为操作人员提供专有的身份标识和识别手段，并设置相应权限；操作人员对本人身份标识的使用负责。但在后续实际操作过程中若没有严格的监管，个人主动的或在他人教唆或利用下的违规、越权行为，均会导致信息安全事件的发生。对此，我们认为，虽然《办法》作出了相关规定，但没有对应的罚则，准用的上位法罚则可能较难与医疗机构内部规范结合适用，希望相关衔接可在后续规范中进一步细化。

　　综上，《办法》自2022年8月底实施，《办法》坚持安全可控和开放创新并重的基本原则，其颁布为医疗卫生机构网络安全管理提供了工作指南，奠定了卫生健康行业网络安全发展基础，我们将持续关注医疗机构网络安全管理的后续进展，也希望有兴趣的读者与我们进一步讨论。

[2] 微信公众号“大健康派”，《中国医疗数据泄漏高达28万 加强网络安全“五步走”》（2019.10.17），https://mp.weixin.qq.com/s/S8rLkBRav8StGHpzabgL_Q。

[3] 微信公众号“首席风控合规官”，《GE被约谈？医疗设备数据泄露应防患于未然》（2021.9.24），https://mp.weixin.qq.com/s/WeLXfDXOFpnsVytwYVj-3g。

[4] 腾讯网企业号“底见”，《个人健康医疗数据已成黑市“香饽饽”如何保障数据的健康？》（2022.7.29），https://new.qq.com/rain/a/20220729A036LK00。