医院健康数据分类分级指南.docx

4

医院健康数据分类分级指南

1范围

本文件给出了医院健康数据分类分级的原则和方法，包括数据分类分级基本原则、数

据分类框架和方法、数据分级框架和方法等。

本文件适用于医疗业机构开展健康数据安全分类分级工作，并为医疗从业机构、第三

方评估机构等单位开展数据安全管理和数据安全风险评估工作提供参考。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包

括所有的修改单）适用于本文件。

GB/T25069-2022信息安全技术术语

GB/T35273-2020信息安全技术个人信息安全规范

GB/T39725-2020信息安全技术健康医疗数据安全指南

GB/T41479-2022信息安全技术网络数据处理安全要求

TC260-PG-20212A网络安全标准实践指南——网络数据分类分级指引

国卫办规划函〖2023〗233号《卫生健康行业数据分类分级指南》（试行）

T/ISEAA002-2021信息安全技术网络安全等级保护大数据基本要求

WS/T787-2021国家卫生信息资源分类与编码管理规范

3术语和定义

下列术语和定义适用于本文件。

3.1数据Data

是指任何以电子或者其他方式对信息的记录。[来源：中华人民共和国数据安全法，

第三条]。

5

3.2医院健康数据HospitalHealthData

指在疾病防治、健康管理、医学相关教学研究、医疗管理等过程中产生的数据。

[来源：卫生健康行业数据分类分级指南第二条]。

3.3衍生数据DerivedData

经过统计、关联、挖掘、聚合、去标识化等加工活动而产生的数据。

注：根据数据的加工程度，可将衍生数据分为脱敏数据、标签数据、统计数据、关联

数据等。

[来源：信息安全技术网络数据分类分级要求，3.8]

3.4核心数据CoreData

指对领域、群体、区域具有较高覆盖度或达到较高精度、较大规模、一定深度的重要

数据，一旦被非法使用或共享，可能直接影响政治安全。

[来源：卫生健康行业数据分类分级指南第十三条]。

3.5重要数据ImportantData

指特定领域、特定群体、特定区域或达到一定精度和规模的数据，一旦被泄露或篡改、

损毁，可能直接危害国家安全、经济运行、社会稳定、公共健康和安全。

[来源：卫生健康行业数据分类分级指南第十二条]

3.6一般数据GeneralData

是指核心数据、重要数据之外的其他数据。

[来源：卫生健康行业数据分类分级指南第十二条]

3.7数据处理Dataprocess

数据处理，包括数据的收集、存储、使用、加工、传输、提供、公开等。

[来源：中华人民共和国数据安全法第三条]dataprocess

3.8数据分类DataClassification

6

根据数据的属性或特征，将其按照一定的原则和方法进行区分和归类，并建立起一定

的分类体系和排列顺序，以便更好地管理和使用数据的过程。

3.9数据分级DataGrading

按照数据遭到破坏后对国家安全、社会秩序、公共利益以及个人、法人和其他组织的合法权益（受侵害客体）的危害程度对数据进行定级，为数据全生命周期管理的安全策略

制定提供支撑。

3.10个人信息PersonalInformation

以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者

反映特定自然人活动情况的各种信息。

注：个人信息包括但不限于自然人的姓名、出生日期、身份证件号码、住址、电话号码

等。

3.11个人敏感信息PersonalSensitiveInformation

一旦泄漏、非法提供或滥用就有可能危害人身和财产安全，极易导致个人名誉、身心

健康受到损害或歧视性待遇等个人信息。

3.12公开披露PublicDisclosure

向社会或非特定人群发布信息的行为。

3.13共享Sharing

信息控制者向其他控制者提供信息，且双方分别对信息拥有独立控制权的行为。

4数据分类分级原则

在遵循国家和医疗行业数据分类分级保护要求的基础上，依据以下原则进行分类和分

级：

a)合法合规原则：满足国家相关法律法规、技术标准及医疗行业主管监管部门有关

规定要求，优先识别法律法规和医疗行业规定的数据类别；

7

b)可执行性原则：数据分类分级规则要有利于数据管理和使用，避免过于复杂，以

确保数据分类分级工作的可行性。

c)关联性原则：数据分类是数据分级的基础，数据分类与分级密不