随着医疗健康数据呈指数级增长，数据泄露、滥用等安全问题日益严峻。2026年2月14日，国家卫生健康委、公安部等部门联合印发《医疗卫生机构数据安全和个人信息保护管理办法（试行）》，核心目标是规范数据管理、促进开发利用、保护主体权益以及统筹发展与安全，为医疗卫生机构的数据安全和个人信息保护提供了全面的执行框架。

       管理办法中有三项核心内容，分别是数据分类分级保护制度、数据全生命周期安全管理、个人信息保护。卫生健康行业数据分成核心数据、重要数据、一般数据，分别采取不同保护措施，若不同级别数据混杂一起，则采取“就高不就低”保护措施。省级卫生健康部门统筹组织分类分级工作并提出目录建议，医疗卫生机构定期梳理识别数据并报送重要数据清单。要建立健全全周期安全管理制度与规范，明确安全负责人，设立专门管理机构，制定专项应急预案。处理重要数据的医疗卫生机构需每年至少开展一次网络安全风险评估；存储、处理重要数据的系统要严格落实三级及以上网络安全等级保护要求，涉及关键信息基础设施的核心数据，需落实关基安全保护要求。当个人信息达到一定精度或规模时，需将其纳入国家重要数据目录，实施重点且严格的安全保护。医疗卫生机构需自行或委托专业机构，定期开展个人信息保护合规性审计工作。委托处理个人信息前要进行影响评估，严格控制第三方风险。人工智能等新技术处理患者病历，必须确保个人信息安全；不得违法处理、违法收集、超范围收集、超授权调阅、违法提供、违法向境外提供、违法公开个人信息，并不得滥用人脸识别信息。

       管理办法还明确了十项禁止行为，严禁超范围采集个人健康信息，禁止使用非法手段取得数据；重要数据应在境内存储，必须采取备份、加密存储等保护措施；严禁通过微信、网盘、社交软件等传输核心、重要和敏感数据；确需向境外提供数据需先进行安全自评估，经单位同意和属地部门审核后，依法申报数据出境安全评估；严格规定数据使用权限，建立完善的申请审批流程，并加强操作日志的留存与审计；运维人员未经授权不得处理数据，运维单位未经批准不得转包、分包；未经单位领导班子批准，严禁将未公开的业务数据、敏感数据传递至机构外部；数据公开前必须进行安全影响研判，存在重大影响的数据严禁对外公开；设备报废或变更用途前，必须进行彻底的清除处理；发生数据安全事件时，应立即启动应急预案，并按照规定的流程和时限向主管部门报告。

复审：张婷婷