病历保存30年是哪年规定的医院病历保存多久

近年来，随着《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》、《国务院办公厅关于促进互联网健康医疗产业发展的意见》、《关于深化互联网健康医疗便民利民活动的通知》、《关于进一步促进互联网医疗服务发展和规范管理的通知》等政策文件的出台，关于深化“互联网健康医疗”和“五个一”行动的通知随着大数据、人工智能等新技术的引入和发展，健康医疗数据应用、“互联网医疗健康”、智慧医疗蓬勃发展。同时，各种新的服务和应用的不断出现，也使得医疗数据在其生命周期的各个阶段面临越来越多的安全挑战。比如新冠肺炎疫情期间，国内医学影像AI公司慧影被黑，[1]青岛胶州6000多人信息泄露医疗数据具有普遍的真实性和私密性，既包括微观角度的个体健康状况、就医状况等数据，也包括宏观角度的数据，如疾病传播、区域人群健康状况等。健康医疗数据安全事关患者生命安全、个人信息安全、社会公共利益和国家安全。为了更好地保护健康医疗数据的安全，规范和促进健康医疗数据的整合、共享和开放应用，促进健康医疗事业的发展，《信息安全技术健康医疗数据安全指南》(GB/T 39725-2020，以下简称《安全指南》)经过多次修订、试行和名称变更，已向社会发布，并将于2021年7月1日正式实施。等等。
[2]
本文将围绕医疗保健数据安全的实现，从医疗保健数据的概念入手，结合典型场景，系统解读医疗保健数据的安全目标及其实现依据、原则、关键措施和具体方式。
【病历保存30年是哪年规定的医院病历保存多久】一、医疗保健数据的概念
《安全指南》明确定义了医疗保健数据，“包括个人医疗保健数据和对个人医疗保健数据进行处理后获得的与医疗保健相关的电子数据。”其中，《信息安全技术个人信息安全规范》(GB/T 35273—2020，以下简称《个人信息安全规范》)中的“个人健康医疗数据”和“个人信息”基本保持了相同的逻辑基础，是指“能够单独或者结合其他信息识别特定自然人或者反映特定自然人生理或者心理健康状况的相关电子数据。”可以理解为“个人健康医疗数据”是一种特殊的“个人信息” 。“个人医疗保健数据处理后获得的与医疗保健相关的电子数据”包括总体组分析结果、趋势预测、疾病预防控制统计数据等。值得注意的是，安全指南中对健康医疗数据的定义仅限于电子数据，这主要是基于“互联网医疗健康”的快速发展，以拓展电子数据的应用，增强电子数据安全保护的重要性和紧迫性。而且安全指南的内容基本都是围绕电子数据的。
此外，在我国现有的法律法规和其他标准中，与医疗保健数据相关的术语的表述和内涵也各不相同。本安全指南通过定义和划分类别和范围，基本上合并和统一了以下数据(见III 。(1)详细说明医疗保健数据的分类和分级) 。
二、医疗数据安全目标
与立法目的类似，安全目标是通过制定安全指南所要达到的任务，确定安全指南的具体内容，引导其价值取向。在安全指南中，健康医疗数据保护的安全目标分为三个层次:一是确保数据本身的保密性、完整性和可用性；二是从数据使用和泄露安全的角度，确保合法合规，保护个人信息安全、公共利益和国家安全；第三，从业务角度出发，在满足安全需求的前提下，确保满足业务发展需求。
可见，在目标设计中，安全指南兼顾了安全需求和发展需求，安全的意义不仅仅是技术的保密性、完整性和可用性要求，还包括对其他主体合法权益的保护要求。
三、实现安全目标的依据和指导原则
(1)基础:医疗保健数据的分类和分级
1.医疗保健数据的分类
参考医疗保健数据的应用场景、特点等因素，安全指南将医疗保健数据分为以下几类，并划定了相应的范围:
2.医疗保健数据的分级
安全指南根据数据重要性、风险水平以及对个人健康医疗数据主题的可能损害和影响程度进行分级，如下所示:
虽然安全指南只是推荐性标准，但这里的分类分级对于相关机构进行数据分类分级具有重要的现实意义。一方面可以满足合规的合规要求，另一方面可以提高自身的信息化水平和运营能力。具体来说，数据分类可以更好地将数据资本化，保护数据的可用性，持续提供精准的数据服务；数据分类可以从安全角度保驾护航，定义不同场景下不同等级数据的安全策略，实现资源的聚焦和合理分配，更好地保护数据的完整性和机密性。此外，健康医疗数据的分类分级是实现安全目标的基础，数据开放形式划分和使用公开的原则也是基于数据的分类分级来确定的，从而实现更加精细化的管理。
(B)原则之一:数据开放形式的划分
数据开放形式是相对于《健康与医疗数据安全指南(征求意见稿)》(2019年4月4日)增加的内容。根据数据开放共享的类型，《安全指南》分为完全开放共享、受控开放共享和属地开放共享，并据此确定了常见的数据开放形式和适用的开放共享类型。具体来说，安全指南中列举的常见数据开放形式有:网站开放(完全开放共享)、文件共享(受控开放共享)、API访问(受控开放共享)、在线查询(匿名查询:完全开放共享)；用户查询:受控开放共享)、数据分析平台(领地开放共享) 。可以看出，完全开放共享可以对应第一级数据分类，受控开放共享和属地开放共享可以对应第二至第五级数据分类，其中受控开放共享强调通过数据使用协议限制数据使用，而属地开放共享强调数据在物理或虚拟属地范围内的限制。
(3)原则二:运用披露原则。
《安全指南》共列出了健康医疗数据公开的18项原则，包括数据采集、使用、委托处理、提供、存储、汇聚整合、跨境传输、主体权利等，基本涵盖了数据的全生命周期。值得注意的是，由于医疗保健数据的特殊性，安全指南中提出的一些使用披露原则与现有的法律法规和标准相比有些特殊。由于《安全指南》只是推荐性标准，仍建议在实践中按照现行有效的法律法规执行。相关的使用披露原则如下:
(1)数据授权同意的例外。《安全指南》定义了四种授权使用或披露相应个人健康医疗数据的例外情况，具体为:1)向受试者提供其本人的健康医疗数据；2)治疗、支付或保健；3)涉及公共利益或法律法规要求；4)受限数据集用于科学研究、医疗/健康教育、公共卫生目的。指出控制人可以依据法律法规、职业道德、伦理和专业判断来决定哪些个人健康医疗数据允许使用或披露。
其中，受限数据集是指“已部分解除身份识别，但仍能识别相应个体并因此需要保护的个人健康医疗数据集” 。《民法典》规定，不能识别特定个人且经处理后无法恢复的个人信息，可以提供给他人。《个人信息安全守则》规定，当个人信息的控制者为学术研究机构，为公共利益需要进行统计或学术研究，且其向外界提供学术研究的结果或说明时，可以对结果中包含的个人信息进行去标记，从而可以避免受试者的授权和同意。《安全指南》规定，出于科学研究、医疗/健康教育和公共健康目的，使用能够识别相应个人的受限数据集属于授权同意的例外情况。可以看出，它在健康医疗数据的可用性和保护公共利益之间寻求平衡。此外，《安全指南》指出，控制者可以依据法律法规、职业道德、伦理道德和专业判断来决定哪些个人医疗保健数据允许使用或披露，并提出了具有一定可操作性的豁免同意的实现方式。但鉴于医疗保健数据本身的复杂性和敏感性，依靠职业道德和伦理，是否可以在没有个人授权的情况下使用或披露，并不确定，也有可能被司法和行政机关认定为非法提供数据。所以还是要谨慎的遵守现有有效的法律法规。
(2)限制使用或披露的主体权利。对于数据主体要求控制者限制数据的使用或披露，限制向相关人员披露数据，安全指南明确，控制者没有义务同意这种限制要求，但一旦同意，除非法律法规要求和在医疗紧急情况下，控制者应遵守约定的限制。《民法典》、《网络安全法》、《个人信息安全规范》等。不要明确规定主体有权要求控制者限制使用和公开，但主体有权撤回授权同意，控制者应提供撤回授权同意的方法，并及时回应主体提出的请求。《安全指南》规定，控制者可以不响应数据主体的限制请求，可能是出于保健数据个体性和群体性相结合的特殊性，也是出于维护公共安全、公共健康等公共利益的考虑。但结合现有规定，建议控制人在不同意数据主体的限制请求时说明理由，理由应为维护国家利益和公共利益的需要。
(3)历史追溯查询的主体权利。《安全指南》规定，受试者有权对控制者或处理者使用或泄露数据的行为进行历史追溯查询，最短追溯期限为6年。民法典、个人信息安全规范等没有明确规定主体的历史追溯查询权，历史追溯查询权不同于安全指南中的查阅权。此外，最短追溯期与数据存储时间并不完全相同。《个人信息安全规范》规定，个人信息的保存期限应当是实现个人信息主体授权使用目的所必需的最短时间，但追溯期限要求最短期限，并未限制健康医疗机构可以保存数据的最长期限。主体可以查询历史资料主要是基于需要了解既往病史和其他健康医疗信息。值得注意的是，《电子病历应用管理规范(试行)》规定，门诊(急诊)诊断电子病历自患者最后一次就诊之日起保存不少于15年，住院电子病历自患者最后一次出院之日起保存不少于30年。鉴于不同规定中的时限要求不同，建议在实际操作中结合现有法律法规。
(4)医疗保健数据的跨境传输。根据《安全指南》规定，基于学术讨论需要的医疗保健数据跨境传输应进行去标记，数量在250个以内的非机密、非重要数据，经数据安全委员会讨论、批准、核准后方可提供(关于“数据安全委员会”，参见第5节(1)安全管理要求) 。对于不涉及国家秘密、重要数据或其他禁止或限制对外提供的数据，应经课题授权和数据保密委员会讨论批准，累计数据量控制在250项以内。
关于重要数据的概念，《个人信息和重要数据出境安全评估办法(征求意见稿)》规定，重要数据是指“与国家安全、经济发展、社会公共利益密切相关的数据。具体范围参照相关国家标准和重要数据识别指南。”但是，到目前为止，国家还没有出台重要数据识别指南的相关法律文件或标准，重要数据的概念和范围仍需明确。
健康数据一般都很重要，所以对于是否可以跨境传输，我们应该更加谨慎。根据《个人信息和重要数据出境安全评估办法(征求意见稿)》，出境数据含有人群健康领域数据的，应当报行业主管或者监管部门组织安全评估。国家《健康医疗大数据标准、安全与服务管理办法(试行)》规定，“健康医疗大数据应当存储在境内安全可靠的服务器上，因业务需要确需向境外提供的，应当按照相关法律法规和相关要求进行安全评估和审核” 。《人口健康信息管理办法(试行)》明确要求“人口健康信息不得存储在境外服务器，不得在境外服务器托管或出租” 。《生物安全法》(尚未生效)和《人类遗传资源管理条例》均规定，向境外提供或者开放使用我国人类遗传资源信息的，应当事先向国务院科技主管部门报告(或者备案)并提交信息备份。
首先，医疗保健数据中非机密、非重要数据的识别本身就具有很大的不确定性。其次，250条以内不涉及国家秘密、重要数据或其他禁止或限制数据的数据跨境传输中的“其他禁止或限制数据”这一底线规则，也给操作带来了难度。因此，在实际操作层面，全面落实《安全指南》中有关跨境传输医疗数据的规定的可行性，还有待时间的检验。
四。实现安全目标的措施要点
根据上述健康医疗数据安全目标的基础和原则，安全指南分别确定了分级安全措施、场景安全措施和开放安全措施的要点。
(1)分级安全措施要点
分级安全措施要点:对不同级别的数据实施不同的安全措施，重点是授权管理、身份认证和访问控制管理。具体来说，只需要审核一级数据是否可以公开；二级数据应去标记，并通过协议或地域开放共享模式进行控制，以确保数据的完整性和真实性；三级数据，个人信息需要部分屏蔽，需要限制环境和接收人数；对于四级数据，应严格控制环境和接收方，高标准保证数据的完整性和可用性；对于5级数据，要采取严格的身份认证、访问控制等措施。
(二)现场安全措施要点
结合健康医疗数据的实际情况，安全指南将相关组织或个人分为四类角色，包括:1)个人健康医疗数据的主体(简称“主体”)，即个人健康医疗数据所识别的自然人；2)医疗保健数据控制者(简称“控制者”)，即能够决定医疗保健数据处理的目的、方式和范围的组织或个人；3)医疗保健数据处理者(简称“处理者”)，即代表控制者收集、传输、存储、使用、处理或披露其手中的医疗保健数据，或为控制者提供与医疗保健数据的使用、处理或披露相关的服务的相关组织或个人；4)医疗保健数据的用户(简称“用户”)，即利用医疗保健数据的相关组织或个人。对于任何组织或个人来说，首先需要围绕具体的数据，结合具体的场景或数据处理行为来判断自己的角色定位，只能定位为角色之一。
《安全指南》以不同角色之间的数据流为基础，划分了六种数据流使用场景，并针对不同场景定义了相应的安全措施，以及各角色在医疗保健数据使用中涉及的不同安全环节和责任(如下图所示) 。需要明确的是，在控制器之间的数据流通使用场景中，双方需要满足数据传输、存储和使用的相关要求。此外，安全指南区分了采集和收集的内涵，将控制器从外部获取数据的过程定义为“采集”，将控制器内部数据使用过程中的数据采集定义为“采集” 。值得注意的是，民法典的网络安全法只规定了“收集”的概念，而没有使用“收集”的概念。
(3)开放式安全措施要点
安全措施的重点是医疗保健数据的开放形式，明确所有开放形式都适用:1)遵循“最低必要性”原则；2)确保符合合法性、正当性和必要性的要求；3)根据使用目的尽可能地进行识别；4)明确数据开发和使用的目的、用户应承担的安全责任和安全措施等。出境时要按规定进行安全评估，涉及重要数据时要按规定进行评估审批。另外，对于以上五种不同形式的数据开放，需要满足相应的安全措施要点。
动词（verb的缩写）实现安全目标的方法
(一)安全管理要求
为了实现安全目标，健康医疗机构对数据进行分类分级，在采取针对性的安全措施后，需要检查措施的效果，并进行持续改进。在安全管理方面，安全指南规定了与组织、流程和应急响应相关的管理要求。
组织上，宜建立完善的组织保障体系。组织架构至少包括卫生与医疗数据安全委员会和卫生与医疗数据安全办公室。委员会应是健康和医疗数据安全的最高领导机构，全面负责相关工作并讨论和决定重大问题，而办公室负责健康和医疗数据安全的日常实施。在流程上，安全指南划分了规划、实施、检查和改进阶段，明确了各阶段的主要工作，涵盖了医疗卫生数据安全的事前、事中、事后全过程，实现了数据安全管理的全过程。应急响应包括建立应急预案、建立专门的应急支持团队和专家团队、制定灾难恢复计划、数据安全事件报告、综合评估等，以确保及时有序地应对数据安全事件。
(2)安全技术要求
《安全指南》根据健康医疗数据的安全技术要求，在定义通用安全技术的基础上，结合健康医疗数据的特殊性，进一步规范了去标记工作。在通用安全技术方面，应保护承载健康医疗数据的信息系统和网络以及云平台，对数据生命周期内的所有活动实施安全措施，建立安全的数据管理基础设施，实施身份认证、访问控制、安全审计、入侵防御、媒体使用管理、备份恢复、残留信息保护等安全措施。关于去标签化，《安全指南》明确指出，删除个人属性数据中能够唯一识别个人的信息或者披露后将对个人产生重大影响的信息是可取的。对个人属性数据中能与个人间接相关的信息进行归纳、转换等。数据集中具有相同属性值的最小人数应超过5人。控制器应在内部建立患者代码索引，去标签中使用的参数配置仅由内部人员管理。禁止用户参与去标签相关工作。
不及物动词典型场景数据安全
《安全指南》列举了医生接入、患者查询、临床研究、二次利用、健康传感、移动应用、商业保险对接、医疗器械等八个典型场景下的关键数据安全措施。这八种场景常见于医疗保健数据的实际使用或泄露中，对医疗保健数据安全保护的实践具有指导意义。与《健康与医疗数据安全指南(征求意见稿)》(2019年4月4日)相比，安全指南删除了互联互通和远程医疗的场景，增加了医生接入的场景，将设备维护修改为医疗设备场景，其中设备维护是一部分。
以商业保险的对接保障场景为例。购买商业保险的主体到定点医疗机构就医时，商业保险公司可通过建立与医疗机构相衔接的医疗信息系统，及时了解主体就医情况及相关费用，以便按规则进行理赔。在这个场景中，涉及的数据包括个人属性数据、健康状况数据、医疗应用数据、医疗支付数据和健康资源数据。医疗机构与商业保险公司建立连接时，可以在医疗信息系统对接前、对接中、对接后采取相应的安全措施(如下表所示) 。可以看出，数据分类贯穿于整个安全场景，分散管理、访问权限和限制、不同加密传输方式等措施都是数据分类和数据开放形式划分的体现。结合上述安全措施，在商业保险对接安全场景中，对于医疗机构传输给商业保险公司的五类相关数据，医疗机构是控制方，商业保险公司是使用方。以下关键安全措施也是对控制器和用户之间的数据流通使用场景中的安全措施的细化。此外，在具体措施中也落实了安全管理要求和技术要求，在确保数据的保密性、完整性和可用性，以及数据使用和披露的合法合规性的基础上，满足商业保险理赔业务的发展需求。
七。结论。
“安全指南”确立了医疗保健数据安全的目标。围绕安全目标的实现，在明确数据分类分级的原则要求、数据开放形式和使用公开原则的基础上，提出相应的数据安全措施、管理和技术要求，并结合典型场景进行说明。对实践中医疗保健数据安全的保障有很强的指导作用，也对监管部门和第三方评估机构进行监督、管理和评估。
对于相关企业，建议在安全指南的指导下，依据现有相关法律法规开展健康医疗数据安全合规性检查，确保业务发展的同时实现数据安全。
注意事项:
[1]王峰:《AI公司易慧汇盈回应“黑客”谣言启示应加快数据安全立法》，中国网科学、
[2]张:《青岛胶州6000余人名单被泄露，3人被拘留》，《新京报》，
本文作者:
吴伟明律师
电子邮件:wuweiming@allbrightlaw.com
刘云东律师:
james.liu@allbrightlaw.com
助理律师毛彤
maotong@allbrightlaw.com

病历保存30年是哪年规定的 医院病历保存多久

病历保存30年是哪年规定的医院病历保存多久