医疗健康个人信息保护规范

ICS35.240.99医疗健康个人信息保护规范MedicalandHealthPersonalInformationProtectionStandards广东省计算机信息网络安全协会发布IT/GDNS007-2023前言 2规范性引用文件 3术语和定义 24缩略语 55医疗健康个人信息保护原则 56医疗健康个人信息保护安全目标 67医疗健康个人信息保护基本安全要求 67.1医疗健康个人信息保护岗位责任制 77.2医疗健康个人信息保护管理要求 87.3人员管理 107.4医疗健康个人信息收集 137.5医疗健康个人信息传输 147.6医疗健康个人信息存储 147.7医疗健康个人信息处理 157.8医疗健康个人信息主体权利 18 参考文献 IT/GDNS007-2023前言本标准按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》要求编本标准由广东省计算机信息网络安全协会提出并归口。本标准起草单位：广东省计算机信息网络安全协会、广东省人民医院、江门市中心医院、中山大学附属第一医院、南方医科大学南方医院、南方医科大学第三附属医院、南方医科大学珠江医院、南方医科大学顺德医院、中山大学附属第三医院、中山大学附属第三医院肇庆医院、暨南大学、网络安全检测与防护技术国家地方联合工程研究中心、中山大学附属第五医院、中山大学附属第六医院、中山大学附属第八医院、中山大学附属口腔医院、中山大学孙逸仙纪念医院、中山大学附属肿瘤医院、广州医科大学附属第一医院、广州医科大学附属第二医院、广州医科大学附属第三医院、广州医科大学附属口腔医院、广州医科大学附属第五医院、南部战区总院、广东药科大学附属第一医院、广州市番禺区中心医院、广州市番禺区何贤纪念医院、东莞市第六人民医院、佛山市妇幼保健院、肇庆市第一人民医院、清远市人民医院、中山市人民医院、香港大学深圳医院、粤北人民医院、梅州市人民医院、汕头市中心医院、东莞市滨海湾中心医院、连州市医疗总院、陆丰市人民医院、江门市新会区中医院、香港中文大学（深圳）医学院、粤北第二人民医院、顺德区第三人民医院、清远市中医院、茂名市人民医院、韶关市妇幼保健院、广州番禺职业技术学院、广州科技贸易职业学院、广州星鼎网络科技有限公司、杭州安恒信息技术股份有限公司、深圳市龙华区卫生健康局信息中心、东莞市卫生统计信息中心、深圳市龙岗区政务服务数据管理局、广州竞远安全技术股份有限公司、深圳观安信息技术有限公司、深圳市网安计算机安全检测技术有限公司、广东北源律师事务所、广东珠江智联信息科技股份有限公司、广东创医元信息技术有限公司、珠海慧港信息技术有限公司、北京鼎世律师事务所、北京数字认证股份有限公司、中移互联网有限公司、江苏金盾检测技术股份有限公司、深信服科技股份有限公司、奇安信安全技术（广东）有限公司、广州盛扬信息科技有限公司、中科汇能科技有限公司、广州理想资讯科技有限公司、深圳市易聆科信息技术股份有限公司。本标准起草人：杨洋、郝黎、李迎新、余俊蓉、严静东、张家庆、张巍、郭扬帆、银琳、范年丰、裴廷睿、魏林锋、李明、周欣、周邮、陈浩、高峰、罗敏、苏悦洪、陈智、杨广黔、代科伟、张亮鸣、李斌、赵霞、林嘉楠、苏榕彬、何耀德、何颖新、熊劲光、马丽明、钟志耕、邓联丙、蓝怀仁、庞勤、廖茂成、叶欣、邱扬、涂华、邓意恒、陈招俊、伍毅强、黄远湖、吴鼎宁、郑华国、高国静、李卫昌、黄玉龙、王伟、田钧、严晓明、邓晓晖、潘天祥、陈永辉、吴龙、张芳健、刘翰腾、曾艺、林贞炜、陈锦钜、李玄、吕文财、曾帅、陈广、陈惠城、林敬扬、彭世强、王东、李丽萍、植吕梅、谭鑫、孔文威、韩柳、庞理鹏、骆启宏、徐露露、高阳、苏伟钧、任重远、王君、邓郁昌、黄能纹、欧阳雪源、苗喜武。本标准为首次发布。T/GDNS007-2023《中华人民共和国个人信息保护法》于2021年11月1日起正式施行，这标志着我国个人信息保护立法体系进入新的阶段，个人医疗健康信息作为敏感个人信息更是保护对象的重中之重。医疗行业中公共卫生、临床服务、医学研究等领域产生的医疗数据中包含着大量医疗健康个人信息，对于医疗健康个人信息安全应予以高度重视，患者个人隐私数据泄露等数据安全隐患已成为国家和媒体关注的重要社会焦点问题。加强医疗健康个人信息技术和管理监管，是医疗健康大数据安全应用和发展必不可少的一环。医疗健康机构（包括医疗美容机构、养老机构内设医疗机构）是医疗数据汇集、形成中心，也是医疗数据主要控制者。它的数据操作模式，从信息收集、存储，到使用、传输，都直接影响着对医疗健康个人信息的保护。近年来互联网医疗企业蓬勃发展，更凸显出医疗健康机构数据合规建设、个人医疗健康信息保护的重要性。有鉴于此，为指导医疗健康机构建立健全公民医疗健康个人信息保护管理制度和技术措施，有效防范侵犯公民医疗健康个人信息违法行为，保障公民医疗健康个人信息数据安全和公民合法权益，根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律法规要求，参照专业领域规章、信息安全规范标准以及技术标准，为促进医疗健康个人信息安全，提升健康个人信息安全对健康卫生事业和个人生命健康权益优化效益，为医疗健康个人信息安全应用中国家安全、社会公共利益与个人隐私及相关信息权益提供更高层次的保障，特制定本标准。本标准主要为医疗健康个人信息保护提供合规实践指引，如有未尽事项，或相关事项因立法、法律修改等事由在法律法规等规范文件中另有规定的，应依法遵循相关法律法规规定。1T/GDNS007-2023医疗健康个人信息保护规范本标准确立了医疗健康个人信息保护的总体原则和目标，给出了医疗健康个人信息保护的规范指引，规定了医疗健康个人信息服务的收集、传输、存储、使用、共享、转让、公开披露等数据处理活动的安全管理机制和安全技术措施。本标准适用于医疗健康个人信息处理者规范医疗健康个人信息处理活动，同时可供医疗健康机构、相关主管部门以及第三方评估机构等组织开展医疗健康个人信息的安全监督管理与评估工作参考。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。中华人民共和国民法典中华人民共和国网络安全法中华人民共和国数据安全法中华人民共和国个人信息保护法国家医疗健康信息医院信息互联互通标准化成熟度测评方案（2020年版）全国医院信息化建设标准与规范（试行）GB/T50174-2017数据中心设计规范GB/T22081-2016信息技术安全技术信息安全控制实践指南GB/T22239-2019信息安全技术网络安全等级保护基本要求GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求GB/T28448-2019信息安全技术网络安全等级保护测评要求GB/T25069-2022信息安全技术术语GB/T35273-2020信息安全技术个人信息安全规范2T/GDNS007-2023GB/T35274-2017信息安全技术大数据服务安全能力要求GB/T37964-2019信息安全技术个人信息去标识化指南GB/T42460-2023信息安全技术个人信息去标识化效果评估指南GB/T39725-2020信息安全技术健康医疗数据安全指南GB/T41391-2022信息安全技术移动互联网应用程序（App）收集个人信息基本要求GB/T42582-2023信息安全技术移动互联网应用程序（App）个人信息安全测评规范GB/T42888-2023信息安全技术机器学习算法安全评估规范GB/T41817-2022信息安全技术个人信息安全工程指南GB/T39335-2020信息安全技术个人信息安全影响评估指南GB/T42574-2023信息安全技术个人信息处理中告知和同意的实施指南3术语和定义个人信息personalinformation个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息，包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。[来源：中华人民共和国民法典第一千零三十四条]敏感个人信息sensitivepersonalinformation敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息。[来源：中华人民共和国个人信息保护法第二十八条]个人信息主体personalinformationsubject个人信息所标识或者关联的自然人。[来源：GB/T35273-2020]医疗健康个人信息处理者medicalandhealthpersonalinformationprocessors3T/GDNS007-2023有能力决定医疗健康个人信息处理目的、方式等的组织或个人。个人医疗健康数据personalhealthdata单独或者与其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的相关电子数据。[来源：GB/T39725-2020]医疗健康数据healthdata个人医疗健康数据以及由个人医疗健康数据加工处理之后得到的医疗健康相关电子数据。[来源：GB∕T39725-2020]医疗健康服务healthservice由医疗健康专业人员或专业辅助人员提供的对健康状况有影响的服务。[来源：GB∕T39725-2020]医疗健康信息系统healthinformationsystem以计算机可处理的形式采集、存储、处理、传输、访问、删除医疗健康数据的系统。[来源：GB∕T39725-2020]收集collect获得个人信息的控制权的行为。[来源：GB/T35273-2020]明示同意explicitconsent个人信息主体通过书面、口头等方式主动作出纸质或电子形式的声明，或者自主作出肯定性动作，对其个人信息进行特定处理作出明确授权的行为。[来源：GB/T35273-2020]授权同意consent个人信息主体对其个人信息进行特定处理作出明确授权的行为。4T/GDNS007-2023[来源：GB/T35273-2020]用户画像userprofiling通过收集、汇聚、分析个人信息，对某特定自然人个人特征，如职业、经济、健康、教育、个人喜好、信用、行为等方面做出分析或预测，形成其个人特征模型的过程。[来源：GB/T35273-2020]个人信息安全影响评估personalinformationsecurityimpactassessment针对个人信息处理活动，检验其合法合规程度，判断其对个人信息主体合法权益造成损害的各种风险，以及评估用于保护个人信息主体的各项措施有效性的过程。[来源：GB/T35273-2020]删除delete在实现日常业务功能所涉及的系统中去除个人信息的行为，使其保持不可被检索、访问的状态。[来源：GB/T35273-2020]公开披露publicdisclosure向社会或不特定人群发布信息的行为。[来源：GB/T35273-2020]转让transferofcontrol将个人信息控制权由一个控制者向另一个控制者转移的过程。[来源：GB/T35273-2020]共享sharing个人信息控制者向其他控制者提供个人信息，且双方分别对个人信息拥有独立控制权的过程。[来源：GB/T35273-2020]匿名化anonymization通过对个人信息的技术处理，使得个人信息主体无法被识别或者关联，且处理后的信息不能被复原的过程。[来源：GB/T35273-2020]5T/GDNS007-2023去标识化de-identification通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别或者关联个人信息主体的过程。[来源：GB/T35273-2020]个性化展示personalizeddisplay基于特定个人信息主体的网络浏览历史、兴趣爱好、消费记录和习惯等个人信息，向该个人信息主体展示信息内容、提供商品或服务的搜索结果等活动。[来源：GB/T35273-2020]业务功能businessfunction满足医疗健康个人信息主体的具体使用需求的服务类型。数据脱敏datadesensitization通过一系列数据处理方法对原始数据进行处理以屏蔽敏感数据的一种数据保护方法。[GB/T37988—2019]合规compliance对数据安全所适用的法律法规的符合程度。[GB/T37988—2019]4缩略语下列缩略语适用于本文件。APP：应用（Application）ID：身份标识（Identity）GPS：全球定位系统（GlobalPositioningSystem）5医疗健康个人信息保护原则a.合法依规原则：获取信息的行为应保证其合法性、合理性、必要性以及应得到信息主体明示同6T/GDNS007-2023意。对于用户医疗健康个人信息获取、使用以及存储必须先得到用户本人的同意，并且必须在法律法规、技术规范的范围之内操作。b.权利保护原则：医疗健康机构应当尊重用户的隐私权、知情权、控制权和取消权、修改权和删除权，保障用户隐私自由，尤其是在涉及用户敏感信息或涉及用户疑似侵犯个人权利时，应当始终关注用户医疗健康个人信息权益保护。c.目的透明原则：在进行医疗健康个人数据收集时，医疗健康机构必须事先向用户明确告知收集信息的目的、用途和范围等内容，并且保障医疗健康个人信息不被滥用。告示信息的收集目的，有利于双方达成共识，增强彼此之间的信任。d.细化管理原则：医疗健康机构应当建立完善的管理制度，并严格执行各项规定，确保医疗健康个人信息不被外泄和滥用，从而保障用户信息的安全。这种管理制度不仅包括整个数据采集过程，也包括传输、存储、使用和加工等。e.信息最小化原则：医疗健康机构管理医疗健康个人信息收集时，应以最少原则为前提，避免收集过多不必要信息，不应收集与其业务无关的信息。医疗健康机构处理医疗健康个人信息应当具有明确、合理目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。f.安全保障原则：医疗健康机构应当加强技术安全保障，宜对收集的医疗健康个人信息进行加密处理，以防止不法分子通过网络攻击等手段获取用户医疗健康个人信息，其数据存储宜经过数据存储相关安全管理体系资格认证。6医疗健康个人信息保护安全目标医疗健康个人信息的控制者应采取合理和适当的管理与技术保障措施，以达到以下目标：a.确保医疗健康个人信息的保密性、完整性和可用性。b.确保医疗健康个人信息使用和披露过程的合法性和合规性，保护医疗健康个人信息安全、公众利益和国家安全。c.确保医疗健康个人信息在符合上述安全要求的前提下满足业务发展需求。7医疗健康个人信息保护基本安全要求7T/GDNS007-20237.1医疗健康个人信息保护岗位责任制a.医疗健康机构应明确法定代表人或主要负责人对医疗健康个人信息安全负全面领导责任，主要职责包括：1)贯彻落实国家和行业有关医疗健康个人信息保护相关政策要求，审议医疗健康个人信息保护相关重大规划及重要报告，审批医疗健康个人信息保护制度。2)统一领导和组织指挥医疗健康个人信息保护重大突发事件的应急处置工作。3)定期召开会议对医疗健康个人信息保护相关管理情况及风险状况进行审议，督促各岗位人员持续做好医疗健康个人信息保护保障工作。4)评审和监督重大信息安全事故的处理。b.在满足GB/T35273-2020关于机构设置相关要求的同时，还应设立专职的医疗健康个人信息保护负责人和医疗健康个人信息保护工作机构，负责医疗健康个人信息保护的运营、管理和评估等工作。c.医疗健康个人信息保护负责人由具有相关管理工作经历和医疗健康个人信息保护专业知识的人员担任，涉及医疗健康个人信息处理活动重要决策时，医疗健康个人信息保护负责人与医疗健康机构网络安全和信息化领导小组讨论并向组织主要负责人报告工作。d.医疗健康个人信息保护负责人和医疗健康机构的职责包括但不限于：1)负责组织制定医疗健康个人信息保护相关管理制度和计划，实施医疗健康个人信息保护体系相关规划、建设、运营及维护并督促落实。2)制定、签发、实施、定期更新医疗健康个人信息保护相关规程。3)对医疗健康个人信息实行分类管理，建立、维护和更新组织所持有的医疗健康个人信息清单（包括医疗健康个人信息的类型、数量、来源、接收方等）、制定访问控制策略等。4)开展医疗健康个人信息保护风险评估，提出医疗健康个人信息保护的对策建议，督促整改安全隐患。5)收集、分析医疗健康个人信息保护相关培训需求并组织开展医疗健康个人信息保护培训。6)在涉及医疗健康个人信息的移动应用系统、客户端或业务系统上线发布前进行检测，避免未知的医疗健康个人信息收集、使用、共享等处理行为。7)组织实施医疗健康个人信息保护相关检查、安全审计及问题改进。8)医疗健康个人信息保护相关突发事件的监控与应急处置，在发生安全事件后，与监督、管8T/GDNS007-2023理部门保持沟通，通报或报告医疗健康个人信息保护相关突发事件处置等情况。9)定期按要求向监督、管理部门报告个人医疗健康数据安全保护和事件处置情况。10)受理并处理用户投诉和举报。7.2医疗健康个人信息保护管理要求7.2.1医疗健康个人信息保护过程监督管理a.医疗健康机构负责牵头协调组织医疗健康个人信息保护检查的管理工作。相关管理员配合安全检查，如实提供所需要的检查信息，对安全检查所发现的问题制定整改措施、整改计划并实施整改。b.医疗健康机构牵头建立检查机制，各负责人配合制定检查计划，定期（每年至少一次）开展检查活动。检查计划要根据实际情况及时进行补充和调整。c.定期（每年至少一次）对责任部门和安全岗位组织安全检查，检查内容包括医疗健康个人信息保护技术措施的有效性、安全配置与安全策略的一致性、医疗健康个人信息保护管理规定的执行情况。d.可根据实际需要组织专项检查，对于医疗健康个人信息发生的重大事故和问题，要进行专项检查，对重大事件实施全面的监控和评价。e.对于新系统，包括网络设备、主机设备、应用系统（包括但不限于WEB端、APP、公众号、小程序等）上线或安装前必须经过安全检查，检查方式可包括系统安全配置、漏洞评估、恶意代码检测等技术手段，根据检查结果进行整改后方可上线。f.定期（每年至少一次）对医疗健康个人信息保护情况开展安全检查工作，检查过程中做好检查结果的记录工作。检查完成后由医疗健康机构组织编写检查报告并提出整改建议。g.相关医疗健康个人信息保护负责人按照检查报告中整改的时间要求，针对检查报告中所提出的问题制定整改实施计划并组织整改。h.医疗健康机构对整改措施的落实情况进行跟踪，验证整改措施的实施结果是否有效，必要时可进行复查确认。i.医疗健康机构根据安全检查结果和整改情况进行汇总，形成安全状况通报。7.2.2医疗健康个人信息保护运维管理a.医疗健康机构应设立医疗健康个人信息安全事件处置方案，预案根据相关法律法规变化情况以及事件处置情况及时更新。9T/GDNS007-2023b.定期（每年至少一次）组织相关人员应急响应培训和应急演练，使其掌握岗位职责和应急处置策略和规程。c.定期（每年至少一次）开展医疗健康个人信息安全影响评估相关事宜。d.当发生安全事件时，及时把事件相关情况以邮件、信函、电话、推送通知等方式告知受影响的个人信息主体。难以逐一告知医疗健康个人信息主体时，采取合理、有效的方式发布与公众有关的警示信息。e.定期（每年至少一次）审计医疗健康个人信息保护政策、相关规程和安全措施有效性：1)建立自动化审计系统，监测记录医疗健康个人信息处理活动。2)审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提供支撑。3)防止非授权访问、篡改或删除审计记录。4)及时处理审计过程中发现的医疗健康个人信息违规使用、滥用等情况。5)审计记录和留存时间应符合法律法规的要求。f.采取技术与管理并重的方式对医疗健康个人信息的收集、存储、使用等全生命周期的医疗健康个人信息处理活动进行安全防护，明确安全管理要求。7.2.3医疗健康个人信息保护管理制度a.制定医疗健康个人信息保护工作的总体方针和安全策略，阐明医疗健康机构安全工作的总体目标、范围、原则和安全框架等。b.管理制度通过正式、有效的方式发布，并进行版本控制。c.定期（每年至少一次）论证和审定安全管理制度合理性和适用性。7.2.3.1医疗健康个人信息保护审计a.应采用技术手段，收集监控相关设备与系统的运行日志、安全日志，满足数据留存要求。b.结合业务操作日志，监测与分析医疗健康个人信息异常使用、用户异常行为，及时发现医疗健康个人信息异常访问行为，避免敏感医疗健康个人信息泄密或滥用，并形成医疗健康个人信息安全监测报告，统计分析医疗健康个人信息安全状况，及时反馈给医疗健康个人信息处理者。c.医疗健康个人信息保护岗位（专职机构）定期（每年至少一次）安全评估医疗健康个人信息处理者关键信息系统承载与处理的医疗健康个人信息安全管理状况。T/GDNS007-20237.3人员管理7.3.1内部人员管理a.医疗健康机构应明确安全管理岗位人员的配备，包括数量、专职还是兼职情况等，配备负责数据保护的专门人员。b.应建立安全管理岗位人员信息表，登记机房管理员、系统管理员、数据库管理员、网络管理员、安全管理员等重要岗位人员的信息，安全管理员不应兼任网络管理员、系统管理员、数据库管理员等岗位。c.安全管理岗位人员应使用符合国密要求的身份鉴别方式，如个人数字证书、手机应用扫码、生物特征识别、多因素认证等。7.3.1.1内部人员的录用管理a.应设立专门的部门或人员负责人员的录用工作。b.应明确人员录用时对人员条件要求，审查被录用人身份、背景和专业资格，考核技术人员技术技能。c.录用后应签署针对医疗健康个人信息保密协议。d.应建立管理文档，说明录用人员应具备的条件。e.应记录录用人身份、背景和专业资格等，记录审查内容和审查结果等。f.应记录录用人录用时技能考核文档或记录，记录考核内容和考核结果等。g.应签订保密协议，其中包括保密范围、保密责任、违约责任、协议的有效期限和责任人签字等h.应签订网络安全承诺书，其中包括承诺不得从事违法违规的活动、不得利用接触到的数据信息谋取私利、严格遵循相关制度等内容。7.3.1.2内部人员的离岗管理a.人员离岗时应办理调离手续，签署调离后医疗健康个人信息保密义务承诺书。b.应及时终止离岗人员的所有访问权限，取回其身份认证的配件，诸如身份证件、钥匙、徽章以及医疗健康机构提供的软硬件设备。c.应形成离岗人员安全处理记录（如交还身份证件、设备等的登记记录）。d.应具备离岗程序办理调离手续记录。T/GDNS007-20237.3.1.3内部人员的考核a.应设立专人负责定期（每年至少一次）对接触个人信息数据工作的工作人员进行全面、严格的安全审查、意识考核和技能考核。b.应按照考核周期形成考核文档，考核人员应包括各个岗位的人员。c.应制定处罚制度惩戒违反安全策略和规定人员。d.应定期（每年至少一次）考查安全管理员、系统管理员和网络管理员工作相关信息安全基础知识、安全责任和惩戒措施、相关法律法规等的理解程度，并记录存档考核记录。7.3.1.4内部人员的实施管理a.应制定严格的系统访问控制权限机制，通过流程审核等形式，明确内部人员访问的时间、地点、数据范围、服务器位置等信息。b.应形成内部人员访问个人信息数据库的全链路审计日志，日志内容应能全面记录该人员访问数据过程。7.3.1.5内部人员的教育培训a.应制定培训计划并按计划对各岗位员工进行基本的安全意识教育培训和岗位技能培训。b.应定期（每年至少一次）考查安全管理员、系统管理员和网络管理员其对工作相关的信息安全基础知识、安全责任和惩戒措施等的理解程度。c.应制定安全教育和培训计划文档，明确培训方式、培训对象、培训内容、培训时间和地点等，d.培训内容包含信息安全基础知识、岗位操作规程等。e.应形成安全教育和培训记录，记录包含培训人员、培训内容、培训结果等。7.3.2外部人员管理7.3.2.1临时来访外部人员管理a.前台或保安室应登记临时来访人员来访事由、来访人、访问对象等内容，并等待访问对象完成接待。登记时，来访人应出示身份证明材料。b.临时来访人员访问单位机房等受限访问区域时，应遵守有关规定，向机房管理人员提出申请且经批准后，由相关人员全程陪同方可进入。c.临时来访人员自带电子设备未经授权禁止接入单位网络和医疗健康信息系统。d.临时来访人员与驻场外包人员为同一个单位的，未经许可，禁止在外包人员的引领下进入单位T/GDNS007-2023任何区域。7.3.2.2非临时来访外部人员管理a.驻场工作的非临时来访外部人员应遵守医疗健康机构各项管理制度和合同中约定的各种条款并签署保密协议和网络安全承诺书。b.对于驻场工作外部人员资质履历，应由医疗健康机构审核，并留存复印件进行统一保管。c.聘请驻场工作外部人员医疗健康机构应对驻场工作的非临时来访外部人员进行相关安全制度等方面培训，以增强人员的安全意识，并定期（每年至少一次）考核安全意识和单位安全制度执行情况。对于考核不合格者，应调换工作人员。d.医疗健康机构应安排专人负责驻场工作外部人员工位、资产领用、申请相应账号及权限、申请网络访问配置信息等工作。e.驻场工作外部人员申请账号和权限时，应符合最小权限及实名制原则。f.驻场工作外部人员在访问机房等受限访问区域时，应遵守医疗健康机构有关规定，向机房管理人员提出申请并经批准后，由单位员工全程陪同方可进入受限访问区域。g.驻场工作外部人员不得利用医疗健康机构的网络、服务器等资源从事未经允许的活动。不得在医疗健康机构内部未授权使用网络扫描、刺探等软件。h.违反以上条款时，医疗健康机构应采取人员调换、追究民事及刑事责任等处罚措施。7.3.2.2.1非临时来访外部人员考核与评价a.医疗健康机构应采取日常考核和定期考核相结合方式，评价驻场工作非临时来访外部人员的日常考勤、工作成果、服务质量等方面。b.当医疗健康机构开展驻场工作非临时来访外部人员服务质量考核时，发现提供服务有偏差的，应书面通知相关责任人及时进行调整和改进。7.3.2.2.2非临时来访外部人员离场安全要求a.驻场工作的外部人员离场时要有完整工作交接清单及接收人签字证明材料。b.驻场工作的外部人员离场前，要归还领用的医疗健康机构资产。c.驻场工作的外部人员离场后，医疗健康机构应按照单位有关流程，及时删除人员的账户和权限d.驻场工作的外部人员离场后，保密协议承诺中持续生效的条款，驻场工作外部人员需继续履行保密义务。T/GDNS007-20237.4医疗健康个人信息收集医疗健康个人信息处理者收集个人信息应在满足GB/T35273-2020中第5章要求基础上符合以下要求：a.通过移动应用系统收集必要个人信息应符合GB/T41391-2022附录A中A15规定的问诊挂号类移动应用系统收集范围。b.通过移动应用系统收集用户医疗健康个人信息应获得用户授权同意（用户线上同意隐私政策或线下签署知情同意书等）且限于提供服务或履行法律法规规定的义务所必需。c.对于以间接方式收集医疗健康个人信息情形，须在收集或使用前确认其来源合法性。d.收集医疗健康个人信息之前，应具备被收集人身份认证机制，该身份认证机制应具有相应安全e.收集医疗健康个人信息时，宜采用加密算法保护医疗健康个人信息传输过程，加密算法建议使用国家密码管理局推荐使用的加密算法。f.收集医疗健康个人信息时应有对收集内容进行安全检测和过滤的机制，防止非法内容提交，且宜采取技术措施保障用户信息输入。g.收集医疗健康个人信息系统应落实网络安全等级保护要求。7.4.1申请系统权限a.医疗健康系统不应申请与业务功能无关的系统权限。7.4.2告知同意医疗健康个人信息处理者收集个人信息的告知同意应在满足GB/T35273-2020中第5章要求基础上符合以下要求：a.向其他个人信息处理者（如第三方服务提供者）提供医疗健康个人信息前，应向用户告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类，并取得用户同意。b.处理敏感个人信息前，应取得用户的单独同意（页面弹窗提示或隐私政策中写明等并告知处理的必要性及对个人权益的影响。c.为用户提供拒绝同意的方式，医疗健康个人信息主体拒绝同意后避免频繁打扰医疗健康个人信息主体以再次征得同意，用户主动操作触发取得同意机制的除外。d.为用户提供便捷的撤回同意的方式并设置适当的撤回同意机制：1)可通过多种方式实现撤回同意，如关闭处理个人信息的特定业务、停止处理特定个人信息T/GDNS007-2023种类、关闭特定权限等。2)具备将撤回同意结果及时反馈到产品服务功能的机制，使撤回同意后不再处理相应医疗健康个人信息。3)医疗健康个人信息主体撤回同意后宜立即处理，如无法立即处理的需向医疗健康个人信息主体说明处理时间。4)医疗健康个人信息主体撤回同意后，避免频繁打扰个人信息主体以再次征得同意。e.医疗健康个人信息处理者处理医疗健康个人信息，有法律、行政法规规定应当保密或者不需要告知的情形的，可以不向个人告知前条第一款规定的事项。f.紧急情况下为保护自然人的生命健康和财产安全无法及时向个人告知的，医疗健康个人信息处理者应当在紧急情况消除后及时告知。7.5医疗健康个人信息传输医疗健康个人信息处理者进行数据传输活动时，应在满足GB/T35273-2020中第6章要求基础上符合以下要求：a.向第三方医疗健康个人信息处理者通过系统接口传输医疗健康个人信息时，应至少使用白名单（IP、域名等）方式进行控制，同时宜使用数字签名等方式保证安全性。b.通过互联网传输及线下途径传输医疗健康个人信息时，宜在传输前数据加密，并使用安全通道传输，加密算法建议使用国家密码管理局推荐使用的加密算法。c.宜记录数据传输日志，日志内容需至少包含数据传输方信息、接收方信息、传输数据类别、传输结果、传输时间。7.6医疗健康个人信息存储医疗健康个人信息处理者进行数据存储活动时，应在满足GB/T35273-2020中第6章要求基础上符合以下要求：a.收集的医疗健康敏感个人信息宜根据不同级别采取相应的安全加密存储等安全措施进行处理，加密算法建议使用国家密码管理局推荐使用的加密算法，加密技术可采用专用加密芯片和设备的硬加密方式，也可采用SM系列算法等软加密技术。所有保存的数据宜为非明文方式。b.应使用必要的隔离（虚拟专网或物理专网等或采用加密技术、使用安全的硬件存储设备等，确保数据传输和存储时的信息安全。c.医疗健康个人信息存储期限应为实现个人信息处理目的所必需的最短时间，超出存储期限应对T/GDNS007-2023个人信息进行删除或匿名化处理，法律法规另有规定的除外。d.如超出个人信息存储期限，但法律、行政法规规定的保存期限未届满，或者删除个人信息从技术上难以实现的，应停止除存储和采取必要的安全保护措施之外的处理。e.宜将用户个人身份信息与用户生物识别信息采用物理或逻辑隔离的方式分开隔离存储。f.应至少使用本地备份、异地备份及场外备份中的两种方式对医疗健康个人信息数据进行备份，关键数据应采取异地容灾。g.采取必要的技术和管控措施保证医疗健康个人信息存储转移过程中的安全性。h.定期（每年至少一次）检测储存医疗健康个人信息载体安全性。7.7医疗健康个人信息处理7.7.1医疗健康个人信息使用和加工7.7.1.1医疗健康个人信息展示医疗健康个人信息展示应在满足GB/T35273-2020中第7章的要求基础上符合以下要求：a.宜对如登录口令等涉及账号安全的敏感个人信息采取GB/T37964-2019中的方法进行脱敏展示并采取身份验证措施确保仅个人用户能够查看其个人资料。b.应对内部业务系统需展示的用户个人信息采取去标识化处理，对操作行为留存审计日志。c.用户输入登录口令登录系统或设置登录口令时，宜采取展示屏蔽等措施防止完整口令明文显示。d.医疗健康相关信息系统在用户处于未登录状态时，不应展示医疗健康个人信息。e.医疗健康相关信息系统在用户处于已登录状态时，宜根据用户权限以及业务功能需求最小化或脱敏展示医疗健康个人信息，若需访问明文医疗健康个人信息，宜采用多因素身份鉴别等安全验证措施。f.用户访问其敏感个人信息时，医疗健康个人信息处理者宜采用多因素身份鉴别等安全验证措施。7.7.1.2医疗健康个人信息访问控制措施医疗健康个人信息的访问控制措施应在满足GB/T35273-2020中第7章要求基础上符合以下要求：a.医疗健康个人信息处理者内部人员使用的业务系统，宜对用户个人信息进行脱敏展示。因业务正常开展所需，需要查看未经脱敏处理医疗健康个人信息时，宜在展示界面中采用数字水印技T/GDNS007-2023b.应遵循最少够用、职责分离的原则，按照数据分级（可参考附录A）建立相应的数据访问控制措施和访问权限申请审批流程，访问权限应明确数据查阅、更正、删除、下载等操作。c.对于涉及医疗健康用户个人信息的操作，宜通过建立审批流程、限制数据访问范围等措施，限制批量查询、导出医疗健康用户个人信息的操作功能。d.对于确需访问医疗健康用户个人信息的业务场景，应记录触发访问特定用户个人信息的事件、操作行为，并定期（每年至少一次）开展审计。7.7.1.3医疗健康个人信息用户画像使用限制医疗健康个人信息用户画像使用限制措施应在满足GB/T35273-2020中第7章要求基础上符合以下要求：a.基于用户画像的推荐功能应允许用户自主选择。b.向用户提供内容个性化展示功能时，应为用户提供设置特定期限或永久退出、关闭个性化展示的功能。c.向用户提供自主设置、调整或校正用户画像标签的功能，应针对单项内容或广告设置“不感兴趣”“屏蔽此类内容”等选项。d.以个性化展示为基本业务形态的医疗健康服务，医疗健康个人信息处理者应为用户提供设置、校正或重置其画像标签的功能，或单独提供非基于用户画像推送的内容栏目。e.通过自动化决策方式进行信息推送、商业营销，应同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。7.7.1.4医疗健康个人信息加工医疗健康个人信息加工限制措施应在满足GB/T35273-2020中第7章要求基础上符合以下要求：a.未经用户同意，不应对用户医疗健康个人信息进行分析挖掘，当获得用户同意后，在科研、大数据分析等应用中应对用户医疗健康个人信息进行脱敏处理。b.利用收集医疗健康个人信息进行自动化决策时应允许用户自主选择，并遵守以下要求：1)应提供不针对其个人特征的选项，或向个人提供便捷的拒绝方式。2)第三方应明确告知医疗健康个人信息开展自动化决策方式，决策算法应保证透明度和结果公平、公正，不应对个人实行不合理的差别待遇。3)如通过自动化决策方式作出对个人权益有重大影响的决定，应对用户予以说明，并得到用户同意，保障用户拒绝仅通过自动化决策的方式作出决定的权利。T/GDNS007-20234)应向用户提供针对自动化决策结果便捷有效的投诉渠道。5)应在自动化决策功能的规划设计阶段或首次使用前开展医疗健康个人信息安全影响评估，并依据评估结果采取有效保护措施。7.7.2医疗健康个人信息委托处理医疗健康个人信息被委托处理应满足GB/T35273-2020中9.1要求基础上符合以下要求：a.委托处理医疗健康个人信息时，应签订相关协议要求受托方遵守相关规范。b.受托方处理完成医疗健康个人信息相关数据后，应删除存储医疗健康个人信息数据内容。7.7.3医疗健康个人信息共享、转让医疗健康个人信息处理者向第三方共享转让用户个人信息时，应满足GB/T35273-2020中9.2、9.3、9.5要求基础上符合以下要求：a.用户点击链接时明示所跳转第三方应用界面并提示用户关注第三方应用的医疗健康个人信息收集使用规则。b.医疗健康个人信息共享和转让时应进行个人信息安全影响评估，应评估接收方数据安全能力，并根据评估结果采取有效保护措施。c.为实现关联账号等功能，共享用户数据（如用户个人常用设备信息、操作日志）时，宜共建独立的数据库存储前述数据，并采取严格的授权访问机制。d.其他单位或部门申请时，须提交书面函件，经负责法务法规部门评估后，由个人信息数据业务部门审批并报分管领导同意后方可共享，同时控制共享流转范围，规范交接手续。7.7.4医疗健康个人信息公开披露a.医疗健康个人信息处理者对用户违法违规信息公开披露时，宜在满足GB/T35273-2020中9.4-9.5要求基础上，去标识化处理用户医疗健康个人信息。7.7.5医疗健康个人信息第三方接入管理a.医疗健康个人信息服务接入到第三方服务平台的，医疗健康个人信息处理者应遵循必要原则，与第三方服务平台约定提供个人信息范围并限于医疗健康个人信息服务所必需。7.7.6医疗健康个人信息跨境传输医疗健康个人信息处理者数据出境应在满足GB/T35273-2020中9.8要求基础上符合以下要求：a.医疗健康个人信息处理者如因业务需要向境外提供数据，应遵守国家相关法律法规和标准的要T/GDNS007-2023b.应对医疗健康个人信息服务出境行为进行监测，及时发现并阻止违规数据出境，如对租用的网络链路进行出境流量分析、对服务移动应用系统与境外网络通信行为进行检测分析等。c.根据业务发展和运营情况，医疗健康个人信息处理者每年应自行或委托第三方机构对数据出境至少进行一次数据出境风险评估。7.8医疗健康个人信息主体权利7.8.1基本安全措施a.用户申请查询、复制、更正、补充、撤回同意、删除等医疗健康个人信息时，应采取账号安全检测技术措施，核验用户身份（身份核验的方式通常包括常用设备校验、短信验证码校验等）。b.针对已注销用户已上传的部分用户数据（如弹幕、评论、图片、音视频内容），医疗健康个人信息处理者依据相关法律法规或与用户的约定仍有权继续展示、使用的，宜采用匿名化的方式继续展示、使用。7.8.2医疗健康个人信息查询和复制医疗健康个人信息查询和复制，医疗健康个人信息处理者应满足GB/T35273-2020中8.1要求基础上符合以下要求：a.应为用户提供医疗健康个人信息在线阅服务，个人信息在阅服务应简单方便、易于操作。b.用户可查阅的医疗健康个人信息范围应包括用户上传提供的全部医疗健康个人信息。c.为用户提供在线医疗健康个人信息复制功能时，应采取技术措施防范医疗健康个人信息副本泄露或被窃取。7.8.3医疗健康个人信息更正医疗健康个人信息更正，医疗健康个人信息处理者应满足GB/T35273-2020中8.2要求基础上符合以下要求：a.应为用户提供医疗健康个人信息在线更正或补充服务，信息更正或补充服务应简单方便、易于操作。b.应向医疗健康个人信息主体提供更正的医疗健康个人信息包括但不限于用户通过填写等方式主动提交给医疗健康个人信息处理者的医疗健康个人信息。c.宜提供更正医疗健康个人信息处理者服务评价功能，如通过追加评论功能，实现医疗健康个人T/GDNS007-2023信息主体对其评价