《信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)隱私保護安全要求》

ICS35.040

CCSL80

T/CI

團體標準

T/CIXXX—2023

信息安全技術(shù)

健康醫(yī)療數(shù)據(jù)隱私保護安全要求

Informationsecuritytechnology—healthmedicaldataprivacyprotectionsecurity

requirements

（征求意見稿）

2023-XX-XX發(fā)布2023-XX-XX實施

中國國際科技促進會發(fā)布

T/CIXXX—2023

信息安全技術(shù)健康醫(yī)療數(shù)據(jù)隱私保護安全要求

1范圍

本文件規(guī)定了健康醫(yī)療數(shù)據(jù)隱私保護安全的總則、職責、數(shù)據(jù)采集保護、數(shù)據(jù)存儲保護、數(shù)據(jù)處理、

數(shù)據(jù)使用和技術(shù)支撐。

本文件適用于健康醫(yī)療數(shù)據(jù)隱私保護安全的監(jiān)督、管理和評估。

2規(guī)范性引用文件

下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，

僅該日期對應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本

文件。

GB/T37964信息安全技術(shù)個人信息去標識化指南

GB/T39725—2020信息安全技術(shù)健康醫(yī)療數(shù)據(jù)安全指南

GM/T0054信息系統(tǒng)密碼應(yīng)用基本要求

3術(shù)語和定義

GB/T39725—2020界定的以及下列術(shù)語和定義適用于本文件。

3.1

個人信息personalinformation

能夠單獨或者與其他信息結(jié)合識別自然人個人身份的各種信息。

注：包括但不限于自然人的姓名、出生日期、身份證件號碼、個人生物識別信息，住址和電話號碼等。

3.2

個人信息主體personalinformationsubject

個人信息所標識或關(guān)聯(lián)的自然人。

3.3

匿名化anonymization

通過對個人信息的技術(shù)處理，使得個人信息主體無法被識別或者關(guān)聯(lián)，且處理后的信息不能被復(fù)原，

的過程。

注：個人信息經(jīng)匿名化處理后所得的信息不屬于個人信息。

3.4

去標識化de-identification

通過對個人信息的技術(shù)處理，使其在不借助額外信息的情況下，無法識別或者關(guān)聯(lián)個人信息主體的

過程。

注：建立在個體基礎(chǔ)之上，保留了個體顆粒度，采用假名、加密、哈希函數(shù)等技術(shù)手段替代對個人信息的標識。

3.5

敏感數(shù)據(jù)sensitivedata

由權(quán)威機構(gòu)確定的受保護的信息數(shù)據(jù)。

注：敏感信息數(shù)據(jù)的泄露、修改、破壞或丟失會對人或事產(chǎn)生可預(yù)知的損害。

7

T/CIXXX—2023

3.6

個人健康醫(yī)療數(shù)據(jù)personalhealthdata

單獨或者與其他信息結(jié)合后能夠識別特定自然人或者反應(yīng)特定自然人生理或心理健康的相關(guān)電子

數(shù)據(jù)。

3.7

健康醫(yī)療數(shù)據(jù)healthdata

個人健康醫(yī)療數(shù)據(jù)以及由個人健康醫(yī)療數(shù)據(jù)加工處理之后得到的健康醫(yī)療相關(guān)電子數(shù)據(jù)，如匿名化

處理后的個人健康醫(yī)療數(shù)據(jù)。

注：個人健康醫(yī)療數(shù)據(jù)涉及個人過去、現(xiàn)在或者將來的身體或精神健康狀況、接受的醫(yī)療保健服務(wù)和支付的醫(yī)療保

健服務(wù)費用等。

3.8

脫敏desensitization

通過模糊化等方法處理原始數(shù)據(jù)，以實現(xiàn)屏蔽敏感數(shù)據(jù)且屏蔽后的數(shù)據(jù)不可逆向恢復(fù)的數(shù)據(jù)保護方

式。

4總則

4.1目標

針對健康醫(yī)療數(shù)據(jù)隱私保護宜采取合理的管理和技術(shù)保障措施，目標如下：

a)保障健康醫(yī)療數(shù)據(jù)的保密性、完整性和可用性；

b)確保健康醫(yī)療數(shù)據(jù)使用和披露過程的合法性和合規(guī)性，保護個人信息安全、公眾利益和國家

安全；

c)保障健康醫(yī)療數(shù)據(jù)在符合上述安全要求的前提下滿足業(yè)務(wù)發(fā)展需求。

4.2范疇

健康醫(yī)療數(shù)據(jù)共享過程中涉及到符合GB/T39725—2020中數(shù)據(jù)分類分級范圍內(nèi)的所有健康醫(yī)療數(shù)

據(jù)，包括但不限于個人屬性數(shù)據(jù)。

4.3原則

4.3.1權(quán)責一致原則

對個人信息主體合法權(quán)益造成的損害應(yīng)承擔責任。

4.3.2目的明確原則

具有合法、正當、必要、明確的個人信息處理目的。

4.3.3選擇同意原則

向個人信息主體明示個人信息處理目的、方式、范圍、規(guī)則等，征求其授權(quán)同意。

4.3.4最小必要原則

除與個人信息主體另有約定外，只處理滿足個人信息主體授權(quán)同意的、目的所需的最少個人信息類

型和數(shù)量。目的達成后，應(yīng)及時根據(jù)約定刪除個人信息。

4.3.5公開透明原則

7

T/CIXXX—2023

以明確、易懂和合理的方式公開處理個人信息的范圍、目的、規(guī)則等，并接受外部監(jiān)督。

4.3.6確保安全原則

具備與所面臨的安全風險相匹配的安全能力，并采取足夠的管理措施和技術(shù)手段，保護個人信息的

保密性、完整性、可用性。

4.3.7主體參與原則

向個人信息主體提供能夠訪問、更正、刪除其個人信息，以及撤回同意、注銷賬戶等方法。

4.4隱私保護的參與方

健康醫(yī)療數(shù)據(jù)共享過程中數(shù)據(jù)流通符合GB/T39725—2020中6.4的流通使用場景規(guī)定，健康醫(yī)療數(shù)

據(jù)共享過程中應(yīng)加強對個人信息的保護。

5職責

5.1數(shù)據(jù)提供方

數(shù)據(jù)提供方對數(shù)據(jù)共享中的隱私保護承擔的職責包括但不限于：

a)對其提供的所有數(shù)據(jù)的流通和使用行為的合規(guī)性負責；

b)確保提供的所有數(shù)據(jù)不涉及隱私信息；

c)當提供的數(shù)據(jù)涉及隱私信息時，應(yīng)按GB/T37964規(guī)定先對其進行匿名化、去標識化等技術(shù)處

理，確保數(shù)據(jù)不涉及隱私信息且無法復(fù)原后，方可進入流通環(huán)節(jié)；

d)明確數(shù)據(jù)的適用范圍、使用期限和權(quán)利限制等；

e)確保數(shù)據(jù)的存儲、發(fā)布和傳輸過程中的安全性，防止數(shù)據(jù)泄露、算改和刪除等；

f)對因隱私泄露而對個人信息主體造成傷害的行為承擔主要責任。

5.2數(shù)據(jù)使用方

數(shù)據(jù)使用方對數(shù)據(jù)共享中的隱私保護承擔的職責包括但不限于：

a)按數(shù)據(jù)提供方界定的數(shù)據(jù)適用范圍、使用期限和權(quán)利限制等合法、合規(guī)使用數(shù)據(jù)：

b)當在數(shù)據(jù)使用過程中發(fā)現(xiàn)隱私信息時，立即向數(shù)據(jù)提供方報告或向有關(guān)主管部門報告：

c)確保數(shù)據(jù)存儲、使用過程中的安全性，防止數(shù)據(jù)泄露、纂改和刪除等：

d)對因使用數(shù)據(jù)而導(dǎo)致隱私信息泄露所產(chǎn)生的后果承擔主要責任：

e)按照約定方式使用完成或規(guī)定期限結(jié)束后，銷毀數(shù)據(jù)且不可被恢復(fù)。

5.3數(shù)據(jù)共享平臺運營商

數(shù)據(jù)共享平臺運營商對數(shù)據(jù)共享中的隱私保護承擔的職責義務(wù)應(yīng)包括但不限于：

a)制定平臺隱私政策，確保交易主體的合法權(quán)益；

b)設(shè)立隱私保護管理部門，負責平臺隱私保護工作的日常管理和實施；

c)制定隱私保護管理制度，明確平臺運營商，共享主體的職責義務(wù)及懲罰措施；

d)建立隱私保護管理機制，包括但不限于：

1)數(shù)據(jù)共享許可機制：確保共享主體獲得數(shù)據(jù)共享許可資格后，允許其參與共享；

2)數(shù)據(jù)流轉(zhuǎn)登記機制：做好數(shù)據(jù)交易信息記錄備案，確保每次數(shù)據(jù)流轉(zhuǎn)都有記錄可追湖；

3)隱私泄露投訴舉報機制：積極響應(yīng)和解決投訴舉報，明確投訴解決途徑和舉報獎勵制度。

e)組織開展隱私保護宣傳培訓(xùn)活動；

7

T/CIXXX—2023

f)加強數(shù)據(jù)審核管理，發(fā)現(xiàn)國家法律法規(guī)禁止發(fā)布或傳輸?shù)男畔r，依法采取必要處置措施，

并向有關(guān)主管部門報告；

g)積極配合有關(guān)主管部門依法履行職責時開展的各項工作。

5.4個人信息主體

個人信息主體對數(shù)據(jù)交易中的隱私保護享有的權(quán)利包括但不限于：

a)有權(quán)提出撤銷、刪除和銷毀共享中涉及的個人隱私信息；

b)個人信息主體認為共享活動違反相關(guān)國家法律法規(guī)規(guī)定，侵犯其合法權(quán)益的，有權(quán)依法維權(quán)；

c)因隱私信息泄露而對個人信息主體造成傷害的，個人信息主體有權(quán)提出賠償請求。

6數(shù)據(jù)采集保護

6.1數(shù)據(jù)采集的合法性

數(shù)據(jù)采集的合法性要求如下：

a)不應(yīng)該以欺詐、誘騙、誤導(dǎo)的方式收集個人信息；

b)不應(yīng)該隱瞞產(chǎn)品或服務(wù)所具有的收集個人信息功能和用途；

c)在收集用戶個人信息時，應(yīng)充分說明采集個人數(shù)據(jù)信息的目的和方式。

6.2數(shù)據(jù)采集的最小必要

數(shù)據(jù)采集的最小必要要求如下：

a)收集的個人信息的類型應(yīng)與服務(wù)的業(yè)務(wù)功能有直接關(guān)聯(lián)；

注：直接關(guān)聯(lián)是指沒有上述個人信息的參與，服務(wù)的功能無法實現(xiàn)。

b)自動采集個人信息的頻率應(yīng)是實現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必需的最低頻率；

c)間接獲取個人信息的數(shù)量應(yīng)是實現(xiàn)產(chǎn)品或服務(wù)的業(yè)務(wù)功能所必需的最少數(shù)量。

6.3數(shù)據(jù)采集授權(quán)

數(shù)據(jù)采集授權(quán)要求如下：

a)收集個人信息時，應(yīng)向個人信息主體告知收集、使用個人信息的目的、方式和范圍等規(guī)則，

并獲得個人信息主體的授權(quán)同意；

注：如產(chǎn)品或服務(wù)僅提供一項收集、使用個人信息的業(yè)務(wù)功能時，可通過個人信息保護政策的形式，實現(xiàn)向個人信

息主體的告知；產(chǎn)品或服務(wù)提供多項收集、使用個人信息的業(yè)務(wù)功能的，除個人信息保護政策外，在實際開始

收集特定個人信息時，向個人信息主體提供收集、使用該個人信息的目的、方式和范圍。

b)收集個人敏感信息前，應(yīng)征得個人信息主體的明示同意，并應(yīng)確保個人信息主體的明示同意

是其在完全知情的基礎(chǔ)上自主給出的、具體的、清晰明確的意愿表示；

c)收集個人生物識別信息前，應(yīng)單獨向個人信息主體告知收集、使用個人生物識別信息的目的、

方式和范圍，以及存儲時間等規(guī)則，并征得個人信息主體的明示同意；

注：個人生物識別信息包括個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等。

d)收集年滿14周歲的未成年人的個人信息前，應(yīng)征得未成年人或其監(jiān)護人的明示同意；不滿14

周歲的未成年人，應(yīng)征得其監(jiān)護人的明示同意；

e)間接獲取個人信息時：

1)應(yīng)要求個人信息提供方說明個人信息來源，并對其個人信息來源的合法性進行確認；

2)應(yīng)了解個人信息提供方已獲得的個人信息處理的授權(quán)同意范圍，包括使用目的，個人信

息主體是否授權(quán)同意轉(zhuǎn)讓、共享、公開披露、刪除等；

7

T/CIXXX—2023

3)如開展業(yè)務(wù)所需進行的個人信息處理活動超出已獲得的授權(quán)同意范圍的，應(yīng)在獲取個人

信息后的合理期限內(nèi)或處理個人信息前，征得個人信息主體的明示同意，或通過個人信

息提供方征得個人信息主體的明示同意；

f)個人信息主體不授權(quán)同意使用、關(guān)閉或退出特定業(yè)務(wù)功能時，不應(yīng)暫停個人信息主體自主選

擇使用的其他業(yè)務(wù)功能，或降低其他業(yè)務(wù)功能的服務(wù)質(zhì)量；

g)不應(yīng)以改善服務(wù)質(zhì)量、提升使用體驗、研發(fā)新產(chǎn)品、增強安全性等為由，強制要求個人信息

主體同意收集個人信息。

6.4數(shù)據(jù)采集制度

應(yīng)對數(shù)據(jù)采集制定必要的制度措施，內(nèi)容應(yīng)包括但不限于：

a)個人信息控制者的基本情況，包括主體身份、聯(lián)系方式；

b)收集、使用個人信息的業(yè)務(wù)功能，以及各業(yè)務(wù)功能分別收集的個人信息類型。涉及個人敏感

信息時，應(yīng)明確標識或突出顯示；

c)個人信息收集方式、存儲期限、涉及數(shù)據(jù)出境情況等個人信息處理規(guī)則；

d)對外共享、轉(zhuǎn)讓、公開披露個人信息的目的、涉及的個人信息類型、接收個人信息的第三方

類型，以及各自的安全和法律責任；

e)個人信息主體的權(quán)利和實現(xiàn)機制，如查詢方法、更正方法、刪除方法、注銷賬戶的方法、撤

回授權(quán)同意的方法、獲取個人信息的方法、對信息系統(tǒng)自動決策結(jié)果進行投訴的方法等；

f)提供個人信息后可能存在的安全風險，及不提供個人信息可能產(chǎn)生的影響；

g)遵循的個人信息安全基本原則，具備的數(shù)據(jù)安全能力，以及采取的個人信息安全保護措施，

必要時可公開數(shù)據(jù)安全和個人信息保護相關(guān)的合規(guī)證明；

h)處理個人信息主體詢問、投訴的渠道和機制，以及外部糾紛解決機構(gòu)及聯(lián)絡(luò)方式。

7數(shù)據(jù)存儲保護

7.1存儲時間

7.1.1個人信息存儲期限應(yīng)為實現(xiàn)個人信息主體授權(quán)使用的目的所必需的最短時間。

注：法律法規(guī)另有規(guī)定或者個人信息主體另行授權(quán)同意的除外。

7.1.2超出上述個人信息存儲期限后，應(yīng)對個人信息進行刪除或匿名化處理。

7.2去標識化處理

收集個人信息后，個人信息控制者宜立即進行去標識化處理，并采取技術(shù)和管理方面的措施，將可

用于恢復(fù)識別個人的信息與去標識化后的信息分開存儲并加強訪問和使用的權(quán)限管理。

7.3敏感信息的存儲

7.3.1存儲個人敏感信息時，應(yīng)采用加密等安全措施。采用密碼技術(shù)時宜符合GM/T0054規(guī)定的密碼

技術(shù)，對敏感數(shù)據(jù)進行加密存儲保護。

7.3.2個人生物識別信息應(yīng)與個人身份信息分開存儲。

7.3.3不應(yīng)存儲原始個人生物識別信息（如樣本、圖像等），可采取的措施包括但不限于：

a)僅存儲個人生物識別信息的摘要信息；

b)在采集終端中直接使用個人生物識別信息實現(xiàn)身份識別、認證等功能；

c)在使用面部識別特征、指紋、掌紋、虹膜等實現(xiàn)識別身份、認證等功能后刪除可提取個人生

物識別信息的原始圖像。

7

T/CIXXX—2023

8數(shù)據(jù)處理

8.1數(shù)據(jù)脫敏

數(shù)據(jù)脫敏安全要求包括：

a)應(yīng)建立數(shù)據(jù)脫敏規(guī)范，明確需要脫敏處理的應(yīng)用場景和處理方法；

b)應(yīng)支持基于規(guī)則的數(shù)據(jù)靜態(tài)脫敏；

c)應(yīng)提供面向使用者的定制化數(shù)據(jù)脫敏功能，可基于場景需求自定義脫敏規(guī)則；

d)應(yīng)提供數(shù)據(jù)脫敏處理過程日志記錄，滿足數(shù)據(jù)脫敏處理安全審計要求。

8.2數(shù)據(jù)分析

數(shù)據(jù)分析安全要求包括：

a)應(yīng)對數(shù)據(jù)分析結(jié)果進行二次風險評估，確保衍生數(shù)據(jù)不超過原始數(shù)據(jù)的授權(quán)范圍和安全使用

要求；

b)應(yīng)對利用多源數(shù)據(jù)進行大數(shù)據(jù)分析的過程進行日志記錄，以備對分析結(jié)果質(zhì)量、真實性和合

規(guī)性進行數(shù)據(jù)溯源；

c)應(yīng)對利用數(shù)據(jù)分析算法輸出的結(jié)果進行風險評估，避免分析結(jié)果輸出中包含可恢復(fù)的個人信

息、重要數(shù)據(jù)等數(shù)據(jù)和結(jié)構(gòu)標識，從而防止個人信息、重要數(shù)據(jù)等敏感信息的泄漏；

d)應(yīng)對平臺數(shù)據(jù)分析算法的變更進行風險評估。

8.3數(shù)據(jù)處理環(huán)境

數(shù)據(jù)處理環(huán)境安全要求包括：

a)數(shù)據(jù)處理系統(tǒng)或平臺應(yīng)與身份及訪問管理平臺實現(xiàn)聯(lián)動，用戶在使用數(shù)據(jù)處理系統(tǒng)或平臺前

已獲得了授權(quán)；

b)應(yīng)保證對不同數(shù)據(jù)使用者在數(shù)據(jù)處理平臺中的數(shù)據(jù)、系統(tǒng)功能、會話、調(diào)度和運營環(huán)境等資

源實現(xiàn)隔離控制；

c)應(yīng)建立數(shù)據(jù)處理日志管理工具，記錄用戶在數(shù)據(jù)處理平臺上的加工操作，以備后期追溯；

d)應(yīng)對用戶在數(shù)據(jù)處理平臺上對數(shù)據(jù)的操作開展定期審計，確定用戶對數(shù)據(jù)的加工未超出前期

申請數(shù)據(jù)時的目的。

9數(shù)據(jù)使用

9.1訪問控制

9.1.1對被授權(quán)訪問個人信息的人員，應(yīng)建立最小授權(quán)的訪問控制策略，使其只能訪問職責所需的最

小必要的個人信息，且僅具備完成職責所需的最少的數(shù)據(jù)操作權(quán)限。

9.1.2對個人信息的重要操作應(yīng)設(shè)置內(nèi)部審批流程，如進行批量修改、拷貝、下載等重要操作。

9.1.3對安全管理人員、數(shù)據(jù)操作人員、審計人員的角色應(yīng)進行分離設(shè)置。

9.1.4授權(quán)特定人員超權(quán)限處理個人信息時，應(yīng)經(jīng)個人信息保護責任人或個人信息保護工作機構(gòu)進行

審批，并記錄留檔。

9.1.5對個人敏感信息的訪問、修改等操作行為，宜在對角色權(quán)限控制的基礎(chǔ)上，按照業(yè)務(wù)流程的需

求觸發(fā)操作授權(quán)。

示例：當收到客戶投訴，投訴處理人員才可訪問該個人信息主體的相關(guān)信息。

9.2展示限制

7

T/CIXXX—2023

涉及通過界面（如顯示屏幕、紙面）展示個人信息時，個人信息控制者宜對需展示的個人信息采取

去標識化處理，降低個人信息在展示環(huán)節(jié)的泄露風險。

示例：在個人信息展示時，防止內(nèi)部非授權(quán)人員及個人信息主體之外的其他人員未經(jīng)授權(quán)獲取