南方財經全媒體 記者李潤澤子 實習生高藝 廣州報道

日前，爲加強醫療衛生機構網絡安全管理，進一步促進“互聯網+醫療健康”發展，充分發揮健康醫療大數據作爲國家重要基礎性戰略資源的作用，加強醫療衛生機構網絡安全管理，防範網絡安全事件發生，國家衛生健康委、國家中醫藥局、國家疾控局印發《醫療衛生機構網絡安全管理辦法》（下稱《辦法》）。

《辦法》明確了各醫療衛生機構網絡及數據安全管理基本原則、管理分工、執行標準、監督及處罰要求，共分爲五章三十四條，體現了統籌安全與發展的總體平衡，與此前出臺的一系列政策法規一脈相承，爲醫療衛生機構指明瞭網絡安全管理的總方向。

這是行業垂直領域內首部網絡安全管理辦法。多位受訪專家表示，在我國“互聯網+醫療健康”快速發展的背景下，網絡安全對醫療衛生機構來說尤爲重要。未來，相關醫療衛生機構應提升合法合規意識，加強自身網絡數據安全建設；相關主管部門在後續加強《辦法》的落實實施日常檢查工作，通過常態化執法促進新法真正發揮效用，同時不斷出臺和完善相關落地實施細則、指南和標準，推動整個行業的安全健康有序發展。

網絡安全已經醫療互聯網化中必不可缺的一環

隨着電子病歷、互聯網醫療、AI醫療影像等應用的普及，醫療數字化浪潮襲來。然而，數字化技術的使用同樣也帶來新的安全風險。近年來，醫療系統遭遇網絡攻擊的事件時有發生，數據泄露也屢見不鮮。《2021年度高級威脅態勢研究報告》顯示，2021年全球高級威脅攻擊事件中，醫療部門是攻擊的重點目標。

“未來我國的醫療將更加互聯網化，對於衛生機構而言，網絡安全已經成爲其切入互聯網化途徑中必不可缺的一環。”浙江墾丁律師事務所合夥人李晉沅告訴南方財經全媒體記者，《辦法》是我國目前行業垂直領域內首部落地的網絡安全管理辦法。

據悉，《基本醫療衛生與健康促進法》《網絡安全法》《密碼法》《數據安全法》《個人信息保護法》《關鍵信息基礎設施安全保護條例》《網絡安全審查辦法》以及網絡安全等級保護制度等有關法律法規標準是《辦法》的制定依據。

李晉沅認爲，《辦法》的參考依據衆多，這意味着目前對於醫療行業，網絡安全等相關需求高，需要出臺相應的專門規章來予以約束和管理。另一方面，也說明在醫療健康領域目前我國已經初步具備相應實施行業領導的網絡安全管理基礎。

事實上，各重點行業對於網絡安全的重視程度日漸提升，南方財經全媒體記者梳理發現，就在今年4月電力及證券期貨相關主管部門也已就行業網絡安全管理辦法徵求意見。

“《辦法》總體規定較爲完善，基本涵蓋了相關醫療衛生機構網絡和數據安全建設的各個方面，值得注意的是，該辦法提出堅持分等級保護、突出重點。給實踐中相關醫療衛生機構進行落地工作指明瞭方向和重點。”上海市滙業（深圳）律師事務所合夥人王小敏說。

《辦法》提出，各類醫療機構應堅持分等級保護、突出重點。重點保障關鍵信息基礎設施、網絡安全等級保護第三級（以下簡稱第三級）及以上網絡以及重要數據和個人信息安全。並要求落實網絡安全保護“實戰化、體系化、常態化”和“動態防禦、主動防禦、縱深防禦、精準防護、整體防控、聯防聯控”的“三化六防”措施。

根據《關鍵信息基礎設施安全保護條例》，關鍵信息基礎設施是指公共通信和信息服務、能源、交通、水利、金融、公共服務、電子政務、國防科技工業等重要行業和領域的，以及其他一旦遭到破壞、喪失功能或者數據泄露，可能嚴重危害國家安全、國計民生、公共利益的重要網絡設施、信息系統等。

王小敏指出，對於醫療衛生機構來說，像二級或以上的醫院、疾病預防控制中心、專科疾病防治機構、急救中心（站）和血站等專業公共衛生機構，都可能會被認定爲關鍵信息基礎設施，但具體認定還需要國家衛生健康委等相關行業主管部門負責組織並通知相關醫療機構。

“此次辦法專門提到關鍵信息基礎設施的相關規定，說明醫療衛生機構所屬行業和領域十分重要，被認定爲關鍵信息基礎設施的概率很大，需要相關醫療衛生機構加強重視，做好關鍵信息基礎設施和網絡的安全保護工作。”他說。

李晉沅表示，《關鍵基礎信息設施安全保護條例》一直是我國近些年實施網絡安全的最重要的法規之一，意義重大。而此次《辦法》的出臺，說明醫療行業的相關主管部門認爲醫療行業數據我國事關民生和國家基礎的行業，其信息安全設施的安全保護關係到國計民生，對國家安全有重大影響。“而事實也的確如此，我國十幾億人口的相關醫療衛生數據，尤其是在後疫情時代下，格外需要重點保護。”

保障數據安全和數據應用的有效平衡

此次發佈的《辦法》有專門篇章對數據安全管理做出規制，且篇幅不小。據介紹，《辦法》所稱的數據爲網絡數據，是指醫療衛生機構通過網絡收集、存儲、傳輸、處理和產生的各種電子數據，包括但不限於各類臨牀、科研、管理等業務數據、醫療設備產生的數據、個人信息以及數據衍生物。

北京市中倫（上海）律師事務所律師陳方強介紹，這些數據涵蓋了《數據安全法》與《個人信息保護法》中關於醫療領域內數據安全和個人信息保護的主要類型，該等數據無論是對於公共利益還是患者及醫療機構工作人員等個人權益均具有重要意義，一旦發生數據安全事件，勢必會導致公共利益及個人信息權利受到侵害。

值得注意的是，《辦法》的數據安全管理篇章中專門提出，要堅持保障數據安全與發展並重，通過管理和技術手段保障數據安全和數據應用的有效平衡。

保護是爲了更好地發展和應用，國家堅持促進發展和依法管理相統一、堅持安全可控和開放創新並重的原則。王小敏指出，這就要求各醫療衛生機構應按照有關法律法規的規定，參照國家網絡安全標準，履行數據安全保護義務，堅持保障數據安全與發展並重。

“數據安全和數據應用從來都不是一個互相沖突的兩難問題。數據安全考慮的重點並不是限制數據的應用，而是在數據的全生命週期內予以安全保護。”李晉沅說。

此外，《辦法》還指出各醫療衛生機構開展人臉識別或人臉辨識時，應同時提供非人臉識別的身份識別方式，不得因數據主體不同意收集人臉識別數據而拒絕數據主體使用其基本業務功能，人臉識別數據不得用於除身份識別之外的其他目的，包括但不限於評估或預測數據主體工作表現、經濟狀況、健康狀況、偏好、興趣等。

推動行業安全健康有序發展

隨着高質量發展縱深推進，全國衛生健康領域迎來重要機遇期，信息化發揮着關鍵的支撐作用，在此過程中產生的醫療健康數據不僅是重要的生產要素，更是國家基礎性戰略資源，因此網絡安全的重要性日益凸顯。在此背景下，《辦法》的發佈，進一步規範了醫療衛生機構網絡和數據安全管理、促進“互聯網+醫療健康”發展，加快推動衛生健康行業高質量發展進程。

但受訪專家也指出，對於醫療衛生機構而言，該《辦法》落實仍有難點。陳方強認爲，開展網絡安全等級測評和安全自查將作爲醫療衛生機構的法定義務，由於本辦法實施之日即生效，對於部分醫療衛生機構而言，需要一定的時間並組織人力物力立即開展該項工作。此外，對於正在進行的網絡設施和信息系統建設提出了更高的要求，需要在新建時即滿足本辦法的要求（包括新建信息化項目的網絡安全預算不低於項目總預算的5%的要求），可能需要對相關在進項目的工作內容進行補強調整。

未來如何持續促進“互聯網+醫療健康”有序發展？

王小敏建議，除了相關醫療衛生機構提升合法合規意識，加強自身網絡數據安全建設外，建議相關主管部門在後續加強該辦法的落實實施日常檢查工作，通過常態化執法促進新法真正發揮效用，同時不斷出臺和完善相關落地實施細則、指南和標準，推動整個行業的安全健康有序發展。

在李晉沅看來，很多醫療行業會和企業或者社會機構合作，尤其是科研領域，如藥品研發等等。因此，他認爲對於醫療衛生健康行業的監管要求，在醫療機構實施過程中，應該同步要求相關企業和社會機構等，這樣才能做到全社會覆蓋。