2026年，医疗信息化建设已迈入深水区。健康档案、就诊记录、基因数据都变成了一个个代码。这些数据不仅是医疗诊断的依据，更是个人隐私的核心。

近日，国家卫生健康委、公安部、国家互联网信息办公室、国家中医药管理局、国家疾病预防控制局五部门联合印发《医疗卫生机构数据安全和个人信息保护管理办法（试行）》（国卫规划发〔2026〕6 号，以下简称《办法》），为医疗数据安全与患者隐私保护划定刚性红线，商用密码、分级保护、个人信息全流程管控成为核心关键词。

一、商用密码：核心数据的“优先护盾”

《办法》第十一条明确：法律法规要求使用商用密码保护的，必须严格执行；处理核心数据在重要数据保护基础上，优先使用商用密码进行安全防护，同步落实以下要求：

优先使用安全可信的产品和服务。

优先使用第三方评估机构开展风险评估。

涉及核心数据安全事件处置、溯源的相关日志留存时间不少于三年。

对相关关键岗位人员、涉核心数据信息系统建设和运维单位等，提交公安机关、国家安全机关进行国家安全背景审查。

此外，存储处理重要数据须落实三级及以上网络安全等级保护；处理核心数据若不涉及关键信息基础设施，应落实四级等保要求。数据级别变更后，应及时重新定级备案。

二、分级保护：核心、重要、一般数据分类施策

1.三级数据分类

《办法》第五条规定：医疗卫生机构数据分为核心数据、重要数据、一般数据。不同类别、级别数据同时处理且难以分别保护时，按最高级别实施保护。

2.重要数据目录管理

省级卫健部门组织开展分类分级，提出重要/核心数据目录建议并上报。医疗卫生机构需定期梳理数据，识别重要数据并报送属地卫健部门。

3.级别变更与衍生数据

数据内容、规模、应用场景等发生变化，或经脱敏、汇聚融合产生衍生数据，均需重新评估数据级别。

4.核心数据跨主体流动的特殊要求

核心数据跨不同法人主体提供、转移、共享时，应采取安全措施。若自当年度1月1日起可能累计达到上一年度该项核心数据静态总量的30%及以上，须经国家卫健委报有关部门组织风险评估。

5.日志留存时间差异化

重要数据处理活动日志（安全事件处置、溯源）：不少于1年；

向他人提供、委托处理、共同处理重要数据的日志：不少于3年；

核心数据安全事件处置、溯源相关日志：不少于3年。

三、个人信息全流程管控

第五章及全文中明确禁止行为，覆盖个人信息处理全生命周期。

0收集环节

不得违法收集、不得超范围收集（第二十九条）。

收集须遵循合法、正当、必要和诚信原则，限于实现处理目的的最小范围。

02使用与调阅环节

不得超授权调阅个人信息。须制定授权规则，区分医疗、教学、科研等合法调阅情形。

重点加强孕产妇、新生儿、艾滋病人、精神障碍患者、逝者及公众人物等特殊人群信息管理。

实行动态授权，及时回收离职离岗人员权限。推广使用授权管理、日志存档、数字水印等技术。

03提供与公开环节

不得违法提供个人信息（除突发公卫事件、紧急救治或法律另有规定外）

不得在电子屏等公共区域明文显示患者姓名、身份证号、电话等；确需显示应脱敏。

未经本人同意，不得在新闻报道、公开讲座、社交媒体、学术论文等场景公开患者个人信息。

不得通过通讯软件、社交媒体传输，不得拍照、截图公开。

04出境环节

向境外提供个人信息，须符合《个人信息保护法》第三十八条条件，并取得个人单独同意。

05人脸识别限制

不得将人脸识别作为唯一验证方式，应提供其他合理便捷方式。

人脸信息原则上存储于设备内，不得通过互联网对外传输，除非法律另有规定或取得单独同意。

06委托处理与合规审计

委托处理个人信息前，须进行个人信息保护影响评估，签订委托协议和保密协议。

应定期开展个人信息保护合规审计。

07人脸识别限制

使用人工智能等技术涉及患者病历等个人信息的，必须确保安全。

“十不得”速览

不得违法采集/违法存储/违法传输/违法出境/越权使用/未经授权处理/未经批准提供/随意公开/未经销毁报废设备/隐瞒安全事件。

四、医疗机构主体责任与违规后果

主要负责人是第一责任人，实行“管业务必须管安全”。

违规可能导致警告、罚款、停止执业活动、治安处罚、侵权赔偿，甚至刑事责任。