国浩视点 | 浅谈健康医疗数据的分类分级保护与重要数据识别

《数据安全法》第21条规定了全国范围内各行业、各领域应当建立数据分类分级保护制度并针对重要数据加强保护。目前，国务院部委已陆续发布了综合性数据分类分级标准规范，如《信息技术 大数据 数据分类指南》《数据安全技术 数据分类分级规则》，以及行业性标准规范，如《金融数据安全 数据安全分级指南》《基础电信企业重要数据识别指南》《信息安全技术 健康医疗数据安全指南》《智能制造 工业数据 分类原则》《证券期货业数据安全风险防控 数据分类分级指引》。

然而，尽管有诸多标准规范，实务中具体到特定行业或领域，各行业各领域主管部门及企事业单位在面对数据分类分级管理与重要数据识别认定时仍然会遇到操作困难。因此，本文拟聚焦健康医疗行业，先搭建健康医疗数据的分类分级保护框架，再阐述该领域重要数据的识别与类型，以期为业内同行提供参考。

(一) 健康医疗数据的分类保护

健康医疗数据（health data）是指在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据，包括个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据。 ^[注1] 显然，健康医疗数据这一概念本身已经是按照行业领域进行初次数据分类得来的，这一分类便于国家的宏观管理。然而，数据分类保护的任务绝不止于此。在健康医疗数据内部还应按照业务属性进行细化分类。

1. 数据分类的一般方式

根据《数据安全技术 数据分类分级规则》提供的方法，按照业务属性进行数据分类有以下几种：

表1：数据分类的一般方式

2. 健康医疗数据的分类

按照《广东省健康医疗数据安全分类分级管理技术规范》，健康医疗数据可以分为个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据以及公共卫生数据等类别。

(1) 个人属性数据

个人属性数据是指单独或者与其他信息结合能够识别特定自然人的数据。个人属性数据属于与个人身份识别具有高度关联的数据，通常用于识别特定自然人。个人属性数据与健康状况或医疗行为并无直接关系，但却是对健康医疗数据进行个体化标识的基础。

(2) 健康状况数据

健康状况数据是指能反映个人健康情况或同个人健康情况有着密切关系的数据。健康状况数据是健康医疗数据的重要内容，健康医疗数据可以反映个体或特定群体的健康状况。

(3) 医疗应用数据

医疗应用数据是指能反映医疗保健、门诊、住院、出院和其他医疗服务情况的数据。医疗应用数据是反映健康状况数据形成过程的数据，是书面形式或电子数据形式对于诊疗过程的再现。

(4) 医疗支付数据

医疗支付数据是指医疗或保险等服务中所涉及的与费用相关的数据。医疗支付数据具有健康医疗数据与金融数据的双重属性。

(5) 卫生资源数据

卫生资源数据是指那些可以反映卫生服务人员、卫生计划和卫生体系的能力与特征的数据。卫生资源数据与个人信息无关，而主要反映医院的基本数据及运营数据。

(6) 公共卫生数据

公共卫生数据是指关系到国家或地区大众健康的公共事业相关数据。

表2：健康医疗数据分类示例

(二) 健康医疗数据的分级保护

1. 数据分级的一般方式

根据数据在经济社会发展中的重要程度，以及一旦遭到泄露、篡改、损毁或者非法获取、非法使用、非法共享，对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益造成的危害程度，将数据从高到低分为核心数据、重要数据、一般数据三个级别。

核心数据(core data)是指对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的，一旦被非法使用或共享，可能直接影响政治安全的重要数据。核心数据主要包括关系国家安全重点领域的数据，关系国民经济命脉、重要民生、重大公共利益的数据，经国家有关部门评估确定的其他数据。

重要数据(key data)是指特定领域、特定群体、特定区域或达到一定精度和规模的，一旦被泄露或篡改、损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全的数据。仅影响组织自身或公民个体的数据一般不作为重要数据，例如，企业高层内部会议形成的会议纪要。

一般数据(general data)是指核心数据、重要数据之外的其他数据。

表3：数据级别确定规则表

2. 健康医疗数据的分级

按照《信息安全技术 健康医疗数据安全指南》的要求，健康医疗数据可以根据数据重要程度、风险级别以及对个人健康医疗数据主体可能造成的损害和影响分为以下五级。

表4：健康医疗数据的基本分级

然而，显然可见，表4与表3并非一一对应的关系。表4并未遵循一般数据、重要数据、核心数据的三级逻辑，而是另行根据数据的可访问使用范围区分了五个级别。不仅如此，仔细辨别可以发现，表4所列的五个级别数据实质上均是属于一般数据的范畴内。

一般数据与核心数据、重要数据的本质区别在于对国家安全、经济运行、社会秩序、公共利益、组织权益、个人权益的危害程度。按照表3，仅对组织权益、个人权益构成危害而不涉及国家安全、经济运行、社会秩序、公共利益危害的数据属于一般数据。反过来说，涉及对国家安全、经济运行、社会秩序、公共利益构成较高程度危害的数据可能被相应定级为核心数据或重要数据。在表4所列的具体例子中，即便是最高的第5级数据遭到非法泄露，所造成的损害也仅仅是针对个人主体或者医院自身的，不构成对社会公共利益的损害。因此，表4看似未采纳数据分类的一般方式，实际上这个细化分类方式已经是在一般方式的框架下展开的。

但这又引发了新的问题——健康医疗数据领域难道不存在关涉国家安全和社会公共利益的核心数据和重要数据吗？

(一) 识别认定方式

健康医疗领域重要数据的识别认定可以按照以下两个步骤展开。

第一 ，健康医疗领域重要数据的识别认定应遵循表3中重要数据的基本界定规则进行，即从对国家安全、经济运行、社会秩序、公共利益几个方面的危害程度进行认定。

第二 ，《数据安全技术 数据分类分级规则》的附录G提供了《重要数据识别指南》，列出了在军事、科技、文化、资源等各领域识别重要数据的标准指引，其中可能可以作为健康医疗领域识别指引的是：

第n项，“ 反映生物技术研究、开发和应用情况，反映族群特征、遗传信息，关系重大突发传染病、动植物疫情，关系生物实验室安全，或可能被利用制造生物武器、实施生物恐怖袭击，关系外来物种入侵和生物多样性，如重要生物资源数据、微生物耐药基础研究数据 ”；

第p项，“ 反映国家或地区群体健康生理状况，关系疾病传播与防治，关系食品药品安全，如涉及健康医疗资源、批量人口诊疗与健康管理、疾控防疫、健康救援保障、特定药品实验、食品安全溯源的数据 ”。

据此，按健康医疗数据分类来说，公共卫生数据（传染病疫情数据、疾病监测数据、疾病预防数据、出生死亡数据）由于涉及众多个人健康数据的整合，可能反映重要生物信息或群体健康状况，而可能会被归入健康医疗领域的重要数据，甚至在特定情况下构成国家核心数据。

(二) 典型重要数据：人类遗传资源数据

在健康医疗领域，目前仅有一类数据被国家级标准规范明确确认为重要数据，即人类遗传资源数据。《信息安全技术 健康医疗数据安全指南》指出，“ 涉及人类遗传资源数据（是指含有人体基因组、基因及其产物的器官、组织、细胞、血液、制备物、重组脱氧核糖核酸（DNA）构建体等遗传材料的信息资料）等重要数据的，按照相关部门要求执行。 ”

人类遗传资源数据包含着与个体或群体遗传信息。遗传资源信息的分析，对于疾病诊疗、生物医药开发、健康干预、基因工程应用都有重要的价值。相应地，如果人类遗传资源数据遭遇境内外非法采集和泄露，可能对个人或人群造成严重的健康和安全风险，破坏公众对医疗和科研机构的信任，影响国家的科技竞争力，对国家安全、社会和公共利益带来严重危害。因此，我国现行法律法规规章及配套文件对人类遗传资源的采集、保藏和出境作出了严格的管控要求。

表5：现行人类遗传资源数据法律规范体系

具体而言，境内采集和保藏方面，现行法规定了人类遗传资源信息采集和保藏单位的资质要求，境外组织及境外组织、个人设立或者实际控制的机构以及境外个人不得在我国境内采集、保藏我国人类遗传资源，不得向境外提供我国人类遗传资源。境内单位的采集和保藏活动亦需要符合特定要求并经国务院卫生健康主管部门批准。保藏单位还应当采取安全措施，制定应急预案，并每年向科技部提交本单位保藏人类遗传资源情况年度报告。

出境交流方面，外国组织及外国组织、个人设立或者实际控制的机构需要利用我国人类遗传资源开展科学研究活动的，应当遵守我国法律、行政法规和国家有关规定，并采取与我国科研机构、高等学校、医疗机构、企业合作的方式进行。利用我国人类遗传资源开展国际合作科学研究，或者因其他特殊情况确需将我国人类遗传资源材料运送、邮寄、携带出境的，应当对我国公众健康、国家安全和社会公共利益没有危害，有明确的境外合作方和合理的出境用途，采集合法或来自合法的保藏单位，通过伦理审查，并取得出境证明。如果将人类遗传资源信息向外国组织、个人及其设立或者实际控制的机构提供或者开放使用的，应当向国务院卫生健康主管部门备案并提交信息备份，可能影响我国公众健康、国家安全和社会公共利益的，还应当通过安全审查。

为保护健康医疗领域数据安全，降低数据遭受篡改、破坏、泄露、丢失或非法利用的可能，满足国家相关法律法规及行业监管要求，有效提升数据安全防护能力，多家医院实施了数据安全治理项目。

例如，福建省某三甲医院医疗数据安全治理项目在完善数据安全制度建设、数据资产梳理、分类分级、数据安全风险评估工作的基础上，通过对敏感数据的分布情况、数据资产安全隐患和数据使用的实际情况的掌握，有针对性地加强数据安全整体防御的各项措施，实现数据安全管控，可以有效地防止数据库高危操作、敏感数据泄露等安全风险，提升医院的整体数据安全防护能力。在数据分类分级层面，项目供应商根据国家、地方或行业法律法规，结合医院实际业务，协助医院共同制定《数据分类分级规范》，并依据制定的规范对目标系统开展分类分级工作。基于个人信息安全规范、语义内容分析、正则表达式等对个人敏感数据和重要业务进行自动识别辅以人工打标相结合，完成数据资产分类分级打标工作，标识敏感数据，进行分类统计，建立重要的数据目录，为数据安全治理各项工作开展提供参考依据。 ^[注2]

再如，西安国际医学中心医院围绕HIS系统开展数据安全分类分级实践，整个项目实施过程从规划到落地，包括需求调研、数据资源梳理、数据分类分级策略制定、实施落地四个阶段。项目通过前述方案实现构建符合现状的数据安全分类分级标准体系、建立符合医院现状的数据安全分类分级标准管理机制、确立行之有效的数据安全分类分级建设方法的目标。 ^[注3]

又如，浙江大学医学院附属第四医院联合相关企业开展医疗健康数据分类分级与数据资产管理工作。 ^[注4] 医疗健康数据分类分级治理方法旨在建立一套全面的医疗健康数据管理系统，该系统可以根据数据的敏感性和重要性将数据分类分级，以确保数据的安全性和合规性。其关键技术包括：数据分类访问控制、数据高度互操作性、患者信息隐私管理。该项目与相关安全设备实现联动，有效保护了医疗健康数据资产在重大活动和被动攻击中的安全性，突破了长期困扰业界的落地难瓶颈，不仅能够帮助医疗健康领域提高数据管理效率、提供更为精准的数据隐私保护，还能为浙江省与全国医疗健康领域及其他行业领域的数据分类分级、数据资产管理的规范细化完善和全面实施，提供了一个全新的有效路径指引和实践案例。 ^[注5]

我国《数据安全法》规定的数据分类分级保护制度，其核心在于对不同重要性和风险等级的数据匹配不同程度的保护和管制措施。 ^[注6] 健康医疗领域实施数据分类分级保护的特点在于，数据分类方面，健康医疗数据可以根据业务属性细分出较为精细和系统的类别框架，便于医疗机构进行整理；数据分级方面，由于绝大部分健康医疗数据会不同程度地反映个人信息和隐私，健康医疗数据的细化分级体系主要是为了区分保护患者的个人信息和隐私权益。

不过同时，有的类型的健康医疗数据也关切着国家利益和社会公共利益，因而需要按照重要数据甚至是核心数据进行加强保护。对此，《数据安全技术 数据分类分级规则》提供了《重要数据识别指南》，公共卫生数据可能依此被识别认定为重要数据。以及，人类遗传资源数据是现行法律法规重点关注和保护的对象，也是健康医疗领域典型的重要数据，其采集、保藏和出境交流均受到严格的法律管控，需要满足相应的合规要求。

【 特别声明：本篇文章所阐述和说明的观点仅代表作者本人意见，仅供参考和交流，不代表本所或其律师出具的任何形式之法律意见或建议。】