《信息安全技术 健康医疗数据隐私保护安全要求》

ICS35.040

CCSL80

T/CI

团体标准

T/CIXXX—2023

信息安全技术

健康医疗数据隐私保护安全要求

Informationsecuritytechnology—healthmedicaldataprivacyprotectionsecurity

requirements

（征求意见稿）

2023-XX-XX发布2023-XX-XX实施

中国国际科技促进会发布

T/CIXXX—2023

信息安全技术健康医疗数据隐私保护安全要求

1范围

本文件规定了健康医疗数据隐私保护安全的总则、职责、数据采集保护、数据存储保护、数据处理、

数据使用和技术支撑。

本文件适用于健康医疗数据隐私保护安全的监督、管理和评估。

2规范性引用文件

下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，

仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本

文件。

GB/T37964信息安全技术个人信息去标识化指南

GB/T39725—2020信息安全技术健康医疗数据安全指南

GM/T0054信息系统密码应用基本要求

3术语和定义

GB/T39725—2020界定的以及下列术语和定义适用于本文件。

3.1

个人信息personalinformation

能够单独或者与其他信息结合识别自然人个人身份的各种信息。

注：包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息，住址和电话号码等。

3.2

个人信息主体personalinformationsubject

个人信息所标识或关联的自然人。

3.3

匿名化anonymization

通过对个人信息的技术处理，使得个人信息主体无法被识别或者关联，且处理后的信息不能被复原，

的过程。

注：个人信息经匿名化处理后所得的信息不属于个人信息。

3.4

去标识化de-identification

通过对个人信息的技术处理，使其在不借助额外信息的情况下，无法识别或者关联个人信息主体的

过程。

注：建立在个体基础之上，保留了个体颗粒度，采用假名、加密、哈希函数等技术手段替代对个人信息的标识。

3.5

敏感数据sensitivedata

由权威机构确定的受保护的信息数据。

注：敏感信息数据的泄露、修改、破坏或丢失会对人或事产生可预知的损害。

7

T/CIXXX—2023

3.6

个人健康医疗数据personalhealthdata

单独或者与其他信息结合后能够识别特定自然人或者反应特定自然人生理或心理健康的相关电子

数据。

3.7

健康医疗数据healthdata

个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据，如匿名化

处理后的个人健康医疗数据。

注：个人健康医疗数据涉及个人过去、现在或者将来的身体或精神健康状况、接受的医疗保健服务和支付的医疗保

健服务费用等。

3.8

脱敏desensitization

通过模糊化等方法处理原始数据，以实现屏蔽敏感数据且屏蔽后的数据不可逆向恢复的数据保护方

式。

4总则

4.1目标

针对健康医疗数据隐私保护宜采取合理的管理和技术保障措施，目标如下：

a)保障健康医疗数据的保密性、完整性和可用性；

b)确保健康医疗数据使用和披露过程的合法性和合规性，保护个人信息安全、公众利益和国家

安全；

c)保障健康医疗数据在符合上述安全要求的前提下满足业务发展需求。

4.2范畴

健康医疗数据共享过程中涉及到符合GB/T39725—2020中数据分类分级范围内的所有健康医疗数

据，包括但不限于个人属性数据。

4.3原则

4.3.1权责一致原则

对个人信息主体合法权益造成的损害应承担责任。

4.3.2目的明确原则

具有合法、正当、必要、明确的个人信息处理目的。

4.3.3选择同意原则

向个人信息主体明示个人信息处理目的、方式、范围、规则等，征求其授权同意。

4.3.4最小必要原则

除与个人信息主体另有约定外，只处理满足个人信息主体授权同意的、目的所需的最少个人信息类

型和数量。目的达成后，应及时根据约定删除个人信息。

4.3.5公开透明原则

7

T/CIXXX—2023

以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等，并接受外部监督。

4.3.6确保安全原则

具备与所面临的安全风险相匹配的安全能力，并采取足够的管理措施和技术手段，保护个人信息的

保密性、完整性、可用性。

4.3.7主体参与原则

向个人信息主体提供能够访问、更正、删除其个人信息，以及撤回同意、注销账户等方法。

4.4隐私保护的参与方

健康医疗数据共享过程中数据流通符合GB/T39725—2020中6.4的流通使用场景规定，健康医疗数

据共享过程中应加强对个人信息的保护。

5职责

5.1数据提供方

数据提供方对数据共享中的隐私保护承担的职责包括但不限于：

a)对其提供的所有数据的流通和使用行为的合规性负责；

b)确保提供的所有数据不涉及隐私信息；

c)当提供的数据涉及隐私信息时，应按GB/T37964规定先对其进行匿名化、去标识化等技术处

理，确保数据不涉及隐私信息且无法复原后，方可进入流通环节；

d)明确数据的适用范围、使用期限和权利限制等；

e)确保数据的存储、发布和传输过程中的安全性，防止数据泄露、算改和删除等；

f)对因隐私泄露而对个人信息主体造成伤害的行为承担主要责任。

5.2数据使用方

数据使用方对数据共享中的隐私保护承担的职责包括但不限于：

a)按数据提供方界定的数据适用范围、使用期限和权利限制等合法、合规使用数据：

b)当在数据使用过程中发现隐私信息时，立即向数据提供方报告或向有关主管部门报告：

c)确保数据存储、使用过程中的安全性，防止数据泄露、纂改和删除等：

d)对因使用数据而导致隐私信息泄露所产生的后果承担主要责任：

e)按照约定方式使用完成或规定期限结束后，销毁数据且不可被恢复。

5.3数据共享平台运营商

数据共享平台运营商对数据共享中的隐私保护承担的职责义务应包括但不限于：

a)制定平台隐私政策，确保交易主体的合法权益；

b)设立隐私保护管理部门，负责平台隐私保护工作的日常管理和实施；

c)制定隐私保护管理制度，明确平台运营商，共享主体的职责义务及惩罚措施；

d)建立隐私保护管理机制，包括但不限于：

1)数据共享许可机制：确保共享主体获得数据共享许可资格后，允许其参与共享；

2)数据流转登记机制：做好数据交易信息记录备案，确保每次数据流转都有记录可追湖；

3)隐私泄露投诉举报机制：积极响应和解决投诉举报，明确投诉解决途径和举报奖励制度。

e)组织开展隐私保护宣传培训活动；

7

T/CIXXX—2023

f)加强数据审核管理，发现国家法律法规禁止发布或传输的信息时，依法采取必要处置措施，

并向有关主管部门报告；

g)积极配合有关主管部门依法履行职责时开展的各项工作。

5.4个人信息主体

个人信息主体对数据交易中的隐私保护享有的权利包括但不限于：

a)有权提出撤销、删除和销毁共享中涉及的个人隐私信息；

b)个人信息主体认为共享活动违反相关国家法律法规规定，侵犯其合法权益的，有权依法维权；

c)因隐私信息泄露而对个人信息主体造成伤害的，个人信息主体有权提出赔偿请求。

6数据采集保护

6.1数据采集的合法性

数据采集的合法性要求如下：

a)不应该以欺诈、诱骗、误导的方式收集个人信息；

b)不应该隐瞒产品或服务所具有的收集个人信息功能和用途；

c)在收集用户个人信息时，应充分说明采集个人数据信息的目的和方式。

6.2数据采集的最小必要

数据采集的最小必要要求如下：

a)收集的个人信息的类型应与服务的业务功能有直接关联；

注：直接关联是指没有上述个人信息的参与，服务的功能无法实现。

b)自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率；

c)间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。

6.3数据采集授权

数据采集授权要求如下：

a)收集个人信息时，应向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则，

并获得个人信息主体的授权同意；

注：如产品或服务仅提供一项收集、使用个人信息的业务功能时，可通过个人信息保护政策的形式，实现向个人信

息主体的告知；产品或服务提供多项收集、使用个人信息的业务功能的，除个人信息保护政策外，在实际开始

收集特定个人信息时，向个人信息主体提供收集、使用该个人信息的目的、方式和范围。

b)收集个人敏感信息前，应征得个人信息主体的明示同意，并应确保个人信息主体的明示同意

是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示；

c)收集个人生物识别信息前，应单独向个人信息主体告知收集、使用个人生物识别信息的目的、

方式和范围，以及存储时间等规则，并征得个人信息主体的明示同意；

注：个人生物识别信息包括个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。

d)收集年满14周岁的未成年人的个人信息前，应征得未成年人或其监护人的明示同意；不满14

周岁的未成年人，应征得其监护人的明示同意；

e)间接获取个人信息时：

1)应要求个人信息提供方说明个人信息来源，并对其个人信息来源的合法性进行确认；

2)应了解个人信息提供方已获得的个人信息处理的授权同意范围，包括使用目的，个人信

息主体是否授权同意转让、共享、公开披露、删除等；

7

T/CIXXX—2023

3)如开展业务所需进行的个人信息处理活动超出已获得的授权同意范围的，应在获取个人

信息后的合理期限内或处理个人信息前，征得个人信息主体的明示同意，或通过个人信

息提供方征得个人信息主体的明示同意；

f)个人信息主体不授权同意使用、关闭或退出特定业务功能时，不应暂停个人信息主体自主选

择使用的其他业务功能，或降低其他业务功能的服务质量；

g)不应以改善服务质量、提升使用体验、研发新产品、增强安全性等为由，强制要求个人信息

主体同意收集个人信息。

6.4数据采集制度

应对数据采集制定必要的制度措施，内容应包括但不限于：

a)个人信息控制者的基本情况，包括主体身份、联系方式；

b)收集、使用个人信息的业务功能，以及各业务功能分别收集的个人信息类型。涉及个人敏感

信息时，应明确标识或突出显示；

c)个人信息收集方式、存储期限、涉及数据出境情况等个人信息处理规则；

d)对外共享、转让、公开披露个人信息的目的、涉及的个人信息类型、接收个人信息的第三方

类型，以及各自的安全和法律责任；

e)个人信息主体的权利和实现机制，如查询方法、更正方法、删除方法、注销账户的方法、撤

回授权同意的方法、获取个人信息的方法、对信息系统自动决策结果进行投诉的方法等；

f)提供个人信息后可能存在的安全风险，及不提供个人信息可能产生的影响；

g)遵循的个人信息安全基本原则，具备的数据安全能力，以及采取的个人信息安全保护措施，

必要时可公开数据安全和个人信息保护相关的合规证明；

h)处理个人信息主体询问、投诉的渠道和机制，以及外部纠纷解决机构及联络方式。

7数据存储保护

7.1存储时间

7.1.1个人信息存储期限应为实现个人信息主体授权使用的目的所必需的最短时间。

注：法律法规另有规定或者个人信息主体另行授权同意的除外。

7.1.2超出上述个人信息存储期限后，应对个人信息进行删除或匿名化处理。

7.2去标识化处理

收集个人信息后，个人信息控制者宜立即进行去标识化处理，并采取技术和管理方面的措施，将可

用于恢复识别个人的信息与去标识化后的信息分开存储并加强访问和使用的权限管理。

7.3敏感信息的存储

7.3.1存储个人敏感信息时，应采用加密等安全措施。采用密码技术时宜符合GM/T0054规定的密码

技术，对敏感数据进行加密存储保护。

7.3.2个人生物识别信息应与个人身份信息分开存储。

7.3.3不应存储原始个人生物识别信息（如样本、图像等），可采取的措施包括但不限于：

a)仅存储个人生物识别信息的摘要信息；

b)在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能；

c)在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证等功能后删除可提取个人生

物识别信息的原始图像。

7

T/CIXXX—2023

8数据处理

8.1数据脱敏

数据脱敏安全要求包括：

a)应建立数据脱敏规范，明确需要脱敏处理的应用场景和处理方法；

b)应支持基于规则的数据静态脱敏；

c)应提供面向使用者的定制化数据脱敏功能，可基于场景需求自定义脱敏规则；

d)应提供数据脱敏处理过程日志记录，满足数据脱敏处理安全审计要求。

8.2数据分析

数据分析安全要求包括：

a)应对数据分析结果进行二次风险评估，确保衍生数据不超过原始数据的授权范围和安全使用

要求；

b)应对利用多源数据进行大数据分析的过程进行日志记录，以备对分析结果质量、真实性和合

规性进行数据溯源；

c)应对利用数据分析算法输出的结果进行风险评估，避免分析结果输出中包含可恢复的个人信

息、重要数据等数据和结构标识，从而防止个人信息、重要数据等敏感信息的泄漏；

d)应对平台数据分析算法的变更进行风险评估。

8.3数据处理环境

数据处理环境安全要求包括：

a)数据处理系统或平台应与身份及访问管理平台实现联动，用户在使用数据处理系统或平台前

已获得了授权；

b)应保证对不同数据使用者在数据处理平台中的数据、系统功能、会话、调度和运营环境等资

源实现隔离控制；

c)应建立数据处理日志管理工具，记录用户在数据处理平台上的加工操作，以备后期追溯；

d)应对用户在数据处理平台上对数据的操作开展定期审计，确定用户对数据的加工未超出前期

申请数据时的目的。

9数据使用

9.1访问控制

9.1.1对被授权访问个人信息的人员，应建立最小授权的访问控制策略，使其只能访问职责所需的最

小必要的个人信息，且仅具备完成职责所需的最少的数据操作权限。

9.1.2对个人信息的重要操作应设置内部审批流程，如进行批量修改、拷贝、下载等重要操作。

9.1.3对安全管理人员、数据操作人员、审计人员的角色应进行分离设置。

9.1.4授权特定人员超权限处理个人信息时，应经个人信息保护责任人或个人信息保护工作机构进行

审批，并记录留档。

9.1.5对个人敏感信息的访问、修改等操作行为，宜在对角色权限控制的基础上，按照业务流程的需

求触发操作授权。

示例：当收到客户投诉，投诉处理人员才可访问该个人信息主体的相关信息。

9.2展示限制

7

T/CIXXX—2023

涉及通过界面（如显示屏幕、纸面）展示个人信息时，个人信息控制者宜对需展示的个人信息采取

去标识化处理，降低个人信息在展示环节的泄露风险。

示例：在个人信息展示时，防止内部非授权人员及个人信息主体之外的其他人员未经授权获取