Part1
四法筑基——国家法律层
《中华人民共和国网络安全法》
确立"网络空间主权"原则,明确网络运营者安全保护义务。须落实等级保护、数据分类分级、应急响应等制度。2025年修正草案拟将罚款上限提升至1000万元,合规成本与违法代价同步攀升。
《中华人民共和国数据安全法》
建立**数据分类分级保护制度**,将数据分为一般数据、重要数据、核心数据三级。须定期开展风险评估并提交报告。
《中华人民共和国个人信息保护法》
确立"告知-同意"核心规则,对敏感个人信息实行**特别保护**。敏感个人信息处理须取得**单独同意**,并进行事前个人信息保护影响评估。
《中华人民共和国密码法》
实行密码分类管理(核心密码、普通密码、商用密码)。医疗卫生机构开展**等保三级以上系统建设**,须同步规划密码应用,通过商用密码应用安全性评估(密评)。
Part2
双规立柱——行政法规层
《中华人民共和国计算机信息系统安全保护条例》
我国首部计算机信息系统安全保护行政法规,确立**安全等级保护制度雏形**,明确计算机信息系统实行安全等级保护,使用单位须建立健全安全管理制度。
《关键信息基础设施安全保护条例》
明确8大重点行业领域,**人口健康信息系统**被列入关键信息基础设施范畴。要求运营者设置专门安全管理机构,每年至少开展一次网络安全检测评估,采购网络产品和服务须申报网络安全审查。
Part3
九制架梁——部门规章与规范性文件层
《信息安全等级保护管理办法》
确立**五级等保体系**(第一级至第五级,逐级增高)。医疗卫生机构普遍要求达到**等保三级**(地市级以上医院)或**等保二级**(县级医院)。办法明确定级、备案、建设整改、等级测评、监督检查全流程。
《党委(党组)网络安全工作责任制实施办法》
明确各级党委(党组)领导班子、领导干部网络安全工作责任,实行**"谁主管谁负责、谁运营谁负责、管业务必须管安全"**。将网络安全工作纳入党委(党组)议事日程,纳入年度考核。
《中华人民共和国计算机信息网络国际联网管理暂行规定》
规范计算机信息网络国际联网行为,实行**国际联网经营许可证制度**和**非经营性国际联网备案制度**。国际联网须通过接入网络进行,不得擅自建立或使用其他信道进行国际联网。
《网络安全审查办法》
关键信息基础设施运营者采购网络产品和服务,须预判可能带来的国家安全风险,**影响或可能影响国家安全的,须申报网络安全审查**。掌握超100万用户个人信息的运营者赴国外上市,也须申报审查。
《儿童个人信息网络保护规定》
网络运营者收集、使用、转移、披露儿童个人信息的,须以**显著、清晰的方式告知监护人**,并征得同意。信息系统须特别注意合规。
《关于加强党政机关网站安全管理的通知》
要求党政机关网站明确安全管理责任,落实**防攻击、防病毒、防篡改、防瘫痪、防窃密**措施,加强内容发布审核,建立应急处置机制。各级卫健委官网及政务服务平台适用此通知。
《关于加强党政部门云计算服务网络安全管理的意见》
明确党政部门采购使用云计算服务须坚持**"安全管理责任不变、数据归属关系不变、安全管理标准不变、敏感信息不出境"**四原则。鼓励使用通过安全评估的云计算服务。
《关于加强网络安全学科建设和人才培养的意见》
要求加快网络安全学科建设,建设一流网络安全学院,创新人才培养机制。建立**网络安全人才培养和培训机制**,关键岗位人员须持证上岗。
《关于规范促进网络安全竞赛活动的通知》
规范网络安全竞赛活动举办,要求竞赛内容须遵守法律法规,不得危害国家安全、公共利益和他人合法权益。鼓励参与或举办网络安全技能竞赛,提升实战能力。
Part4
两例先行——地方立法层(以贵州省为例)
《贵州省大数据发展应用促进条例》
全国首部大数据地方法规,明确数据采集、共享、开放、应用规则,要求建立**大数据安全保障体系**。贵州省机构须按条例要求,促进健康医疗大数据应用,同时保障数据安全。
《贵州省大数据安全保障条例》
明确大数据安全责任主体,实行**大数据安全责任制**。规定大数据采集、存储、清洗、开发、应用、交易、服务各环节的安全要求,对违反规定的行为设定法律责任。
Part5
四制落地——行业内部制度层(贵州省卫生健康委)
《贵州省卫生健康委网络安全工作责任制》
明确委机关及直属单位、各级医疗卫生机构网络安全工作责任体系:
委党组:负主体责任,党组书记是第一责任人
分管领导:直接责任人,协助抓好统筹协调指导
各处室/科室负责人:对本部门网络安全负直接领导责任
网络安全管理员:具体责任人,负责日常监测和应急处置
建立**年度考核、责任追究、一票否决**机制,发生重特大网络安全事件,相关责任人须承担相应责任。
《贵州省卫生健康委网络与信息安全管理制度(试行)》
涵盖**八大管理模块**:
人员管理:入职审查、保密协议、离岗交接
资产管理:IT资产台账、介质管理、设备报废
访问控制:账号权限分级、最小授权原则、定期审计
数据安全:分类分级、备份恢复、脱敏处理
终端安全:防病毒、补丁管理、移动存储管控
应用安全:代码审计、漏洞扫描、上线检测
物理安全:机房管理、门禁监控、环境控制
外包管理:服务商审查、合同约束、过程监督
《贵州省卫生健康委员会网络安全事件应急预案(2021年修订版)》
建立**四级应急响应机制**:
特别重大(Ⅰ级)
情形:核心系统瘫痪、大规模数据泄露
响应主体:省级指挥部
处置时限:1小时内报告
重大(Ⅱ级)
情形:重要系统中断、较大数据泄露
响应主体:省级指挥部
处置时限:2小时内报告
较大(Ⅲ级)
情形:一般系统故障、局部数据泄露
响应主体:市级指挥部
处置时限:4小时内报告
一般(Ⅳ级)
情形:单点故障、未遂攻击
响应主体:县级/单位
处置时限:24小时内报告
应急流程:监测预警 → 事件报告 → 先期处置 → 应急响应 → 调查评估 → 恢复重建 → 总结改进
《医疗卫生机构数据安全和个人信息保护管理办法(试行)》
核心作用:
把上位法落到医疗行业
把《网络安全法》《数据安全法》《个人信息保护法》等,变成医疗机构能直接执行、可落地、可检查的具体规则,解决 “有大法无细则” 问题。
守住患者隐私与数据安全底线
严防病历、人脸、体检、就诊信息泄露、倒卖、滥用
明确十类禁止行为,全流程管住收集、存储、传输、出境、公开、销毁
重点保护孕产妇、新生儿、传染病、精神障碍患者等特殊人群信息
3.压实责任,谁出事谁担责
机构负主体责任,主要负责人是第一责任人
明确 “管业务必须管安全、谁主管谁负责、谁运营谁负责、谁使用谁负责”
违规可罚机构、罚个人、约谈负责人、移送公安追责
4.规范数据全生命周期,安全与发展并重
按核心 / 重要 / 一般三级分类分级保护,差异化防护
支持合规共享、科研、AI 应用,做到原始数据不出域、可用不可见
明确数据跨境、委托处理、授权运营、设备报废、机构关停等处置规则
5.建强监管与应急体系
建立监测预警、应急处置、风险评估、日志留存、整改闭环机制
卫健、网信、公安协同监管,投诉举报渠道畅通
给医疗数据立规矩、给患者隐私筑防火墙、给机构合规画路线图、给行业发展保安全底座。
Part6
结语
从《网络安全法》到《医疗卫生机构数据安全和个人信息保护管理办法(试行)》;从国家层面的"三法一条例",到科室的"账号权限管理"——这21项制度构建起**"法律-行政法规-部门规章-地方立法-行业制度"五级联动的网络安全合规体系**。
合规不是"选择题"而是"必答题"。**制度的生命在于执行,安全的防线在于落实。** 当每一份电子病历都有法守护,每一次数据流转都有规可循,我们才能真正实现"让信息多跑路,让患者少跑腿"的数字健康愿景。