当前,随着数字技术与医疗健康产业的深度融合,医疗数据如何高效、安全的使用、流转已成为行业发展的关键命题。近日,北京市有关方面领导在专题调研中强调,要深入贯彻落实国家关于数字经济和健康中国建设的战略部署,充分挖掘医疗数据价值,推动医药健康产业高质量发展;同时,必须加快构建完善的合规管理体系,健全医疗数据分级分类、授权使用、流转监管等制度,提升数据匿名化处理与评估能力,强化数据资产全流程追溯与监管,坚决守住数据安全与患者个人隐私保护的法律红线。这一系列要求,为医疗数据合规工作指明了方向,也凸显了法律保障在数字健康治理中的重要作用。
笔者作为医疗领域的专业律师,深感当前医疗数据合规正处于由“被动响应”转向“主动治理”的关键阶段。为此,本文将从法律实务视角,与大家探讨医疗数据合规中的主要风险来源与法律责任,并尝试构建一套可落地的防控体系,以期为医疗机构及相关主体的合规建设提供参考。
在正式进入风险分析和合规策略之前,首先需要对本文涉及的四个核心关键词:“医疗数据”、“数据安全”、“患者隐私”、“隐私保护”逐一进行法律概念的拆解;概念的准确界定,是后续合规分析的法律基础。
“医疗数据”在现行法律体系中尚无单一统一定义,但从规范体系来看,可以综合《个人信息保护法》《医疗卫生机构网络安全管理办法》以及国家标准GB/T 39725—2020《信息安全技术 健康医疗数据安全指南》等文件进行归纳。根据国家卫健委等部门发布的《医疗卫生机构网络安全管理办法》第二条,医疗机构所涉数据为“网络数据”,是指医疗卫生机构通过网络收集、存储、传输、处理和产生的各种电子数据,包括但不限于各类临床、科研、管理等业务数据、医疗设备产生的数据、个人信息以及数据衍生物”。
从信息性质维度来看,医疗数据至少包含以下几类:一是患者个人信息,即能够识别特定自然人的信息,包括姓名、身份证件号码、联系方式等;二是医疗健康敏感个人信息,这是医疗数据中法律保护力度最高的一类,包括既往病史、家族病史、传染病史、体检报告、医疗就诊记录(如医疗意见、住院志、医嘱单、手术及麻醉记录、护理记录和用药记录)、检验检查数据(如检验报告和检查报告)等;三是临床科研数据和管理业务数据。从GB/T 39725—2025《数据安全技术 敏感个人信息处理安全要求》来看,个人的体重、身高、血型、血压和肺活量等基本体质信息,如与个人的疾病和医疗就诊无关,则可认为不属于敏感个人信息范畴——这一界定在合规实践中具有重要参考价值。
《数据安全法》第三条将“数据安全”定义为“通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力”。在医疗场景下,这一概念至少包含三重维度:一是保密性,即医疗数据不得被未授权的第三方获取;二是完整性,即医疗数据不得被篡改或破坏;三是可用性,即经授权的用户在需要时能够正常访问和使用数据。
《数据安全法》第二十七条规定,开展数据处理活动应当依照法律、法规的规定,建立健全全流程数据安全管理制度,组织开展数据安全教育培训,采取相应的技术措施和其他必要措施,保障数据安全。此外,第二十九条规定,开展数据处理活动应当加强风险监测,发现数据安全缺陷、漏洞等风险时,应当立即采取补救措施;发生数据安全事件时,应当立即采取处置措施,按照规定及时告知用户并向有关主管部门报告。
“患者隐私”在《民法典》体系中具有双重法律属性。首先,《民法典》第一千零三十二条确立了隐私权的法律地位,规定自然人享有隐私权,任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人的隐私权,隐私是自然人的私人生活安宁和不愿为他人知晓的私密空间、私密活动、私密信息。在医疗场景下,患者的健康状况、身体私密信息、疾病信息等,均属于典型的私密信息范畴。
其次,《民法典》第一千零三十四条对个人信息进行了定义:个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。患者的健康信息属于个人隐私,涉及人格尊严与自由,是患者作为自然人的基本权利。
需要特别指出的是,患者隐私的保护范围不仅包括病历资料本身,还包括在诊疗活动中获取的患者未公开信息、身体私密部位等。这一点从《民法典》第一千二百二十六条的立法意旨可以得到印证。
“隐私保护”在医疗法律语境下,既是一项法定的消极义务,也是一套需要积极构建的制度体系。从消极义务维度看,《民法典》第一千二百二十六条明确规定:“医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息,或者未经患者同意公开其病历资料的,应当承担侵权责任。”-值得注意的是,根据《民法典》第一千二百二十六条,对于医务人员泄露患者隐私和个人信息的行为,不再以损害结果,而是以行为本身来认定是否侵权,这显著降低了患者的举证难度,也更有利于保护患者的合法权益。
从积极制度的维度来看,《个人信息保护法》第二十八条将医疗健康信息明确界定为敏感个人信息,要求处理敏感个人信息必须“具有特定的目的和充分的必要性,并采取严格保护措施”。同时,处理敏感个人信息应当取得个人的单独同意。此外,《医师法》第二十三条规定医师在执业活动中应尊重、关心、爱护患者,依法保护患者隐私和个人信息;第五十六条规定,泄露患者隐私或者个人信息的,由县级以上人民政府卫生健康主管部门责令改正,给予警告,没收违法所得,并处一万元以上三万元以下的罚款;情节严重的,责令暂停六个月以上一年以下执业活动直至吊销医师执业证书。《护士条例》亦有类似规定。
在厘清基本概念之后,我们从风险来源维度,对医疗数据安全和患者隐私保护面临的现实威胁进行系统性分析。
医疗机构作为数据安全的第一责任主体,其内部管理的缺失是导致数据安全事件的最常见根源。根据《医疗卫生机构网络安全管理办法》,医疗机构对本单位网络安全管理负主体责任,应成立网络安全和信息化工作领导小组,由单位主要负责人任领导小组长。
然而,从执法实践来看,管理制度的缺失极为普遍。2025年,上海市网信办在“亮剑浦江·2025”专项行动中发现,一批医疗服务类互联网企业普遍存在以下问题:未制定网络数据安全管理制度和操作规程;未明确安全负责人或管理机构;未制定数据分类分级管理、数据访问权限管理、应急预案等制度;网络日志留存不足6个月。
技术安全防护的缺失是导致数据泄露的直接通道。从已公布的执法案例中可以归纳出以下几种典型的技术风险:
其一,弱口令与未授权访问漏洞。2025年3月,衡山县中医医院体检系统的MySQL数据库服务存在弱口令漏洞,且该服务映射至公网地址,导致相关医疗信息可被远程获取。
其二,未进行加密或脱敏处理。长沙某医院有限公司的相关系统存在未授权访问漏洞,个人敏感信息在传输及存储过程中未进行加密或脱敏处理,导致数据泄露-。
其三,未做访问限制,端口开放至互联网。2025年上海网信部门处罚的医疗服务类互联网企业中,普遍存在未按规定开展网络安全等级保护测评、未做访问限制、将数据访问端口开放至互联网、存在未授权访问漏洞等问题。其中某企业的网络安全高危漏洞达到3个,相关服务器存在多条境外可疑IP访问记录,导致数据被窃取。
其四,存储环节加密缺失。部分企业信息系统中,大量患者个人信息未加密处于“裸奔”状态。例如,某企业存储包括姓名、身份证号码、病情、开药信息在内的650余万条患者个人信息,未按规定采取加密、去标识化等安全技术措施。
内部人员违规操作和利用职务之便非法获取或出售患者信息,是医疗数据安全领域最隐蔽也最具破坏力的风险来源。
最典型的案例是2023年12月发生的周海媚病历泄露事件。北京市顺义区某医院员工符某某,利用在医院工作的便利,出于炫耀目的,将周海媚的病历拍照发至微信群,导致病历信息在社交媒体迅速扩散,造成恶劣社会影响,顺义公安分局将符某某依法行政拘留。
另外是2026年3月张雪峰病历泄露事件:知名考研老师张雪峰因突发疾病抢救无效去世,当晚其苏州大学附属第四医院(苏州市独墅湖医院)特殊治疗知情同意书照片在网上流传,包含其个人信息和具体病情,系医院内部资料被泄露。苏州市卫生健康委员会已关注并处理。此案典型性在于——逝者尚处悲痛之中,本应受严格保护的医疗文件却被当作“死亡依据”在网络肆意流传,对患者隐私权的漠视已达到何等程度。
另一起典型案例发生于湖南岳阳。某医疗机构员工谭某和徐某,利用职务便利,将医院数据共享盘内存储的大量在校学生信息数据下载并出售。2020年至2024年间,两人共计出售7万余条学生个人信息,非法获利3万余元。法院以侵犯公民个人信息罪判处谭某有期徒刑二年五个月(缓刑三年),处罚金19000元;判处徐某有期徒刑三年(缓刑三年六个月),处罚金22000元;两人均系在履行职责过程中获取个人信息后出售,依法从重处罚。
此外,2025年国家安全部披露了一起案件:某医院未对患者数据库采取加密保护措施,导致数万条诊疗记录被不法分子非法窃取,相关责任单位被依法追究责任。
四、第三方合作风险:外包服务与数据共享中的合规盲区
医疗机构与第三方机构(如医疗软件开发企业、互联网医疗服务商、科研合作机构、药品研发企业等)的数据共享和业务外包,已成为数据泄露的新风险增长点。上述上海执法行动中处罚的正是主要从事医疗软件开发与维护、医疗服务培训、数字健康服务等业务的互联网企业,反映出第三方服务商的安全防护水平参差不齐,已成为医疗数据安全的薄弱环节。
从合规视角看,根据《医疗卫生机构网络安全管理办法》第四条,各医疗卫生机构应当与信息化建设参与单位及相关医疗设备生产经营企业书面约定各方的网络安全义务和违约责任。但实践中,很多医疗机构在签署合作协议时并未对数据安全和隐私保护条款进行充分约定和有效监督。
值得关注的是,随着AI技术在医疗领域的深度应用,新型数据安全风险正在显现。2025年,医疗行业因AI工具导致的数据违规事件同比翻倍,62%的泄露源于未合规的数据处理流程,主要风险包括AI系统依赖的开源组件漏洞、数据跨境回流(即通过公有云AI服务导致数据未经授权出境)、以及未经脱敏的诊疗数据直接进入模型训练集。
在跨境数据传输方面,境外医疗合作数据传输须通过国家医疗数据安全审查。医疗机构开展国际多中心临床试验或与境外构进行科研合作时,必须严格评估数据出境合规风险。
在了解风险来源之后,我们需要系统梳理我国现行法律框架下医疗数据安全和患者隐私保护的法律责任体系。这一体系呈现“民行刑”三位一体的立体结构。
《民法典》第一千二百二十六条是患者隐私保护的核心民事法律依据:医疗机构及其医务人员应当对患者的隐私和个人信息保密;泄露患者的隐私和个人信息,或者未经患者同意公开其病历资料的,应当承担侵权责任。如前所述,该条款的重要变化在于不再以损害结果作为侵权成立的前提,而以行为本身认定侵权,这显著降低了患者的举证难度。
在损害赔偿责任方面,依据《民法典》侵权责任编的一般规则,医疗机构及其医务人员可能面临包括精神损害赔偿在内的民事赔偿责任。
二、行政法律责任——《数据安全法》《个人信息保护法》《医师法》等
行政法律责任是医疗数据安全领域适用最广泛的法律责任类型,依据不同违规行为适用不同处罚标准。
(一)《数据安全法》下的行政处罚
《数据安全法》第二十七条规定,开展数据处理活动应当建立健全全流程数据安全管理制度,采取相应的技术措施和其他必要措施,保障数据安全;第二十九条规定应当加强风险监测,发现数据安全缺陷、漏洞等风险时应当立即采取补救措施,发生数据安全事件时应当立即采取处置措施并按规定报告。
违反上述义务的,依据《数据安全法》第四十五条,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者造成大量数据泄露等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照。
(二)《个人信息保护法》下的行政处罚
《个人信息保护法》第二十八条将医疗健康信息界定为敏感个人信息,处理敏感个人信息须具有特定目的和充分必要性,并采取严格保护措施,且须取得个人的单独同意。违反敏感个人信息处理规则的,面临高额罚款,情节严重的可处五千万元以下或者上一年度营业额百分之五以下罚款。
(三)行业专项法律法规下的行政处罚
《医师法》第五十六条规定,医师在执业活动中泄露患者隐私或者个人信息的,由县级以上人民政府卫生健康主管部门责令改正,给予警告,没收违法所得,并处一万元以上三万元以下的罚款;情节严重的,责令暂停六个月以上一年以下执业活动直至吊销医师执业证书。
《护士条例》第三十一条对护士泄露患者隐私的行为也规定了相应的行政处罚。
《刑法》第二百五十三条之一规定了侵犯公民个人信息罪:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。特别值得注意的是,违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的,依照前款的规定从重处罚。
关于“情节严重”的认定标准,《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第五条明确:非法获取、出售或者提供健康生理信息等其他可能影响人身、财产安全的公民个人信息五百条以上的,应当认定为“情节严重”。
以前述岳阳某医疗机构员工案为例,谭某、徐某在履行职责过程中获取学生个人信息后出售,共计出售7万余条,情节特别严重,被判处有期徒刑并处罚金。此外,重庆“村推”医保电子凭证案中,犯罪团伙以激活医保电子凭证为名,非法获取老年人姓名、公民身份号码、人脸生物信息等个人信息,非法获利84万余元,9名被告人被判处有期徒刑五年至拘役四个月不等的刑罚,并被责令在省级媒体上公开赔礼道歉、彻底删除非法收集的公民个人信息、赔偿公益损害赔偿金。
在法律责任之外,医疗机构还应关注以下合规义务制度:
其一,网络安全等级保护制度。根据《网络安全法》,医疗机构应按规定开展网络安全等级保护测评。
其二,电子病历信息使用管理制度。2025年6月,国家卫健委等三部门联合印发《关于进一步加强医疗机构电子病历信息使用管理的通知》(国卫办医政函〔2025〕262号),要求医疗机构明确电子病历范围,压实主体责任,依法依规严格保护患者隐私,建立电子病历使用长效监管机制和应急处置制度,预防并及时处置不合理调阅、使用、转发电子病历信息等情形,不得以非医疗、教学、研究目的泄露患者的病历信息。
其三,数据全生命周期管理制度。《医疗卫生机构网络安全管理办法》要求建立覆盖患者诊疗信息管理全流程的制度和技术保障体系,医疗机构主要负责人是患者诊疗信息安全管理第一责任人。
在全面分析风险来源与法律责任之后,我需要从实务角度提出医疗数据安全与患者隐私保护的合规体系建设建议。
根据《医疗卫生机构网络安全管理办法》第五条,各医疗卫生机构应成立网络安全和信息化工作领导小组,由单位主要负责人任领导小组长,每年至少召开一次网络安全办公会,部署安全重点工作;有二级及以上网络的医疗卫生机构应明确负责网络安全管理工作的职能部门,明确承担安全主管、安全管理员等职责的岗位-24。
此外,应按照“管业务就要管安全”“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,落实网络安全责任制,明确各方责任-24。医疗机构主要负责人作为患者诊疗信息安全管理第一责任人,需将数据安全纳入绩效考核体系。
制度建设应当覆盖患者诊疗信息从采集、存储、使用、传输到销毁的全生命周期。
在采集环节,应遵循合法授权与最小必要原则。医疗健康信息属于敏感个人信息,采集范围需限定于诊疗必需信息。门诊场景仅采集患者姓名、身份证号、症状描述等直接相关信息;电子病历系统不得默认采集生物特征(如人脸、指纹),确需采集时需单独取得患者书面同意并限定用途。
在存储环节,应采取加密、去标识化等安全技术措施。根据国家卫健委等部门的通知要求,医疗机构应建立电子病历信息使用长效监管机制和应急处置制度,确保电子病历信息使用合法合规、安全可控。
在使用和传输环节,应落实分级管理要求,强化权限管控。2025年《关于进一步加强医疗机构电子病历信息使用管理的通知》明确要求:医疗机构应明确电子病历信息使用管理的牵头部门,确定各相关部门和人员的职责分工,统筹协调医务、科教、信息等相关部门落实管理责任,指导临床业务部门落实使用主体责任-。
在销毁环节,应根据数据性质确定保留期限,超出保留期限的数据应及时进行安全销毁。
从技术角度看,医疗数据安全防护应当从以下几个维度展开:
其一,加密措施的全面覆盖。根据《医疗数据安全指南》国家标准的要求,电子病历必须满足“传输加密+存储加密+访问加密”的三重加密要求。同时,应将数据分为个人健康信息、诊疗数据、科研数据三类进行分类分级保护,敏感数据需进行“去标识化+匿名化”双处理。
其二,访问控制与权限管理。应实施严格的访问权限管控,采用基于角色的访问控制机制,确保医务人员仅能访问与诊疗工作直接相关的患者信息。建立电子病历信息使用管理的牵头部门,统筹协调各相关部门落实管理责任-。
其三,风险监测与应急响应。应建立健全电子病历信息泄露场景的应急处置制度,定期进行数据安全风险评估。根据行业动态,三级医院每年进行一次安全评估,结果与等级评审挂钩。
人员因素在医疗数据安全事件中占据重要比重,强化人员管理应从以下方面着手:
其一,分层分类的安全培训。应对医务人员、信息技术人员、行政管理人员进行分层分类的数据安全与隐私保护培训。结合医疗系统隐私保护典型案例开展警示教育,引导医务人员深刻认识法律责任与职业使命-。
其二,明确信息安全管理“红线” 。严禁非授权调阅患者资料、严禁利用职务之便非法获取或出售患者信息、严禁通过社交平台传播患者隐私内容等-。
其三,建立内部监督机制。强化纪检部门的监督职能,建立电子病历信息使用管理的内部审计机制,对异常调阅行为进行监控和记录。
医疗机构与第三方机构合作时,应在合作协议中明确数据安全与隐私保护的各方义务。具体包括:在协议中约定数据使用范围、使用期限、安全保护措施和违约责任;对第三方机构的数据安全能力进行评估和审计;定期核查第三方机构的数据处理活动是否符合约定;在合作终止后确保数据的及时返还或安全销毁。
涉及医疗健康数据出境的,医疗机构应当严格遵守《个人信息保护法》《数据出境安全评估办法》等规定。截至2026年3月,北京市通过数据出境安全评估和标准合同备案的企业已达312家。2026年1月1日起施行的《个人信息出境认证办法》进一步明确了个人信息出境认证的法定途径。
境外医疗合作数据传输须通过国家医疗数据安全审查。开展国际医疗科研合作的机构,还应关注国际监管动态,如2025年9月德国数据保护会议(DSK)发布的关于跨境传输敏感健康数据的指南,明确了处理跨境医疗数据传输的两步法合规框架。
2026年是全球医疗数据安全治理的关键节点。从国内来看,首部医疗数据安全强制性国家标准已实施,核心要求包括三重加密、分级分类、跨境限制和安全评估机制。从国际来看,美国HIPAA安全规则进行重大升级,强制要求多因素认证和强加密;欧盟《欧洲健康数据空间条例》已于2025年3月正式生效,对健康数据的跨境流动和使用提出了更高标准。
在AI技术快速渗透医疗行业的背景下,医疗机构还面临AI应用带来的新型数据安全风险。根据行业动态,2025年医疗行业因AI工具导致的数据违规事件同比翻倍,62%的泄露源于未合规的数据处理流程。
基于上述分析,我向各位提出以下核心合规建议:
第一,确立“一把手”负责制,将数据安全纳入医疗机构绩效考核体系,压实主体责任。
第二,完善制度建设,建立健全覆盖患者诊疗信息全生命周期的管理制度和应急处置机制,严格落实电子病历信息使用管理制度。
第三,强化技术防护,落实加密、认证、分类分级和风险监测等技术措施,确保数据在存储、传输和使用全过程中的安全性。
第四,加强人员培训,将数据安全和隐私保护培训纳入医务人员继续教育和岗前培训体系,明确信息安全管理红线。
第五,规范第三方合作,在合作协议中明确各方数据安全义务,建立第三方安全评估机制。
第六,重视跨境合规,涉及数据出境的,严格履行安全评估或标准合同备案等法定程序。
最后,医疗数据安全与患者隐私保护,不仅是法律合规问题,更关乎医疗机构的公信力与社会责任。患者信息安全关乎医院的公信力与社会责任,筑牢数字健康防线、守护患者隐私安全,人人都是责任人。
当前,我国医疗数据合规法律体系已初步形成“国家战略—网络安全—数据安全—个人信息保护—行业专项”的多层次架构,医疗机构作为敏感个人信息的核心处理者,面临着患者隐私保护、数据全生命周期管理、第三方合作风险以及数据泄露应急响应等多重挑战。
医疗机构构建健全的医疗数据治理与合规体系,不仅是法律法规的强制要求,更是提升医疗服务质量、推动行业创新发展的重要抓手和保障。(本文同时作为双卫网培训课件,在“双卫医学课堂”上为全国医药卫生人才开展培养使用。)