保险专业资源下载网站

1 范围

本文件给出了健康医疗数据控制者在保护健康医疗数据时可采取的管理和技术措施。

本文件适用于指导健康医疗数据控制者对健康医疗数据进行安全保护， 也可供医疗健康管理机构、网络安全相关主管部门以及第三方评估机构等组织开展健康医疗数据的安全监督管理与评估等工作时参考。

2 规范性引用文件

下列文件对于本标准的应用是必不可少的。 凡是标注日期的引用文件， 仅标注日期的版本适用于本标准。 凡是不标注日期的引用文件， 其最新版本（包括所有的修改单） 适用于本标准。

GB/T 25069—2010 信息技术 安全技术 术语

GB/T 35273—2017 信息安全技术 个人信息安全规范

GB/T 37964—2019 信息安全技术 个人信息去标识化指南

GB/T 39725—2020 信息安全技术 健康医疗数据安全指南

GB/T 10113—2003 分类与编码通用术语

YD/T 3813—2020 基础电信企业数据分类分级方法

3 术语和定义

GB/T 25069—2010中界定的以及下列术语和定义适用于本标准。

3.1个人健康医疗信息 personal health information

能够单独或者与其他信息结合识别特定自然人或者反映特定自然人生理或心理健康相关信息， 涉及个人过去、 现在或将来的身体或精神健康状况、 接受的医疗保健服务和支付的医疗保健服务费用等。

注： 个人健康医疗信息可能包括：

a) 提供健康医疗服务时登记的个人信息；

b) 出于健康医疗目的， 例如治疗、 支付或保健护理等， 分配给个人的唯一标识号码或符号等；

c) 在向个人提供健康医疗服务过程中收集的有关个人的任何信息， 例如既往病史、 社会史、 家族史、 症状和生活方式等各类病历记载的信息， 也包括基因信息以及测序的信息；