由广东省计算机信息网络安全协会提出并归口管理的《医疗健康个人信息保护规范》(T/GDNS 007—2023)团体标准,于2023年12月30日发布,并于2023年12月30日正式实施。
由广东省计算机信息网络安全协会提出并归口管理,广东省计算机信息网络安全协会、广东省人民医院、江门市中心医院、中山大学附属第一医院、南方医科大学南方医院、南方医科大学第三附属医院、南方医科大学珠江医院、南方医科大学顺德医院、奇安信安全技术(广东)有限公司、广州盛扬信息科技有限公司、中科汇能科技有限公司、广州理想资讯科技有限公司、深圳市易聆科信息技术股份有限公司等多家单位共同参与起草的《医疗健康个人信息保护规范》(T/GDNS 007—2023)团体标准,于2023年12月30日发布,并于2023年12月30日正式实施。
1、范围
本标准确立了医疗健康个人信息保护的总体原则和目标,给出了医疗健康个人信息保护的规范指引,规定了医疗健康个人信息服务的收集、传输、存储、使用、共享、转让、公开披露等数据处理活动的安全管理机制和安全技术措施。
本标准适用于医疗健康个人信息处理者规范医疗健康个人信息处理活动,同时可供医疗健康机构、相关主管部门以及第三方评估机构等组织开展医疗健康个人信息的安全监督管理与评估工作参考。
2、规范性引用文件
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
中华人民共和国民法典
中华人民共和国网络安全法
中华人民共和国数据安全法
中华人民共和国个人信息保护法
国家医疗健康信息医院信息互联互通标准化成熟度测评方案(2020年版)
全国医院信息化建设标准与规范(试行)
GB/T50174-2017 数据中心设计规范
GB/T22081-2016 信息技术安全技术信息安全控制实践指南
GB/T22239-2019 信息安全技术网络安全等级保护基本要求
GB/T25070-2019 信息安全技术网络安全等级保护安全设计技术要求
GB/T28448-2019 信息安全技术网络安全等级保护测评要求
GB/T25069-2022 信息安全技术术语
GB/T35273-2020 信息安全技术个人信息安全规范
GB/T35274-2017 信息安全技术大数据服务安全能力要求
GB/T37964-2019 信息安全技术个人信息去标识化指南
GB/T42460-2023 信息安全技术个人信息去标识化效果评估指南
GB/T39725-2020 信息安全技术健康医疗数据安全指南
GB/T41391-2022 信息安全技术移动互联网应用程序(App)收集个人信息基本要求
GB/T42582-2023 信息安全技术移动互联网应用程序(App)个人信息安全测评规范
GB/T42888-2023 信息安全技术机器学习算法安全评估规范
GB/T41817-2022 信息安全技术个人信息安全工程指南
GB/T39335-2020 信息安全技术个人信息安全影响评估指南
GB/T42574-2023 信息安全技术个人信息处理中告知和同意的实施指南