在数据流通场景下(医疗领域),数据安全需严格遵循国家标准。以下是针对数据流通全生命周期的核心国家标准及关键要点,涵盖传输、共享、交易、跨境等环节:
一、数据流通全流程安全国家标准
1. 基础框架标准
GB/T 37988-2019《信息安全技术 数据安全能力成熟度模型》(DSMM)--数据生命周期安全能力评估(包括传输、共享、存储等)--机构数据安全体系建设
GB/T 35274-2017 《信息安全技术 大数据服务安全能力要求》 --数据流通服务方的安全管理和技术要求 --数据交易平台、云服务商
GB/T 41479-2022《信息安全技术 网络数据处理安全要求》 --数据传输加密、访问控制、审计等通用要求 --所有网络数据流通场景
2. 数据分类分级与脱敏
GB/T 38667-2020 《信息技术 数据交易服务 安全要求》 --数据分级标识(如一般/重要/核心数据)、流通前脱敏规则
GB/T 37932-2019《信息安全技术 数据交易服务安全评估指南》 --数据质量与安全风险评估方法
GB/T 39335-2020 《信息安全技术 个人信息安全影响评估指南》 --流通中个人信息泄露风险量化评估(PIA)
3. 数据传输与共享
GB/T 39725-2020《健康医疗数据安全指南》 --医疗数据传输需端到端加密(如TLS 1.3+),共享协议需明确安全责任
GB/T 22239-2019 《网络安全等级保护基本要求》 | 等保三级以上系统数据传输需使用**国密算法(SM2/SM4) |
GB/T 36629.3-2018《信息安全技术 公民网络电子身份标识安全技术要求》 --数据接收方身份强认证(eID数字签名)
4. 数据跨境流通
GB/T 35273-2020 《个人信息安全规范》 --出境需单独明示同意,通过国家网信部门安全评估
《数据出境安全评估办法》(2022年)--重要数据/大规模个人信息出境强制安全评估
GB/T 41817-2022 《信息安全技术 个人信息跨境处理活动安全认证规范》--认证机构(如CCRC)对跨境方案的审计要求
二、数据流通关键控制措施
1. 技术层面
- 加密传输
- 使用SM9标识密码(GB/T 38635.2-2020)或IPSec VPN(GB/T 36629.1-2018)建立安全通道。
- 隐私计算
- 采用联邦学习(GB/T 42569-2023)、可信执行环境(TEE)、(GB/T 42017-2022)实现“数据可用不可见”。
- 数据水印
- 流通数据嵌入追踪水印(GB/T 36958-2018《数字水印技术》),防泄露溯源。
2. 管理层面
- 数据安全协议(DSP)
- 明确数据提供方、使用方、平台方的安全责任(参考GB/T 38667-2020)。
- 流通审计
- 留存全链路操作日志(GB/T 20988-2007《信息安全事件审计指南》),定期第三方审计。
- 应急响应
- 建立数据泄露应急预案(GB/T 30276-2023《信息安全技术 网络安全事件应急演练指南》)。
三、行业特定标准
- 医疗健康:
- WS/T 1026-2023《医疗卫生机构数据安全管理规范》:医疗数据共享的脱敏与权限控制细则。
四、操作建议
1. 流通前
- 完成数据分类分级(GB/T 38667-2020)与风险评估(GB/T 39335-2020)。
2. 流通中
- 通过隐私计算平台(如联邦学习系统)减少原始数据暴露,优先选择符合GM/T 0086-2020《联邦学习技术规范》的解决方案。
3. 流通后
- 部署数据血缘追踪(GB/T 40685-2021《信息技术 数据溯源描述模型》)监控二次分发。
> 注:2024年新实施的《促进和规范数据跨境流动规定》简化了部分场景(如国际贸易、科研合作)的出境流程,但医疗、基因等敏感数据仍需严格审批。
五、总结
数据流通安全需“技术+管理+合规”三维协同,核心标准以 GB/T 37988(DSMM)为能力底座,结合 GB/T 39725(医疗)、JR/T 0253(金融)等行标落地。跨境场景务必同步参考网信办最新细则(如《数据出境安全评估申报指南(第二版)》)。
原文始发于微信公众号(数据安全矩阵):医疗数据安全防护参考标准
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论