日韩成人黄片电影|日本高清无码免费一区|久久草在线免费青青青av|91人人草人人操人人爽|亚洲AV成人Av|多人轮奸视频播放免费成人|91性生活电影日韩在线妻|国内日本欧美在线|日韩欧美图片区偷窥自拍|一区毛片电影无码成人国产

(網(wǎng)經(jīng)社訊)2025年5月至9月，針對屬地部分醫(yī)療服務(wù)類互聯(lián)網(wǎng)企業(yè)頻繁發(fā)生涉網(wǎng)絡(luò)數(shù)據(jù)安全事件的情況，上海市網(wǎng)信辦、市市場監(jiān)督管理局、市衛(wèi)生健康委聯(lián)合開展“醫(yī)療服務(wù)類互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全、個人信息保護”專項整治，并制定了《上海市醫(yī)療服務(wù)類互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全和個人信息保護合規(guī)指引》，用于提升本市醫(yī)療服務(wù)類互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全與個人信息保護合規(guī)水平，推動行業(yè)健康發(fā)展?，F(xiàn)全文發(fā)布如下。

上海市醫(yī)療服務(wù)類互聯(lián)網(wǎng)企業(yè)

網(wǎng)絡(luò)數(shù)據(jù)安全和個人信息保護合規(guī)指引

為提升本市醫(yī)療服務(wù)類互聯(lián)網(wǎng)企業(yè)網(wǎng)絡(luò)數(shù)據(jù)安全與個人信息保護合規(guī)水平，規(guī)范健康醫(yī)療數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開、刪除等全生命周期處理活動，上海市互聯(lián)網(wǎng)信息辦公室、上海市市場監(jiān)督管理局、上海市衛(wèi)生健康委員會，依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國數(shù)據(jù)安全法》《中華人民共和國個人信息保護法》《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》等法律法規(guī)，結(jié)合本市醫(yī)療服務(wù)類互聯(lián)網(wǎng)企業(yè)發(fā)展現(xiàn)狀，制定本指引。

第一條 本指引適用于本市行政區(qū)域內(nèi)醫(yī)療服務(wù)類互聯(lián)網(wǎng)企業(yè)，作為開展網(wǎng)絡(luò)數(shù)據(jù)安全和個人信息保護合規(guī)管理的指導(dǎo)建議。

第二條 本指引所稱的醫(yī)療服務(wù)類互聯(lián)網(wǎng)企業(yè)（以下簡稱“企業(yè)”），主要指從事醫(yī)療軟件開發(fā)與維護、醫(yī)療服務(wù)培訓(xùn)、數(shù)字健康服務(wù)等業(yè)務(wù)，利用信息技術(shù)為醫(yī)療機構(gòu)、醫(yī)務(wù)人員及患者等提供預(yù)約掛號、在線診療、健康咨詢、電子處方、檢驗結(jié)果查詢、醫(yī)療信息發(fā)布、醫(yī)療數(shù)據(jù)分析等服務(wù)的企業(yè)。

本指引所稱的個人健康醫(yī)療數(shù)據(jù)，是指單獨或者與其他信息結(jié)合后能夠識別特定自然人或者反映特定自然人生理或心理健康的相關(guān)電子數(shù)據(jù)。 

本指引所稱健康醫(yī)療數(shù)據(jù)，是指個人健康醫(yī)療數(shù)據(jù)以及由個人健康醫(yī)療數(shù)據(jù)加工處理之后得到的健康醫(yī)療相關(guān)電子數(shù)據(jù)，包括但不限于個人屬性數(shù)據(jù)、健康狀況數(shù)據(jù)、醫(yī)療應(yīng)用數(shù)據(jù)、醫(yī)療支付數(shù)據(jù)、衛(wèi)生資源數(shù)據(jù)以及公共衛(wèi)生數(shù)據(jù)等。

本指引所稱的數(shù)據(jù)處理活動，包括數(shù)據(jù)的收集、存儲、使用、加工、傳輸、提供、公開、刪除等。

第三條 企業(yè)開展數(shù)據(jù)處理活動，應(yīng)當(dāng)自覺遵守法律法規(guī)和商業(yè)道德，參照國家有關(guān)標(biāo)準要求，履行網(wǎng)絡(luò)和數(shù)據(jù)安全保護義務(wù)，遵循合法、正當(dāng)、必要、誠信原則，保障健康醫(yī)療數(shù)據(jù)安全和個人信息合法權(quán)益。

企業(yè)處理個人信息，應(yīng)當(dāng)具有明確、合理的目的，并取得個人同意。處理個人信息應(yīng)限于實現(xiàn)處理目的的最小范圍，并采取對個人權(quán)益影響最小的方式，不得過度收集或超范圍使用個人信息。

企業(yè)不得以任何形式和理由非法收集、使用、加工、傳輸、買賣、提供或者公開他人健康醫(yī)療數(shù)據(jù)和個人信息。

第四條  企業(yè)收集個人健康醫(yī)療數(shù)據(jù)的，應(yīng)當(dāng)通過顯著方式告知個人收集目的、使用范圍及共享對象，并取得個人單獨同意。處理目的、方式、個人信息種類發(fā)生變更的，應(yīng)當(dāng)依照相關(guān)規(guī)定重新取得個人同意。

第五條  企業(yè)向合作方提供、委托處理個人健康醫(yī)療數(shù)據(jù)，或與其共同開展數(shù)據(jù)處理活動的，應(yīng)當(dāng)提前取得個人單獨同意，并與合作方約定處理的目的、期限、處理方式、個人健康醫(yī)療數(shù)據(jù)的種類、保護措施以及雙方的權(quán)利和義務(wù)等，對合作方的數(shù)據(jù)處理活動進行監(jiān)督，不得超出約定處理目的、處理方式等處理個人健康醫(yī)療數(shù)據(jù)。

第六條 企業(yè)向個人進行信息推送、商業(yè)營銷前，應(yīng)當(dāng)取得個人單獨同意，同時提供不針對其個人特征的選項，或者向個人提供便捷的拒絕方式。

第七條 企業(yè)不得通過技術(shù)手段非法獲取、抓取其他平臺的健康醫(yī)療數(shù)據(jù)，不得非法購買、交換、使用、存儲、共享健康醫(yī)療數(shù)據(jù)。

第八條 企業(yè)應(yīng)當(dāng)對健康醫(yī)療數(shù)據(jù)進行分類分級管理，針對不同等級類別的數(shù)據(jù)實施相應(yīng)的安全保護措施。

第九條 企業(yè)應(yīng)當(dāng)建立安全可靠的數(shù)據(jù)傳輸通道，采用加密傳輸協(xié)議等安全技術(shù)手段，確保健康醫(yī)療數(shù)據(jù)在互聯(lián)網(wǎng)傳輸過程中的安全性。

第十條 企業(yè)應(yīng)當(dāng)采取身份鑒別、訪問控制、數(shù)據(jù)加密、數(shù)據(jù)脫敏、數(shù)據(jù)備份等技術(shù)措施，確保健康醫(yī)療數(shù)據(jù)在存儲過程中的安全性，對于備份數(shù)據(jù)的安全保護要求不應(yīng)低于原始數(shù)據(jù)。

第十一條 企業(yè)應(yīng)當(dāng)制定明確、合理的數(shù)據(jù)存儲期限，在完成數(shù)據(jù)處理目的后應(yīng)當(dāng)及時刪除數(shù)據(jù)。從醫(yī)療機構(gòu)獲得數(shù)據(jù)的，應(yīng)當(dāng)在合同中約定最長存儲期限。

第十二條 企業(yè)不得將生產(chǎn)數(shù)據(jù)直接用于測試環(huán)境，測試數(shù)據(jù)應(yīng)當(dāng)限制數(shù)量，并且與生產(chǎn)數(shù)據(jù)隔離存儲。

第十三條 企業(yè)應(yīng)當(dāng)采取技術(shù)措施記錄網(wǎng)絡(luò)訪問日志、數(shù)據(jù)處理活動日志、安全事件日志，按照規(guī)定留存相關(guān)的網(wǎng)絡(luò)日志不少于六個月，并且定期進行日志審計。

第十四條 企業(yè)應(yīng)當(dāng)建立患者個人信息查詢、更正、刪除、撤回同意等權(quán)益響應(yīng)機制，為患者提供便捷的渠道，保障患者對其個人信息的知情權(quán)、控制權(quán)和決定權(quán)。

第十五條 企業(yè)應(yīng)當(dāng)采取技術(shù)措施保障網(wǎng)絡(luò)和數(shù)據(jù)安全，定期開展漏洞掃描和滲透測試，及時發(fā)現(xiàn)并修復(fù)系統(tǒng)安全漏洞，確保醫(yī)療服務(wù)平臺的穩(wěn)定性和安全性。

第十六條 企業(yè)應(yīng)當(dāng)建立網(wǎng)絡(luò)數(shù)據(jù)安全監(jiān)測預(yù)警和應(yīng)急處置機制，及時發(fā)現(xiàn)并響應(yīng)網(wǎng)絡(luò)攻擊、數(shù)據(jù)泄露等安全事件；制定應(yīng)急預(yù)案，并定期演練；發(fā)生安全事件時，應(yīng)立即啟動預(yù)案控制危害，根據(jù)《國家網(wǎng)絡(luò)安全事件報告管理辦法》及我市網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案要求，向有關(guān)部門報告并告知受影響個人。

第十七條 企業(yè)承擔(dān)健康醫(yī)療數(shù)據(jù)和個人信息保護的主體責(zé)任，法定代表人或主要負責(zé)人為第一責(zé)任人，應(yīng)當(dāng)建立健全網(wǎng)絡(luò)數(shù)據(jù)安全和個人信息保護管理制度，明確網(wǎng)絡(luò)數(shù)據(jù)安全責(zé)任部門和責(zé)任人，配備必要的專業(yè)人員和技術(shù)措施。

處理100萬人以上個人信息的企業(yè)，應(yīng)當(dāng)根據(jù)《個人信息保護法》和《個人信息保護合規(guī)審計管理辦法》規(guī)定，向上海市互聯(lián)網(wǎng)信息辦公室履行個人信息保護負責(zé)人信息報送手續(xù)。

第十八條  企業(yè)應(yīng)當(dāng)建立健康醫(yī)療數(shù)據(jù)收集、存儲、使用、加工、傳輸、提供、公開、刪除等全生命周期安全管理機制，確保數(shù)據(jù)安全風(fēng)險可控。

第十九條  企業(yè)應(yīng)當(dāng)在履行網(wǎng)絡(luò)安全等級保護義務(wù)的基礎(chǔ)上，按照法律法規(guī)要求開展數(shù)據(jù)安全風(fēng)險評估、個人信息保護影響評估和商用密碼應(yīng)用安全性評估，識別數(shù)據(jù)處理活動中的安全風(fēng)險點，采取相應(yīng)的風(fēng)險控制措施，并保留評估記錄。

處理1000萬以上個人信息的企業(yè)，應(yīng)當(dāng)每兩年至少開展一次個人信息保護合規(guī)審計。

第二十條 企業(yè)使用人工智能、區(qū)塊鏈等技術(shù)處理健康醫(yī)療數(shù)據(jù)的，應(yīng)當(dāng)進行安全評估，保障數(shù)據(jù)安全和個人權(quán)益，并根據(jù)相關(guān)法律法規(guī)要求履行登記備案程序。

第二十一條 企業(yè)應(yīng)當(dāng)對接觸健康醫(yī)療數(shù)據(jù)的員工、合作伙伴進行背景審查和保密教育，與其簽訂數(shù)據(jù)安全保密協(xié)議，明確數(shù)據(jù)保護責(zé)任和違規(guī)后果。

第二十二條  企業(yè)應(yīng)當(dāng)積極配合監(jiān)管部門的監(jiān)督核查工作，如實提供相關(guān)資料和數(shù)據(jù)，不得拒絕、阻撓或隱瞞。