学习笔记②| 论文 | 《基于数据集与场景化的健康医疗数据分类分级创新研究与实践探索》| 中国医疗机构数据分类分级体系深度调研
- 2026-02-04 19:20:06
学习笔记 | 论文 | 《《基于数据集与场景化的健康医疗数据分类分级创新研究与实践探索》_ 熊劲光
【摘要】目的:基于数据集与场景化的方法和技术,实现健康医疗数据分类分级的有效实践和高效应用。方法:分析健康医疗数据管理面临的问题和需求,探索基于数据集与场景化的健康医疗数据分类分级方法、技术和应用。结果:某三级公共卫生专科医院的电子病历和健康档案数据分类分级实践证明,基于数据集与场景化的健康医疗数据分类分级方法和技术科学有效。结论:基于数据集与场景化的健康医疗数据分类分级方法和技术可以为数据安全、数据流通和数据要素资产化提供合规、高效的基础保障。
【关键词】健康医疗数据;分类分级;数据集;场景化
在数字经济与“健康中国”战略背景下,医疗数据作为兼具高价值与高敏感性的核心战略资源,其安全治理与合规利用已成为行业焦点。本报告基于对当前中国医疗数据分类分级相关标准、法规及实践指引的整合分析,系统梳理了该领域的核心框架、实施路径与管理体系。研究发现,我国已构建起以 《数据安全法》 与 《个人信息保护法》 为法律基石,以 “四级框架、五级细化” 规则为核心,兼顾国家宏观合规与机构精细化管理需求的医疗数据分类分级标准体系。
具体而言,数据分类遵循 “先业务属性、后数据属性” 的线分类法,形成覆盖个人信息、医疗应用、公共卫生等七大类别的树状目录;数据分级则根据数据泄露或滥用可能对 国家安全、公共利益、机构利益及个人权益 造成的危害程度,划分为核心、重要、一般(含敏感级、内部/公开级)等层级,并进一步细化为五级操作清单以指导访问控制。
报告同时指出,该制度的有效落地依赖于清晰的 “决策-管理-执行-监督” 四层组织架构、覆盖数据全生命周期的差异化安全技术措施,以及动态的持续优化机制。然而,面对数据资产规模庞大、系统复杂、技术实施门槛高等现实挑战,医疗机构需遵循 “制度先行、分步实施、技术赋能、持续运营” 的路径,方能筑牢数据安全防线,释放数据要素价值。
一、 背景与重要性:医疗数据安全治理的时代要求
医疗健康数据是重要的国家基础性战略资源,其特性与管理需求如下:
价值与敏感性并存:医疗数据蕴含巨大的科研、临床和公共卫生价值,但包含大量个人敏感信息(如疾病史、基因信息),一旦泄露可能对个人造成严重损害,甚至影响社会稳定与国家安全。数据分类旨在根据数据的共同属性进行逻辑归并,便于管理和使用。主流的分类框架采用 “先业务属性,后数据属性” 的线分类法,构建多级数据资源目录树。
分类维度 | 主要类别 | 内容示例 (二级/三级子类) |
按业务属性 | 1. 个人信息 | 个人基本信息、身份信息、健康生理信息、就医信息等。 |
2. 机构运营数据 | 机构基础数据、医疗资源(人员、设备、床位)数据。 | |
3. 医疗应用数据 | 病历信息、检查检验报告、用药信息、手术记录等。 | |
4. 医疗支付数据 | 交易信息、保险信息。 | |
5. 公共卫生数据 | 传染病疫情、疾病监测、出生死亡数据。 | |
6. 医学教育研究数据 | 医学教育宣传、医疗科研数据。 | |
7. 其他数据 | 不属于以上分类的数据。 |
数据分级是安全保护措施差异化实施的根本依据,核心是评估数据安全事件可能造成的危害程度。当前实践普遍采用 “四级框架指导,五级细化操作” 的融合模型。
四级基础框架(合规导向):
核心数据:关系国家安全和重大公共利益,具体范围依国家规定。原则上不参与任何对外流通。
重要数据:一旦泄露可能危害国家安全、经济运行、社会稳定、公共健康和安全(如未脱敏的特定人群遗传信息、重大疫情核心流调数据)。流通需 国家级严格审批。一般数据-3级(敏感级):主要为可识别特定个人的完整或组合敏感信息(如完整电子健康档案)。流通前须进行有效的匿名化/脱敏处理。一般数据-2/1级(内部/公开级):深度匿名化的统计汇总数据、公开的医疗服务信息等。可在内部审批后用于管理、科研或对外提供。核心争议:四级框架与五级细化的映射与统一是落地难点,需医疗机构在合规前提下制定内部转换规则。
三、 核心操作流程与方法论
数据分类分级并非一次性项目,而是一个动态的持续性管理过程。标准流程通常包括以下六个环环相扣的步骤:
3.1 操作六步法
建立组织与制度保障:明确最高责任人与牵头部门,制定分类分级管理制度、流程与考核机制。全面数据资产梳理:牵头部门会同业务、技术部门,梳理所有数据表、字段、文件,形成数据资源列表与目录。实施数据分类:将数据资源列表对应到分类目录树,确定每个数据项的业务与数据属性类别。可采用 人工与自动化工具结合 的方式。实施数据分级:对已分类的数据,评估其一旦遭到破坏时对 国家安全、社会公共利益、机构利益、个人权益 四个方面的影响程度,综合确定安全等级(流程参考下图所示逻辑)。(此处描述方法图:确定分级对象 -> 分析对国家安全/公共利益/机构利益/个人权益的影响 -> 综合评定影响程度 -> 确定安全等级)
形成清单与标识:输出《数据分类分级清单》及《重要数据目录》,并在数据库、文件等载体上进行 字段级或文件级的安全标识。
制定并执行差异化安全管控措施:根据数据等级,在数据的存储、传输、使用、共享、销毁等全生命周期各环节,配套相应的技术与管理措施(如加密、脱敏、访问控制、审计等)。《数据安全法》、《个人信息保护法》及相关行业法规为医疗数据分类分级提供了强制性法律依据和具体要求:
法律名称 | 对医疗数据管理核心要求 | 与分类分级的关联 |
《数据安全法》 | • 确立数据分类分级保护制度。 • 要求建立全流程数据安全管理制度,采取相应技术措施。 • 重要数据处理者应定期开展风险评估并向主管部门报告。 | 直接法源,要求医疗机构必须开展分类分级,并据此识别“重要数据”履行特定义务。 |
《个人信息保护法》 | • 将医疗健康信息明确列为“敏感个人信息”。 • 处理敏感个人信息需取得 个人单独同意,并采取 严格保护措施。 • 要求进行个人信息保护影响评估。 | 将大部分患者数据定位为“敏感个人信息”,其分级(如第3、4、5级)对应的保护措施需满足该法对敏感个人信息的 严格管理要求。 |
行业配套规范 | 《健康医疗大数据管理暂行办法》、《电子病历应用管理规范》等,进一步细化了医疗领域数据采集、存储、共享的安全与隐私保护要求。 | 将上位法要求转化为行业可执行的具体标准,指导分类分级颗粒度及安全措施的制定。 |
五、 实施保障:组织架构与职责分工
有效的组织保障是制度落地的关键。医疗机构应建立权责清晰的多层组织架构:
组织层级 | 核心角色 | 主要职责 |
决策层 | 数据安全委员会/领导小组 | • 医院主要负责人为第一责任人。 • 审定数据安全策略、分类分级清单、重大数据项目。 • 配置必要资源,决策重大安全事件。 |
管理层 | 数据安全管理工作办公室/信息中心 | • 作为常设执行机构,牵头制定并维护分类分级标准与清单。 • 管理数据资源目录,负责安全技术审核、培训与应急演练。 |
执行层 | 各业务科室数据安全执行团队 | • 遵循“谁管业务,谁管数据,谁管数据安全”原则。 • 负责本科室业务数据的准确分类分级标识、日常合规使用与安全管理。 |
监督层 | 数据安全监督小组(可由审计、纪检等部门组成) | • 对数据安全制度执行情况、技术措施有效性进行独立监督与审计。 |
中国医疗机构数据分类分级体系已形成 “法规强制性要求、标准框架性指引、实践操作性工具” 三位一体的完整生态。其核心目标是在确保数据安全与个人隐私的前提下,促进数据资源的合法、有序利用。
对医疗机构的建议如下:
战略重视,制度先行:将数据安全与分类分级管理提升至医院发展战略高度,首先建立权责明确的管理组织与制度流程。分步实施,急用先行:可优先选择 电子病历、核心诊疗 等关键系统进行试点,形成经验后再逐步推广至全院。技术赋能,人机结合:积极引入自动化数据发现、智能分类分级、安全策略编排等技术工具,以应对数据规模与复杂性挑战。持续运营,融入流程:将数据分类分级及其安全要求,嵌入到新系统上线、数据共享审批、合作方管理等日常业务流程中,实现 常态化、动态化 管理。只有通过系统性的治理,医疗机构才能将数据分类分级从合规负担转化为核心竞争力,在数字化浪潮中行稳致远。
论文原文:(支持下载)
基于数据集与场景化的健康医疗数据分类分级创新研究与实践探索_熊劲光.pdf
参考资料:(支持下载)
卫生健康行业人工智能应用场景参考指引.pdf卫生健康行业数据分类分级指南试行.pdf
北京友研信息服务咨询有限公司
新型数据服务商,专注医疗健康数据资产化服务,数据流通交易服务“一站式”全流程服务。致力于通过技术创新与行业深度融合,推动特定行业数据资产的高效利用与价值最大化。帮助客户构建完善的数据资产管理体系。政策解读与合规咨询服务,优选推荐适合客户情况的数据资产管理平台和工具,检测数据质量,实现数据自动流动的闭环。帮助客户实现数据资源的共享与利用,实现数据资产的最大化利用,促进业务合作与资源共享。
2026年,我们推出以下服务项目
2026 服务升级 | 推出“医院数据资产管理专项服务”,为医院提供从规划到落地的一站式解决方案。我们的服务,精准对应试点五大任务(编制数据资产台账、开展数据资产登记、完善授权运营机制、健全收益分配机制、规范推进交易流通),完成需求对接(深入调研,精准把握医院特色与核心需求)、方案细化( 量身定制,明确服务范围、周期与交付成果)、落地执行( 全程驻场或按需响应,解决实施中一切问题)、总结上报(协助梳理成果,撰写报告,助力医院打造标杆案例)。医院数据资产管理“通关秘籍”,立即联系我们,获取专属定制方案。【业务推广】2026服务升级 | 推出“医院数据资产管理专项服务方案”
2026 服务上新 | 诚邀共建 医疗AI高质量数据质量信任基石:”为高质量医疗数据集与AI系统提供专业高质量数据建设及评测认证服务“。当数据被明确定义为核心生产要素,其价值的释放不再取决于“拥有”,而取决于“信任”。高质量、标准化、合规可用的数据集,是入场券,更是硬通货。我们为您提供数据资产化的关键一步:基于国家【全国数标委】“求索”人工智能评测基准体系的国家权威标准的质量评测与认证。我们不止于评估,更致力于赋能,为您提供数据资产化的核心服务。【业务推广】2026服务上新 | 诚邀共建 为高质量医疗数据集与AI系统提供专业高质量数据建设及评测认证服务
