《上海市医疗服务类互联网企业网络数据安全和个人信息保护合规指引》发布

中科至善 2025-11-28

上海市医疗服务类互联网企业

网络数据安全和个人信息保护合规指引

为提升本市医疗服务类互联网企业网络数据安全与个人信息保护合规水平，规范健康医疗数据收集、存储、使用、加工、传输、提供、公开、删除等全生命周期处理活动，上海市互联网信息办公室、上海市市场监督管理局、上海市卫生健康委员会，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《网络数据安全管理条例》等法律法规，结合本市医疗服务类互联网企业发展现状，制定本指引。

第一条本指引适用于本市行政区域内医疗服务类互联网企业，作为开展网络数据安全和个人信息保护合规管理的指导建议。

第二条本指引所称的医疗服务类互联网企业（以下简称“企业”），主要指从事医疗软件开发与维护、医疗服务培训、数字健康服务等业务，利用信息技术为医疗机构、医务人员及患者等提供预约挂号、在线诊疗、健康咨询、电子处方、检验结果查询、医疗信息发布、医疗数据分析等服务的企业。

本指引所称的个人健康医疗数据，是指单独或者与其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的相关电子数据。

本指引所称健康医疗数据，是指个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据，包括但不限于个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据以及公共卫生数据等。

本指引所称的数据处理活动，包括数据的收集、存储、使用、加工、传输、提供、公开、删除等。

第三条企业开展数据处理活动，应当自觉遵守法律法规和商业道德，参照国家有关标准要求，履行网络和数据安全保护义务，遵循合法、正当、必要、诚信原则，保障健康医疗数据安全和个人信息合法权益。

企业处理个人信息，应当具有明确、合理的目的，并取得个人同意。处理个人信息应限于实现处理目的的最小范围，并采取对个人权益影响最小的方式，不得过度收集或超范围使用个人信息。

企业不得以任何形式和理由非法收集、使用、加工、传输、买卖、提供或者公开他人健康医疗数据和个人信息。

第四条企业收集个人健康医疗数据的，应当通过显著方式告知个人收集目的、使用范围及共享对象，并取得个人单独同意。处理目的、方式、个人信息种类发生变更的，应当依照相关规定重新取得个人同意。

第五条企业向合作方提供、委托处理个人健康医疗数据，或与其共同开展数据处理活动的，应当提前取得个人单独同意，并与合作方约定处理的目的、期限、处理方式、个人健康医疗数据的种类、保护措施以及双方的权利和义务等，对合作方的数据处理活动进行监督，不得超出约定处理目的、处理方式等处理个人健康医疗数据。

第六条企业向个人进行信息推送、商业营销前，应当取得个人单独同意，同时提供不针对其个人特征的选项，或者向个人提供便捷的拒绝方式。

第七条企业不得通过技术手段非法获取、抓取其他平台的健康医疗数据，不得非法购买、交换、使用、存储、共享健康医疗数据。

第八条企业应当对健康医疗数据进行分类分级管理，针对不同等级类别的数据实施相应的安全保护措施。

第九条企业应当建立安全可靠的数据传输通道，采用加密传输协议等安全技术手段，确保健康医疗数据在互联网传输过程中的安全性。

第十条企业应当采取身份鉴别、访问控制、数据加密、数据脱敏、数据备份等技术措施，确保健康医疗数据在存储过程中的安全性，对于备份数据的安全保护要求不应低于原始数据。

第十一条企业应当制定明确、合理的数据存储期限，在完成数据处理目的后应当及时删除数据。从医疗机构获得数据的，应当在合同中约定最长存储期限。

第十二条企业不得将生产数据直接用于测试环境，测试数据应当限制数量，并且与生产数据隔离存储。

第十三条企业应当采取技术措施记录网络访问日志、数据处理活动日志、安全事件日志，按照规定留存相关的网络日志不少于六个月，并且定期进行日志审计。

第十四条企业应当建立患者个人信息查询、更正、删除、撤回同意等权益响应机制，为患者提供便捷的渠道，保障患者对其个人信息的知情权、控制权和决定权。

第十五条企业应当采取技术措施保障网络和数据安全，定期开展漏洞扫描和渗透测试，及时发现并修复系统安全漏洞，确保医疗服务平台的稳定性和安全性。

第十六条企业应当建立网络数据安全监测预警和应急处置机制，及时发现并响应网络攻击、数据泄露等安全事件；制定应急预案，并定期演练；发生安全事件时，应立即启动预案控制危害，根据《国家网络安全事件报告管理办法》及我市网络安全事件应急预案要求，向有关部门报告并告知受影响个人。

第十七条企业承担健康医疗数据和个人信息保护的主体责任，法定代表人或主要负责人为第一责任人，应当建立健全网络数据安全和个人信息保护管理制度，明确网络数据安全责任部门和责任人，配备必要的专业人员和技术措施。

处理100万人以上个人信息的企业，应当根据《个人信息保护法》和《个人信息保护合规审计管理办法》规定，向上海市互联网信息办公室履行个人信息保护负责人信息报送手续。

第十八条企业应当建立健康医疗数据收集、存储、使用、加工、传输、提供、公开、删除等全生命周期安全管理机制，确保数据安全风险可控。

第十九条企业应当在履行网络安全等级保护义务的基础上，按照法律法规要求开展数据安全风险评估、个人信息保护影响评估和商用密码应用安全性评估，识别数据处理活动中的安全风险点，采取相应的风险控制措施，并保留评估记录。

处理1000万以上个人信息的企业，应当每两年至少开展一次个人信息保护合规审计。

第二十条企业使用人工智能、区块链等技术处理健康医疗数据的，应当进行安全评估，保障数据安全和个人权益，并根据相关法律法规要求履行登记备案程序。

第二十一条企业应当对接触健康医疗数据的员工、合作伙伴进行背景审查和保密教育，与其签订数据安全保密协议，明确数据保护责任和违规后果。

第二十二条企业应当积极配合监管部门的监督核查工作，如实提供相关资料和数据，不得拒绝、阻挠或隐瞒。

医疗服务类互联网企业网络数据安全和个人信息保护合规指引

上一篇： CISP认证是什么？值得考吗？

下一篇：最后一页

新闻资讯

《上海市医疗服务类互联网企业网络数据安全和个人信息保护合规指引》发布

热门新闻

cisp和cissp证书哪个好？

2021年福建CISP认证考试时间，信安客4月厦门开班？

CISP证书过期了怎么办？CISP证书维持攻略 <信安客>

2020年9月-12月全国CISP考试安排

哪些岗位人员适合考CISP-A?CISP-A报考条件?

证书咨询