8月29日,国家卫生健康委、国家中医药局、国家疾控局印发《医疗卫生机构网络安全管理办法》,进一步规范医疗卫生机构网络和数据安全管理、促进“互联网+医疗健康”发展,加快推动卫生健康行业高质量发展进程。
在网络安全管理方面,《办法》规定各医疗卫生机构应成立网络安全和信息化工作领导小组,由单位主要负责人任领导小组组长;明确本单位各网络的主管部门、运营部门、信息化部门、使用部门等管理职责;对其运营范围内的网络进行等级保护定级、备案、测评、安全建设整改等工作;加强本单位网络安全通报预警力量建设;建立应急处置机制等。
在数据安全管理方面,《办法》要求各医疗卫生机构应建立数据安全管理组织架构,明确各部门权责;每年对数据资产进行全面梳理,开展数据分类分级工作;建立健全数据安全管理制度、操作规程及技术规范;加强数据全生命周期安全管理工作,数据全生命周期活动应在境内开展,因业务确需向境外提供的,应当依法进行安全评估或审核,人脸识别数据不得用于除身份识别之外的其他目的,包括但不限于评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等。