《湖北數據集團：2025醫療數據合規白皮書（105頁）.pdf》由會員分享，可在線閱讀，更多相關《湖北數據集團：2025醫療數據合規白皮書（105頁）.pdf（105頁珍藏版）》請在三個皮匠報告上搜索。

1、第 1 頁-醫療數據合規白皮書發發起起單單位位參編單位（排名不分先后）東東湖湖高高新新公公共共衛衛生生服服務務中中心心 武武漢漢市市第第九九醫醫院院健健康康管管理理中中心心湖湖北北病病理理科科技技有有限限公公司司 北北京京市市京京師師（深深圳圳）律律師師事事務務所所北北京京市市京京師師（成成都都）律律師師事事務務所所北北京京市市京京師師（長長沙沙）律律師師事事務務所所北北京京市市京京師師（青青島島）律律師師事事務務所所北北京京市市京京師師（鄭鄭州州）律律師師事事務務所所上上海海中中聯聯（武武漢漢）律律師師事事務務所所北北京京瀛瀛和和（廣廣州州）律律師師事事務務所所湖湖北北觀觀筑筑律律師師事事務

2、務所所廣廣西西成成一一律律師師事事務務所所編委會王王忠忠浩浩 李李曉曉宇宇 魏魏 欣欣 干干志志文文 余余 陽陽 姜姜保保國國 彭彭 聰聰 古古 偉偉 段段先先明明 李李文文彬彬李李 柏柏鐘鐘 正正 劉劉晨晨璐璐 孫孫 童童 徐徐鑫鑫沂沂 胡胡 濤濤 曹曹治治元元 付付慶慶剛剛 饒饒國國榮榮 徐徐之之桓桓鄧鄧正正聰聰 楊楊光光勇勇 陳陳嵐嵐 王王巖巖飛飛 樊樊思思琪琪 聶聶雯雯珺珺 張張鐵鐵臣臣 鄧鄧子子怡怡 王王海海文文 姚姚雪雪芹芹張張茗茗莉莉 張張嘉嘉駿駿 周周瑩瑩 姜姜美美紅紅 劉劉增增 潘潘月月星星 閆閆和和明明 余余凱凱 馮馮丹丹 李李佳佳玥玥 陳陳雙雙朱朱波波琪琪 羅羅虎虎昌昌

3、萬萬壽壽 袁袁海海強強 韋韋煒煒第 1 頁目錄目錄一、醫療數據概述.1二、醫療數據相關法律、行政法規、部門規章等規范性文件.2三、醫療數據的法律屬性.4（一）個人信息與隱私權屬性.4（二）公共數據與國家戰略資源屬性.5（三）重要數據與國家安全屬性.6四、醫療數據全生命周期合規要點.7（一）醫療數據一般性合規要點.71.數據處理者應盡的安全保障義務.72.醫療數據來源合規要點.143.醫療數據存儲合規要點.204.醫療數據共享合規要點.215.醫療數據銷毀合規要點.24（二）特殊場景下的醫療數據合規要點.271.處理人類遺傳資源信息場景.272.倫理安全審查場景.283.公共數據授權運營場景.2

4、94.醫療領域人工智能場景.315.醫療數據出境場景.38（三）典型場景數據安全.441.醫生調閱數據場景.442.患者查詢數據場景.473.臨床研究數據場景.484.二次利用數據場景.495.健康傳感數據場景.516.移動應用數據場景.527.商業保險對接場景.548.醫療器械數據場景.55五、其他商業化應用場景.57（一）市場調研與行業分析：精準數據賦能產業發展.58（二）疾病篩查與防控服務：助力疾病的早發現、早干預.58（三）醫療器械不良事件監測：保障器械安全與有效性.59（四）醫檢數據治理與應用：提升醫療數據質量與價值.59（五）AI 輔助醫療健康服務：推動醫療服務智能化升級.60附件

5、 1：醫療數據使用授權協議.61附件 2：交易合同示范文本.69第 1 頁一、醫療數據概述一、醫療數據概述醫療數據是指在醫療保健過程中產生的所有與患者健康、疾病狀態及醫療服務相關的信息，涵蓋從個人診療到公共衛生管理的多種類型數據。主要包括在疾病防治、健康管理、醫療管理、醫學研究等過程中產生的各種數據，1包括患者的個人信息、病歷記錄、藥物購買與使用情況、設備數據、系統記錄等，以及經加工處理之后得到的健康醫療相關電子數據。這些數據通常來源于醫療健康相關的醫院信息系統（HIS）、電子病歷系統（EMR）等信息系統及臨床治療、藥物銷售等活動。2根據國家標準 GB/T 39725-2020信息安全技術-健

6、康醫療數據安全指南，將醫療數據分為個人屬性數據、健康狀況數據、醫療應用數據、醫療支付數據、衛生資源數據以及公共衛生數據等類別，3具體內容如下表所示：數據類別數據類別范圍范圍個人屬性數據1）人口統計信息，包括姓名、出生日期、性別、民族、國籍、職業、住址、工作單位、家庭成員信息、聯系人信息、收入、婚姻狀態等；2）個人身份信息，包括姓名、身份證、工作證、居住證、社?？?、可識別個人的影像圖像、健康卡個人屬性數據號、住院號、各類檢查檢驗相關單號等；3）個人通訊信息，包括個人電話號碼、郵箱、賬號及關聯信息等；4）個人生物識別信息，包括基因、指紋、聲紋、掌紋、耳廓、虹膜、面部特征等；5）個人健康監測傳感設備

7、 ID 等。健康狀況數據主訴、現病史、既往病史、體格檢查（體征）、家族史、癥狀、檢驗檢查數據、遺傳咨詢數據、健康狀況可穿戴設備采集的健康相關數據、生活方式、基因測序、轉錄產物測序、蛋白質分析測定、代1參見謝小萍;何曉波;高雅潔;李衛：涉及健康醫療大數據研究的倫理審查問題思考，載中國醫學倫理學2021 年；參見王哲;鄧勇：健康醫療數據權利歸屬制度構建：現狀、必要性與關注點，載衛生軟科學2024 年。2參見網址 https:/ 年；參見陳怡：健康醫療數據共享與個人信息保護問題研究，載情報雜志2023 年。第 2 頁謝小分子檢測、人體微生物檢測等。醫療應用數據門（急）診病歷、住院醫囑、檢查檢驗報告、

8、用藥信息、病程記錄、手術記錄、麻醉記錄、輸血及醫療應用數據錄、護理記錄、入院記錄、出院小結、轉診（院）記錄、知情告知信息等。醫療支付數據1）醫療交易信息，包括醫保支付信息、交易金額、交易記錄等；醫療支付數據；2）保險信息，包括保險狀態、保險金額等。衛生資源數據醫院基本數據、醫院運營數據等。衛生資源數據醫院基本數據、醫院運營數據等。公共衛生數據環境衛生數據、傳染病疫情數據、疾病監測數據、疾病預防數據、出生死亡數據等。*來源：GB/T 39725-2020信息安全技術 健康醫療數據安全指南二、醫療數據相關法律、行政法規、部門規章等規范性文件二、醫療數據相關法律、行政法規、部門規章等規范性文件法律法

9、律中華人民共和國民法典中華人民共和國刑法中華人民共和國個人信息保護法中華人民共和國數據安全法中華人民共和國網絡安全法中華人民共和國生物安全法中華人民共和國基本醫療衛生與健康促進法行政法規行政法規全國人口普查條例關鍵信息基礎設施安全保護條例醫療機構管理條例中華人民共和國人類遺傳資源管理條例醫療保障基金使用監督管理條例網絡數據安全管理條例部門規章部門規章醫療機構病歷管理規定人口健康信息管理辦法（試行）第 3 頁國家健康醫療大數據標準、安全和服務管理辦法（試行）醫療器械臨床試驗質量管理規范醫療器械說明書和標簽管理規定人類遺傳資源管理條例實施細則規范性文件規范性文件數據出境安全評估辦法網絡安全審查辦法

10、電子病歷系統功能規范（試行）電子病歷應用管理規范（試行）醫療衛生機構網絡安全管理辦法遠程醫療信息系統建設技術指南醫療器械網絡安全注冊技術審查指導原則人工智能醫用軟件產品分類界定指導原則涉及人的生命科學和醫學研究倫理審查辦法電子病歷共享文檔規范系列標準藥品記錄與數據管理要求（試行）藥物臨床試驗質量管理規范（2020 修訂）互聯網診療管理辦法（試行）互聯網醫院管理辦法（試行）互聯網醫院基本標準（試行）遠程醫療服務管理規范（試行）真實世界數據用于醫療器械臨床評價技術指導原則（試行）衛生健康行業數據分類分級指南（試行）用于產生真實世界證據的真實世界數據指導原則（試行）政策文件政策文件深化醫藥衛生體制改

11、革 2024 年重點工作任務關于進一步完善醫療衛生服務體系的意見“十四五”全民健康信息化規劃關于促進“互聯網+醫療健康”發展的意見關于促進和規范健康醫療大數據應用發展的指導意見第 4 頁關于推進醫療機構遠程醫療服務的意見衛生行業信息安全等級保護工作的指導意見國家標準國家標準信息安全技術 信息系統通用安全技術要求（GB/T 20271-2006）信息技術安全技術信息安全管理體系要求（GB/T22080-2016）信息安全技術 網絡安全等級保護基本要求（GB/T 22239-2019）信息安全技術 個人信息安全影響評估指南（GB/T 39335-2020）信息安全技術 個人信息安全規范（GB/T

12、35273-2020）信息安全技術健康醫療數據安全指南（GB/T 39725-2020）信息安全技術 基因識別數據安全要求（GBT 41806-2022）醫療器械 質量管理體系 用于法規的要求（GB/T 42061-2022）數據安全技術 數據分類分級規則（GB/T 43697-2024）行業標準行業標準面向互聯網應用的健康醫療數據應用脫敏技術要求（YD/T6184-2024）醫療器械軟件 軟件生存周期過程(YY/T 0664-2020)遠程醫療信息系統基本功能規范（WS/T 5292016）基于人工智能的多中心醫療數據協同分析平臺參考架構（YD/T4043-2022）互聯網醫療健康信息安全管

13、理規范（征求意見稿）醫療器械生產許可與備案管理基本數據集（征求意見稿）醫療器械經營許可與備案管理基本數據集（征求意見稿）*為方便閱讀，以下正文中涉及的法律法規將采用簡稱，如民法典個人信息保護法人類遺傳資源管理條例。三、醫療數據的法律屬性三、醫療數據的法律屬性（一）個人信息與隱私權屬性（一）個人信息與隱私權屬性根據 個人信息保護法 第二十八條明確將醫療健康信息列為敏感個人信息，處理此類信息時需單獨取得患者書面同意。民法典第一千零三十四條規定，第 5 頁自然人的健康信息受法律保護，泄露患者隱私需承擔侵權責任。在醫療實踐中產出的個人屬性數據、健康狀況數據、醫療應用數據、醫療支付數據均屬于個人信息；收

14、入信息、社?？ㄐ畔?、個人生物識別信息、健康狀況數據、醫療應用數據、醫療支付數據均屬于敏感個人信息。個人醫療數據直接關聯個體健康狀況，如基因數據、傳染病史等可能引發歧視或人身風險。因此，患者對診療數據的收集、使用共同享有控制權，醫療數據處理者在采集這些信息時需要履行充分的告知義務并取得患者的單獨同意。在醫療實踐中產生的基因、遺傳咨詢數據、基因測序、轉錄產物測序、蛋白質分析測定、代謝小分子檢測均屬于遺傳資源信息。國務院發布的人類遺傳資源管理條例中對人類遺傳資源的各項管理予以規定。該條例指出，人類遺產資源包括人類遺傳資源材料和人類遺傳資源信息。其中，人類遺傳資源材料是指含有人體基因組、基因等遺傳物質

15、的器官、組織、細胞等遺傳材料；人類遺傳資源信息則是指利用人類遺傳資源材料產生的數據等信息資料。4醫療與醫學研究活動中，涉及對人類遺傳資源信息的處理時，需遵守該條例的相關規定。（二）公共數據與國家戰略資源屬性（二）公共數據與國家戰略資源屬性公共數據是國家機關、事業單位以及其他依照法律法規授權，具有管理公共事務職能或提供公共服務的組織，在依法履行公共管理職責或者提供公共服務過程中收集、產生的數據。5醫療數據的權屬涉及三方主體：公民、醫療數據處理者和政府部門。公民作為原始醫療數據的產生者，往往基于隱私權，有權對醫療數據的開發和利用加以限制，以維護其合法權益。醫療數據處理者在履行公共服務職能過程中產生

16、或獲取的，以一定形式記錄保存的，與公眾健康相關的數據（包括但不限于疾病監測數據、疫苗接種數據、醫療費用統計數據等）為公共數據。4參見李雅琴;惠學：人類遺傳資源提供者利益分享的正當性探討，載中國醫學倫理學2021 年。5參見黃朝椿：論基于供給側的數據要素市場建設，載中國科學院院刊2022 年。第 6 頁這些數據反映了區域乃至國家整體醫療狀況，對政府單位進行公共衛生決策、醫療資源分配等具有重要意義。醫療數據作為公共數據的重要組成部分，對于公共衛生領域的決策制定具有不可替代的作用。通過對特定范圍內的醫療數據進行收集、整合與分析，衛生部門能夠實時監測各類疾病的發病趨勢、流行特征以及地域分布情況，從而及

17、時制定科學合理的公共衛生防控策略。同時，醫療數據還為公共衛生資源的合理配置提供依據。通過分析不同地區、不同人群的疾病譜和醫療服務需求，衛生部門可以合理規劃醫療機構的布局、醫療設備的配備以及醫療衛生人員的分配，提高公共衛生資源的利用效率。在國家實施健康中國戰略的大背景下，醫療數據發揮著關鍵作用。健康中國戰略旨在提高全民健康水平，實現健康公平，而醫療數據是評估健康中國戰略實施效果的重要依據。通過對醫療數據的長期跟蹤和分析，可以監測居民健康素養水平的提升情況、疾病預防控制效果、醫療服務可及性和質量改善情況等，為戰略的調整和優化提供數據支持。例如，通過對不同地區居民健康體檢數據的分析，了解居民的健康狀

18、況和主要健康問題，針對性地開展健康教育和健康促進活動，增強居民的健康意識和自我保健能力。同時，醫療數據的整合與共享有助于打破醫療信息孤島，促進醫療服務的協同發展，提升整體醫療服務水平，為實現健康中國戰略目標奠定堅實基礎。（三）重要數據與國家安全屬性（三）重要數據與國家安全屬性醫療數據與患者個人關系密切，同時還涉及國家安全問題，因此在數據分級上很可能涉及對敏感個人信息、重要數據或核心數據的分類分級。如果構成重要數據或核心數據，就需要符合重要數據或核心數據的相關規定來進行合規管理。根據數據安全技術 數據分類分級規則（GB/T 43697-2024）的級別確定規則，重要數據指特定領域、特定群體、特定

19、區域或達到一定精度和規模的，一第 7 頁旦泄露或篡改、損毀，可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全的數據。6核心數據指對領域、群體、區域具有較高覆蓋度或達到較高精度、較大規模、一定深度的，一旦被非法使用或共享，可能直接影響政治安全的重要數據。根據國家衛健委 2024 年發布的衛生健康行業數據分類分級指南（試行）第十二條規定，原則上應納入重要數據的建議范圍：（一）涉及 100 萬人及以上個人信息或 10 萬人及以上敏感個人信息；（二）全國性的業務數據，如涉及 10萬人的群體健康生理狀況數據；涉及 1 萬人的族群生物特征數據、醫療資源數據；涉及 10 萬人的診療數據、醫療救援保障

20、數據、特定藥品實驗數據等；（三）經評估的其他數據。第十三條規定，原則上應納入核心數據的建議范圍：（一）1000萬人以上個人信息或 100 萬人以上敏感個人信息；（二）覆蓋某一重要群體全部個體的數據，特定時期特定區域的群體數據；（三）涉及 1000 萬人及以上，經過計算加工生成的，對數據描述對象有較深刻畫程度，且影響國家安全的衍生數據；（四）經評估的其他數據。從上述對重要數據和核心數據的界定來看，覆蓋范圍廣、數據體量高的醫療數據構成重要數據或核心數據的門檻相對較低，因此需要履行更為嚴苛的合規義務，在確保合規的前提下才能進行流通。四、醫療數據全生命周期合規要點四、醫療數據全生命周期合規要點（一）醫

21、療數據一般性合規要點（一）醫療數據一般性合規要點1.數據處理者應盡的安全保障義務（1）安全認證要求網絡安全等級保護三級認證：“三級等?！笔俏覈鴮Ψ倾y行機構的最高等6參見數據安全技術 數據分類分級規則（GB/T 43697-2024）。第 8 頁級保護認證，被定級為等保三級的系統主要適用于金融、醫療、政務等高敏感行業。通過“三級等?！闭J證，表明企業的信息安全管理能力達到國內最高標準?！叭壍缺！钡募夹g要求主要包括物理安全、網絡安全、主機安全、應用安全和數據安全五個方面。物理安全：機房應區域劃分至少分為主機房和監控區兩個部分；機房應配備電子門禁系統、防盜報警系統、監控系統；機房不應該有窗戶，應配備

22、專用的氣體滅火系統、備用發電機。網絡安全：應繪制與當前運行情況相符合的拓撲圖；交換機、防火墻等設備配置應符合要求，例如應進行 Vlan 劃分并確保各 Vlan 邏輯隔離，配置 Qos 流量控制策略，并設置訪問控制策略，重要網絡設備和服務器應進行 IP/MAC 綁定等；應配備網絡審計設備、入侵檢測或防御設備；交換機和防火墻的身份鑒別機制要滿足等保要求，例如用戶名密碼復雜度策略、登錄訪問失敗處理機制、用戶角色和權限控制等；網絡鏈路、核心網絡設備和安全設備，需要提供冗余性設計。主機安全：服務器的自身配置應符合要求，例如應具備身份鑒別機制、訪問控制機制、安全審計機制和防病毒等，必要時可購買第三方的主機

23、和數據庫審計設備；服務器（應用和數據庫服務器）應具備冗余性，例如支持雙機熱備或集群部署等；服務器和重要網絡設備在上線前需要進行漏洞掃描評估，不應有中高級別以上的漏洞（例如 Windows 系統漏洞、Apache 等中間件漏洞、數據庫軟件漏洞、其他系統軟件及端口漏洞等）；應配備專用的日志服務器保存主機、數據庫的審計日志。應用安全：應用自身的功能應符合等保要求，例如應具備身份鑒別機制、審計日志、通信和存儲加密等；應用端應考慮部署網頁防篡改設備；應用的安全評估（包括應用安全掃描、滲透測試及風險評估），應確保不存在中高級風險以上的安全漏洞（例如 SQL 注入、跨站腳本、網站掛馬、網頁篡改、敏感信息泄露

24、、第 9 頁弱口令和口令猜測、管理后臺漏洞等）；應用系統產生的日志應保存至專用的日志服務器。數據安全：應建立數據本地備份機制，確保每日備份至本地，并存放于異地；如系統中存在核心關鍵數據，應通過網絡等方式提供異地數據備份功能，確保數據安全性。三級等保的管理制度要求涵蓋安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理。ISO 體系認證：截至目前，國際標準化組織（ISO）已經發布了 25,000 多項標準，涵蓋了技術、管理和制造的各個領域。其中適用于醫療數據的 ISO 標準主要有 ISO 7101、ISO 13485、ISO 14971、ISO 15189、ISO/IEC 270

25、01、ISO/ASTMTR 52916、ISO/IEC 20000、ISO/IEC 27701 等。（2）數據安全組織設立要求數據處理者應成立網絡安全和信息化工作領導小組，由單位主要負責人擔任領導小組組長。網絡數據安全負責人應當具備網絡數據安全領域的專業知識和相關管理經驗，并由數據處理者的管理層成員擔任。網絡數據安全負責人的核心職責包括但不限于監督數據安全策略的實施、組織定期的安全培訓與演練、協調應對數據安全事件等，并依法享有直接向有關主管部門報告所在單位網絡數據安全狀況的權利，以確保在數據安全事件發生時，能夠迅速、準確地傳達信息，爭取寶貴的應對時間。（3）數據安全制度要求各數據處理者應建立健

26、全數據安全制度、操作規程及技術規范，涉及的管理制度每年至少修訂一次。依據數據安全法網絡安全法和個人信息保護法等規范性文件的要求，數據處理者至少應當建立數據分類分級制度、訪問控制與權限控制制度、數據安全評估與審計制度、應急預案與事件響應制度、數據安全培訓制度等。第 10 頁序號序號制度名稱制度名稱核心要素核心要素法律法律/標準依據標準依據1數據分類分級制度分類（6 大類）、分級（3級/5 級）、敏感性分級（核心/重要/一般）、差異化保護、動態調整數據安全法個人信息保護法網絡數據安全管理條例信息安全技術 健康醫療數據安全指南 數據安全技術 數據分類分級規則2訪問控制與權限控制制度身份鑒別（雙因素）

27、、權限分級（RBAC）、操作可追溯（日志留存）個人信息保護法網絡安全法信息安全技術 健康醫療數據安全指南電子病歷應用管理規范（試行）3數據安全評估與審計制度操作日志記錄、DSMM 評估、第三方審計數據安全法網絡安全等級保護條例4應急預案與事件響應制度應急預案制定、應急演練、事件追責數據安全法網絡安全法5數據安全培訓制度由數據安全負責人和組織定期負責開展數據安全教育培訓數據安全法數據分類分級制度根據法律法規的相關要求，醫療數據處理者應每年對本單位所儲存的醫療數據進行全面梳理，依據醫療數據的重要程度、遭到破壞后的危害程度，建立本單位數據分級標準。醫療數據處理者既可在專業人員的輔助下，依據本單位的醫

28、療數據所涉及的疾病范圍、規模大小等，建立本單位的數據分級標準，也可參考 信息安全技術 健康醫療數據安全指南（GB/T 39725-2020）中的分級標準。數據級別數據級別級別定義級別定義適用場合適用場合1 級可完全公開使用的數據公告2 級可在較大范圍內供訪問使用的數據管理、研究、教育與統計分析3 級可在中等范圍內供訪問使用的數據服務對象告知4 級可在較小范圍內訪問使用的數據，一旦泄露對數據主體造成較高程度損害個性化服務于管理5 級僅能在極小范圍內，在嚴格限制條件下供訪特殊疾病診療第 11 頁問使用的數據，一旦泄露會對數據主體造成嚴重程度的損害同時，醫療數據處理者應按照一定的標準和規則對醫療數據

29、進行分類和整理，不僅有助于提高數據的組織性、可訪問性和可用性，為醫療服務、醫療管理、醫學研究等提供有力支持，還能夠為醫療數據后續存儲過程中的應急響應、容災備份和權限控制制度的落實提供基礎。信息安全技術 健康醫療數據安全指南（GB/T 39725-2020）也為醫療數據處理者提供了可參考的分類標準。數據類別數據類別范圍范圍個人屬性數據1）人口統計信息，包括姓名、出生日期、性別、民族、國籍、職業、住址、工作單位、家庭成員信息、聯系人信息、收入、婚姻狀態等；2）個人身份信息，包括姓名、身份證、工作證、居住證、社?？?、可識別個人的影像圖像、健康卡號、住院號、各類檢查檢驗相關單號等；3）個人通訊信息，包

30、括個人電話號碼、郵箱、賬號及關聯信息等；4）個人生物識別信息，包括基因、指紋、聲紋、掌紋、耳廓、虹膜、面部特征等；5）個人健康監測傳感設備 ID 等。健康狀況數據主訴、現病史、既往病史、體格檢查（體征）、家族史、癥狀、檢驗檢查數據、遺傳咨詢數據、可穿戴設備采集的健康相關數據、生活方式、基因測序、轉錄產物測序、蛋白質分析測定、代謝小分子檢測、人體微生物檢測等。醫療應用數據門（急）診病歷、住院醫囑、檢查檢驗報告、用藥信息、病程記錄、手術記錄、麻醉記錄、輸血記錄、護理記錄、入院記錄、出院小結、轉診（院）記錄、知情告知信息等。醫療支付數據1）醫療交易信息，包括醫保支付信息、交易金額、交易記錄等；2）保

31、險信息，包括保險狀態、保險金額等。衛生資源數據醫院基本數據、醫院運營數據等。公共衛生數據環境衛生數據、傳染病疫情數據、疾病監測數據、疾病預防數據、出生死亡數據等。此外，醫療數據并非一直保持靜態存儲狀態，在采集、交換、使用等過程中，第 12 頁醫療數據處理者需進行動態的數據分類分級，包括對增量醫療數據的持續性分類分級，對已有數據產生變化的醫療數據的持續梳理，以保證醫療數據的動態分類分級，確保數據安全和合規性。數據安全培訓制度醫療數據處理者，為保障醫療數據處理、使用過程的安全性、隱私性和合規性，應制定一系列針對內部員工及數據相關人員的培訓計劃、流程和規范，以提升員工的數據安全意識和技能，以確保醫療

32、數據在收集、存儲、處理、傳輸和使用等各個環節的安全性。具體而言，醫療數據處理者單位內部的數據安全培訓可以從法律法規和政策解讀、數據安全技術與工具、實際案例分析三個角度，基于醫療數據分類分級及崗位風險圖譜，制定差異化培訓方案。數據訪問權限控制制度參照醫療衛生機構網絡安全管理辦法的相關規定，建議醫療數據處理者單位內部嚴格規定不同人員的權限，加強數據使用過程中的申請及批準流程管理，確保數據在可控范圍內使用，加強日志留存及管理工作，杜絕篡改、刪除日志的現象發生，防止數據越權使用。以醫療機構為例，醫療機構可建立數據全生命周期權限控制制度和應急訪問機制。權限管理應根據科室內部入職、轉崗、調崗、離職情況，自

33、動觸發權限分配和控制，如離職后 72 小時內強制回收失去的權限，并掃描殘留服務器。應急訪問機制旨在保證緊急狀態下，如公共衛生事件、急診搶救等情況，系統基于生命體征監測數據或醫務人員的主動申請，解鎖患者過往全部醫療數據。但醫療機構可要求在事后一定時間內補填緊急訪問說明并提交。對于不同科室和人員的權限分配，遵循最小權限原則，例如：管理員僅可配置系統，醫生僅可訪問對應科室患者數據，且禁止使用默認賬戶直接操作系統，并對所有登錄行為經過多因素認證，例如“密碼+動態令牌”或“密碼+生物特征”組合驗證。此外，醫療機構數據存儲服務器應對所有訪問人員的操作進行記錄并第 13 頁留存，包括訪問時間、用戶身份、操作

34、類型、涉及的數據范圍及操作源 IP 地址，日志文件需加密存儲并定期備份，防止篡改。數據安全評估、審計管理制度醫療數據處理者應對已定級備案網絡的安全性定期進行檢測評估，第三級或第四級的網絡應委托等級保護測評機構，每年至少開展一次網絡安全等級測評。第二級的網絡應委托等級保護測評機構定期開展網絡安全等級測評，其中涉及10 萬人以上個人信息的網絡應至少每三年開展一次網絡安全等級測評，其他網絡至少每五年開展一次網絡安全等級測評。此外，醫療數據處理者在網絡運營過程中，應每年開展文檔核驗、漏洞掃描、滲透測試等多種形式的安全自查，及時發現可能存在的問題和隱患。涉及重要數據的醫療數據處理者應當按照規定對其數據處

35、理活動定期開展風險評估，并向有關主管部門報送風險評估報告。風險評估報告應當包括所處理的重要數據的種類、數量，數據處理活動的開展情況，面臨的數據安全風險及其應對措施等。風險評估標準可參照信息安全技術 健康醫療數據安全威脅分析模型（GB/T 39477-2020）更新威脅庫。此外，由于部分醫療數據能夠直接關聯到患者個人，屬于患者個人信息，其數據安全風險評估，應遵循個人信息安全影響評估指南（GB/T 39335-2020）中提供的實施標準和流程。數據映射分析待評估的個人信息處理活動個人權利安全保護措施有效分析個人權利影響程度安全事件可能性程度風險級別數據安全應急響應制度第 14 頁涉及網絡運營的醫療

36、數據處理者應當制定網絡安全事件應急預案和應急處置機制，通過組織應急演練、開展網絡安全攻防演練的方式，提升自身保護和對抗能力，減少計算機病毒、網絡攻擊、網絡侵入等安全風險。在發生危害網絡安全的事件時，相關數據安全負責人應立即啟動應急預案，采取相應的補救措施，并按照規定向有關主管部門報告?？蓞⒖夹畔踩夹g 信息安全應急響應計劃規范（GB/T 24363-2009）從應急響應計劃的編制準備、應急響應計劃的流程到應急響應計劃的測試與維護等方面構建自身的應急響應制度。2.醫療數據來源合規要點（1）醫療數據采集與個人授權醫療數據采集規則A.數據依規采集根據網絡安全法數據安全法和個人信息保護法的相關規定，

37、醫療數據采集應遵循合法、正當、必要原則，明示收集目的與范圍，并經被收集者（數據主體）同意。禁止通過欺詐、誘騙等非法手段獲取醫療數據，強調最小必要原則，僅收集與診療直接相關的必要數據。采集個人健康醫療數據前，需充分告知并取得個人同意。涉及敏感個人信息時，需獲得單獨同意，告知內容包括數據收集目的、方式、范圍、使用期限、數據主體權利及保護措施等。此外，個人信息保護法第十三條規定為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全所必需，數據處理者無需經過患者同意，即可處理個人信息。環節環節合規要求合規要求法律依據法律依據實務操作示例實務操作示例目的限定僅限診療、科研等法定用途個人信

38、息保護法第六條在隱私政策中明確列出數據使用場景（如糖尿病管理、藥物研發）第 15 頁告知同意分層次告知+單獨同意+動態同意機制網絡安全法第四十一條采用分級彈窗：首次收集時告知核心功能所需數據，新增用途時需二次授權最小必要數據量與頻率最低化，避免重復采集個人信息保護法第六條血糖儀僅收集血糖值，不強制要求綁定身份證號特殊場景緊急公共衛生事件可豁免同意個人信息保護法第十三條突發傳染病監測時，疾控機構可依法直接調取患者軌跡數據B.數據統一標準采集為了確保醫療數據的準確性，數據處理者必須制定統一的醫療數據采集標準。統一的標準可以減少信息錄入的重復工作，也能夠保證數據在數據處理者內部各部門之間的數據一致性

39、和可比性。以醫院采集病案數據為例，醫院應根據國際標準，并結合實際工作情況，制定符合醫院特點的采集規范。世界衛生組織（WHO）發布的國際疾病分類（ICD）系統為全球病案數據采集提供了統一標準。醫院應當依據該標準對患者的診斷進行分類，使得病案數據在全球范圍內具有可比性。此外，ICD-10 和 ICD-11 版本的使用，有助于確保數據的統一性，便于醫院之間的數據共享和合作。而在國內實踐中，醫院可以通過建立病案管理委員會，持續完善并細化數據采集流程，在全院范圍內進行推廣，確保院內病案數據采集標準的統一和規范。個人授權規則A.首次授權國家健康醫療大數據標準、安全和服務管理辦法（試行）第二條特別規定：“國

40、家在保障公民知情權、使用權和個人隱私的基礎上，根據國家戰略安全和人民群眾生命安全需要，加以規范管理和開發利用?！睋?，處理醫療數據在遵守數據安全的一般性原則與醫療領域倫理原則的基礎上，還應重點關注民法第 16 頁典個人信息保護法等法律對個人信息主體權利的保護。依據我國個人信息保護法的相關規定，個人信息處理者在處理個人信息時應獲取個人明確的書面同意，處理敏感個人信息應當取得個人單獨同意。醫療數據處理者對于個人醫療數據在必要的范圍內經過一次采集后，應避免對個人醫療數據進行重復、多頭采集。以患者就醫場景為例，醫療機構如需對患者醫療數據進行采集，可在患者就診時通過醫院小程序、手機應用或線下簽署醫療數據

41、使用授權協議（詳見附件 1）。此外，醫療機構處理不滿十四周歲未成年人的醫療數據時，應當取得未成年人的父母或者其他監護人的同意。7醫療機構也應在內部應當制定專門的不滿十四周歲的未成年人的個人醫療數據處理規則，以符合相關法律法規的要求。B.新增授權個人醫療數據作為敏感個人信息，一旦處理目的、處理方式、處理期限、保護措施發生變更，醫療數據處理者應當重新取得個人的明確同意。就重新取得個人明確同意的方式而言，醫療數據處理者可線上通過短信、系統彈窗，線下通過個人重新簽署補充協議的方式，重新獲取個人授權，并保留操作日志和個人簽署記錄。C.告知義務的履行個人信息保護法要求醫療數據處理者在獲取個人醫療數據授權時

42、，為保障個人知情權，應告知個人以下內容：醫療數據處理者的名稱、醫療數據處理者對于醫療數據的處理目的、處理方式，處理的醫療數據的種類、保存期限、個人行使權利的內部方式和程序等。涉及敏感個人信息的，還應向個人告知處理敏感個人信息的必要性以及對個人權益的影響，依照個人信息保護法第十八條規定可以不向個人告知的除外。相關法規相關法規主要內容主要內容具體要求具體要求7參見2023 中國健康醫療行業企業數據出境實用指南及方案介紹，網址為：https:/ 17 頁互聯網個人信息安全保護指南個人信息共享授權告知義務1.在共享、轉讓前應向個人信息主體告知轉讓該信息的目的、規模、公開范圍數據接收方的類型等信息；82

43、.將共享、轉讓情況中包括共享、轉讓的日期、數據量、目的和數據接收方的基本情況在內的信息進行登記。APP 違法違規收集使用個人信息自評估指南個人信息共享、轉讓、公開披露的要求運營者應當在隱私政策中明確對外共享、轉讓、公開披露個人信息的目的、涉及的個人信息類型、接受方類型或身份等。D.授權撤回機制醫療數據處理者應當為個人提供醫療數據的授權撤回渠道。個人可以通過線上或者線下的方式來撤回醫療數據的采集或是使用授權，撤回授權后，醫療數據處理者應當完成數據鏈路清除，但已經過匿名化處理且無法關聯個人身份的科研數據除外。綜上，醫療數據處理者應在醫療數據使用授權協議中明確告知個人授權共享的數據范圍、共享目的、接

44、收方主體信息、聯系方式、個人權利（如知情權、撤回權、訪問權、刪除權、修改權、限制處理權、數據轉移權等）、數據處理者的安全保護措施和制度、授權期限、授權的撤回、免責情形等，在數據共享目的的授權中，不得概括同意，應當逐項列明，以征得個人的明確同意。（2）第三方來源數據審查第三方資質及數據安全保障能力在審查第三方資質時，需要確認第三方是否具備合法的數據獲取資質，查驗第三方機構營業執照、經營許可證（如涉及醫療須具備醫療機構執業許可證）及與數據處理相匹配的資質（如網絡運營公司須具備 增值電信業務經營許可證，涉及人類遺傳資源數據，需確認其是否滿足人類遺傳資源管理條例所列明的要求；涉及關鍵信息基礎設施的，還

45、需確認第三方是否被納入監管范圍并履行相8參見互聯網個人信息安全保護指引，網址為：https:/ 18 頁應義務）對第三方進行數據安全保障能力評估時，應評估第三方是否符合網絡安全等級保護要求，如物理存儲安全、網絡加密安全、系統應用安全、數據備份安全等。確保第三方數據來源合法和授權合規第三方數據收集必須基于個人信息保護法數據安全法等法律規定的合法性基礎，數據采集時還需遵循“最少必要原則”，該原則與行政法領域的“比例原則”類似，信息安全技術健康醫療數據安全指南（GB/T 39725-2020）第 8.3 條對其進行了定義，即指采集的數據不應當超范圍采集，應當根據業務和管理要求，以最少且夠用的標準進行

46、。為進一步審查數據的合法性，可以要求第三方提供數據來源合法性承諾及合法性證明材料，包括取得數據提供方對自行生產、公開收集、間接獲取等數據來源的說明及對數據權屬的合法性承諾函等。簽署數據處理協議為了避免數據提供方與數據接收方可能存在的法律糾紛，在簽署數據處理協議時，就應當對數據本身（數據類型、內容、質量、數量等）、雙方涉數權利義務、法律責任等內容進行明確的約定。作為數據接收方，尤其應當確保數據授權使用范圍滿足實際處理的需要。同時，在簽署數據處理協議后，雙方均須嚴格按照協議約定處理數據。（3）數據質量控制在醫療數據采集和錄入時，數據處理者應對數據質量進行嚴格、準確地控制。數據質量的優劣通常通過數據

47、質量六性進行判斷，包括：準確性（數據是否真實反映客觀事實）、完整性（數據在創建、傳輸過程中無缺失和遺漏）、一致性（多源數據邏輯一致）、有效性（數據的值、格式符合業務標準）、唯一性（同一數據只能有唯一的標識符）、時效性（數據是否按預期時間更新）。以醫療機構對患者數據的采集錄入過程為例，在數據錄入流程上醫療機構可采用電子病歷系統第 19 頁（EMR）、醫療設備接口等自動化采集技術，減少人工錄入錯誤，同時通過邏輯校驗（如性別與診斷關聯）、非空校驗、存在性校驗等確保數據邏輯合理性。其次，要確保數據采集的完整性和一致性，在數據分類時參考國際統一編碼體系（如ICD、LOINC）進行分類，確?？缦到y的一致性

48、。在收集患者數據時要實現患者身份標識唯一化，避免重復記錄，確保不同來源數據（如病歷與質控記錄）的關聯性。最后，要確保數據收集的時效性，數據記錄需符合臨床時間邏輯，并實時更新以反映最新狀態。（4）數據匿名化處理醫療數據處理者在對醫療數據進行處理時，應對醫療數據中能夠關聯到具體個人的信息進行匿名化，如姓名、性別、年齡、住院號、門診號、疾病部位等。匿名化處理是指個人信息經過處理后無法識別特定自然人且不能復原的過程。9經匿名化處理后的數據不再屬于個人信息。通常來說，匿名化的第一步是處理那些能直接識別出個人的數據，比如將直接標識符假名化、加密、抑制或者屏蔽這些信息；第二步，再處理那些間接能識別出個人的數

49、據，比如泛化、隨機化改變這些信息。在此過程中，應確保匿名化處理符合相關法律法規，避免重新識別個人信息的風險。假設進行一個關于睡眠質量的臨床研究，研究者收集了參與者的睡眠期間醫療數據，包括他們的睡眠模式、心率、呼吸頻率等生理指標。原始數據包括：姓名：張三 年齡：20 歲 性別：女 睡眠數據：包括連續 7 晚的心率、呼吸頻率等。匿名化處理后的數據包括：姓名：*；年齡：大于 18歲；性別：*；睡眠數據：心率平均值、呼吸頻率平均值等。在這個例子中，匿名化處理不僅從數據集中移除了姓名、年齡和性別，而且對睡眠期間醫療數據進行了聚合處理（將數據集中的原始數據轉換成更高層次的、概括性的信息），9參見數據要素“

50、三權分置”理論范式及其實踐路徑研究，網址為：https:/ 20 頁以避免通過特定的生理指標反推出個人身份。此外，應定期評估匿名化技術的有效性，確保匿名化數據在多重分析背景下不再具有可識別性。3.醫療數據存儲合規要點（1）存儲空間物理服務器存儲空間：參見上述主體資質部分，為充分保障醫療數據安全，醫療數據處理者可參照網絡安全等級保護三級認證的相關要求，進行合規整改和提升。其中，建議機房區域至少劃分為主機房和監控區兩個部分，配備電子門禁系統、防盜報警系統、監控系統，機房不應該有窗戶，并應配備專用的氣體滅火、備用發電機。也可根據自身的數據安全需求，選擇采用生物識別門禁（如指紋/虹膜識別）結合 24

51、小時監控錄像，并對服務器機柜采用獨立上鎖、防火防潮、防電磁泄漏等技術措施。存儲地點：醫療數據原則上一般存儲在境內。國家健康醫療大數據標準、安全和服務管理辦法（試行）第三十二條規定，健康醫療數據應當存儲在境內安全可信的服務器上，因業務需要確需向境外提供的，應當按照相關法律法規及有關要求進行安全評估審核。對于跨境數據傳輸，醫療數據處理者應確保所涉及的國家或地區具備適當的數據保護水平，并遵循相關國際法規。（2）存儲期限個人健康醫療數據的保存期限應為實現自然人授權醫療數據處理者使用的目的所必需的最短時間。此外，不同醫療數據存儲期限也存在著各種各樣的限制，以病歷數據、處方數據、藥品及醫療器械銷售信息數據

52、為例，其保存期限及要求詳見下表：互聯網診療監管細則（試行）互聯網診療病歷記錄按照門診電子病歷的有關規定進行管理，保存時間不得少于 15 年。診療中的圖文對話、音視頻資料等過程記錄保存時間不得少于 3 年。第 21 頁處方管理辦法普通處方、急診處方、兒科處方保存期限為 1 年，醫療用毒性藥品、第二類精神藥品處方保存期限為 2 年，麻醉藥品和第一類精神藥品處方保存期限為 3 年。處方保存期滿后，經醫療機構主要負責人批準、登記備案，方可銷毀。藥品網絡銷售監督管理辦法藥品網絡銷售企業應當完整保存供貨企業資質文件、電子交易等記錄。銷售處方藥的藥品網絡零售企業還應當保存處方、在線藥學服務等記錄。相關記錄保

53、存期限不少于 5 年，且不少于藥品有效期滿后 1 年。醫療器械網絡銷售監督管理辦法從事醫療器械網絡銷售的企業應當記錄醫療器械銷售信息，記錄應當保存至醫療器械有效期后 2 年；無有效期的，保存時間不得少于 5 年；植入類醫療器械的銷售信息應當永久保存。相關記錄應當真實、完整、可追溯。醫療機構病歷管理規定門（急）診病歷由醫療機構保管的，保存時間自患者最后一次就診之日起不少于 15 年；住院病歷保存時間自患者最后一次住院出院之日起不少于30 年。（3）數據加密和介質管控數據加密是數據系統中保護數據隱私和防止非法訪問、泄露或篡改的主要技術之一。醫療數據處理者應采用安全的通信協議或安全的網絡傳輸通道進行

54、加密傳輸，確保醫療數據在傳輸過程中的安全性。靜態存儲的數據推薦使用 AES-256或國密算法 SM4 進行全盤加密，密鑰必須通過硬件安全模塊（HSM）或密鑰管理系統（KMS）獨立托管，實現密鑰與數據的物理分離。數據傳輸過程中需啟用 TLS1.3 或 IPSec 等強加密協議，禁用 SSL 3.0、TLS 1.0 等存在漏洞的舊版協議。介質管控要求醫療數據處理者對存儲介質進行嚴格管理?？梢曰谏鲜鲠t療數據分級的管理要求，通過介質管控的自動化工具對介質進行登記、控制和定期審計，確保只有授權人員才能訪問和使用這些介質。介質管控還包含對醫療數據的備份和恢復策略的管理，以防止醫療數據丟失或損壞，滿足合規

55、性要求。應定期測試備份數據的恢復能力，確保在緊急情況下能夠快速恢復數據。4.醫療數據共享合規要點醫療數據處理者應該對其共享給其他主體的數據進行有效的安全管理，采取必要的技術和組織措施，保障數據的安全。包括采取數據加密、數據備份和恢復、第 22 頁訪問控制等技術措施，以及制定共享協議、建立數據共享管理機構等組織措施。首先，醫療數據處理者需要對數據接收主體的數據安全能力進行評估，確認其具備相應的數據安全能力，從而保證第三方主體使用、處理數據時的安全和保密性。例如，第三方主體需建立符合等保三級要求的網絡安全防護體系，部署數據加密、匿名化處理（如符合個人信息去標識化指南 GB/T 37964 標準）及

56、動態訪問控制機制。第三方主體的系統管理體系方面，需取得 ISO 27001 信息安全管理體系認證及 ISO 27799 醫療健康信息安全管理認證，并依據數據安全能力成熟度模型（DSMM）達到三級以上能力水平，同時設立專職數據安全官崗位負責合規審查。對第三方的合規性審查應定期進行，并確保數據傳輸協議滿足最新的安全要求。其次，在醫療數據傳輸過程中，數據可能會被截獲、篡改或泄露。因此，在傳輸過程中保護數據的隱私性和完整性顯得尤為重要。加密技術通過將明文數據轉換為密文，確保只有授權方能夠解密和讀取數據，從而保護數據傳輸過程的安全。根據網絡公開的材料，以下簡要羅列了醫療數據可采用的加密傳輸技術及相應優勢

57、與應用前景10。傳輸方式傳輸方式原理與優勢原理與優勢應用與前景應用與前景量子加密傳輸量子加密傳輸利用量子態不可克隆特性，通過光纖或自由空間傳輸光子密鑰，任何竊聽都會破壞量子態而被察覺，保障密鑰傳輸的絕對安全。同時基于格密碼、哈希函數等構建抗量子算法，如 NIST 選定的CRYSTALS-Kyber，抵御量子計算機對傳統加密算法的攻擊。量子通信天地一號項目實現上萬公里保密通信，銀行、政府機關等紛紛采用量子加密技術，保護重要信息傳輸安全。隨著技術成熟和成本降低，量子加密有望在更多領域普及，如能源、醫療等，為信息安全筑牢防線。全同態加密 技 術全同態加密技術支持在密文狀態下進行數據運算，如檢索、分析

58、全同態加密技術可用于區塊鏈交易隱私保護、AI 隱私保護等，如 Zama 的 fhEVM 為區10參見星火燎原數據傳輸加密新技術及趨勢一文，網址為：https:/ 23 頁（FHE）等，實現數據“可算不可見”，保護數據隱私。塊鏈隱私計算提供支持，推動 Web3 隱私保護發展。在醫療云場景中，全同態加密技術可實現加密基因數據的安全計算，為醫療數據共享和分析提供安全解決方案。未來，全同態加密技術將與區塊鏈、零知識證明等技術結合，將為隱私保護和數據安全提供更全面的解決方案。區塊鏈融合加密技術區塊鏈融合加密技術基于智能合約實現密鑰自動輪換，提高密鑰管理的安全性和效率，降低密鑰泄漏風險。區塊鏈融合加密技術

59、的跨鏈加密協議采用零知識證明技術，在不泄露數據內容的情況下驗證數據的真實性，為跨鏈數據交互提供可靠保障。區塊鏈融合加密技術為金融、物聯網等領域的區塊鏈應用提供了更安全的密鑰管理方案。未來，隨著區塊鏈技術的發展，跨鏈通信需求日益增加，跨鏈加密協議也能夠為區塊鏈的互聯互通和生態建設提供重要支撐，推動區塊鏈在多領域的融合應用，促進數字經濟的發展。邊緣計算加密技術邊緣計算加密技術的輕量級加密算法能夠在保證數據安全性的同時，降低邊緣設備的計算和能耗負擔，提升設備性能。同時動態加密策略可根據設備狀態和環境變化靈活調整，實現安全與性能的平衡。在能源受限的邊緣計算場景中，邊緣計算加密技術能夠提高設備的續航能力

60、和使用壽命，降低設備維護成本，為智能電網、工業物聯網等領域的邊緣設備提供更靈活高效的加密方案，保障系統穩定運行。目前，該技術廣泛應用于物聯網設備的數據加密，如智能家居、智能穿戴等。安全多方計算技術（MPC）安全多方計算技術能夠在保證多個參與方在不泄露各自數據、不共享數據的情況下進行協同計算和聯合機器學習，實現數據的隱私保護和價值挖掘。安全多方計算技術可應用于醫療數據共享、企業數據合作等場景，為數據隱私保護和數據安全利用提供新的思路和方法，促進數據的流通和共享，推動各行業的數字化轉型。零知識證明 技 術（ZKP）零知識證明技術的匿名憑證系統可在不泄露數據內容的情況下證明數據的真實性。未來，隨著技

61、術的發展，零知識證明技術能夠為區塊鏈等領域提供更安全的隱私保護解決方案，并在身份認證、電子政務、電子商務等領域得到更廣泛的應用，為醫療數據應用及數字經濟的發展提供安全保障。最后，醫療數據處理者與第三方主體之間就非公共數據訂立數據權屬合作協議時，協議至少應當包括以下內容：（1）雙方信息；（2）數據交付方式；（3）數據接收方的數據處理權限范圍；（4）數據三權歸屬；（5）數據安全保障的內容及義務方；（6）后續衍生數據產品的權屬情況；（7）合約追蹤條款；（8）應急預案條款；（9）涉及行政備案或批準的條款。第 24 頁5.醫療數據銷毀合規要點（1）銷毀制度個人信息保護法中規定在保存期限屆滿、停止提供服務

62、、處理的目的已經達到或無法達到時，個人信息處理者應當主動刪除個人信息。醫療衛生機構網絡安全管理辦法 明確要求建立“無法還原”的數據銷毀機制，國家藥監局 藥品數據管理規范強調建立數據銷毀規程，需包含申請審批、執行人資質、銷毀方式驗證等要素。由此可見，相關法律法規要求銷毀醫療數據時應采用確保數據無法還原的銷毀方式，并重點關注數據殘留風險及數據備份風險。醫療數據處理者也應在醫療數據銷毀過程中嚴格遵循銷毀報批、銷毀情況記錄、銷毀安全檢測，以確保銷毀工作的規范性和安全性。明確銷毀流程和審批機制數據銷毀應經過嚴格的審批流程，由數據所有者或使用者提出銷毀申請，填寫銷毀申請表，經相關部門審核和審批通過后方可執

63、行。在執行上，采取三級審批機制，由申請人（數據管理員）到部門負責人（合規審核）再到法務/信息安全部門（最終批準），數據銷毀需要兩人在場監督并簽字確認。在此過程中的責任主體劃分可參見表格：角色角色職責范圍職責范圍合規風險點合規風險點數據管理員發起銷毀申請、初步分類誤判數據價值導致過早銷毀數據安全部門審核法律依據與業務影響審批標準執行偏差IT 部門執行技術銷毀、介質處理操作未達技術標準法務部備案銷毀記錄、應對監管審查記錄缺失或篡改留錄和留存銷毀證據對銷毀過程進行詳細記錄，包括銷毀內容、銷毀時間、操作人等信息，并留存相關證據，這不僅有助于后續的審計和追溯，還能在出現爭議時提供有力的證第 25 頁明，

64、確保數據銷毀的合規性和透明度。定期審查和更新制度隨著技術的發展和法律法規的變化，定期審查和更新數據銷毀管理制度，確保其始終符合最新的合規要求，這包括對銷毀流程、技術手段等方面的優化和改進，以適應不斷變化的數據安全環境。（2）銷毀方式物理銷毀物理銷毀是指通過物理或化學方法直接銷毀存儲介質，例如將硬盤、U 盤等存儲設備進行物理性破壞（如粉碎、熔毀）或化學性破壞（如強酸腐蝕），以達到徹底、不可逆的硬盤數據銷毀/數據擦除的目的。電子銷毀電子銷毀分為三大形式，即數據擦除、密鑰銷毀和邏輯銷毀。數據擦除是針對數據恢復行為而產生的逆向操作，包括格式化擦除、數據覆寫、軟件擦除、特定算法擦除等。格式化擦除：是磁盤

65、控制器將所有扇區清零，并重新寫入磁盤引導記錄和扇區 ID。數據覆寫：是將非保密數據寫入原存有敏感數據的硬盤簇的過程。使用預先定義的無意義、無規律的信息，反復多次（如 DoD5220.22-M 標準要求 7 次覆寫）覆蓋硬盤上原先存儲的數據，就無法知道原先的數據是“1”還是“0”，也就達到了硬盤數據擦除的目的。11 軟件擦除：如 DiskGenius 等軟件可以執行數據擦除操作，通過磁盤扇區清零、全盤覆蓋數據等方法，讓數據無法恢復。11參見董守吉：國家秘密全生命周期保護技術，載保密科學技術2023 年。第 26 頁 特定算法擦除：是指根據寫數據的方法和破壞強度，視情況采用如加密擦除、美國國防部的

66、 Dod5220.22-M、Gutmann、Schneier 算法等國際標準方法。密鑰銷毀：適用于云存儲環境下的密文數據。該方法不銷毀數據本身而是通過銷毀密鑰的方式實現數據的不可訪問。只要用戶安全地銷毀密鑰，就可以保護數據密文無法在多項式時間內被破解，將數據銷毀問題轉換成密鑰生命周期管理問題。邏輯銷毀：是對磁盤扇區進行清零操作，即把硬盤所有扇區用 0 或 1 進行多次（建議3 次）寫入，使硬盤上的所有數據丟失，包括分區信息，從而破壞數據的邏輯結構或清除訪問權限。（3）同等方式安全處理個人信息保護法 第四十七條規定了個人信息處理者應當主動刪除個人信息的情形，也規定了對于難以刪除的數據個人信息處理

67、者應采取其他能夠保證安全性且達到與刪除同等目的的方式進行處理，即“法律、行政法規規定的保存期限未屆滿，或者刪除個人信息從技術上難以實現的，個人信息處理者應當停止除存儲和采取必要的安全保護措施之外的處理?！痹谶m用應采取同等方式安全處理的情形下，不代表醫療數據處理者可以對無法銷毀的醫療數據放任不管：醫療數據處理者不得進行任何存儲以外的處理行為（包括使用、共享、轉讓等）；在此種情形下仍然需要對所存儲的醫療數據履行作為數據處理者的義務，即根據存儲數據的體量及敏感程度，采取相應的安全保護措施。比如設置內部人員訪問控制、數據加密、定期評估安全風險以及敏感信息單獨存儲等。其次，對于符合采取同等方式安全處理的

68、數據，醫療數據處理者應建立明確的操作申請和審批流程，確保數據安全操作的合法性和透明度。此外，還需要對該類數據進行第 27 頁定期評估和審查，確保其繼續符合采取同等方式進行安全處理的條件，并在條件不再滿足時及時進行銷毀。（二）特殊場景下的醫療數據合規要點（二）特殊場景下的醫療數據合規要點1.處理人類遺傳資源信息場景依據人類遺傳資源管理條例（2024 年修訂）（以下簡稱為“管理條例”）第 2 條：“本條例所稱人類遺傳資源包括人類遺傳資源材料和人類遺傳資源信息。人類遺傳資源材料是指含有人體基因組、基因等遺傳物質的器官、組織、細胞等遺傳材料。人類遺傳資源信息是指利用人類遺傳資源材料產生的數據等信息資料

69、?！钡?人類遺傳資源管理條例實施細則對人類遺傳資源信息的范圍進行了一定限縮，排除了臨床影像數據（如 B 超、PET-CT、核磁共振、X 射線等影像數據、病理診斷等圖片數據）、不涉及人群基因研究的臨床數據（如血常規、尿常規、肝腎功能、血生化等一般實驗室檢查信息等）、蛋白質數據和代謝數據。醫療機構在對先天性疾病、基因疾病的患者開展診療活動的過程中，就可能涉及采集患者遺傳資源信息，需特別注意合規邊界。（1）特殊告知義務根據管理條例第十二條，醫療機構采集患者遺傳資源信息，應當事先告知患者采集目的、采集用途、對健康可能產生的影響、個人隱私保護措施及其享有的自愿參與和隨時無條件退出的權利，并征得書面同意。

70、在告知人類遺傳資源提供者前款規定的信息時，必須全面、完整、真實、準確，不得隱瞞、誤導、欺騙。（2）對外提供的行政審批由于人類遺傳資源作為戰略性生物資源，其數據安全直接攸關國家生物安全與公共衛生安全體系，管理條例要求外方單位需要利用我國人類遺傳資源開第 28 頁展科學研究活動的，必須采取與我國科研機構、高等學校、醫療機構、中方企業合作的方式進行，并經國務院衛生健康主管部門批準。因此醫療機構也應注意在與外方單位進行人類遺傳資源信息合作過程中的下列數據安全要求，以獲取國務院衛生健康主管部門審批通過：對我國公眾健康、國家安全和社會公共利益沒有危害；合作方案的目的、內容、收益分配明確合理；通過合作雙方各

71、自所在國（地區）的倫理審查；重大事項發生變更的，應當辦理變更審批手續；保證中方單位及其研究人員在合作期間全過程、實質性地參與研究，并完全向中方單位開放并向中方單位提供備份；合作雙方應當在國際合作活動結束后6個月內共同向國務院衛生健康主管部門提交合作研究情況報告；將人類遺傳資源信息向外方單位提供或者開放使用的，應當向國務院衛生健康主管部門備案并提交信息備份。2.倫理安全審查場景與其他場景所涉數據處理相比，在醫療數據的處理中，倫理判斷是其重要的特征。根據管理條例第九條規定：“采集、保藏、利用、對外提供我國人類遺傳資源，應當符合倫理原則，并按照國家有關規定進行倫理審查?！?023 年12 月 1 日

72、，科學技術部、教育部、國家衛生健康委等部門聯合公布的科技倫理審查辦法（試行）正式施行。該辦法對科技倫理審查的一般程序、簡易審查和跟蹤的適用條件、流程進行了規定。根據相關法律法規的規定，涉及人的生物醫學研究過程中，應進行倫理審查。包括使用現代科學技術開展的生理、心理、病理現象研究，新技術或新產品的人體試驗，以及應用流行病學、社會學、心理學等方法進行的科學研究。相關醫學研究機構的倫理委員會進行倫理審查時，應第 29 頁遵循保護隱私原則，如實告知受試者其個人信息的儲存、使用及保密措施情況，未經授權不得將受試者個人信息向第三方透露。12醫療健康作為前沿性與倫理性高度交織的領域，在人工智能診療、基因數據

73、分析等新技術應用場景中持續面臨倫理審查機制與技術創新速度的結構性矛盾。醫療機構采集人類遺傳資源信息，應當依法通過倫理委員會審查，確保符合科技倫理審查辦法（試行）要求。受篇幅所限，本白皮書就相關內容暫不做系統性論述。3.公共數據授權運營場景公共數據是指國家機關、事業單位以及其他依照法律法規授權具有管理公共事務職能或提供公共服務的組織，在依法履行公共管理職責或者提供公共服務過程中收集產生的數據。醫療數據作為公共數據，初步的采集和儲存由各級醫療機構負責。依據全國醫院數據上報管理方案醫療業務（試行），省衛健委作為統籌單位，負責牽頭指導，融合本省各級醫療機構的診療、醫保、健康等數據，開展核保評估、藥企臨

74、床試驗、醫藥供應鏈等場景建設，提升醫療健康服務水平。依據公共數據資源授權運營實施規范（試行）的相關規定（下稱實施規范），醫療數據作為公共數據如需在省級平臺授權運營時，可參考如下路徑：（1）方案編制：省數據局負責牽頭組織編制或指導省衛健委編制公共數據資源授權運營實施方案。省衛健委在省數據局的組織和指導下進行公共數據授權運營實施方案的編制。實施方案需包括十二個方面內容，其中值得注意的是可行性論證、數據安全、個人信息保護措施和應急處置措施。對于可行性論證，實施規范要求實施方案應當至少包括授權運營數據全生命周期管理服務、社會需求、市場規模、預期成效、風險防控等。方案編制完成后，由省數據局負責或協12參

75、見吳衛明：健康醫療數據的法律與合規問題探析（下）。第 30 頁助省衛健委將本地區實施方案報請省人民政府審議。省人民政府依據經濟性、社會性、可行性三重標準進行考察，經審定同意的實施方案不得隨意變更。（2）方案實施：省衛健委通過公開招標、邀請投標、談判等公平競爭方式選擇運營機構。相關法律規范要求，運營機構應具備數據資源加工、運營所需的管理和技術服務能力，經營狀況和信用狀況良好，符合國家數據安全保護要求。選定運營機構后，經省衛健委“三重一大”決策機制審議通過后，與依法選定的運營機構簽訂公共數據資源授權運營協議。協議中授權運營期限原則上不得超過5 年。協議簽訂后，由省數據局負責公共數據授權運營協議的備

76、案工作。（3）方案實施的監督管理：省數據局對本地區公共數據授權運營工作進行監督管理，動態掌握公共數據資源授權運營情況。（4）實施運營：實施規范要求運營機構建立健全安全可控的開發利用環境，采用隱私計算等安全可信流通技術。運營機構應當按照要求進行公共數據資源登記，公共數據產品和服務價格要按照國家有關價格政策執行。對此，可進一步參考公共數據資源登記管理暫行辦法和關于建立公共數據資源授權運營價格形成機制的通知。同時實施規范還要求運營機構接受社會監督，定期向社會披露公共數據資源授權及使用相關情況。（5）運營管理：實施規范要求，運營機構應建立健全管理制度，強化數據治理，提升數據質量，落實數據分類分級保護制

77、度要求，加強技術支撐保障和數據安全管理，嚴格管控未依法依規公開的原始公共數據資源直接進入市場，強化涉及公共數據資源授權運營的內控審計。運營機構不得超出授權范圍使用公共數據資源，嚴防數據加工、處理、運營、服務等環節的數據安全風險。（下文附醫療數據授權全流程的思維導圖）第 31 頁4.醫療領域人工智能場景隨著信息技術的發展、醫療需求的增長以及醫療改革的推動，AI 在醫療中的應用日益廣泛，AI 與醫療深度融合后呈現出智能化、高效化和便捷化的特點。AI 醫療是指通過運用先進的信息技術，如人工智能、大數據、云計算、物聯網等，對醫療過程進行智能化管理和優化，從而提高醫療服務的質量和效率。13AI 在醫療中

78、的應用，不僅有助于提升醫療服務的精準度和個性化程度，還能為醫療決策提供科學依據，推動醫療行業的創新發展。2024 中國 AI 醫療產業研究報告數據顯示，2023 年中國 AI 醫療行業市場規模已達到 973 億元，其預計到 2028 年將進一步增長至 1598 億元。13參見2024 年中國 AI 醫療產業研究報告，網址為：https:/ 32 頁人工智能在醫療領域的應用形態可分為兩類：一類是以診斷設備、機器人和監護儀等硬件設備作為載體，通過人工智能技術的軟件組件來驅動和控制這些設備，從而實現其預期功能；另一類是以獨立軟件形式實現功能，包括手術導航系統、臨床輔助決策系統、人工智能大模型等，無需

79、醫療器械硬件的支持14?？傮w來說，醫療大模型通過高質量的醫療大數據、算力和算法，成為醫療健康產業快速發展的推動力。而醫療器械是醫療大模型的載體，醫療大模型通過各類器械及工具賦能醫療服務。本部分主要介紹醫療大模型以及人工智能醫療器械合規。（1）“人工智能+醫療”的行業應用國家衛生健康委員會辦公廳、國家中醫藥局綜合司、國家疾控局綜合司于2024 年 11 月 6 日發布衛生健康行業人工智能應用場景參考指引，明確“人工智能+”醫療服務、“人工智能+”醫藥服務、“人工智能+”健康管理服務、“人工智能+”公共衛生服務等場景的應用方式。目前 AI 大模型在醫療行業的主要應用場景包括以下幾類：序號序號場景場

80、景作用作用1醫學影像分析AI 可以幫助醫生處理高強度重復的閱片工作，提高影像診斷的效率和準確性。2藥物研發及精準醫療AI 技術能夠加速藥物研發的過程，通過對大量的生物數據進行分析和挖掘，幫助藥企發現新的藥物靶點、預測藥物的效果和副作用等。3智能診斷輔助為臨床決策提供支持或提供初步診斷意見，通過對話引導患者描述癥狀，輸出可能的疾病列表及緊急程度建議。4醫療機器人醫療機器人可以輔助醫生進行手術、康復治療等操作，提高手術的精度和安全性。例如，微創手術機器人可以在狹小的空間內進行精細的操作，減少患者的創傷和痛苦。14參見甲子光年智庫發布：2024 中國 AI 醫療產業研究報告，網址為：https:/

81、33 頁5患者交互與健康管理AI 醫生可以為病患提供 724 小時癥狀咨詢，通過對個人的健康數據進行分析，提供個性化的健康管理建議，包括飲食、運動、睡眠等方面的指導，幫助人們預防疾病和保持健康。（2）醫療大模型的合規要點醫療大模型的合規主要需關注兩個層面的問題：第一個層面即大模型本身的合規要素；另一個層面，大部分醫療機構主要是大模型的應用方需關注大模型本地化部署的合規要求。據不完全統計，截至 2025 年 2 月底，約有近百家醫院宣布已開始或完成 DeepSeek 在其院內的本地化部署。大模型合規要點在我國當前的監管體系下，醫療大模型應符合相關人工智能及算法的一般性合規要求，主要涉及以下內容：

82、平臺運營合規1.主體資質：醫療行業大模型涉及多種資質，除傳統的增值電信業務經營許可證、B25 類增值電信業務經營許可證（即 ICP 證）、B21 類增值電信業務許可證（即 EDI 證）等互聯網領域必備資質外，結合醫療行業的特殊屬性還需要具備如醫療器械生產經營許可/備案、互聯網藥品信息服務資格證書、醫療機構執業許可證、信息系統安全等級保護備案證明等。2.算法備案：依據互聯網信息服務算法推薦管理規定，具有輿論屬性或者社會動員能力的算法推薦服務提供者應當在提供服務之日起十個工作日內通過互聯網信息服務算法備案系統填報服務提供者的名稱、服務形式、應用領域、算法類型、算法自評估報告、擬公示內容等信息，履行

83、備案手續。3.大模型備案：依據生成式人工智能服務管理暫行辦法生成式人工智能服務安全基本要求對生成式人工智能服務整體進行備案，該項備案程序在實踐中也被稱為“大模型備案”。4.安全評估：算法推薦管理規定、深度合成管理規定以及生成式人工智能管理辦法均對安全評估主體作出規定，相關主體應當依據具有輿論屬性或社會動員能力的互聯網信息服務安全評估規定履行安全評估義務。內容治理1.規范生成內容：應當堅持社會主義核心價值觀，不得生成煽動顛覆國家政權、推翻社會主義制度，危害國家安全和利益、損害國家形象，煽動分裂國家、破壞國家統一和社會穩定，宣揚恐怖主義、極端主義，宣揚民族仇恨、民族歧視，暴力、淫穢色情，以及虛假有

84、害信息等法律、行政法規禁止的內容。1515參見儲陳城;魏培林：生成式人工智能犯罪中研發者刑事責任的認定以 ChatGPT 為例，載重慶理工大學學報(社會科學)2023 年。第 34 頁2.標識義務：如存在互聯網信息服務深度合成管理規定第十七條中所列舉的可能導致公眾混淆或者誤認的生成內容，應當進行顯著標識。3.監督、整改及報告義務：發現違法內容的，應當及時采取停止生成、停止傳輸、消除等處置措施，采取模型優化訓練等措施進行整改，并向有關主管部門報告。164.知識產權合規：從整體上樹立“尊重知識產權”的合規理念，應當尊重他人的知識產權，不得擅自使用他人的知識產權，避免侵犯他人專利、商標、著作權等。網

85、絡安全與數據合規1.數據來源合法性：要使用具有合法來源的數據和基礎模型。2.數據標注義務：制定清晰、具體、可操作的標注規則，標注規則應至少包括標注目標、數據格式、標注方法、質量指標等內容。3.提高數據質量：采取有效措施提高訓練數據質量，增強訓練數據的真實性、準確性、客觀性、多樣性。174.網絡安全保障義務：履行安全保護義務，保障網絡免受干擾、破壞或者未經授權的訪問，防止網絡數據泄露或者被竊取、篡改。185.個人信息保護：適用個人信息保護法對個人信息的全生命周期進行保護。醫療大模型合規要點具體到醫療行業的大模型開發應用，目前尚未出臺具體的法律法規進行規制。除參考上述通用的大模型合規要求之外，主要

86、可參考信通院及行業協會所制定的具體監管要求：為加快開展“人工智能+醫療健康”工作，培育醫療健康行業新質生產力，中國信通院按照“標準先行”的工作路徑，在行業主管部門指導下，與產學研用醫各方共同開展醫療健康行業大模型標準研制工作，規范人工智能技術與醫療健康服務的融合路徑，推動數字健康產業高質量發展，已形成 15 項聯盟團體標準。2023 年 9 月 25 日，中國信通院聯合 20 余家相關產學研用單位共同研究起草的醫療健康行業大模型應用技術要求第 1 部分：醫院側醫療服務醫療健16參見2024 人工智能發展白皮書，網址為：https:/ A 股公司加速掘金，載證券時報2023 年。18參見楊世宏：

87、金融 APP 與個人隱私保護的強化問題研究，載安徽電子信息職業技術學院學報2020年。第 35 頁康行業大模型應用技術要求第 2 部分：患者側醫療服務 2 項技術要求正式發布，評價指標涵蓋場景應用能力、基礎模型能力、模型服務能力、性能要求、安全性要求五個方面19。綜合行業發展需求及企業產品特點，關注醫療健康 AI 大模型的技術要求，應用服務能力要求、合成服務治理要求、安全管理能力要求，搭建形成行業特色的標準體系。（見下圖）2024 年 10 月 25 日，由武漢大學中南醫院牽頭，聯合省內多家大型三甲醫療機構共同編制的醫療大模型構建與應用標準（T/HBSEA0132024）團體標準，由湖北省軟件

88、企業協會正式發布，其中對于醫療大模型的構建及應用的整體工作關注兩項重要合規內容：第一，倫理要求：倫理委員會應作為獨立的監督機構，確保醫療大模型的開發和應用符合倫理規范和法律要求，不受開發團隊和管理層影響。倫理委員會應在數據收集、處理和使用過程中提供決策和倫理指導，確保項目倫理合規性。19參見中國信通院首批醫療健康行業大模型應用服務能力符合性驗證正式啟動，網址為：https:/ 36 頁第二，數據合規要求：針對數據處理，應遵循合法性和透明度、最小化原則以及采取適當的技術和組織措施確保數據的保密性和完整性；在數據共享環節，應注意與合作方簽訂詳細的數據共享協議并對第三方資質和合規情況進行審查；跨境傳

89、輸場景下還要遵守目的地國家或地區的數據保護法律法規。在模型構建場景下，本標準對數據的全生命周期處理行為提出了具體要求，其中不僅僅包含對數據安全的要求，也包括對數據質量的追求：序號序號類型類型要求要求1數據來源數據來源多渠道且獲得合法授權，確?；颊叩闹橥?，進行標準化采集，實時數據采集，保障安全存儲和傳輸。2數據質量對數據質量控制提出要求，確保數據完整性、準確性、一致性。3數 據 預 處理和清洗應去除無效數據，統一數據格式并進行規范化處理。4數 據 標 注與分類制定統一的數據標準，采用專業的數據標注工具，建立標注審核機制。5數據分類利用自動化分類算法，提高數據分類效率和準確性。醫療機構本地化部

90、署大模型的合規要點醫療機構本地化部署通用大模型從而提升輔助診療系統、智能決策平臺的效率?，F行監管框架對此類創新模式并未提出具有針對性的監管指引，主要可關注以下問題：第一，醫療機構本地化部署后利用以往醫療數據進行訓練：在這個過程中，醫療機構會結合以往收集和存儲的各類醫療數據進行標注，生成訓練樣本再進行訓練，需要符合中華人民共和國個人信息保護法信息安全技術健康醫療數據安全指南的相關規定，同時還應符合醫療機構病歷管理規定的要求。針對患者的個人信息進行訓練的，要關注是否屬于授權用途范圍。如果超出授權范圍還需要征得個人信息主體的再次同意，或考慮將病例數據脫敏清洗匿名化處理及標注后，再生成訓練樣本。第 3

91、7 頁第二，將大模型應用于輔助決策或診療活動時，應充分考慮大模型的算法邏輯和數據來源，要求醫療人員獨立審核其輸出的建議并進行人工校驗。第三，嚴禁人工智能自動生成處方?；ヂ摼W診療監管細則（試行）明確規定，處方應由接診醫師本人開具，嚴禁使用人工智能等自動生成處方。（3）人工智能醫療器械合規人工智能醫用軟件管理類別2021 年 7 月，國家藥監局發布人工智能醫用軟件產品分類界定指導原則（以下簡稱“分類指導原則”），原則中將“人工智能醫用軟件”界定為基于醫療器械數據，采用人工智能技術實現其醫療用途的獨立軟件。醫療器械數據是指醫療器械產生的用于醫療用途的客觀數據，特殊情形下可包含通用設備產生的用于醫療用

92、途的客觀數據。根據醫療器械監督管理條例（2024 修訂）第十三條的規定，第一類醫療器械實行產品備案管理，第二類、第三類醫療器械實行產品注冊管理。分類指導原則對人工智能醫用軟件管理類別提出判定方式：按照第三類醫療器械管理算法在醫療應用中成熟度低（指未上市或安全有效性尚未得到充分證實）的人工智能醫用軟件，若用于輔助決策，如提供病灶特征識別、病變性質判定、用藥指導、治療計劃制定等臨床診療建議。按照第二類醫療器械管理用于非輔助決策，如進行數據處理和測量等提供臨床參考信息人工智能醫用器械算法合規2022 年，國家藥監局器審中心發布人工智能醫療器械注冊審查指導原則（以下簡稱“審查指導原則”）發布，該指導原

93、則適用于人工智能醫療器械的注冊申報。根據上述指導原則規定，“人工智能醫療器械”是指基于“醫療器械數據”，采用人工智能技術實現其預期用途（即醫療用途）的醫療器械。20醫療器20參見人工智能醫療器械注冊審查指導原則，網址為：https:/ 38 頁械數據是指醫療器械產生的用于醫療用途的客觀數據。人工智能技術從發展驅動要素角度是基于模型/數據和算力的算法，其中模型/數據是人工智能技術的基礎，算力是人工智能技術的保證，算法是人工智能技術的核心。根據審查指導原則的要求，應結合人工智能醫療器械的預期用途、使用場景、核心功能選擇與之相適宜的人工智能算法或算法組合，基于算法特性并結合風險管理開展相應驗證與確認

94、工作，特別關注算法的合規性及安全性，并對算法研究報告的內容進行說明列示：序號序號項目項目內容內容1算法基本信息明確算法的名稱、類型、結構、輸入輸出、流程圖、算法框架、運行環境等基本信息以及算法選用依據。2算法風險管理明確算法的軟件安全性級別（輕微、中等、嚴重）并詳述判定理由。3算法需求規范提供算法需求規范文檔，若無單獨文檔可提供軟件需求規范，并注明算法需求所在位置。214數據質控數據來源合規性聲明、數據采集操作規范文檔、數據整理情況，明確數據清洗、數據預處理的質控要求、提供數據標注操作規范文檔。5算法訓練依據適用人群、數據來源機構、采集設備、樣本類型等因素，提供訓練集、調優集（若有）關于疾病構

95、成的數據分布情況。6算法驗證與確認依據適用人群、數據來源機構、采集設備、樣本類型等因素，提供測試集關于疾病構成的數據分布情況。7算法可追溯性分析提供算法可追溯性分析報告，即追溯算法需求、算法設計、源代碼（明確軟件單元名稱即可）、算法測試、算法風險管理的關系表。228結論簡述算法性能綜合評價結果，明確對產品的適用范圍、使用場景、核心功能所做的必要限制，并判定人工智能算法或算法組合的安全有效性是否滿足要求。5.醫療數據出境場景21參見病理圖像人工智能分析軟件性能評價審評要點，網址為：https:/ 39 頁“COLORIV 國際多中心臨床研究跨境平臺合作項目”是首都醫科大學附屬北京友誼醫院（簡稱“

96、北京友誼醫院”）牽頭并與荷蘭阿姆斯特丹大學醫學中心（AUMC）聯合發起的，中國和歐洲知名醫學中心共同參與的國際多中心結直腸外科臨床研究項目。項目中涉及我國境內參與項目研究的受試者個人信息的出境合規和安全保障。該項目也是自 2022 年 9 月 1 日數據出境安全評估辦法（下稱評估辦法）正式施行后的首個通過數據出境安全評估的申報項目。實務中存在大量的中外合作醫療項目和跨國經營的醫療健康行業的企業機構，不可避免地產生醫療數據跨境傳輸的合規問題。（1）數據出境的合規路徑國家安全法網絡安全法數據安全法以及個人信息保護法從法律層面建立了數據出境的監管規則。從現有法律框架看，目前我國主要規定了三條數據出境

97、途徑：安全評估：按照數據出境安全評估辦法及促進和規范數據跨境流動規定 的相關規定，符合一定條件的需要通過網信部門組織的安全評估才能進行合規的數據出境；23標準合同：主要適用于個人信息處理者向境外提供個人信息的情況，需按照網信部門制定的標準合同與境外接收方訂立合同；認證：按照網信部門規定經專業機構進行個人信息保護認證。其中，安全評估強制適用于關鍵信息基礎設施運營者和處理個人信息達到規定數量的主體的個人信息出境活動；標準合同及認證都僅適用于未達安全評估標準的個人信息出境活動。23參見魏如連：上海自貿區數據跨境“一般數據清單”的國際數字經貿規則規范性研究，載法學前沿集刊 2024 年第 2 卷航運法

98、治保障研究文集2024 年。第 40 頁出境數據出境數據類型類型主體類型主體類型重要數據重要數據個人信息個人信息關鍵信息基礎設施運營者出境安全評估出境安全評估數據處理者出境安全評估出境安全評估：自當年 1 月 1 日起累計向境外提供 100萬人以上個人信息（不含敏感個人信息）；或者 1 萬人以上敏感個人信息認證、標準合同：自當年 1 月 1 日起累計向境外提供10 萬人以上、不滿 100 萬人個人信息（不含敏感個人信息）；或者不滿 1 萬人敏感個人信息的免于出境安全評估、認證、標準合同：自當年 1 月 1日起累計向境外提供不滿 10 萬人個人信息（不含敏感個人信息）的（2）醫療場景下的個人信息

99、出境自由傳輸根據促進和規范數據跨境流動規定，符合以下條件之一的，原則上可以自由傳輸出境，即免予申報數據出境安全評估、訂立個人信息出境標準合同、通過個人信息保護認證：序號序號活動活動1國際貿易、跨境運輸、學術合作、跨國生產制造和市場營銷等活動中收集和產生的數據向境外提供，不包含個人信息或者重要數據的。2在境外收集和產生的個人信息傳輸至境內處理后向境外提供，處理過程中沒有引入境內個人信息或者重要數據的。243為訂立、履行個人作為一方當事人的合同，如跨境購物、跨境寄遞、跨境匯款、跨境支付、跨境開戶、機票酒店預訂、簽證辦理、考試服務等，確需向境外提供個人信息的。4按照依法制定的勞動規章制度和依法簽訂的

100、集體合同實施跨境人力資源管理，確需向境外提供員工個人信息的。24參見多省市出臺支持 AI 的新政從“%2b”到“”將成為數字經濟影響國民經濟奇點，網址為：https:/ 41 頁5緊急情況下為保護自然人的生命健康和財產安全，確需向境外提供個人信息的。6關鍵信息基礎設施運營者以外的數據處理者自當年 1 月 1 日起累計向境外提供不滿 10 萬人個人信息（不含敏感個人信息）的。促進和規范數據跨境流動規定第六條明確了負面清單機制，以自貿區為試點，進一步降低數據跨境門檻。在生物醫藥領域，一些自貿區已經探索出臺了相關清單。例如上海臨港新片區管委會于 2024 年 5 月發布了中國（上海）自由貿易試驗區臨

101、港新片區生物醫藥領域數據跨境場景化一般數據清單（試行），為生物醫藥企業在臨床試驗和研究、藥物警戒、醫學問詢與產品投訴、供應商管理等生物醫藥企業日常經營的數據出境場景下的數據跨境流動提供便利，且明確了去標識化技術對受試者個人信息的保護效果，不再一概將患者健康醫療數據納入敏感個人信息監管范疇。醫療場景下的敏感個人信息識別敏感個人信息的數量也將影響醫療機構采取何種合規出境的方式。個人信息保護法對“敏感個人信息”定義為“一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的個人信息，包括生物識別、宗教信仰、特定身份、醫療健康、金融賬戶、行蹤軌跡等信息，以及不滿十四周歲未成年

102、人的個人信息?！本C合信息安全技術個人信息安全規范（GB/T35273-2020）以及網絡安全標準實踐指南敏感個人信息識別指南（TC260-PG-20244A）來看，其中涉及醫療行業的敏感個人信息可包括：與個人身體或心理的傷害、疾病、殘疾、疾病風險或隱私有關的健康狀況信息，如病癥、既往病史、家族病史、現病史、傳染病史、體檢報告、生育信息等；在疾病預防、診斷、治療、護理、康復等醫療服務過程中收集和產生的第 42 頁個人信息，如醫療就診記錄（醫療意見、住院志、醫囑單、手術及麻醉記錄、護理記錄、用藥記錄、藥物食物過敏信息、診治情況）、檢驗檢查數據（如檢驗報告、檢查報告）等；25 個人生物識別信息：個人

103、基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等。（3）醫療行業的“重要數據”醫療行業的重要數據識別對于合規路徑的選擇也具有影響。根據網絡數據安全管理條例第六十二條、數據出境安全評估辦法第十九條的規定，重要數據，是指特定領域、特定群體、特定區域或者達到一定精度和規模，一旦遭到篡改、破壞、泄露或者非法獲取、非法利用，可能直接危害國家安全、經濟運行、社會穩定、公共健康和安全的數據。2022 年發布的信息安全技術重要數據識別指南（征求意見稿）對重要數據識別的考慮因素包括“h）反映群體健康生理狀況、族群特征、遺傳信息等的基礎數據，如人口普查資料、人類遺傳資源信息、基因測序原始數據屬于重要數據；”根據

104、數據安全技術數據分類分級規則（GB/T43697-2024），附錄 G 重要數據識別指南考慮因素包括：“n）反映生物技術研究、開發和應用情況，反映族群特征、遺傳信息，關系重大突發傳染病、動植物疫情，關系生物實驗室安全，或可能被利用制造生物武器、實施生物恐怖襲擊，關系外來物種入侵和生物多樣性，如重要生物資源數據、微生物耐藥基礎研究數據；p）反映國家或地區群體健康生理狀況，關系疾病傳播與防治，關系食品藥品安全，如涉及健康醫療資源、批量人口診療與健康管理、疾控防疫、健康救援保障、特定藥品實驗、食品安全25參見李偉華;余佳薇：保險行業敏感個人信息的識別方法與合規實踐網絡安全標準實踐指南敏感個人信息識別

105、指南解讀，載上海保險2024 年。第 43 頁溯源的數據?！贬t療機構在識別重要數據時應特別關注上述考慮因素。健康醫療數據安全指南（GB/T39725-2020）提到：“涉及人類遺傳資源數據（是指利用人類遺傳資源材料產生的數據，人類遺傳資源材料是指含有人體基因組、基因等遺傳物質的器官、組織、細胞等遺傳材料）等重要數據的，按照相關部門要求執行?！笨梢娙祟愡z傳資源數據可能被認定為重要數據，其跨境傳輸均需要向國家網信部門申報數據出境安全評估。此外，在醫療數據使用披露要求中明確關于醫療數據傳輸的要求：“o）控制者因為學術研討需要，需要向境外提供相應數據的，在進行必要的去標識化處理后，經過數據安全委員會討

106、論審批同意，數量在 250 條以內的非涉密非重要數據可以提供，否則應提請相關部門審批。p）經主體授權同意，并經數據安全委員會討論審批同意，不涉及國家秘密且不屬于重要數據的，控制者可向境外目的地傳送個人健康醫療數據，累計數據量應控制在 250 條以內，否則應提請相關部門審批?！贝龠M和規范數據跨境流動規定第二條規定：“數據處理者應當按照相關規定識別、申報重要數據。未被相關部門、地區告知或者公開發布為重要數據的，數據處理者不需要作為重要數據申報數據出境安全評估?！庇纱丝梢?，醫療機構可自行結合相關國家標準自行識別判斷及申報重要數據，如未被認定為重要數據，則可不作為重要數據申報數據出境安全評估。（4）人

107、類遺傳資源信息出境合規健康醫療數據安全指南（GB/T39725-2020）提到人類遺傳資源數據等按照相關部門要求執行；同時又規定“健康醫療數據的出境安全管理，按數據出境安全評估相關辦法執行?！庇纱丝梢?，人類遺傳資源信息屬于重要數據，如涉及人類遺傳資源信息數據出境的，應當采取出境安全評估的方式履行相關合規義務。第 44 頁出境安全評估：根據人類遺傳資源管理條例（2024 修訂）第二十七條的規定，利用我國人類遺傳資源開展國際合作科學研究，或者因其他特殊情況確需將我國人類遺傳資源材料運送、郵寄、攜帶出境的，應當符合下列條件，并取得國務院衛生健康主管部門出具的人類遺傳資源材料出境證明：（一）對我國公眾

108、健康、國家安全和社會公共利益沒有危害；（二）具有法人資格；（三）有明確的境外合作方和合理的出境用途；（四）人類遺傳資源材料采集合法或者來自合法的保藏單位；（五）通過倫理審查。安全檢查：根據人類遺傳資源管理條例（2024 修訂）第二十八條規定，將人類遺傳資源信息向外國組織、個人及其設立或者實際控制的機構提供或者開放使用的，應當向國務院衛生健康主管部門備案并提交信息備份；如上述行為可能影響我國公眾健康、國家安全和社會公共利益的，應當通過國務院衛生健康主管部門組織的安全審查。結合人類遺傳資源管理條例實施細則的規定，應當進行安全審查的情形包括：重要遺傳家系的人類遺傳資源信息；特定地區的人類遺傳資源信息

109、；人數大于 500 例的外顯子組測序、基因組測序信息資源；可能影響我國公眾健康、國家安全和社會公共利益的其他情形?？萍疾繒嚓P部門制定安全審查規則，組織相關領域專家進行安全評估，并根據安全評估意見作出審查決定。人類遺傳資源出口過程中如相關物項涉及出口管制范圍，須遵守國家出口管制法律法規。（三）典型場景數據安全（三）典型場景數據安全1.醫生調閱數據場景醫生調閱數據場景適用于醫療機構內醫生為患者提供診療服務時訪問相關醫療數據的過程。在此場景中，醫療機構作為控制者負責數據安全管理。調閱行為需遵循最小必要原則，確保數據在合法、合規、安全的前提下支撐診療決策。除滿足一般性醫療數據合規要點外，要重點關注

110、以下幾方面：第 45 頁（1）數據分級體系構建根據數據敏感性和隱私風險，醫生調閱場景中的數據可劃分為三級：默認級（可在較大范圍內供訪問使用的數據）。如檢驗檢查名稱、就診醫院、就診科室等基礎診療信息。告知級（可在中等范圍內供訪問使用的數據）。如檢驗檢查報告、手術記錄、出院小結等小結類資料。授權級（在較小范圍內供訪問使用的數據）。如住院詳細病歷、特殊病種（如性病、遺傳病、惡性腫瘤）及特殊身份（孕產婦、嬰幼兒）數據等。但涉及特殊病種、特殊身份的資料均需要授權或告知。（2）角色權限定義機制醫生權限基于科室歸屬、職稱等級、診療組劃分動態分配，確保最小化訪問原則?？剖覄澐?。按醫院科室（如消化科、心外科）定

111、義數據調閱范圍，醫生僅可訪問本科室患者數據；職稱分級。住院醫師，僅可訪問普通病種數據及特殊病種概要級資料（如診斷名稱）；主治醫師，可訪問普通病種數據及特殊病種摘要級資料（如檢查報告）；主任醫師，可訪問所有級別數據，包括詳細病歷。診療組劃分?？剖覂炔堪丛\療組（如肝膽組、胃腸組）細分權限，醫生僅能調閱本組患者數據。（3）數據標注規范數據需進行分級標注和顆粒度標注，以匹配權限控制。分級標注即定義標識符（姓名、身份證號、生物識別信息等）、特殊病種（明確標注 8 類高風險疾?。?、特殊就診身份（標注嬰幼兒、孕產婦、罕見病患者等敏感身份）。第 46 頁顆粒度分類。概要級：僅含診療基礎信息（如就診時間、科室）

112、；摘要級：包含診療過程關鍵結論（如手術小結）；詳細級：涵蓋完整診療記錄（如病程記錄、用藥詳情）。（4）權限分配示例結合角色權限定義與數據標注規范，形成權限分配的規則。角色角色權限權限科室醫生僅可調閱本科室患者數據住院醫師僅可調閱普通病種資料及概要級特殊病種資料主治醫師僅可調閱普通病種資料及摘要級特殊病種資料主任醫師可調閱普通病種資料及詳細級特殊病種資料診療組僅可調閱本診療組管轄范圍內患者資料，不可調閱本科室其他診療組內患者資料例外：傳染性疾病數據默認向接診醫護人員開放，以保障醫療安全。上級醫生可查看下級醫生管轄患者數據，但不可反向操作。（5）身份認證與訪問控制多因素結合身份鑒別。采用賬號口令、

113、數字證書、生物識別（指紋/人臉）組合認證等。動態權限管理。角色隨人事變動（如職稱晉升、科室調整）自動更新權限等。訪問環境限制。僅允許院內 IP 調閱，非工作時間訪問視為異常行為。無操作 10 分鐘后自動鎖屏，防止未授權訪問等。（6）數據調閱過程管理患者知情同意。如調閱跨機構數據時，需患者掃碼授權等。異常行為監控。系統實時監測調閱行為，記錄訪問軌跡（IP、時間、內容）。觸發報警閾值后自動阻斷訪問，并通過短信、郵件通知管理員等。第 47 頁日志審計與留存。調閱日志保存期6 個月，定期審核敏感數據訪問記錄。重點審計特殊病種、高敏感數據及特殊身份患者數據調閱行為等。2.患者查詢數據場景患者查詢數據場景

114、適用于個人通過在線系統（如醫院 APP、區域健康平臺等）查詢自身健康醫療數據的場景。醫療機構或健康服務平臺作為控制者，需確?；颊卟樵冃袨榈陌踩?、隱私性及數據完整性。核心目標包括：防止未授權訪問、限制敏感信息披露、保障數據傳輸安全。（1）重點安全措施身份識別與賬戶管理。首次注冊需綁定實名制手機，通過短信驗證碼完成身份核驗。支持監護人代理查詢（如子女代父母、父母代子女），需上傳身份證明文件（身份證、戶口本）并通過后臺審核。強制設置符合復雜度要求的密碼（如包含大小寫字母、數字及特殊字符），定期提示用戶更新密碼（建議每 90 天更換一次）等。信息查詢限制。默認隱藏敏感數據（如 HIV 檢測、肝炎結果

115、）等高敏感信息，需患者線下聯系醫療機構獲取。僅開放三個月內的檢查檢驗報告、用藥記錄等非敏感數據供在線查詢。歷史數據需患者提交申請并經醫療機構審核后開放等。操作權限控制。A.功能權限分級：基礎操作：允許查看、瀏覽數據。高風險操作：下載、打印、另存為等需二次授權，系統彈出用戶須知提示數據泄露風險。警示標識：下載頁面需以紅色字體標注“數據安全責任由本人承擔”等警示內容。B.操作日志追蹤：第 48 頁記錄患者賬戶的查詢、下載行為（包括時間、設備 IP、操作類型），日志留存6 個月。數據傳輸安全保障。默認啟用傳輸層加密，確保數據在傳輸過程中的保密性。采用哈希校驗或數字簽名技術，防止數據在傳輸中被篡改。移

116、動端應用強制開啟數據加密功能，禁止通過未授權第三方渠道傳輸數據等。（2）風險防控異常訪問攔截。系統實時監測異常登錄行為（如異地 IP、頻繁失敗嘗試），自動觸發賬戶鎖定或人工復核流程。數據泄露應急響應。發現數據泄露后，立即暫?；颊哔~戶功能，通知用戶修改密碼并追溯泄露源頭。定期安全審計。醫療機構每季度審查患者查詢日志，重點排查敏感數據訪問記錄及高頻下載行為等。3.臨床研究數據場景臨床研究數據安全適用于學術性醫學中心、醫療機構、科研機構等開展回顧性研究、前瞻性研究、真實世界研究等場景，涉及患者健康醫療數據的采集、傳輸、存儲及使用。研究過程中，需遵循倫理規范、最小必要原則及數據安全標準，保障受試者隱私

117、與數據完整性。除滿足一般性醫療數據合規要點外，要重點關注以下幾方面：（1）核心安全措施倫理審查與知情同意。研究開始前，將研究計劃報相關醫療機構的倫理委員會審批。涉及人類遺傳資源收集的，同時向相關部門申報批準。原則上需受試者簽署知情同意書，明確數據使用范圍及目的。允許患者授權去標識化數據用于未來研究（需就診時簽署）。與此同時，存在例外與豁免情形，如回顧性研究無法追溯受試者時，經倫理批準可免除同意（數據需去標識化）；真實世界研究在第 49 頁去標識化前提下，可豁免知情同意。數據分級與分類。公用數據集（PUF）：匯總統計級數據（如疾病年度發病率），可公開共享；受限制數據集（LDS）：患者級數據，去標

118、識化處理（如加密姓名、地址），需授權訪問；可標識數據集（RIF）：含直接標識符（如身份證號、基因數據），僅限必要場景使用。采集、傳輸、存儲與使用。采集階段，采用雙人錄入或電子數據采集系統（EDC），確保數據準確性。避免收集非必要標識符（如全名），以代碼替代患者身份。傳輸階段，機構與申辦者間通過如專線/VPN 等加密傳輸方式，離線數據存儲介質需加密且與密鑰分離。禁止開放未審批端口，數據存儲類服務嚴禁外網暴露。存儲階段，患者知情同意書與代碼索引由醫療機構獨立保存（紙質加鎖/數字加密）。數據備份3 份，定期驗證恢復有效性，研究結束 5 年后需匿名化或刪除等。使用階段，數據庫鎖定后禁止修改，數據變更需

119、記錄稽查軌跡（時間、操作人、變更內容等）。多中心研究集中管理數據，統計分析僅開放去標識化數據集。權限與審計控制。研究者、數據管理員、統計師等主體分配獨立賬號，按職責限制操作權限。需全流程審計，記錄登錄、數據修改、導出等行為。定期審查異常訪問（如非工作時間調閱、高頻下載），觸發自動報警與權限鎖定。數據共享與發布?？蒲袛祿脚_分級開放，需簽署保密協議并注明數據來源。政府資助數據原則上公開共享（涉密除外），商業用途需簽訂有償協議。共享數據需附加隱私聲明及溯源標識，確?？勺匪葜猎紨祿?。論文、專利中引用數據需標明來源，禁止泄露患者身份信息。4.二次利用數據場景二次利用數據安全適用于第三方（政府部門、科

120、研機構、企業等）出于非營利性目的（如科研、創新競賽）申請使用已脫敏或去標識化的健康醫療數據，且第 50 頁無法直接聯系數據主體或聯系成本過高的場景?？刂普撸ㄈ玑t療機構、區域衛生信息平臺）負責數據全流程管理，第三方作為使用者需遵循最小必要原則與安全協議，確保數據在二次利用中的隱私性與合規性。二次利用數據安全通過分級管理、動態審批、去標識化強化及全生命周期監控，構建了兼顧科研創新與隱私保護的管理框架?？刂普咝柰晟茢祿Y源目錄、優化審批機制，第三方應嚴格遵守安全協議，共同維護健康醫療數據在二次利用中的合法性與安全性。重點關注以下幾個方面：（1）數據分級與資源準備分級標準無標識數據集：群體統計數據（如

121、某疾病年度發病率），無個體標識，可公開共享。受限制數據集：患者級數據，去除直接標識符（如姓名、身份證號），需授權訪問?？蓸俗R數據集：含敏感標識符（如地址、基因組數據），僅限特殊研究需求（如流行病學追蹤）。資源目錄建設：控制者公開數據資源目錄，提供字段說明、樣本量、年份及申請條件，提供第三方評估需求。生物組學數據按類型（如基因組、代謝組）封裝，明確數據包內容與使用限制。（2）數據申請與審批機制控制者對數據申請者的身份進行限制，如限定申請者為科研人員，在其研究領域有豐富經驗和相應的職稱，社會信用達到 A 級等。并對申請渠道進行限制。同時規范數據使用目的，僅可用于非營利性目的，申請提取的數據內容與研

122、究主題緊密相關，滿足最少必要原則。第 51 頁控制者成立數據安全專委，建立審批專家庫，制定審批規則及流程。制定科學、定性或定量的數據申請審批指標。維度維度指標指標合法性、正當性是否符合相關法律規范要求數據申請與數據需求一致性數據使用過程中是否會應用申請數據，控制超范圍申請，保障最少必要性數據使用價值數據本身價值、數據應用價值數據泄露風險影響人數、涉及病種、患者損失等提供數據成本提取、清洗、去標識化、傳遞所耗費的人力物力等（3）數據去標識化處理標識符定義：明確姓名、住址、聯系方式等直接標識符，嚴格刪除或加密。最小計數原則：同一描述的患者數5，否則泛化（如“宮頸癌”患者僅僅4 人，則需要將“宮頸癌

123、”泛化處理）。重標識檢測：通過算法驗證數據不可逆，防止通過關聯信息回溯身份。（4）安全傳輸與使用管控。無標識數據：加密郵件或加密 USB 設備（需專用電腦解密）等方式傳遞。受限制/可標識數據：采用虛擬桌面遠程分析（僅允許導出統計結果）或數據沙箱環境等方式。簽署數據使用協議，明確保密義務、使用期限及泄露追責條款。禁止數據轉售、共享或用于訓練商業模型。（5）數據銷毀與溯源管理使用期滿后，第三方需書面通知控制者并提交銷毀證明（如存儲介質消磁記錄）?？刂普吆瞬殇N毀結果，違規者列入黑名單并追究法律責任。公開發表的研究需注明數據來源，確保溯源可查等。5.健康傳感數據場景健康傳感數據指通過可穿戴設備、智能醫

124、療設備等傳感器采集的與個人健康第 52 頁狀況相關的數據（如心率、血壓、血糖、睡眠監測、運動軌跡等）。該場景涉及個人主體、控制者（如醫療機構、健康服務企業等）及處理者（如設備廠商、信息系統服務商等），需確保數據從采集到使用的全流程安全，防止泄露、篡改及未授權訪問。（1）隱私保護與知情同意。設備首次使用時需明確告知數據采集范圍、用途及共享對象，用戶需主動授權。未經用戶同意，不得向第三方披露原始數據；集成多源數據時需二次告知用途。（2）數據采集安全。設備身份認證需要求用戶通過生物識別（指紋、虹膜等）、密碼或數字證書驗證設備使用權。設備與終端（如手機、云端）通信時啟用節點認證，防止非法設備接入。用戶

125、可自主開啟/關閉傳感器數據采集功能，選擇上傳內容（如屏蔽定位信息）。設備固件需定期更新，修復漏洞，禁用非必要服務端口。（3）數據傳輸與存儲安全。默認啟用如 TLS、IPSec 等協議加密傳輸鏈路，保障數據保密性與完整性。公共網絡傳輸時強化加密強度，避免遭受攻擊。加強存儲防護，本地設備存儲數據需加密（如 AES-256），密鑰與數據分離保存。云端存儲采用分布式加密及訪問控制，定期備份并驗證可恢復性。設備丟失或被盜時，支持遠程擦除數據功能，防止信息泄露。（4）數據使用與審計?；诮巧侠?、精細化定義分配訪問權限（如醫生僅可查看診療相關數據），禁止超范圍調閱，敏感操作（如批量導出）需二次審批。嚴格行

126、為審計，記錄數據訪問、修改及共享行為，日志留存。實時監測異常操作（如高頻調閱、非工作時間訪問），觸發告警并自動阻斷等。6.移動應用數據場景移動應用指為個人提供在線健康醫療服務（如在線問診、電子健康檔案查詢等）或健康數據管理的應用程序，涵蓋醫療咨詢、健康監測、保險理賠等場景。第 53 頁移動應用數據安全通過采集合規化、權限最小化、傳輸加密化及存儲冗余化構建防護體系。應用發布者需強化技術防護與第三方監管，用戶應主動管理授權權限，共同維護健康醫療數據的隱私與完整性。除參照和滿足一般性醫療數據合規要點外，要重點關注：（1）數據采集合規性。參照GB/T 35273 信息安全技術 個人信息安全規范，制定隱

127、私政策，明確數據收集類型、用途及共享范圍。嚴格執行最小必要原則，僅采集與業務直接相關的數據，禁止超范圍獲?。ㄈ缃】祽盟饕ㄓ嶄洐嘞蓿?。宜采取動態授權機制，敏感操作（如調閱病歷）需實時彈窗獲取用戶同意，支持隨時撤回授權等。（2）訪問控制強化。登錄采用“賬號密碼+短信驗證碼”或生物識別（指紋、虹膜等），特權操作（如數據導出）需二次認證（如動態令牌）。建立并確保有跡象表明身份可能已經被泄露時還可以利用其他方法或技術進一步驗證用戶身份的機制。權限精細化管理，按角色（醫生、患者、管理員）分配權限，遵循“最小授權”原則。離職員工賬號即時凍結，定期清理冗余賬戶等。（3）傳輸加密保障。端到端加密：采用如 T

128、LS 1.3、HTTPS 等協議加密傳輸鏈路，防止攻擊。敏感數據特殊處理，生物特征信息（如指紋）僅傳輸摘要值，禁止原始數據網絡傳輸。支付數據符合 PCI DSS 標準，隔離存儲與傳輸通道等。（4）存儲安全防護。提供并使用管理、物理和技術保護等措施，保護用戶信息免受未經授權的泄露或訪問?？刹捎妹咳赵隽總浞?、每周全量備份，災備數據異地存儲（3 份）等方式定期備份數據。本地數據加密化處理，密鑰與數據分離管理；云端數據啟用分布式加密，定期輪換密鑰。移動介質存儲，需對介質上數據進行加密，防止數據受到未經授權的泄露或訪問。存儲個人生物識別信息時，宜采用技術措施處理后再行存儲，如僅存儲個人生物識別信息摘要等

129、。（5）應用安全加固。去標識化展示方面，界面顯示患者信息時隱去直接標第 54 頁識符；報告下載自動添加水印，關聯用戶賬號與時間戳。系統漏洞防護方面，定期更新補丁，禁用高風險端口（如 Telnet、FTP）；集成防病毒引擎，實時監測惡意代碼注入。第三方服務監管方面，供應商接入前需通過安全評估（如 ISO27001 認證）；API 接口限流限頻，監控異常調用行為（如每秒超 50 次請求）等。7.商業保險對接場景商業保險對接場景適用于醫療機構與商業保險公司系統互聯，實現患者醫療費用實時結算、理賠審核等業務。醫療機構作為控制者負責數據源管理，商業保險公司作為使用者需遵循最小必要原則獲取數據，雙方通過技

130、術與管理協同保障數據在傳輸、使用、存儲環節的安全性，防范數據泄露與濫用風險。（1）涉及數據類型個人屬性數據，如姓名、性別、證件號、聯系方式、住址等；健康狀況數據，如診斷結果、檢驗報告、手術記錄、用藥史等；醫療應用數據，如診療明細中的藥品/服務名稱、單價、數量、自付比例等；病案信息，如入院診斷、出院小結、手術名稱、病理診斷等；醫療支付數據，如住院號、結算金額、醫保類型、報銷比例等；衛生資源數據，如醫院名稱、等級、科室信息等。（2）對接環節安全措施對接前準備。醫療機構與保險公司互相驗證主體合規性（如經營許可、信用評級、資質等）。簽訂數據使用協議，明確相關授權、數據范圍（如僅限理賠相關字段）、使用期

131、限、保密義務及違約責任等內容。雙方系統需通過等保三級認證，接口上線前完成滲透測試與漏洞掃描等技術工作，確保傳輸的安全性，符合國家、監管機關和對接雙方的安全要求。禁止開放非必要端口（如數據庫默認端口），關閉冗余服務等。商業保險公司需提交數據使用申請，列明字段用途（如“藥品名稱”用于理賠范圍核驗），超范圍需求需重新審批等。對接中管控。參照醫療數據一般性合規要點，重點把握數據傳輸安全、數第 55 頁據使用安全、數據存儲安全，并建立訪問控制與審計機制。數據同步管理方面，設置數據丟失重傳機制，異常中斷后自動校驗續傳，防止數據缺失。禁止直接訪問醫療機構生產庫，通過中間庫隔離并限制查詢頻次（如每秒5 次）等

132、。對接后治理。參照醫療數據一般性合規要點，重點把握數據存儲安全、數據銷毀與介質處理。（3）風險防控與應急響應參照醫療數據一般性合規要點內容，建立相關制度、機制，重點把握異常行為的監控機制和手段、第三方供應商的安全管理、數據泄露應急處置機制和方案等。8.醫療器械數據場景醫療器械數據安全涵蓋具有聯網或存儲功能的醫療設備（如影像系統、檢驗設備、AI 輔助診斷軟件等）在生產、使用及維護環節中的數據管理。醫療器械廠商負責產品安全設計，醫療機構作為控制者確保臨床使用合規性，維護方（廠商或第三方）作為處理者需遵循協議約束，共同保障患者診療數據與設備日志信息的保密性、完整性及可用性。醫療器械使用中的數據安全，

133、屬于醫療機構內部數據安全范疇，參照本合規要點相關章節內容。本章節重點關注醫療器械產品研發及維護環節。（1）涉及相關方與數據范圍相關方角色廠商：研發生產環節確保設備內置安全能力。醫療機構：使用環節管理設備數據訪問權限。維護人員：遠程或現場維護時處理設備日志、維護記錄等數據。數據類型診療數據：患者影像、檢驗結果、診斷報告等。第 56 頁設備日志：操作記錄、故障信息、維護歷史（時間、操作人、維護內容）。維護數據：軟件補丁、固件版本、校準參數等。（2）研發與生產環節醫療器械廠商在產品研發過程中，參照相關的國際、國家標準和技術報告，進行器械網絡安全能力建設，進行系統加固等方面的設計工作。傳輸認證。支持白

134、名單、數字證書或生物識別（如指紋）驗證設備使用者身份，并確保傳輸過程中健康醫療數據保密性手段。數據導出控制。若導出含患者信息，需提供去標識化功能（如替換姓名為患者代碼）。數據完整性保障。產品宜提供相關技術手段使得存儲在本地的，在系統故障恢復后、發生故障前的醫療數據可獲取，并提供醫療數據的備份、歸檔、恢復手段。審計跟蹤。創建審計跟蹤來記錄和檢查用戶行為。審計記錄確保不被修改或刪除。跟蹤行為至少應包括：身份認證、醫療數據的查詢、建立、刪除、修改、導入、導出、網絡傳輸等。系統加固。器械廠商要對產品實施系統加固，保證用途下確保安全最大化。加固方式至少包括：防火墻設置、關閉非必要端口、禁用未授權服務、操

135、作系統、應用軟件漏洞安裝維護等。（3）維護環節數據管理數據采集安全。維護人員需通過授權訪問認證機制，建立安全連接，僅允許訪問指定設備日志，進一步強化控制訪問來源（如特定公司的特定維護人員可以訪問等）。導出醫療數據時自動去標識化，禁止保留原始患者標識符。通過遠程桌面訪問時，確保得到醫療器械操作人員或醫療機構工作人員的認證或授權等。數據傳輸與存儲。使用如 TLS 或 IPSec 加密維護通道，離線數據存儲介質第 57 頁需采取技術加密措施。通過哈希算法（如 SHA-256）校驗數據未被篡改，確保完整性驗證，并定期備份日志及異地存儲。權限與審計。維護人員僅可訪問設備日志，無權調閱患者病歷；數據導出與

136、密鑰管理由不同角色執行。記錄維護人員數據訪問行為，異常操作（如頻繁下載日志）觸發告警并鎖定賬號。（4）組織管理要求參照本合規要點相關章節內容，全面建立相關機制。重點建立安全策略、規程和管理流程，定期進行安全風險評估與管理，制定和執行安全運維，制定應急管理策略并定期開展演練，確保安全責任，并對員工進行安全管理、安全培訓和考核。廠商與醫療機構簽訂維護協議，明確數據安全責任及泄露追責條款，定期對醫護人員、維護人員開展數據安全與隱私保護培訓，制定數據泄露預案，設備丟失或遭攻擊時立即斷網、擦除數據并上報等。（5）特殊場景管理醫療器械數據涉及如基因數據、AI 醫療等特殊模塊，需另行依據國家專門法律規范處理

137、，不納入醫療器械一般性合規范疇，相關內容參照本合規要點“特殊場景下的醫療數據合規”章節。五、其他商業化應用場景五、其他商業化應用場景醫療數據作為醫療行業的核心資產，其潛在價值在技術進步和應用場景拓展中逐漸顯現。隨著大數據、人工智能等新興技術的不斷成熟，醫療數據的應用已從傳統的臨床決策支持、疾病監測等領域，逐步擴展到市場調研、行業分析、疾病篩查與防控、醫療器械不良事件監測、醫檢數據治理以及人工智能輔助醫療健康服務等多個創新領域。這些應用不僅為醫療行業的智能化轉型提供了有力支持，也為實現高效的人群健康管理、醫院降本增效以及第 58 頁滿足醫務工作者的臨床與科研需求奠定了堅實基礎。（一）市場調研與行

138、業分析：精準數據賦能產業發展（一）市場調研與行業分析：精準數據賦能產業發展隨著大數據、人工智能等新興技術的不斷成熟，醫療數據的應用已從傳統的臨床決策支持、疾病監測等領域，逐步擴展到市場調研、行業分析等多個創新領域。據 IDC 報告顯示，2023 年中國醫療大數據市場規模達到 34.5億元人民幣，醫療大數據建設和應用正在進入數據價值的深入挖掘階段。通過對海量匿名化醫療數據的深度挖掘與分析，醫療數據能夠為市場調研和行業分析提供精準的數據支持。例如，某集團自主研發的“某呼吸道病原體檢測陽性率分析報告”，通過整合歷史數據與實時監測數據，不僅可預測呼吸道感染的流行趨勢，助力政府和衛生部門提前部署防控措施

139、，還可解析病原體的傳播規律及感染人群特征，為疫苗接種計劃和公共衛生政策制定提供科學依據。此外，該數據產品還為醫藥及醫療器械企業的產品研發和市場布局提供了精準指導，助力企業預測細分市場需求，開發針對性的抗病毒藥物、抗生素、多聯檢試劑盒及快速檢測技術，滿足臨床對于高流行率病原體的快速篩查診斷需求。同時，這一數據產品也為科研機構的醫學研究提供了寶貴支撐，推動特定病原體的流行特征、傳播規律及變異情況等基礎研究的開展。（二）疾病篩查與防控服務：助力疾病的早發現、早干預（二）疾病篩查與防控服務：助力疾病的早發現、早干預在疾病篩查與防控領域，醫療數據的應用能夠顯著提升疾病的早發現、早診斷與早治療能力。以宮頸

140、癌篩查為例，廣州金域醫學檢驗集團股份有限公司攜手廣東省疾病預防控制中心及廣州醫科大學附屬婦女兒童醫療中心，基于超 1 億例宮頸癌數據積累，建立了涵蓋數據采集、治理與應用的整體解決方案，搭建了宮頸癌數據分析平臺，提供全國多中心的宮頸癌篩查一站式數據服務。該項目通過合法渠道收集數據，并獲得患者的知情同意，同時建立嚴格的數據質量控制機制，對數據進行清洗、驗證和校驗，確保數據的真第 59 頁實性和準確性。此外，通過數據安全評估，采用數據加密、匿名化等技術手段，防止數據在共享過程中被泄露或濫用，確保數據在不同機構之間的安全可靠流通，為公共衛生決策提供有力支持。（三）醫療器械不良事件監測：保障器械安全與有

141、效性（三）醫療器械不良事件監測：保障器械安全與有效性醫療器械不良事件監測是保障醫療器械安全性和有效性的重要環節。江門市人民醫院通過建立完善的數據收集與分析體系，研發了“江門市人民醫院醫療器械不良事件報告”的數據產品，旨在通過先進的數據分析技術，為醫療器械的安全性監管提供強有力的支持。該數據產品通過對醫療器械使用過程中產生的患者情況、器械使用情況及不良事件數據進行分析，科學監測醫療器械的安全性和有效性，幫助監管機構、制造商和服務提供者掌握產品實際使用情況，為監管合規、風險管理、產品改進及公眾安全等方面發揮關鍵作用。數據處理主體通過合法渠道收集數據，并獲得患者的知情同意，同時建立嚴格的數據安全管理

142、制度，采用加密存儲、訪問控制、數據備份等技術手段，保障數據的安全性和保密性。此外，數據僅用于醫療器械的安全性監管、風險管理和產品改進等合法用途，確保數據使用過程的合規性。（四）醫檢數據治理與應用：提升醫療數據質量與價值（四）醫檢數據治理與應用：提升醫療數據質量與價值醫檢數據的有效治理與應用能夠為醫療行業及相關領域提供重要的數據支持。金域醫學率先對其積累的神經免疫系統疾病與感染性疾病兩大類檢測數據進行治理，成功完成了兩款數據產品的資產登記。其中，“金域醫學神經疾病相關抗體送檢情況及陽性率分析報告”可提供不同地域神經免疫系統疾病患者的抗體陽性率分析，為制藥企業、醫療機構及科研機構的藥品研發工作提供

143、寶貴數據支持；“金域醫學結核分枝桿菌耐藥地圖”則結合網頁端地圖，直觀呈現結核分枝桿菌耐藥的地域分布及趨勢，為政府及醫療機構的公共衛生監控、防控政策制定及精準治療提供數據支撐。數據處理主體制定第 60 頁了詳細的數據治理方案，明確數據采集、清洗、轉換、存儲等環節的操作規范，同時建立數據質量評估指標體系，定期對數據質量進行評估和監控，確保數據的準確性、完整性和一致性。此外，對患者的個人信息進行匿名化處理，僅保留與疾病檢測相關的必要數據，明確數據的使用權限和范圍，通過合法的授權協議，確保數據僅用于藥品研發、科研工作、公共衛生監控、防控政策制定等合法合規的用途。（五）（五）AIAI 輔助醫療健康服務：

144、推動醫療服務智能化升級輔助醫療健康服務：推動醫療服務智能化升級人工智能技術與醫療數據的結合為醫療健康服務帶來了新的突破。例如，深圳羅湖“AI+醫療健康”創新應用場景通過運用人工智能輔助眼底診斷技術，搭建“眼底人工診斷平臺”，為糖尿病患者開展眼底篩查，實現糖尿病視網膜病變的早期發現與干預。該項目在國內率先將基于 AI 定量技術的遠程輔助診斷系統應用于社區大規模糖尿病視網膜病變篩查及糖尿病患者的常規眼底檢查，開創性地將眼底定量化指標用于糖尿病的隨訪管理，有效破解了醫療資源不足與地域分布不均的困境，提升了糖尿病患者眼底檢查覆蓋率，推動了糖尿病遠程會診與分級診療體系建設。數據處理主體確保所使用的醫療數

145、據符合相關法律法規和政策要求，數據來源合法，且經過患者授權，同時對數據進行嚴格的隱私保護和安全處理，防止數據泄露和濫用。此外，對 AI 算法的準確性、可靠性和公平性進行評估和驗證，避免因算法偏差導致誤診或漏診，確保模型的可解釋性，使醫生和患者能夠理解 AI 診斷結果的依據，推動醫療服務智能化升級。第 61 頁附件 1：醫療數據使用授權協議醫療數據醫療數據使用授權使用授權協議協議尊敬的患者（以下簡稱“您”）,醫院（以下簡稱“本院”）重視患者的隱私，您在通過手機應用（包括但不限于微信公眾號、微信小程序、支付寶生活號、以及手機 APP）和線下使用本院疾病診療服務過程中，本院將按照醫療數據使用授權協議

146、（以下簡稱“本協議”）、個人信息保護法數據安全法網絡安全法等法律法規及政策性文件的要求，采集、存儲、使用、加工、傳輸您的個人醫療信息。為了保證對您的個人醫療數據合法、合理、適度地采集、使用，并在安全、可控的情況下進行傳輸、存儲，本院制定了本協議，請您仔細閱讀本協議并確認了解本院對您醫療數據的處理規則。閱讀及使用過程中，如您有任何疑問、個人信息安全投訴或舉報，可聯系本院的患者服務、投訴、舉報熱線進行咨詢、投訴、舉報，本院將于 15 個工作日內為您進行處理。如您就本協議線上或線下點擊或勾選“同意”，并確認提交，即視為您同意本協議，同意本院將按照本協議的相關規定來采集、存儲、使用、加工和傳輸您的相關

147、醫療數據。您不同意以本協議約定的方式處理您醫療數據的，本院不會拒絕向您提供產品或者服務，醫療數據屬于提供產品或者服務所必需的除外。一、授權范圍（一）基礎授權范圍您同意不同意本院在以下范圍內使用其醫療數據：1.醫學研究：對醫療數據進行分析研究，以探索疾病的發生機制、發展規律以及不同治療方法的效果評估，推動醫學知識的進步和創新。2.臨床診斷參考：在臨床實踐中，為醫生提供輔助診斷建議，幫助醫生更準確地判斷病情，制定更合理的治療方案，從而提高醫療服務質量和效率。第 62 頁（二）擴展授權范圍1.（同意不同意）第三方合作研究：與國內外其他科研機構、高校、企業等開展合作研究項目，共享醫療數據以實現更廣泛的

148、研究目的，但本院應確保第三方遵守與本院相同的保密義務和數據使用規范。2.（同意不同意）商業用途開發：在符合法律法規的前提下，將匿名化后的醫療數據用于與醫療服務相關的商業產品或服務的開發與推廣，如開發新型診斷試劑、治療藥物、醫療器械等，但本院應確保商業活動的開展不會損害您的合法權益。3.（同意不同意）公共衛生統計與政策制定：向衛生行政部門等提供脫敏后的醫療數據統計信息，用于公共衛生狀況的監測、疾病預防控制策略的制定以及醫療資源的合理配置等公共衛生管理工作。4.（同意不同意）AI 輔助診斷系統訓練：將您醫療數據作為訓練數據，用于提升 AI 在疾病診斷方面的準確性和可靠性，涵蓋但不限于腦卒中、胸痛、

149、肺結節、骨折、骨齡評估、QCT 及下肢血管等疾病的診斷系統訓練。5.（同意不同意）專業人員培訓：作為教學案例，用于醫學專業學生、住院醫師、進修醫生等的培訓教育活動，提升醫學人才的專業素養和實踐能力。6.（同意不同意）商業保險定價及理賠：將您的醫療數據與相關的商業保險企業進行共享，用于商業保險企業根據您的過往病史、檢測結果，依據公平合理的規則進行特定保險產品的價格評測。此外將您的數據向商業保險企業進行提供能夠極大地方便您的就醫及后續保險結算流程。（三）醫療數據的數據接收方信息數據接收方名稱利用用途患者授權同意不同意第 63 頁同意不同意同意不同意同意不同意同意不同意（四）本院將采取合理的安全手段

150、保護您提供的醫療數據，不會擅自將患者醫療數據超出上述授權范圍披露給任何無關的第三方，但涉及下列情形之一的除外：1.由于患者對自身醫療數據保密不當，從而導致患者醫療數據的泄露、被盜或者患者自行向社會公眾公開的醫療數據；2.與國家安全、國防安全有關的，或與公共安全、公共衛生、重大公共利益有關的，或與政府管制、政策影響有關的；3.相關司法機關依照法定程序要求提供的，或者有關主管部門依照法律、行政法規的規定要求電子商務經營者提供有關電子商務數據信息的；4.根據與您簽訂和履行相關協議或其他書面文件所必需的；5.法律法規規定的其他情形。二、兒童醫療數據特別授權（一）未成年人同意本協議，必須在其父母或者其他

151、監護人的監護下進行。本院將根據國家相關法律法規的規定保護未成年人的個人信息的保密性及安全性。（二）監護人驗證機制14 周歲以下患者需完成雙重身份核驗，即監護人身份證件掃描件上傳（含人臉識別活體驗證）和監護關系證明（出生醫學證明/戶口簿）電子件提交。（三）撤回授權條款作為未成年人的法定監護人，您可以通過生物特征驗證（人臉識別+身份證件核驗）行使撤回權，并需上傳監護關系證明文件。您可以行使的撤回方式包括醫院第 64 頁手機應用、官網專用通道及線下窗口辦理，撤回后 48 小時內凍結數據接口，但已用于科研的匿名化數據集不受影響。涉及遺傳信息撤回將同步通知倫理委員會備案，監護人可在線查看撤回操作進度。撤

152、回效力不溯及已完成的診療數據流處理。（四）特殊處理機制出于對未成年人權益的保障，監護人可要求查閱數據使用日志（含訪問時間、用途、操作人員）和獲取數據脫敏處理技術說明。三、授權期限本授權書自您簽字之日起生效，有效期為年。授權期限屆滿后，若您未以書面形式提出終止授權，本授權自動延續，延續次數不限。四、患者權利根據個人信息保護法及相關規范，您就授權的醫療數據享有以下法定權利：（一）知情權您有權隨時了解其醫療數據的存儲情況，知悉其醫療數據存儲的位置、存儲期限以及存儲的安全措施，有權了解其醫療數據被用于何種目的、以何種方式使用，以及使用數據的具體流程，有權知曉其醫療數據在處理過程中的具體情況，包括但不限

153、于數據的收集、整理、分析等環節。（二）選擇權您可自行決定授權的醫療數據范圍，如僅授權特定類型的醫療數據，或僅授權在特定情況下使用其醫療數據，可以選擇通過電子簽名、點擊確認等方式進行授權，也可以選擇不進行授權。（三）撤銷權您可以通過線上或者線下的方式來撤銷授權，撤銷授權后 72 小時內完成數據鏈路清除（含第三方協作單位數據副本銷毀），但基于匿名化處理且無法關聯個人第 65 頁身份的科研數據集除外。（四）更正權您可以在發現數據標注錯誤后在線提交醫學影像復核申請（需附三甲醫院診斷證明），系統應在 15 個工作日內完成數據校驗與修正。（五）數據可攜權您可要求以結構化格式獲取原始醫療數據包，醫療機構應在

154、 30 日內通過國密算法加密傳輸。（六）限制處理權對 AI 輔助診斷結論存疑時，患者有權要求建立人工復核隔離區（數據僅限副主任醫師及以上權限訪問）。（七）刪除權患者可發起不可逆刪除請求，但依法需保留的醫療數據醫療檔案除外。門急診醫療數據存檔時長至少為患者上一次就醫日期之后的 15 年，住院醫療數據按 30年醫學檔案標準保存。四、數據安全保障本院承諾將采取嚴格的數據安全保障措施，確保您醫療數據的保密性、完整性和可用性。具體措施包括但不限于：（一）數據加密本院將通過存儲加密和傳輸加密對您提供的醫療數據進行加密處理，確保數據在存儲、傳輸和使用過程中的安全性。（二）訪問控制本院將實施動態權限管理，遵循

155、最小權限原則來建立嚴格的訪問權限管理制度，僅允許經過授權的人員在特定的工作場景下訪問和使用您的醫療數據，并對訪問行為進行記錄和監控。第 66 頁（三）數據備份與恢復本院定期對您的醫療數據進行備份，并制定數據恢復計劃，以防止數據丟失或損壞。（四）安全審計與監控本院將定期對數據使用情況進行安全審計，及時發現和處理潛在的安全隱患。（五）數據生命周期管理本院保證門診醫療數據保留期限為患者末次就診后 15 年，住院數據保留 30 年，數據銷毀采取不可逆擦除技術并經倫理委員會審批。五、違約責任（一）若本院違反本授權書的約定，超出授權范圍使用您的醫療數據，本院應立即停止違約行為，并承擔相應的違約責任，包括但

156、不限于賠償您因此遭受的全部損失。（二）若本院未履行數據安全保障義務，導致您的醫療數據泄露、丟失或損壞，本院應承擔相應的賠償責任，并采取補救措施以減輕對您造成的不利影響。（三）若您違反本授權書的約定，提供虛假的醫療數據或就同一醫療數據向其他方授予導致本院權益受損的類似授權，您應承擔相應的違約責任，包括但不限于賠償本院因此遭受的全部損失。六、爭議解決（一）因本協議（含補充協議）引起的或與本合同相關的爭議，雙方應友好協商解決。若協商不成，任意一方有權向有管轄權的人民法院提起訴訟。（二）爭議處理期間，相關數據須采用區塊鏈存證技術進行保全，確保數據完整性與不可篡改性。（三）涉及跨境數據爭議的，應優先適用

157、中國司法管轄。（四）本條款與主協議具有同等法律效力，爭議解決期間數據控制方不得單方面第 67 頁變更授權范圍。七、免責聲明本院在國家相關法律法規規定的范圍內，按現有狀況和診療規則提供相應的診療服務，發生下列情形之一的，本院不承擔責任：（一）因不可抗力（包括但不限于地震、臺風、水災、火災、戰爭及其他不能預見、不能避免且不可克服的客觀事件）導致的；（二）因不可預測或無法控制的系統故障、設備故障、通訊故障、線路故障、停電、黑客攻擊、計算機病毒等突發事件或第三方原因給會員造成的損失；（三）因法律和政策發生變化或政府機關、司法機關采取措施、提出特殊要求的；（四）患者在本院提供的有關個人信息不真實，或者違

158、反任何保證、承諾或法律規定的；（五）任何非經患者授權或許可的第三方非法使用患者的名稱、手機號碼、密碼等登錄或進行任何形式操作的；（六）患者有違背協議承諾、保證或相關義務、責任之行為或事由的；（七）服務中任何非與本院有關第三人的聲明或行為；（八）依據法律規定和本院規則認定的其他免責情形。八、協議的更新（一）本院可能會不時更新本醫療數據使用授權協議，更新時將在本院醒目位置發布公告，或在手機應用中發布通知，您每次接受本院提供的診療服務或登錄使用本院手機應用時均視為同意受當時有效的聲明條款內容的約束。（二）醫療數據使用授權協議的更新和變化包括但不限于：1.服務模式發生重大變化，如處理個人信息的目的、處

159、理的個人信息類型、個人信息的使用方式等；2.控制權等方面發生重大變化，如并購重組等引起的信息控制者變更等；第 68 頁3.個人信息共享、轉讓或公開披露的主要對象發生變化；4.您參與個人信息處理方面的權利及其行使方式發生重大變化；5.我們負責處理個人信息安全的責任部門、聯絡方式及投訴渠道發生變化；6.個人信息安全影響評估報告表明存在高風險；7.本院認為應予更新的其他情形。九、其他（一）本協議依據的內容包括中華人民共和國個人信息保護法中華人民共和國數據安全法中華人民共和國網絡安全法等現行有效的法律、行政法規和政策性文件。（二）本協議及其修改權、更新權及最終解釋權均屬本院所有。第 69 頁附件 2：

160、交易合同示范文本第一部分第一部分 術語和定義術語和定義1.1.數據數據是指任何以電子或非電子形式對信息所做的記錄。2.2.數據交易數據交易醫療數據交易合同示范文本（下稱“本合同”）所稱的“數據交易”是指數據供方和需方之間以本合同約定的數據處理權益為交易對象、以貨幣為媒介的價 值交換過程。3.3.數據供方數據供方是指通過數據包或者API等方式，向數據需方交付標的數據、轉讓或共享數據處理權益，并獲得相應對價的主體。4.4.數據需方數據需方是指具有特定數據需求，從數據供方接受標的數據、獲得標的數據處理權益，并支付對價的主體。5.5.數據處理權益數據處理權益5.1 本合同所稱的“數據處理權益”，是指依

161、據法律、行政法規或地方性法規的規定、當事人的約定或者特定事實行為而享有的、在特定權限范圍內對數據進行處理之權利。5.2 前款所稱的“特定權限范圍”包括對數據的處理目的權限、處理方式權限及處理期限權限。5.3 前款所稱“處理方式”是指數據處理主體對數據進行的包括但不限于收集、存儲、使用、加工、傳輸、提供、公開等活動。6.6.數據處理權益轉讓數據處理權益轉讓第 70 頁簡稱“數據轉讓”，本合同中指供方向需方提供標的數據的同時，不再對標的數據享有任何數據處理權益的交易方式；但本合同另有約定的除外。7.7.數據處理權益共享數據處理權益共享簡稱“數據共享”，本合同中指供方向需方提供標的數據的同時，各方均

162、獨立對標的數據享有數據處理權益的交易方式；需方對標的數據的處理權限依據合同約定予以明確。8.8.概括處理概括處理本合同所稱的“概括處理”，是指數據處理主體享有對數據進行收集、存儲、使用、加工、傳輸、提供、公開等全部處理方式之權限，但法律、行政法規禁止的處理方式除外。9.9.獨占處理獨占處理本合同所稱的“獨占處理”，是指在數據共享交易中，需方所享有的要求供方不得自行或授權他人就標的數據在一定目的、期限范圍內、以一定方式進行處理的權利。10.10.原始數據原始數據本合同所稱的“原始數據”，是指供方按照一定方式和規則收集的、用于生成標的數據的、尚未進行額外加工的初始數據或底層數據。11.11.標的數

163、據標的數據本合同所稱的“標的數據”，是指對原始數據進行一定加工而形成的用于交付的數據。12.12.衍生數據衍生數據本合同所稱的“衍生數據”，是指由數據需方對供方提供的標的數據進行進一步加工后形成的區別于標的數據的數據。13.13.重要數據重要數據第 71 頁指一旦泄露可能直接影響國家安全、經濟安全、社會穩定、公共健康和安全的數據，如未公開的政府信息，大面積人口、基因健康、地理、礦產資源等數據。14.14.APIAPI交付交付即數據供方向需方提供滿足約定的應用程序編程接口，以實現需方獲取本合同約定的標的數據。15.15.數據安全保護責任數據安全保護責任本合同所稱的“數據安全保護責任”，是指通過采

164、取必要措施，保障數據得到有效保護并持續處于安全狀態之責任。16.16.個人信息個人信息個人信息是指以電子或者其他方式記錄的與已識別或可識別的自然人有關的各種信息，不包括匿名化處理后的信息?！澳涿笔侵競€人信息經過處理無法識別特定自然人且不能復原的過程。17.17.敏感個人信息敏感個人信息敏感個人信息是指一旦泄露或者非法使用，可能導致個人受到歧視或者人身、財產安全受到嚴重危害的個人信息，包括種族、民族、宗教信仰、個人生物特征、醫療健康、金融賬戶、個人行蹤等信息。18.18.公共數據與公共開放數據公共數據與公共開放數據本合同所稱的“公共數據”是指行政機關以及具有公共管理和服務職能的單位（以下統稱

165、“公共管理和服務機構”）在依法履行職責、提供公共服務過程中獲取的數據資源?！肮查_放數據”即指公共管理和服務機構直接或間接面向社會公開的公共數據，包含有條件公開和無條件公開的數據。19.19.合規性要求合規性要求第 72 頁本合同所稱的“合規性要求”是指法律法規、規章及其他國家、地區及行業規定等規范性法律文件對供需一方或雙方就本合同所涉事項所應履行或遵循的 強制性、義務性規定。20.20.涉外或涉港澳臺數據涉外或涉港澳臺數據指因原始數據或標的數據的數據處理行為等有關事宜涉及中華人民共和國領域外或港澳臺而導致與交易有關的事項可能受到外國或港澳臺法律、外國或港澳臺司法、仲裁機構所管轄的數據。第 7

166、3 頁第二部分第二部分 專用條款專用條款數據需方：數據需方：統一社會信用代碼：法定代表人：送達地址：指定聯系人：聯系電話：送達郵箱：傳真：數據供方：數據供方：統一社會信用代碼：法定代表人：送達地址：指定聯系人：聯系電話：送達郵箱：傳真：鑒于鑒于：數據需方（以下簡稱“需方”）為在中華人民共和國境內（不含港澳臺）合法成立的法人或非法人組織，擬將本合同項下約定的標的數據用于合法用途；數據供方（以下簡稱“供方”）為在中華人民共和國境內（不含港澳臺）合法成立的營利性法人或非法人組織，經營范圍包含實施本合同約定的數據交易行為。依據中華人民共和國民法典中華人民共和國網絡安全法及相關規范性法律文件，供需雙方經

167、平等、自愿協商，達成如下協議：第 74 頁第一條第一條交易標的交易標的1.1 交易方式數據轉讓數據共享1.2 標的數據要求1.2.1 標的數據名稱：1.2.2 標的數據是否根據需方要求制定。1.2.3 標的數據性質標的數據是否包含或涉及本地區、部門或行業重要數據（以下簡稱“重要數據”）。1.2.4 標的數據描述標的數據為標準數據的，可見附件樣本數據描述。標的數據為定制數據的，可見附件標的數據需求表。1.3 需方對標的數據之處理權限1.3.1處理目的權限需方承諾僅將標的數據用于如下目的：。1.3.2處理方式權限需方在標的數據處理目的范圍內享有的處理方式權限為第項：A.概括處理B.享有除如下劃“”

168、方式外的其他處理方式權限：加工傳輸第 75 頁提供公開其他1.3.3處理期限權限固定期限處理期限為，自如下第項約定時間起算：A自供方交付標的數據之日起計算B自標的數據或API接口通過驗收之日起計算C其他不固定期限：以標的數據處理目的達成為限其他1.4 標的數據到期處理（適用不適用）處理期限到期后，需方應按照以下方式對標的數據進行銷毀：。（適用不適用）若標的數據為重要數據的，供方是否需要通過銷毀數據安全風險評估。1.5（適用不適用）標的數據獨占處理需方在標的數據的處理目的、期限范圍內就標的數據享有如下劃“”方式的獨占處理權：存儲加工使用第 76 頁傳輸提供公開其他第二條第二條交易價款交易價款2.

169、1 計價方式與價格。2.2 支付方式與結算。2.3（適用不適用）質量保證金需方有權將交易總額的%作為質量保證金予以扣留。在專用條款5.2條約定的質量保證期屆滿后 14 日內，扣除質量保證期間因標的數據質量瑕疵而導致的賠償金或違約金（若有）后，需方應按如下第種方式向供方支付：A扣留的質量保證金不計息。B以抵扣后最終應付的質量保證金為基數，自標的數據通過驗收之日起按照的標準計息，與質量保證金一并支付。第三條第三條交易安全交易安全3.1 數據交易風險評估與行政審批3.1.1標的數據屬于重要數據的，供方應當對本次數據交易進行安全風險評估，需方應當積極配合供方的安全風險評估。3.1.2標的數據屬于重要數

170、據的，供方應當/暫不報有關監管部門批準。3.2（適用不適用）標的數據分級分類安全保護第 77 頁3.2.1供方應當至少在本合同簽訂之日起日內向需方出具標的數據分級分類安全保護說明。3.2.2 需方應當按照標的數據分級分類安全保護說明采取相應的措施，并確保在標的數據交付日前符合標的數據分級分類安全保護說明的要求，并向供方出具標的數據安全保護措施響應承諾書。3.3（適用不適用）網絡安全等級測評3.3.1供方應當在本合同簽訂之日起日內向需方提供第一二三四級網絡安全等級測評報告。3.3.2需方應當在本合同簽訂之日起日內向供方提供第一二三四級網絡安全等級測評報告。3.4（適用不適用）網絡安全審查若需方為

171、關鍵信息基礎設施運營者，則經需方進一步評估確認本次交易是否可能影響國家安全；若是，供需雙方應當共同配合進行網絡安全審查。第四條第四條交付與驗收交付與驗收4.1 標的數據交付方式 數據包交付 API交付 其他4.2（適用不適用）交付要求供方應當按照附件標的數據交付要求向需方交付標的數據，以保證標的數據的安全、準確、完整傳輸。4.3 交付期限數據包交付的，供方應在前向需方交付；第 78 頁API 交付的，供方應在前提供符合約定的API接口，以實現需方對標的數據的獲取需求。4.4 標的數據驗收雙方確認以下列方式作為需方對供方標的數據合格交付的確認：A.雙方約定以數據包形式交付的，需方應在標的數據交付

172、之日起的日內對標的數據是否符合本合同約定進行驗收；確認標的數據與本合同約定相符的，應同時向供方出具驗收確認書。B.雙方約定以API形式交付的，需方應在API接口向其開通之日起日內對通過API接口是否能夠獲取符合本合同約定的標的數據進行確認；確認合格的，應同時向供方出具驗收確認書；C其他。4.5 驗收異議需方驗收時對交付存在異議的，應在4.4條約定的驗收期限內通知供方；異議成立的，供方應當積極采取補救措施以確保標的數據符合合同約定。異議事項消除后，供方應重新交付并提交驗收，需方應在日內予以驗收；因此導致遲延交付的，遲延期限在日內且重新交付驗收合格的，供方可免予承擔遲延交付責任。4.6 數據安全保

173、護責任轉移根據交易方式的不同，雙方確認本次交易是否涉及標的數據之數據安全保護責任轉移（如需方通過API接口直接獲得計算結果數據的情況下，若供方不對標的數據進行處理，則可不涉及標的數據的安全保護責任轉移）。第五條第五條標的數據質量保證標的數據質量保證5.1（適用不適用）標的數據質量驗證供需雙方約定的質量驗證方式為：第 79 頁。5.2（適用不適用）標的數據質量保證期標的數據交付方式為數據包的，質量保證期限為自需方出具驗收確認書之日起。標的數據交付方式為API方式的，質量保證期限按項確定：A.自需方出具驗收確認書之日起。B.與本合同有效期相同。C.其他第六條第六條特別處理約定特別處理約定6.1 類

174、標的數據處理6.1.1（適用不適用）若交易方式為數據轉讓的，則供方是否能夠繼續處理與本合同約定的“標的數據要求”相同或具有高度相似性的數據（以下簡稱“類標的數據”）。若供方有權處理類標的數據，其是否能夠將類標的數據向任何與需方有利益沖突或行業競爭關系的第三方轉讓、共享或披露。6.1.2（適用不適用）若交易方式為數據共享，且需方享有本合同約定范圍內的獨占處理權益的，則供方是否能夠繼續處理類標的數據。若供方有權處理類標的數據，其是否能夠將類標的數據向任何與需方有利益沖突或行業競爭關系的第三方轉讓、共享或披露。6.2 供方標的數據銷毀6.2.1若交易方式為數據轉讓的，則供方應按照第項的約定對標的數據

175、進行銷毀，不得以其他任何方式對標的數據進行處理：A.應在需方向其出具驗收確認書之日起三日內B.應在質量保證期屆滿之日起的三日內第 80 頁C.其他6.2.2（適用不適用）若標的數據為重要數據的，供方是否需要通過銷毀數據之安全風險評估。第七條第七條衍生數據處理衍生數據處理7.1（適用不適用）需方對標的數據享有加工權限的，需方對加工形成的衍生數據之處理權限范圍按照以下方式確定：A.參照本合同對于標的數據的約定執行；B.其他：7.2（適用不適用）供需雙方對于衍生數據的其他約定：。第八條第八條保密保密8.1 保密信息如下信息應被視為保密信息，供需雙方均應按照本合同的約定對相對方的保密信息履行保密義務：

176、（1）商業秘密，即指一方不愿公開或尚未主動公開的技術秘密、商業情報及信息。（2）（適用不適用）除商業秘密外，各方還應對如下劃“”信息負有保密義務：從相對方獲知的可能影響相對方正常經營、管理或第三方合法權益的信息，前述信息不以明示保密為前提。有關本合同的磋商、簽訂、履行及爭議之信息。其他。8.2 保密義務之例外存在如下劃“”情況，向第三方披露相對方的保密信息的，不視為對保密義務的違反：第 81 頁為履行法定義務而向國家機關或有關單位合理披露的。為履行上級機關或集團內部管理要求而向前述主體及相關人員披露的，但應保證前述主體及人員參照本合同的約定履行保密義務。為融資需求而向銀行或有關金融機構及相關人

177、員披露的，但應保證前述主體及人員參照本合同的約定履行保密義務。因實施收購、兼并或類似行為而向相關方及相應人員披露的，但應采取合理措施控制披露范圍，并保證前述主體及人員參照本合同的約定履行保密義務。其他。第九條第九條合約追蹤合約追蹤9.1（適用不適用）合約追蹤方式供方有權在不干涉需方正常運營的前提下，就需方對標的數據的處理是否符合合同約定進行如下劃“”方式的合約追蹤：審 計 定 期 抽 查 采 樣 檢 查 其 他9.2（適用不適用）合約追蹤要求供需雙方對于合約跟蹤的具體約定：見附件合約追蹤約定。第十條第十條應急預案與處置應急預案與處置10.1 網絡與數據安全應急預案供需雙方是否應將相應的應急預案

178、作為本合同附件。10.2 負面數據事件處理與責任10.2.1 標的數據屬于通用條款 1.3.1 項所列數據的，需方通知供方的同時應當通知相關監管部門；在相關部門進一步指示前，不得采取其他任何處理措施，但為了避免損失進一步不可逆轉的擴大而采取合理、必要措施的除外。10.2.2 標的數據涉及通用條款 1.3.2 項所列數據的，需方應當按照如下第項方式予以處理：第 82 頁A.在通知供方的同時應當通知相關監管部門，在相關部門進一步指示前，不得采取其他任何處理措施，但為了避免損失進一步不可逆轉地擴大而采取合理、必要措施的除外。B.應及時通知供方，并按照供方的要求對負面數據予以銷毀。10.2.3 標的數

179、據涉及通用條款 1.3.3 項所列數據的，需方應當按照如下第項方式予以處理：A.在通知供方的同時應當通知相關監管部門，在相關部門進一步指示前，不得采取其他任何處理措施，但為了避免損失進一步不可逆轉地擴大而采取合理、必要措施的除外。B.應及時通知供方，并按照供方的要求對負面數據予以銷毀。10.2.4 標的數據屬于違反通用條款 1.3.4 項約定、涉及個人信息數據的，供方應當啟動應急預案，同時通知受影響的個人信息主體，征求個人信息主體的 事后追認；無法獲得事后追認的，需方應當立即銷毀相關數據，不得以任何方式 加以利用。第十一條第十一條違約責任違約責任11.1 交付違約除本合同另有約定外，供方未按照

180、本合同約定的期限交付標的數據并通過驗收的，應當以為基數，按照的標準計算并向需方支付違約金；前述違約金不足以彌補需方損失的，供方還應當據實承擔賠償責任。11.2 質量瑕疵除本合同另有約定外，供方交付的標的數據存在質量瑕疵的，應當以的標準計算并向需方支付違約金；前述違約金不足以彌補需方損失的，供方還應當據實承擔賠償責任。第 83 頁11.3 付款違約需方未按照本合同約定的期限和金額支付價款的，應當以欠付金額為基數，按照的標準計算并向供方支付違約金。11.4標的數據處理違約除本合同另有約定外，需方違反本合同約定處理標的數據或衍生數據，尚未給供方造成損失或者損失難以計算的，應當以為基數，按照的標準計算

181、并向供方支付違約金。除本合同另有約定外，需方違反本合同約定處理標的數據或衍生數據給供方造成損失的，應當據實承擔賠償責任。11.5 違反合規性要求任意方違反本合同約定的合規性要求，尚未給相對方造成損失或者損失難以計算的，應當以為基數，按照的標準計算并向相對方支付違約金。除本合同另有約定外，違反本合同約定的合規性義務，給相對方造成損失的，應當據實承擔賠償責任。11.6 違反保密義務除本合同另有約定外，一方違反本合同約定的保密義務，尚未給相對方造成損失或者損失難以計算的，應當以的標準計算并向相對方支付違約金。除本合同另有約定外，一方違反本合同約定的保密義務給相對方造成損失的，應當據實承擔賠償責任。1

182、1.7損失賠償范圍因違約給相對方造成損失的賠償責任應相當于因違約所造成的損失，包括合同履行后可以獲得的利益。第 84 頁前述損失是否包含守約方為實現債權或追究對方責任所支出的合理費用，如律師費、公證費、財產保全（擔保、保險）費用、差旅費等。11.8 其他約定雙方對違約責任的其他約定：。第十二條第十二條合同解除合同解除12.1 需方單方解除權出現下列劃“”情形之一的，需方可書面通知供方解除合同，通知到達供方時，本合同解除：供方未按照約定期限交付標的數據，延遲交付達天的。供方交付的標的數據不符合本合同的約定，經日內采取補救措施后仍不符合本合同約定、導致需方無法實現合同目的的。供方違反合規性要求，導

183、致需方無法實現合同目的的。出現法律、行政法規規定的可單方解除合同的其他情形的。其他約定：。12.2 供方單方解除權出現下列劃“”情形之一的，供方可書面通知需方解除合同，通知到達需方時，本合同解除：需方未能按照本合同的約定達到 標的數據分級分類安全保護說明 中的必備要求、經供方書面催告后日內，需方仍未達到的。需方不具備法律、行政法規規定的適用于標的數據的強制性保護要求、經供方書面催告后日內，需方仍未達到的。出現法律、行政法規規定的可單方解除合同的其他情形的。其他約定：12.3 單方合同解除權行使期限及后果第 85 頁出現本條約定的單方解除事宜的，守約方應在知道或應當知道權利受到侵害或者違約方存在

184、違約情形之日起內行使合同解除權；超出該期限的，單方合同解除權消滅。第十三條第十三條爭議解決爭議解決因本合同（含補充協議，若有）引起的或與本合同有關的任何爭議，雙方同意按照下列第種方式予以解決：A.任意一方有權提請仲裁委員會按照其仲裁規則進行仲裁。仲裁裁決是終局的，對雙方均有約束力。B.任意一方有權向有管轄權的人民法院提起訴訟。第十四條第十四條合同文件組成與優先解釋順序合同文件組成與優先解釋順序14.1本合同文件由以下文件共同組成：（1）術語與定義（2）專用條款（3）通用條款（4）附件樣本數據描述標的數據需求表標的數據分級分類安全保護說明標的數據安全保護措施響應承諾書網絡安全等級測評報告標的數據

185、交付要求驗收確認書合約追蹤約定合規承諾第 86 頁網絡安全審查配合承諾 供方網絡與數據安全事件應急預案 需方網絡與數據安全事件應急預案14.2優先解釋順序本合同的各組成文件應視為內在統一，能夠相互印證或相互解釋。若各文件之間的條款存在不可調和之沖突或矛盾以致無法通過文義確定各方真實意思的，應按照如下順序進行解釋：（1）合同附件（2）專用條款（3）通用條款（4）術語與定義（5）其他：第十五條第十五條合同生效與有效期合同生效與有效期15.1合同生效本合同的生效方式采用如下第種：A.自雙方簽字或蓋章之日起生效。B.自通過監管部門的重要數據交易行政審批之日起生效。C.自通過監管部門的網絡安全審查之日起

186、生效。15.2合同有效期本合同的有效期采用如下第種：A.自本合同生效之日起至雙方權利義務履行完畢之日止。B.自年月日起至年月日止。C.其他。第十六條第十六條其他其他第 87 頁16.1（適用不適用）行政備案由供方需方按照規定進行備案、供方需方予以充分配合；除法律、行政法規的強制性規定外，是否備案不影響本合同的效力。16.2文本效力本合同一式份，需方持有份，供方持有份，具有同等法律效力。16.3 其他特殊約定。第 88 頁第三部分第三部分 通用條款通用條款第一條第一條交易標的交易標的1.1交易方式與數據處理權限制1.1.1本合同約定的交易類型為轉讓的，自標的數據交付之日起至本合同約定的數據銷毀之

187、日，供方對標的數據不再享有除存儲以外的其他處理權限，不得自行或委托他人再行對標的數據進行任何處理。經需方同意，在約定的數據銷毀之日前，供方基于本合同項下的質量驗證或質量保證目的而需對標的數據進行合理且必要的處理的，不受前項約定的限制。1.1.2本合同約定的交易類型為共享且約定需方對標的數據享有獨占處理權益的，供方不得自行或委托他人在需方獨占處理權限范圍內處理標的數據。經需方同意，供方基于本合同項下的質量保證或質量保證目的而需對標的數據進行合理且必要的處理的，不受前項約定的限制。1.2標的數據質量保證承諾供方對標的數據作出如下質量保證承諾：1.2.1供需相符保證A.供方提供標準數據樣本的，應當保

188、證標的數據在數據類別、名稱、計量單位、質量要求、格式、加工要求等與樣本數據相符，不得存在明顯背離或差異。B.需方定制標的數據的，供方應當保證符合需方指定的標的數據需求表中關于數據類別、名稱、計量單位、質量要求、格式、加工要求等，不得存在明顯背離或差異。1.2.2信息精確度保證第 89 頁在供方保證原始數據信息精確度的基礎上，供方應同時保證標的數據所記載信息的客觀、真實與有效性。1.2.3處理權限與合規保證供方承諾并保證依據本合同對標的數據進行處理的行為均具有與之相應的完整、清晰、無爭議的合法處理權限；不存在無權或超越處理權限的行為；供方應當向需方出具合規承諾并保證需方能夠依據本合同約定對標的數

189、據合法享有數據處理權益。1.3負面數據交易排除1.3.1供需雙方承諾本次交易不得包含或涉及載有以下信息的數據：（1）反對憲法所確定的基本原則的；（2）危害國家安全，泄露國家秘密，顛覆國家政權，破壞國家統一的；（3）損害國家榮譽和利益的；（4）歪曲、丑化、褻瀆、否定英雄烈士事跡和精神，以侮辱、誹謗或者其他方式侵害英雄烈士的姓名、肖像、名譽、榮譽的；（5）宣揚恐怖主義、極端主義或者煽動實施恐怖活動、極端主義活動的；（6）煽動民族仇恨、民族歧視，破壞民族團結的；（7）破壞國家宗教政策，宣揚邪教和封建迷信的；（8）散布謠言，擾亂經濟秩序和社會秩序的；（9）散布淫穢、色情、賭博、暴力、兇殺、恐怖或者教唆

190、犯罪的；（10）侮辱或者誹謗他人，侵害他人名譽、隱私和其他合法權益的；（11）涉及法律、行政法規予以禁止或要求抵制的其他內容的。1.3.2供需雙方確認本次交易的標的數據不包含或涉及本地區、部門、行業頒布的數據交易禁止或負面清單的數據。1.3.3供需雙方確認本次交易的標的數據不包含涉外或涉港澳臺數據。第 90 頁1.3.4供需雙方確認本次交易的標的數據不包含或涉及個人信息。1.4 需方對標的數據處理的合法、合約、合規承諾1.4.1需方應保證對標的數據的處理符合法律、行政法規的規定，尊重社會公德和倫理，遵守商業道德，誠實守信，不利用標的數據實施危害國家安全、公共安全或社會公共利益的行為，不利用標的

191、數據進行不正當競爭，不利用標的數據侵犯自然人的人格權益、他人的商業秘密、知識產權及其他合法權益。1.4.2需方應當秉承誠信、謙抑原則在本合同約定的處理權限范圍內合理、正當處理標的數據；除本合同另有約定外，不得超出合同約定處理權限范圍處理標的數據。1.4.3需方在享有約定的數據處理權益的同時，應履行法律法規、規章及其他國家、地區及行業規定等規范性法律文件對其就本合同所涉事項應履行或遵循的強制性、義務性規定（即需方合規性要求）。第二條第二條交易價款交易價款2.1按約支付需方應當按照本合同的約定向供方支付合同價款。2.2質量保證金的支付需方應按照專用條款的約定將質量保證金扣除在質量保證期間內因標的數

192、據質量瑕疵而導致的賠償金或違約金（若有）后，向供方支付。第三條第三條交易安全交易安全3.1數據交易風險評估與行政審批3.1.1供方應對標的數據進行初步評估，若評估標的數據屬于重要數據的，應當進行安全風險評估并出具重要數據交易安全風險評估報告，需方應當予以積極配合。重要數據交易安全風險評估未通過的，不得進行交易。第 91 頁供方組織的安全風險評估通過的，應當按照專用條款的約定報經監管部門批 準。3.1.2供方依據專用條款約定需要進行安全風險評估并需報批的，可將有關主管部門的批準作為本合同的生效條件。3.1.3若供方未將有關主管部門批準作為本合同的生效條件的，因主管機關監管導致無法進行交易或者引發

193、任何法律責任的，由供方承擔。3.2標的數據分級分類及對應安全措施3.2.1供方應依據國家有關規定，按照對標的數據的來源、內容、用途、價值、內容敏感程度、披露影響范圍等標準，將標的數據進行分級分類并采取相應措施保證數據安全。3.2.2供方應按照專用條款的約定向需方提供標的數據分級分類安全保護說明，告知標的數據的分級分類級別，說明為確保標的數據安全所需采取的必要的技術措施和管理措施，以便對需方就標的數據的存儲、訪問、傳輸等處理行為提供安全操作標準和說明。3.2.3標的數據分級分類安全保護說明可以包含以下內容：網絡安全等級保護級別建議或要求、具體網絡與數據安全保護技術措施及員工數據訪問權限等網絡、數

194、據安全管理措施等。3.2.4專用條款約定需方應向供方出具標的數據安全保護措施響應承諾書方能交付的，在需方出具前述文件前，供方不得交付；否則，標的數據交付后出現數據安全事件的，供方應當承擔相應的責任。3.2.5法律、行政法規對數據安全保護另有強制性規定的，從其規定。3.3網絡安全等級評測3.3.1供方應當確保其計算機網絡系統具備與處理原始數據和/或標的數據相適應的網絡安全保護水平。第 92 頁3.3.2符合下列情形之一的，宜在專用條款中約定供方應向需方提供證明其具備與處理原始數據和標的數據相適應的網絡安全等級測評文件：（1）原始數據涉及個人信息數據（2）原始數據涉及重要數據（3）標的數據涉及重要

195、數據（4）原始數據或標的數據涉及存在其他特殊合規性要求的數據（如原始數據為有條件開放的公共開放數據）3.3.3需方應當確保其計算機網絡系統具備與處理標的數據相適應的網絡安全保護水平。3.3.4符合下列情形之一的，宜在專用條款中約定需方應向供方提供證明其具備與處理標的數據相適應的網絡安全等級測評文件：（1）標的數據涉及重要數據（2）標的數據涉及存在其他特殊合規性要求的數據3.3.5按照本合同約定需要提供網絡安全等級測評文件的，應按照 信息安全技術網絡安全等級保護基本要求 的要求自行或委托具有相應資質的測評機構進行測評并出具。3.3.6法律、行政法規對網絡安全標準或評測另有強制性規定的，從其規定。

196、3.4 網絡安全審查3.4.1需方為關鍵信息基礎設施運營者的，應當預判本次交易可能帶來的國家安全風險，影響或者可能影響國家安全的，應當向主管機關申報網絡安全審查。3.4.2需方為關鍵信息基礎設施運營者，且預判本次交易可能影響國家安全的，供方應向需方出具網絡安全審查配合承諾，承諾若本次交易進入網絡安全審查程序，將配合網絡安全審查，包括承諾無正當理由不中斷標的數據供應或必要的技術支持服務等。第 93 頁3.4.3需方預判本次交易可能影響國家安全的，可將有關主管部門的審查通過作為本合同的生效條件；未通過安全審查導致本合同不生效的，各方自行承擔相應的締約費用與損失。3.4.4若需方未將有關主管部門審查

197、通過作為本合同的生效要件，因審查機關監管導致無法進行交易或者引發任何法律責任的，由需方承擔。第四條第四條交付與驗收交付與驗收4.1按約交付4.1.1供方應當按照本合同的約定向需方交付標的數據。4.1.2雙方約定采用數據包的方式交付標的數據的，宜在標的數據交付要求中約定包括但不限于數據傳輸方式、數據接收頻次、訪問權限限制等事宜。4.1.3雙方約定采用API界面方式交付標的數據的，宜在 標的數據交付要求中約定包括但不限于接口開放時間、頻次、單次數據下載量、訪問權限等級、訪問權限人數等事宜。4.1.4雙方約定采用其他方式交付標的數據的，可參考前述約定就相關事宜予以明確。4.2交付傳輸安全供方應在標的

198、數據交付前對數據采取適當的加密等措施，并應當明確告知需方相應的注意事項，雙方共同配合以保證傳輸中的數據安全。專用條款約定供方應出具標的數據安全保護級別說明的，雙方應當按照標的數據安全保護級別說明及標的數據安全保護措施響應承諾書的說明和承諾執行，以保證數據傳輸安全。4.3驗收需方應當按照專用條款的約定對標的數據是否符合本合同的約定進行驗收并出具驗收確認書。第 94 頁需方無正當理由未按照專用條款約定的期限出具驗收確認書，或者需方在異議事項消除后，無正當理由未在約定期限內響應供方的重新驗收請求的，視為標的數據通過驗收。4.4數據安全保護責任轉移4.4.1專用條款確認本次交易涉及數據安全責任轉移的，

199、除非雙方另有約定，在供方交付標的數據之前，數據安全保護責任由供方承擔；標的數據交付后，需方對其處理的標的數據承擔數據安全保護責任；但需方能夠證明供方對數據安全事件的發生或處置等有過錯的，供方承擔相應的過錯責任。4.4.2專用條款確認本次交易不涉及數據安全責任轉移的，除非雙方另有約定，需方應獨立承擔對標的數據的數據安全保護責任；但需方能夠證明供方對數據安全事件的發生或處置等有過錯的，供方承擔相應的過錯責任。4.4.3標的數據交付后，供方按照本合同約定仍享有標的數據處理權的，供方對其處理的標的數據負有獨立的數據安全責任。第五條第五條標的數據質量保證標的數據質量保證5.1質量驗證需方有權按照專用條款

200、的約定對標的數據進行質量驗證，供方應當予以必要的配合。5.2質量保證責任5.2.1供方應當承擔因標的數據不符合本合同約定即存在質量瑕疵而導致的責任，下稱“質量保證責任”。5.2.2 供方承擔質量保證責任的方式有：數據修正、數據再加工、降低價款、賠償損失、承擔違約金等。5.3質量保證金第 95 頁5.3.1質量保證金是指標的數據驗收后，需方在總交易金額中預留的一部分用于保證標的數據與合同約定相符的資金；在標的數據在質量保證期中因質量瑕疵而給需方帶來損失時，需方可直接將損失從預留的質量保證金中予以扣除。5.3.2雙方在專用條款中約定質量保證金及質量保證期的，在質量保證期限屆滿后十四日內，需方應向供

201、方支付扣除相應損失或違約金后的剩余質量保證金。全部質量保證金不足以彌補損失的，供方還應繼續承擔賠償責任。5.4質量保證金責任5.4.1無論需方是否出具驗收確認書，若雙方約定質量保證期的，供方應在質量保證期限內對標的數據承擔質量保證責任。5.4.2雙方在專用條款中僅約定質量保證金而未約定質量保證期的，自需方出具驗收確認書之日，供方的質量保證責任終止；需方應當在出具驗收確認書之日起十五日內向供方支付扣除相應損失或違約金后的剩余質量保證金。全部質量保證金不足以彌補損失的，供方還應繼續承擔賠償責任。第六條第六條特別處理約定特別處理約定6.1禁止再識別標的數據為個人信息匿名化后數據的，需方不應以任何方式

202、將標的數據單獨或結合其他任何數據用于識別個人信息主體。6.2數據處理后果責任除法律、行政法規等強制性規定、本合同另有約定或供方確有故意或重大過失外，需方按照本合同約定對標的數據進行處理所產生的一切法律后果，由需方自行承擔；需方違反或超出本合同約定進行標的數據處理的，還應同時按照本合同的約定向供方承擔違約責任。6.3供方類標的數據處理限制第 96 頁本合同約定供方不享有對類標的數據的相應處理權限的，供方不得自行或授權他人再以任何方式對類標的數據進行相應處理。6.4數據銷毀6.4.1供方數據銷毀義務雙方應當依據法律、行政法規或地方性法規的強制性規定對標的數據或/及原始數據進行銷毀；沒有前述強制性規

203、定的，供方應當按照本合同約定的期限及指定方式對標的數據或/及原始數據進行銷毀。若標的數據或/及原始數據涉及重要數據且約定供方應進行銷毀數據安全風險評估的，若安全評估未通過，不得對所涉重要數據進行銷毀，對標的數據的處理由雙方另行協商。6.4.2需方數據銷毀義務雙方應當依據法律、行政法規或地方性法規的強制性規定對標的數據進行銷毀；沒有前述強制性規定的，雙方可在本合同中約定對標的數據進行銷毀。若標的數據涉及重要數據且約定需方應進行銷毀數據之安全風險評估的，若安全評估未通過，不得對所涉重要數據進行銷毀，對標的數據的處理由雙方另行協商。第七條第七條衍生數據處理衍生數據處理7.1 需方對標的數據加工后獲得

204、的衍生數據享有專用條款所列處理權限，除非雙方另有書面約定，供方對衍生數據不享有任何處理權限。7.2 除雙方另有約定外，需方按照本合同約定對衍生數據進行處理所產生的任何義務或責任與供方無關。7.3 需方超出本合同約定對標的數據進行處理而形成衍生數據的，供方有權要求需方在合理期限內予以銷毀并承擔相應的違約責任。第八條第八條保密保密第 97 頁8.1 保密義務8.1.1除雙方另有約定外，各方僅應出于本合同的磋商、簽訂、履行及爭議解決之目的（簡稱“合同實施目的”）而合理使用相對方的保密信息。8.1.2各方對相對方的保密信息負有保密義務，不應以任何方式向任何第三方披露，且負有采取妥善措施以保證保密信息不

205、被與合同實施目的無關的任何單位或個人知悉或使用之義務。8.1.3超出合同實施目的而使用保密信息，或者未盡妥善管理義務而導致任何與合同實施目的無關的單位或個人知悉或使用保密信息的，即視為對保密義務的違反。8.2 保密條款效力本合同對保密事項作出的約定具有獨立效力，即便在本合同失效、終止、被撤銷、確認無效之后仍繼續有效，直至相關保密信息成為公眾可無差別的免費獲知的信息，或權利人書面通知不再負有保密義務為止。第九條第九條合約追蹤合約追蹤9.1專用條款約定供方有權就需方是否按照合同約定處理標的數據進行合約追蹤的，需方有義務按照供方或合約追蹤約定的要求提供其依約處理標的數據之必要、合理、充分的證明材料。

206、9.2 需方不得僅以合同追蹤侵犯其商業秘密或保密信息為由拒絕配合。但確實涉及需方保密信息的，供方應當承擔保密義務，或根據需方的要求出具相應的保密承諾函。第十條第十條應急預案與處置應急預案與處置10.1網絡與數據安全應急預案10.1.1 供需雙方均應當按照中華人民共和國網絡安全法等規定的要求建立網絡與數據安全應急預案。第 98 頁10.1.2 原始數據或標的數據涉及通用條款 3.3.2 項的約定的，供方宜向需方提供前述預案作為本合同附件。標的數據涉及通用條款3.3.4項的約定的，需方宜向供方提供前述預案作為合同附件。10.1.3發生數據泄露、毀損、丟失等安全事件，或者發生數據安全事件風險 明顯加

207、大時，應當依據“誰處理、誰負責”的原則按照各方應急預案的規定立即采取補救措施，并按要求向有關部門報告。10.1.4需方濫用合同權利或違反合同約定危及供方原始數據或供方處理的標的數據安全的，需方應當立即按照供方的要求消除安全隱患；造成安全事件，應當承擔相應責任。10.2負面數據事件處理與責任10.2.1需方收到標的數據后，若發現標的數據存在通用條款 1.3 條所列的負面數據情形的，則應立即告知供方；在依約采取下步補救措施前，需方應當對所涉負面數據采取嚴格限制訪問的技術措施及安全管理措施。10.2.2供需雙方應按照專用條款的約定對負面數據進行妥善處理；相應合規性要求對負面數據的處理另有強制性規定的

208、，可從其規定；其中為法律、行政法規的強制性規定的，應從其規定。10.2.3負面數據事件責任由供方承擔；需方因此承擔責任的，有權向供方予以追償。需方未能積極履行法律規定及本合同約定的義務導致負面數據事件的影響或造成的損失擴大的，在影響或損失擴大的范圍內承擔責任；需方因此承擔責任后，有權就不屬于自身承擔責任的范疇向供方予以追償。10.2.4除本合同約定外，需方不得以任何方式對負面數據進行處理或予以利用。第 99 頁第十一條第十一條違約責任違約責任11.1違約責任違約方應當按照專用條款的約定向守約方承擔違約責任。11.2違約賠償除專用條款的明確約定外，一方違反本合同給對方造成損失的，應當承擔損失賠償

209、責任。第十二條第十二條合同解除合同解除12.1協商一致解除除專用條款的約定外，供需雙方協商一致的，可以書面方式確定本協議的解除，各方應按照書面約定對本合同進行清理結算。12.2單方合同解除權行使期限守約方應當按照專用條款的約定行使單方解除權；超出約定期限未行使的，單方合同解除權消滅。單方合同解除權消滅的，不影響守約方依據本合同向違約方主張除單方解除合同以外的其他權利。12.3合同解除后果合同解除后，尚未履行的，中止履行；已經履行的，守約方可以請求恢復原狀或者采取其他補救措施。合同解除的，不影響守約方按照本合同的約定追究違約方的約定或法定責任。第十三條第十三條處理權限變更處理權限變更13.1需方

210、因客觀情況變化需要變更或增加對標的數據或/及衍生數據的處理權限的，應當事先征求供方的意見，并簽署書面的變更協議后依法履行。13.2下列情況下，需方超出合同約定的范圍合理處理數據的，無需事先征求供方意見，但應當及時書面通知供方：第 100 頁（1）國務院及有關主管部門為履行維護國家安全、公共安全、社會管理、經濟調控等職責需要，依照法律、行政法規的規定，要求需方對標的數據進行超出合同約定范圍的數據處理的。（2）國家監察機關、公安機關等依法偵查犯罪的活動所需，要求需方對標的數據進行超出合同約定范圍的數據處理的。（3）標的數據存在違反通用條款 1.3條約定之情形，需方為遵守法定義務而對標的數據進行超出

211、合同約定范圍的合理且必要的數據處理的。（4）為履行其他法律、行政法規所規定的強制性法律義務而超出合同約定范圍內處理數據的。第十四條第十四條不可抗力與情勢變更不可抗力與情勢變更14.1不可抗力14.1.1不可抗力的定義本合同所稱的不可抗力是指不能預見、不能避免且不能克服的客觀情況。14.1.2不可抗力免責主張的前提與法律后果一方因不可抗力不能履行合同并按照本合同約定履行通知及減損義務的，根據不可抗力的影響，部分或者全部免除責任，但是法律另有規定的除外。主張適用不可抗力的一方因不可抗力導致本合同客觀上全部或者部分不能履行，應當及時通知對方，以減輕可能給對方造成的損失，并應當在合理期限內 提供證明。

212、若受不可抗力影響的一方采取可行的合理措施即可避免對方損失不合理擴大的，還應根據對方的要求采取合理措施避免損失的擴大；為避免相對方損失不合理擴大而支出的費用由相對方承擔；否則主張不可抗力的一方應就對方不合理 擴大的損失承擔相應的責任。當事人對于合同不能履行或者損失擴大有第 101 頁可歸責事由的，應當承擔相應責任；當事人遲延履行后發生不可抗力的，不能免除違約責任。14.2情勢變更合同成立后，合同的基礎條件發生了在訂立合同時無法預見的、不屬于商業風險的重大變化，繼續履行合同對于一方明顯不公平，或者繼續履行確實存在重大客觀困難但尚不構成不可抗力的，受不利影響的一方可以與相對方重新協商；在合理期限內協

213、商不成的，各方均有權請求人民法院或者仲裁機構變更或者解除合同。第十五條第十五條 送達地址與法律后果送達地址與法律后果15.1送達地址本合同載明的各方聯系方式應被視為各方有效的送達地址。送達地址適用范圍包括雙方在合同履行過程中各類通知、協商、請求等文件的送達，以及發生爭議時相關文件和訴訟或仲裁法律文書的送達。15.2送達地址變更各方送達地址需要變更時，應當按照原送達地址通知對方；在仲裁及訴訟程序中地址變更的，應當同時向仲裁機構或法院履行送達地址變更通知義務。任何一方未按前述方式履行通知義務，本合同載明的送達地址仍視為有效送達地址。15.3司法送達與法律后果仲裁機構、法院進行送達時可直接按照本合同

214、載明或依據本合同變更后的送達地址予以郵寄送達。因本合同載明的送達地址不準確、變更地址后未及時履行告知義務、法定代表人或聯系人拒絕簽收等原因導致法律文書未能被實際簽收的，郵寄送達的，以第 102 頁法律文書退回之日視為送達之日；直接送達的，送達人當場在送達回證上記明情況之日視為送達之日；非收件人本人簽收而由他人代收的，視為收件人簽收。第十六條第十六條其他其他16.1如本合同的任何條款被視作無效，則上述條款可被分離，其余條款仍具有法律效力。16.2本合同任何條款與法律、行政法規相抵觸的，從其規定；與其他強制性規定相抵觸的，由各方協商確定；協商無法獲得一致的，向約定的爭議解決機構提請依法解決。16.3本合同的各條款標題僅為了便于記憶或用于檢索，條款的具體含義應以具體條款的文字表述為準。（以下無正文）甲方（數據需方）：乙方（數據供方）：法定代表人/授權代表人：法定代表人/授權代表人：數據安全負責人：數據安全負責人：簽約日期：簽約日期：簽約地點：