醫療行業在數字化轉型中迅猛發展，醫療大數據作為核心驅動力，深刻改變醫療服務的模式與效率。它不僅促進醫療信息的流通與共享，推動個性化、精準化的醫療服務新生態。同時，也在提升醫療服務質量、優化醫療資源配置等方面展現巨大潛力，帶來更多便捷、高效的服務體驗。

醫療大數據的廣泛應用，也伴隨著隱私泄露、數據篡改、非法訪問等嚴峻挑戰。患者的敏感信息，若被不當處理或泄露，將嚴重侵犯患者隱私，引發信任危機，進而阻礙醫療行業的健康發展。

一、醫療大數據面臨的常見安全風險

1、隱私泄露風險

醫療大數據包含大量敏感信息，如患者姓名、年齡、住址、電話、病史等。信息一旦泄露，將直接侵犯患者隱私，并可能被用于非法目的（詐騙、推銷等）。常見泄露原因：系統漏洞、內部失誤、第三方安全風險及傳輸安全漏洞等。

2、非法訪問與數據濫用

非法訪問并濫用于保險欺詐、藥物濫用等非法目的，嚴重侵害患者權益，擾亂市場秩序。同時，醫療機構內部管控風險，權限管控松散、監管不力、安全意識淡薄，均易導致數據泄露。

3、外部攻擊與數據篡改風險

醫療數據價值高，易遭到外部攻擊，信息系統的開放也增加了更多風險。黑客利用系統漏洞或釣魚手段非法入侵，竊取或篡改，威脅醫療決策準確。同時，如果科研數據遭遇篡改則損害科研誠信，降低成果可靠性。

4、 數據交換風險

醫療數據交換或傳輸過程中，涉及不同機構或系統間的數據流通，由于系統間的數據標準不一，可能導致數據丟失、錯誤，且數據安全標準差異易遭非法獲取與篡改。

構建安全可靠的醫療大數據環境，不僅是保障隱私、激發數據潛力的基石，更是推動智慧醫保與安全醫保的必要條件。鑒于醫療數據的多樣、敏感，實施數據分類分級管理至關重要，通過明確數據敏感等級，采取差異化安全防護，確保數據安全。

二、醫療大數據的分類分級

政策支持與法規依據是構建和完善醫療數據安全體系的重要保障，不僅為醫療數據的收集、處理、傳輸、存儲和共享等全生命周期提供明確規范，還界定相關責任主體及其義務，確保數據安全與合規。

《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律法規，為醫療數據安全提供法律基礎。《醫療衛生機構網絡安全管理辦法》《“十四五”全民健康信息化規劃》等行業政策，進一步明確醫療行業在數據分類分級方面的具體要求和實施路徑。

1.數據分類分級的意義

醫療大數據的分類分級是保障信息安全與隱私的關鍵：

·精準識別敏感數據

明確區分哪些數據屬于高度敏感范疇，從而對這些數據實施更為嚴格的保護措施。

·制定針對性保護措施

依據數據分類分級結果，針對不同級別數據制定差異化安全策略。

·優化安全資源分配

對重要和敏感數據加大安全投入，如增加安全設備及強化培訓，以確充分保護。同時，對非敏感數據則適度減配，實現安全資源的高效利用。

·合規性保障

幫助醫療機構明確數據保護責任和義務，確保合規操作。

2.數據分類分級指南

根據《GB/T 39725-2020信息安全技術—健康醫療數據安全指南》

·醫療數據分類

醫療大數據主要包括，個人屬性數據（姓名、聯系方式等）、健康狀況數據（病史、檢查數據等）、醫療應用數據（治療方案、用藥信息等）、醫療支付數據（交易信息，保險信息等）、衛生資源數據（醫院基本數據、醫院運營數據等）、公共衛生數據（環境衛生數據、疾病檢測等）。

·醫療數據分級

根據數據重要程度和風險級別以及對個人健康醫療數據主體可能造成的損害以及影響的級別，建議數據劃分為以下5級：

3.場景安全措施要點

基于不同的數據流通使用場景，責任主體在數據應用過程中所涉及的安全環節與責任不同，需要滿足的安全控制要求也不同。數據使用的應用場景和安全措施要點如下：

三、案例分享醫療數據分類分級策略

安勝數據安全治理體系框架

在國家頂層法規指引下，為了構筑開放、安全、合作的數據價值流轉環境，安勝以“數據安全”為核心，推出了圍繞數據全生命周期并涵蓋管理制度與防護技術的安全服務體系，協助企業從技術上打通數據孤島，解決數據開放共享鏈條上的安全顧慮。從監管者和使用者的角度出發，提供全方位的數據安全咨詢、數據安全建設、數據安全運營為一體的數據安全服務解決方案。

在醫療服務案例中，通過數據分類分級工具——“數網”數據資產梳理與數據庫掃描系統掃描探測該醫療機構指定的網絡范圍內存在的關系型、非關系型數據庫資產，輸出數據資產清單和風險評估報告，有效防范數據資產漏審和私設數據庫等資產管理風險。

安勝數據安全分類分級服務

數據分類分級是數據安全的基石，該服務面向組織數據和個人信息對數據資產，進行發現與梳理，從業務角度出發，對企業數據進行分類分級標識并形成數據分類分級目錄，最后對數據目錄進行審核、上報備案，并且動態更新管理。

基于國標GB/T 43697-2024《數據安全技術數據分類分級規則》的分類分級實施步驟。

部分內容整理自：《GB/T 39725-2020 信息安全技術—健康醫療數據安全指南》