ICS 35.240.99 C 07 体标 准 T/GDNS 0072023 医疗健康 人信息保护规范 Medical and Health Personal Information Protection Standards 2023-12-30 发布 2024-03-01 实施 广东省计算机信息网络安全协会发布 T/GDNS 007-2023 目录 前言 引言 １ 范围 2规范性引用文件 3术语和定义 4缩略语 5医疗健康个人信息保护原则， 6医疗健康个人信息保护安全目标 7医疗健康个人信息保护基本安全要求 7.1医疗健康个人信息保护岗位责任制 7.2医疗健康个人信息保护管理要求 7.3人员管理 .10 7.4医疗健康个人信息收集.. 7.5医疗健康个人信息传输， .14 7.6医疗健康个人信息存储. 14 7.7医疗健康个人信息处理. 15 7.8医疗健康个人信息主体权利 附录A. 20 附录B, 23 参考文献 24 T/GDNS 007-2023 前言 本标准按照GB/T1.1一2020《标准化工作导则第1部分：标准化文件的结构和起草规则》要求编 写。 本标准由广东省计算机信息网络安全协会提出并归口。 本标准起草单位：广东省计算机信息网络安全协会、广东省人民医院、江门市中心医院、中山大学 附属第一医院、南方医科大学南方医院、南方医科大学第三附属医院、南方医科大学珠江医院、南方医 科大学顺德医院、中山大学附属第三医院、中山大学附属第三医院肇庆医院、暨南大学、网络安全检测 与防护技术国家地方联合工程研究中心、中山大学附属第五医院、中山大学附属第六医院、中山大学附 属第八医院、中山大学附属口腔医院、中山大学孙逸仙纪念医院、中山大学附属肿瘤医院、广州医科大 学附属第一医院、广州医科大学附属第二医院、广州医科大学附属第三医院、广州医科大学附属口腔医 院、广州医科大学附属第五医院、南部战区总院、广东药科大学附属第一医院、广州市番禺区中心医院、 广州市番禺区何贤纪念医院、东莞市第六人民医院、佛山市妇幼保健院、肇庆市第一人民医院、清远 市人民医院、中山市人民医院、香港大学深圳医院、粤北人民医院、梅州市人民医院、汕头市中心医院、 东莞市滨海湾中心医院、连州市医疗总院、陆丰市人民医院、江门市新会区中医院、香港中文大学（深 圳）医学院、粤北第二人民医院、顺德区第三人民医院、清远市中医院、茂名市人民医院、韶关市妇幼 保健院、广州番禹职业技术学院、广州科技贸易职业学院、广州星鼎网络科技有限公司、杭州安恒信息 技术股份有限公司、深圳市龙华区卫生健康局信息中心、东莞市卫生统计信息中心、深圳市龙岗区政务 服务数据管理局、广州竞远安全技术股份有限公司、深圳观安信息技术有限公司、深圳市网安计算机 安全检测技术有限公司、广东北源律师事务所、广东珠江智联信息科技股份有限公司、广东创医元信息 技术有限公司、珠海慧港信息技术有限公司、北京鼎世律师事务所、北京数字认证股份有限公司、中移 互联网有限公司、江苏金盾检测技术股份有限公司、深信服科技股份有限公司、奇安信安全技术（广东） 有限公司、广州盛扬信息科技有限公司、中科汇能科技有限公司、广州理想资讯科技有限公司、深圳市 易聆科信息技术股份有限公司。 本标准起草人：杨洋、郝黎、李迎新、余俊蓉、严静东、张家庆、张巍、郭扬帆、银琳、范年丰、 裴廷睿、魏林锋、李明、周欣、周邮、陈浩、高峰、罗敏、苏悦洪、陈智、杨广黔、代科伟、张亮鸣、 李斌、赵霞、林嘉楠、苏榕彬、何耀德、何颖新、熊劲光、马丽明、钟志耕、邓联丙、蓝怀仁、庞勤、 廖茂成、叶欣、邱扬、涂华、邓意恒、陈招俊、伍毅强、黄远湖、吴鼎宁、郑华国、高国静、李卫昌、 黄玉龙、王伟、田钩、严晓明、邓晓晖、潘天祥、陈永辉、吴龙、张芳健、刘翰腾、曾艺、林贞炜、陈 锦钜、李玄、吕文财、曾帅、陈广、陈惠城、林敬扬、彭世强、王东、李丽萍、植吕梅、谭鑫、孔文威、 韩柳、庞理鹏、骆启宏、徐露露、高阳、苏伟钧、任重远、王君、邓郁昌、黄能纹、欧阳雪源、苗喜武。 本标准为首次发布。 1 T/GDNS 007-2023 引言 《中华人民共和国个人信息保护法》于2021年11月1日起正式施行，这标志着我国个人信息保护立 医疗行业中公共卫生、临床服务、医学研究等领域产生的医疗数据中包含着大量医疗健康个人信息， 对于医疗健康个人信息安全应予以高度重视，患者个人隐私数据泄露等数据安全隐患已成为国家和媒体 关注的重要社会焦点问题。加强医疗健康个人信息技术和管理监管，是医疗健康大数据安全应用和发展 必不可少的一环。医疗健康机构（包括医疗美容机构、养老机构内设医疗机构）是医疗数据汇集、形成 中心，也是医疗数据主要控制者。它的数据操作模式，从信息收集、存储，到使用、传输，都直接影响 着对医疗健康个人信息的保护。近年来互联网医疗企业蓬勃发展，更凸显出医疗健康机构数据合规建设、 个人医疗健康信息保护的重要性。 有鉴于此，为指导医疗健康机构建立健全公民医疗健康个人信息保护管理制度和技术措施，有效防 范侵犯公民医疗健康个人信息违法行为，保障公民医疗健康个人信息数据安全和公民合法权益，根据《中 《国》《国》《国 法规要求，参照专业领域规章、信息安全规范标准以及技术标准，为促进医疗健康个人信息安全，提升 健康个人信息安全对健康卫生事业和个人生命健康权益优化效益，为医疗健康个人信息安全应用中国家 安全、社会公共利益与个人隐私及相关信息权益提供更高层次的保障，特制定本标准， 本标准主要为医疗健康个人信息保护提供合规实践指引，如有未尽事项，或相关事项因立法、法律 修改等事由在法律法规等规范文件中另有规定的，应依法遵循相关法律法规规定。 II T/GDNS 007-2023 医疗健康个人信息保护规范 1范围 本标准确立了医疗健康个人信息保护的总体原则和目标，给出了医疗健康个人信息保护的规范指 引，规定了医疗健康个人信息服务的收集、传输、存储、使用、共享、转让、公开披露等数据处理活动 的安全管理机制和安全技术措施 本标准适用于医疗健康个人信息处理者规范医疗健康个人信息处理活动，同时可供医疗健康机构、 相关主管部门以及第三方评估机构等组织开展医疗健康个人信息的安全监督管理与评估工作参考。 2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本 文件。 中华人民共和国民法典 中华人民共和国网络安全法 中华人民共和国数据安全法 中华人民共和国个人信息保护法 国家医疗健康信息医院信息互联互通标准化成熟度测评方案（2020年版） 全国医院信息化建设标准与规范（试行） GB/T50174-2017数据中心设计规范 GB/T22081-2016信息技术安全技术信息安全控制实践指南 GB/T22239-2019信息安全技术网络安全等级保护基本要求 GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求 GB/T28448-2019信息安全技术网络安全等级保护测评要求 GB/T25069-2022信息安全技术术语 GB/T35273-2020信息安全技术个人信息安全规范 1