.png)
.png)
.png)
.png)
2026年2月,国家卫生健康委、公安部、国家互联网信息办公室、国家中医药管理局、国家疾病预防控制局五部委联合印发了《医疗卫生机构数据安全和个人信息保护管理办法(试行)》(以下简称《办法》)。作为长期深耕数据合规法律实务与医疗合规领域的法律工作者,我们敏锐地观察到,这不仅是一份技术维度的管理细则,更是医疗卫生行业在数字化转型进入“深水区”时,由国家意志主导的一次“治理主权的全面宣示”。它标志着健康医疗数据——这一融合了个人隐私、商业机密与国家安全的特殊生产要素,正式从单纯的业务附属品,跃升为受国家法律严密监管且具备高度战略价值的核心资产。
在这份法案的字里行间,我们看到的不仅仅是禁止性的红线,更是行业重构的底色。它试图在数据流动的汹涌潮水中,为每一个参与主体——无论是作为责任主体的医疗机构,还是作为价值挖掘方的医药企业,亦或是作为赋能方的技术服务商,寻找一种既能守住安全底线,又能释放数据红利的“最大公约数”。
一、治理逻辑的底层重塑:从“信息化碎片”转向“法治闭环体系”
回顾过去十年,中国医疗卫生机构的数字化进程多以“业务效率先行”为核心逻辑。在智慧医院、互联网医疗、医联体建设等浪潮中,安全往往被视为信息科的后置保障,呈现出一种“补丁式”的被动防御特征。然而,《办法》最深刻的变革,就在于它彻底推翻了“安全属于技术范畴”的陈旧偏见,从法律和行政管理的高度确立了“管业务必须管安全”的刚性原则。
这种转变首先体现在权责架构的顶层设计上。《办法》第四条明确要求,县级以上医疗卫生机构必须成立由主要负责人亲自挂帅的“网络安全和信息化工作领导小组”。这一设计具有极强的法律穿透力:它将数据安全由信息化部门的“技术指标”转化为机构最高领导层的“法定追责要件”。在未来的司法实务或行政审计中,一旦发生重特大泄密事件,这种“一把手负责制”将直接引致个人责任的穿透式追溯。院长、主任不再仅仅是医疗服务的行政管理者,更是海量敏感数据的最高守护人。这种“党政同责、一岗双责”的模式,实质上是将医疗数据安全提升到了与医疗质量安全同等重要的生命线高度。
进一步分析,《办法》提出的“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,实现了责任与权力的全方位对等。这在组织内部建立起了一套穿透式的合规闭环。这意味着临床科室、科研科室不能再以“不懂技术”或“仅为使用方”为由置身合规体系之外。每一个数据调取的颗粒度、每一项研究合作的边界,都必须在合规框架内进行前置风险审查。这种治理维度的升维,本质上是将合规内生为医疗卫生机构的运营基因,而非外部的被动摊派,从而实现了从“信息化碎片化管理”向“法治闭环治理”的质变。
二、分类分级的精准锚定:数据资产化的合规支点与动态博弈
《办法》的核心支柱之一是建立医疗卫生数据分类分级保护制度。在国家大力推动数据要素化、资产化的宏大背景下,没有科学的分类分级,就谈不上合规的开发利用。监管层通过将数据划分为“核心、重要、一般”三个等级,展现了极其精密的治理智慧。
首先是关于“重要数据”与“核心数据”的精准界定。法案赋予了卫健行政部门目录编制权,要求机构定期梳理报送。这一规定解决了一个长期的行业痛点:即医疗机构往往“不知家底、不知轻重”。当数据被标记为“重要”或“核心”时,它便进入了行政监管的全天候探照灯下。对于医疗机构而言,这不仅意味着更高的等保合规成本(如等保三级及以上),更意味着数据流转权的受限。例如,核心数据的流转需经国家级风险评估,这实际上是为数据资产化利用划定了“国家主权红线”。
尤其值得我们关注的是《办法》第八条关于“衍生数据”的定级规定。在人工智能算法训练、药企真实世界研究(RWS)中,常涉及对原始数据的统计、标签化及汇聚融合。法案明确:衍生数据应在原始数据定级基础上,重新评估确定级别。这一条款深刻洞察了“大数据泄密”的本质——即单条数据的低敏感度可能在算法的强算力聚合下产生高风险的结论。这一规定极大地增加了药企和第三方加工者的合规成本,要求其在进行数据研究时,不能单纯认为“脱敏即自由”,必须构建一套动态的风险评估机制,实时研判数据聚合后的风险外溢效应。
此外,分类分级并非一成不变。《办法》第七条引入了“动态变更”机制,当数据规模、时效性、应用场景发生较大变化时,需及时重新定级。这种动态管理的逻辑,贴合了医疗数据在流转中价值不断波动的特性。对于药企而言,这意味着在一项长达数年的临床研究中,原本被定级为“一般”的数据流,可能因为汇聚规模达到临界点而跃迁为“重要数据”,进而触发更严苛的监管要求,这种“动态合规”将成为未来行业的新常态。
三、全生命周期的链条锁扣:从“采集源头”到“销毁末端”的精细控制
《办法》对数据处理活动的全生命周期管理提出了近乎严苛的技术与管理要求,这些要求构成了未来医疗合规审计的核心蓝本。
在采集环节,《办法》强调了“合法性管理”的主体责任,提出了“最小范围”与“拒绝重复采集”的制度设计。特别是第十五条关于“拒绝行政部门重复采集”的规定,实际上赋予了医疗机构某种程度上的“数据自卫权”,旨在减少数据在行政层级间无序流转带来的泄露敞口。这反映了管理层对数据“非必要不流通”的审慎态度,试图从源头上降低风险。
在存储与传输环节,日志留存要求的提升具有划时代的证据学意义。管理办法规定重要数据的处理日志留存不得少于一年,而涉及核心数据、提供、委托处理、共同处理等关键环节的日志留存时间不少于三年。在法律实务中,这一时间跨度远超一般的行政调查周期。它意味着任何违规操作在三年内都具备“物理可回溯性”,极大地提高了潜在违规者的违法成本。这种“数据足迹”的强制性留存,标志着医疗数据管理进入了“取证自动化”时代。
最为重磅的变革莫过于对“运维外包”和“云服务”的监管收紧。长期以来,第三方软件厂商(如HIS、PACS、LIS供应商)通过远程桌面、VPN直接接触医疗数据库,是行业内公认的“隐形地雷”。《办法》第二十二条明确禁止非本机构人员在无监管下远程运维,并要求对涉及到关键岗位、涉核心数据信息系统建设和运维相关人员进行公安与国家安全背景审查。这一规定将倒逼全国数千家医疗软件商进行商业模式重构。未来,简单的运维支持将升级为“堡垒机实时监控+本地化运维”模式,这不仅增加了服务成本,更在法律上明确了:外包不代表转嫁责任,医疗机构必须对外部力量的每一个指令承担监管连带责任。
四、个人信息保护的严格规定:特殊人群与特定场景的特别规定
个人信息保护是本法的灵魂。在医疗场景下,个人信息往往与公民的生命尊严、社会声誉乃至基本人权高度绑定。《办法》第五章通过“八个不得”的禁令,展现了法律对人性尊严的深度守望。
特别引人注目的是对“特殊人群”个人信息的加强管理。管理办法点名保护孕产妇、新生儿、艾滋病人、精神障碍患者、公众人物等。这背后的法理基础在于:此类信息的泄露不仅涉及隐私权,更极易引发社会歧视、次生犯罪甚至社会动荡。《办法》通过这种“手术刀式”的精准定点保护,实际上是在数字时代修补被技术割裂的医患信任。
针对数字化生存中的新兴乱象,《办法》也给出了强力回应。例如,第二十九条明确禁止通过通讯软件(微信、钉钉等)、社交媒体传输患者信息,禁止拍照、截图公开个人信息。这虽然在短期内会给一线医护人员的沟通便利性带来冲击,但其深层逻辑是建立“医疗专业环境”与“公共社交环境”之间的物理隔绝带。在自媒体泛滥的今天,这种隔绝是防止敏感医疗信息碎裂化、失控化传播的唯一有效屏障。
同时,法案对“人脸识别”的克制使用提出了前所未有的要求。规定人脸识别不得作为“唯一验证方式”,且人脸信息原则上应存储在设备本地,不得对外传输。这一条款精准打击了当前医疗机构中普遍存在的生物识别信息过度收集现象。它重申了一个基本的法律原则:生物特征信息具有不可逆性,一旦泄露终身无法更改,因此必须遵循“能不收则不收、收了必本地化”的极致审慎原则。
五、多方博弈下的行业重构:医院、药企与技术加工者的价值对冲
可以说《办法》的颁布,在医疗卫生健康全产业链上投下了一颗重磅炸弹。不同利益主体之间的博弈规则发生了根本性改变。
1. 医疗机构:从“资产富矿”转向“责任堡垒”。
对于广大公立和私立医院而言,数据不再仅仅是可以变现或进行科研交换的资产,更成为了悬在头顶的达摩克利斯之剑。《办法》强调“责任不因委托而改变”,这意味着医院必须对每一笔数据流转、每一个三方软件、每一项外包服务进行严密的合规审计。未来,医院的合规成本将显著上升,具备专业背景的数据合规官(DPO)将成为三甲医院的标配。医院在采购系统时,安全性与合规审计能力将一票否决功能性,这将彻底终结过去“低价中标、合规缺位”的乱象。
2. 医药企业:从“数据伸手党”转向“安全共责体” 。
《办法》明确鼓励“原始数据不出域、数据可用不可见”。这意味着传统的“买卖数据库”或“直接拷贝脱敏数据”的科研模式将寿寝。药企若需利用真实世界数据进行研发,必须适应“授权运营”和“隐私计算”的新范式。药企必须投入资源在院内部署计算节点,确保数据在“不离开医院围墙”的情况下完成模型推演。此外,涉及跨境研究的数据流转将面临网信办的严苛审批,这对于国际多中心临床试验(MRCT)的项目管理提出了巨大的挑战。
3. 加工者与运维服务商:从“黑盒服务”转向“全流程透明审计”。
技术赋能方迎来了残酷的优胜劣汰。《办法》对等保、日志、人员背景审查、商用密码应用的强制要求,将剔除大量缺乏专业安全研发能力的小型软件厂商。未来的医疗信息化市场将向头部集中,那些能够提供全生命周期审计追踪、具备隐私计算核心算法、能够通过严苛背景调查的厂商将获得高额的合规红利。服务商的角色将从单纯的工具提供者升级为医疗机构的合规共建者。
六、数据要素化背景下的合规利用:未来的核心注意要点与技术导向
在《办法》的框架下,合规并非阻碍利用,而是为了更高质量的开发。我们有理由认为,未来的医疗数据合规利用需重点关注以下几个技术与法律的深度结合点:
1. “可用不可见”的技术闭环是唯一通路
《办法》第十三条明确鼓励“原始数据不出域”。这为当前大火的“隐私计算”(安全多方计算、联邦学习、可信执行环境)提供了法制层面的“出生证”。未来的医疗数据合作,核心将在于“计算权的流转”而非“所有权的让渡”。任何试图通过物理手段将大规模医疗数据搬离医院的行为,都将面临巨大的合规红线。
2. 公共数据授权运营的合规程序正义
《办法》为医疗机构开展数据授权运营预留了制度出口。注意要点在于:第十四条要求授权运营必须纳入领导班子集体决策,并明确运营期限、退出机制。这实际上是为防止国有资产流失与权力寻租建立了防火墙。对于有意向参与授权运营的企业,必须建立起一套能够通过行政审计的透明运营账目和安全保障体系。
3. 数据出境的“生死线”预判
随着《办法》第二十二条第四款的落地,医疗数据出境的规则愈发清晰但也愈发严苛。对于药企而言,需重点研判研究目的的必要性。如果可以通过国内第三方机构完成数据分析而仅将结果(不含个人信息和重要数据)出境,则可大大降低合规难度。若必须申报出境安全评估,则应在项目立项之初就将网信部门的审批周期纳入时间成本,避免项目因合规滞后而搁浅。
本次国家层面《办法》的出台,再次印证了我们多次强调的“规范是发展的前提”。从宏观经济学视角看,数据泄露带来的社会信任崩溃是医疗行业最大的“负外部性”。医疗行业赖以生存的基础是医患之间的信息完全坦诚。如果患者因为担心隐私泄露而隐瞒病史,或者由于重要数据被窃取导致国家公共卫生安全受损,那么数字医疗所带来的所有效率提升都将变得毫无意义。
因此,这一万字长卷般的《办法》,本质上是在为中国医疗健康产业构建一套“信任红利制度”。合规成本虽然在短期内是高昂的财务支出,但从长远来看,它是医疗机构和相关企业最核心的“特许经营权资产”。在一个强监管的环境下,合规颗粒度越细,企业就越能获得监管的豁免与公众的青睐,进而在数据共享、跨境协作中获得优先通行证。这种“合规溢价”将彻底重构行业的竞争逻辑:未来的巨头,不仅是技术上的强者,更是合规上的模范。
因此,对于医疗机构,应立即启动内部数据的“摸底定级”,建立动态更新的资产清单。同时,对现有的信息化合同进行全量法务审查,增加数据安全专项条款,落实对外部运维人员的背景核查,化被动合规为主动防御。基于此,医疗机构通过可信计量和审计,为建立公平的收益分配机制提供了技术基础,使“谁贡献、谁受益”的原则得以落地,破解了“动力无”,将成为数据流通生态的策源地,形成“价值变现→收益反哺→数据质量提升→更多价值释放”的正向生态循环。
而医药企业,则应 彻底摒弃“获取原始记录”的研究路径,主动拥抱隐私计算技术。在与医院合作时,应建立专门的合规部门,参与医院的风险评估流程,确保数据利用活动的每一个步骤都符合“授权运营”的程序正义。
