2025年5月至9月，針對(duì)屬地部分醫(yī)療服務(wù)類互聯(lián)網(wǎng)企業(yè)頻繁發(fā)生涉網(wǎng)絡(luò)數(shù)據(jù)安全事件的情況，上海市網(wǎng)信辦、市市場監(jiān)督管理局、市衛(wèi)生健康委聯(lián)合開展“醫(yī)療服務(wù)類互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全、個(gè)人信息保護(hù)”專項(xiàng)整治，并制定了《上海市醫(yī)療服務(wù)類互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全和個(gè)人信息保護(hù)合規(guī)指引》，用于提升本市醫(yī)療服務(wù)類互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全與個(gè)人信息保護(hù)合規(guī)水平，推動(dòng)行業(yè)健康發(fā)展?，F(xiàn)全文發(fā)布如下。    

上海市醫(yī)療服務(wù)類互聯(lián)網(wǎng)企業(yè)

網(wǎng)絡(luò)數(shù)據(jù)安全和個(gè)人信息保護(hù)合規(guī)指引

為提升本市醫(yī)療服務(wù)類互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全與個(gè)人信息保護(hù)合規(guī)水平，規(guī)范健康醫(yī)療數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等全生命周期處理活動(dòng)，上海市互聯(lián)網(wǎng)信息辦公室、上海市市場監(jiān)督管理局、上海市衛(wèi)生健康委員會(huì)，依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個(gè)人信息保護(hù)法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例》等法律法規(guī)，結(jié)合本市醫(yī)療服務(wù)類互聯(lián)網(wǎng)企業(yè)發(fā)展現(xiàn)狀，制定本指引。

第一條 本指引適用于本市行政區(qū)域內(nèi)醫(yī)療服務(wù)類互聯(lián)網(wǎng)企業(yè)，作為開展網(wǎng)絡(luò)數(shù)據(jù)安全和個(gè)人信息保護(hù)合規(guī)管理的指導(dǎo)建議。

第二條 本指引所稱的醫(yī)療服務(wù)類互聯(lián)網(wǎng)企業(yè)（以下簡稱“企業(yè)”），主要指從事醫(yī)療軟件開發(fā)與維護(hù)、醫(yī)療服務(wù)培訓(xùn)、數(shù)字健康服務(wù)等業(yè)務(wù)，利用信息技術(shù)為醫(yī)療機(jī)構(gòu)、醫(yī)務(wù)人員及患者等提供預(yù)約掛號(hào)、在線診療、健康咨詢、電子處方、檢驗(yàn)結(jié)果查詢、醫(yī)療信息發(fā)布、醫(yī)療數(shù)據(jù)分析等服務(wù)的企業(yè)。

本指引所稱的個(gè)人健康醫(yī)療數(shù)據(jù)，是指單獨(dú)或者與其他信息結(jié)合后能夠識(shí)別特定自然人或者反映特定自然人生理或心理健康的相關(guān)電子數(shù)據(jù)。 

本指引所稱健康醫(yī)療數(shù)據(jù)，是指個(gè)人健康醫(yī)療數(shù)據(jù)以及由個(gè)人健康醫(yī)療數(shù)據(jù)加工處理之后得到的健康醫(yī)療相關(guān)電子數(shù)據(jù)，包括但不限于個(gè)人屬性數(shù)據(jù)、健康狀況數(shù)據(jù)、醫(yī)療應(yīng)用數(shù)據(jù)、醫(yī)療支付數(shù)據(jù)、衛(wèi)生資源數(shù)據(jù)以及公共衛(wèi)生數(shù)據(jù)等。

本指引所稱的數(shù)據(jù)處理活動(dòng)，包括數(shù)據(jù)的收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等。

第三條 企業(yè)開展數(shù)據(jù)處理活動(dòng)，應(yīng)當(dāng)自覺遵守法律法規(guī)和商業(yè)道德，參照國家有關(guān)標(biāo)準(zhǔn)要求，履行網(wǎng)絡(luò)和數(shù)據(jù)安全保護(hù)義務(wù)，遵循合法、正當(dāng)、必要、誠信原則，保障健康醫(yī)療數(shù)據(jù)安全和個(gè)人信息合法權(quán)益。

企業(yè)處理個(gè)人信息，應(yīng)當(dāng)具有明確、合理的目的，并取得個(gè)人同意。處理個(gè)人信息應(yīng)限于實(shí)現(xiàn)處理目的的最小范圍，并采取對(duì)個(gè)人權(quán)益影響最小的方式，不得過度收集或超范圍使用個(gè)人信息。

企業(yè)不得以任何形式和理由非法收集、使用、加工、傳輸、買賣、提供或者公開他人健康醫(yī)療數(shù)據(jù)和個(gè)人信息。

第四條  企業(yè)收集個(gè)人健康醫(yī)療數(shù)據(jù)的，應(yīng)當(dāng)通過顯著方式告知個(gè)人收集目的、使用范圍及共享對(duì)象，并取得個(gè)人單獨(dú)同意。處理目的、方式、個(gè)人信息種類發(fā)生變更的，應(yīng)當(dāng)依照相關(guān)規(guī)定重新取得個(gè)人同意。

第五條  企業(yè)向合作方提供、委托處理個(gè)人健康醫(yī)療數(shù)據(jù)，或與其共同開展數(shù)據(jù)處理活動(dòng)的，應(yīng)當(dāng)提前取得個(gè)人單獨(dú)同意，并與合作方約定處理的目的、期限、處理方式、個(gè)人健康醫(yī)療數(shù)據(jù)的種類、保護(hù)措施以及雙方的權(quán)利和義務(wù)等，對(duì)合作方的數(shù)據(jù)處理活動(dòng)進(jìn)行監(jiān)督，不得超出約定處理目的、處理方式等處理個(gè)人健康醫(yī)療數(shù)據(jù)。

第六條 企業(yè)向個(gè)人進(jìn)行信息推送、商業(yè)營銷前，應(yīng)當(dāng)取得個(gè)人單獨(dú)同意，同時(shí)提供不針對(duì)其個(gè)人特征的選項(xiàng)，或者向個(gè)人提供便捷的拒絕方式。

第七條 企業(yè)不得通過技術(shù)手段非法獲取、抓取其他平臺(tái)的健康醫(yī)療數(shù)據(jù)，不得非法購買、交換、使用、存儲(chǔ)、共享健康醫(yī)療數(shù)據(jù)。

第八條 企業(yè)應(yīng)當(dāng)對(duì)健康醫(yī)療數(shù)據(jù)進(jìn)行分類分級(jí)管理，針對(duì)不同等級(jí)類別的數(shù)據(jù)實(shí)施相應(yīng)的安全保護(hù)措施。

第九條 企業(yè)應(yīng)當(dāng)建立安全可靠的數(shù)據(jù)傳輸通道，采用加密傳輸協(xié)議等安全技術(shù)手段，確保健康醫(yī)療數(shù)據(jù)在互聯(lián)網(wǎng)傳輸過程中的安全性。

第十條 企業(yè)應(yīng)當(dāng)采取身份鑒別、訪問控制、數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)備份等技術(shù)措施，確保健康醫(yī)療數(shù)據(jù)在存儲(chǔ)過程中的安全性，對(duì)于備份數(shù)據(jù)的安全保護(hù)要求不應(yīng)低于原始數(shù)據(jù)。

第十一條 企業(yè)應(yīng)當(dāng)制定明確、合理的數(shù)據(jù)存儲(chǔ)期限，在完成數(shù)據(jù)處理目的后應(yīng)當(dāng)及時(shí)刪除數(shù)據(jù)。從醫(yī)療機(jī)構(gòu)獲得數(shù)據(jù)的，應(yīng)當(dāng)在合同中約定最長存儲(chǔ)期限。

第十二條 企業(yè)不得將生產(chǎn)數(shù)據(jù)直接用于測(cè)試環(huán)境，測(cè)試數(shù)據(jù)應(yīng)當(dāng)限制數(shù)量，并且與生產(chǎn)數(shù)據(jù)隔離存儲(chǔ)。

第十三條 企業(yè)應(yīng)當(dāng)采取技術(shù)措施記錄網(wǎng)絡(luò)訪問日志、數(shù)據(jù)處理活動(dòng)日志、安全事件日志，按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個(gè)月，并且定期進(jìn)行日志審計(jì)。

第十四條 企業(yè)應(yīng)當(dāng)建立患者個(gè)人信息查詢、更正、刪除、撤回同意等權(quán)益響應(yīng)機(jī)制，為患者提供便捷的渠道，保障患者對(duì)其個(gè)人信息的知情權(quán)、控制權(quán)和決定權(quán)。

第十五條 企業(yè)應(yīng)當(dāng)采取技術(shù)措施保障網(wǎng)絡(luò)和數(shù)據(jù)安全，定期開展漏洞掃描和滲透測(cè)試，及時(shí)發(fā)現(xiàn)并修復(fù)系統(tǒng)安全漏洞，確保醫(yī)療服務(wù)平臺(tái)的穩(wěn)定性和安全性。

第十六條 企業(yè)應(yīng)當(dāng)建立網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)測(cè)預(yù)警和應(yīng)急處置機(jī)制，及時(shí)發(fā)現(xiàn)并響應(yīng)網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露等安全事件；制定應(yīng)急預(yù)案，并定期演練；發(fā)生安全事件時(shí)，應(yīng)立即啟動(dòng)預(yù)案控制危害，根據(jù)《國家網(wǎng)絡(luò)安全事件報(bào)告管理辦法》及我市網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案要求，向有關(guān)部門報(bào)告并告知受影響個(gè)人。

第十七條 企業(yè)承擔(dān)健康醫(yī)療數(shù)據(jù)和個(gè)人信息保護(hù)的主體責(zé)任，法定代表人或主要負(fù)責(zé)人為第一責(zé)任人，應(yīng)當(dāng)建立健全網(wǎng)絡(luò)數(shù)據(jù)安全和個(gè)人信息保護(hù)管理制度，明確網(wǎng)絡(luò)數(shù)據(jù)安全責(zé)任部門和責(zé)任人，配備必要的專業(yè)人員和技術(shù)措施。

處理100萬人以上個(gè)人信息的企業(yè)，應(yīng)當(dāng)根據(jù)《個(gè)人信息保護(hù)法》和《個(gè)人信息保護(hù)合規(guī)審計(jì)管理辦法》規(guī)定，向上海市互聯(lián)網(wǎng)信息辦公室履行個(gè)人信息保護(hù)負(fù)責(zé)人信息報(bào)送手續(xù)。

第十八條  企業(yè)應(yīng)當(dāng)建立健康醫(yī)療數(shù)據(jù)收集、存儲(chǔ)、使用、加工、傳輸、提供、公開、刪除等全生命周期安全管理機(jī)制，確保數(shù)據(jù)安全風(fēng)險(xiǎn)可控。

第十九條  企業(yè)應(yīng)當(dāng)在履行網(wǎng)絡(luò)安全等級(jí)保護(hù)義務(wù)的基礎(chǔ)上，按照法律法規(guī)要求開展數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估、個(gè)人信息保護(hù)影響評(píng)估和商用密碼應(yīng)用安全性評(píng)估，識(shí)別數(shù)據(jù)處理活動(dòng)中的安全風(fēng)險(xiǎn)點(diǎn)，采取相應(yīng)的風(fēng)險(xiǎn)控制措施，并保留評(píng)估記錄。

處理1000萬以上個(gè)人信息的企業(yè)，應(yīng)當(dāng)每兩年至少開展一次個(gè)人信息保護(hù)合規(guī)審計(jì)。

第二十條 企業(yè)使用人工智能、區(qū)塊鏈等技術(shù)處理健康醫(yī)療數(shù)據(jù)的，應(yīng)當(dāng)進(jìn)行安全評(píng)估，保障數(shù)據(jù)安全和個(gè)人權(quán)益，并根據(jù)相關(guān)法律法規(guī)要求履行登記備案程序。

第二十一條 企業(yè)應(yīng)當(dāng)對(duì)接觸健康醫(yī)療數(shù)據(jù)的員工、合作伙伴進(jìn)行背景審查和保密教育，與其簽訂數(shù)據(jù)安全保密協(xié)議，明確數(shù)據(jù)保護(hù)責(zé)任和違規(guī)后果。

第二十二條  企業(yè)應(yīng)當(dāng)積極配合監(jiān)管部門的監(jiān)督核查工作，如實(shí)提供相關(guān)資料和數(shù)據(jù)，不得拒絕、阻撓或隱瞞。

（原題為《亮劍浦江 | 提升企業(yè)合規(guī)水平 促進(jìn)行業(yè)健康發(fā)展 《上海市醫(yī)療服務(wù)類互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全和個(gè)人信息保護(hù)合規(guī)指引》發(fā)布》）