T/GDWJ 024-2024 健康医疗信息 重要数据识别和管理指南

ICS35.030

CCSL80

团体标准

T/GDWJ024—2024

健康医疗信息重要数据识别和管理指南

Healthmedicalinformation-guidelineforidentificationandmanagementofkeydata

2024-05-09发布2024-05-09实施

广东省卫生经济学会发布

T/GDWJ024—2024

目次

前言..................................................................................II

引言.................................................................................III

1范围.................................................................................1

2规范性引用文件.......................................................................1

3术语和定义...........................................................................1

4重要数据识别原则.....................................................................2

5重要数据特征.........................................................................2

6重要数据识别工作流程.................................................................3

6.1数据分类分级.....................................................................3

6.2重要数据判定.....................................................................3

6.3重要数据标识.....................................................................4

6.4重要数据目录.....................................................................4

7重要数据管理.........................................................................4

7.1安全保护措施.....................................................................4

7.2安全评估管理.....................................................................5

7.3安全事件管理.....................................................................5

附录A（资料性）重要数据目录示例........................................................6

参考文献...............................................................................7

I

T/GDWJ024—2024

前言

本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起

草。

请注意本文体的某些内容可能涉及专利，本文件的发布机构不承担识别专利的责任。

本文件由广东省卫生经济学会提出并归口。

本文件起草单位：东莞市第六人民医院、东莞市卫生统计信息中心、广东网安科技有限公司、中山

大学附属口腔医院、郑州立雪智能科技研究院、东莞市滨海湾中心医院、江门市中心医院、东莞市第八

人民医院、清远市人民医院、连州市人民医院、中山大学附属第一医院、广东省妇幼保健院、广州医科

大学附属第二医院、深圳市大数据研究院、广州医科大学附属口腔医院、广东省卫生经济学会、广州医

科大学附属脑科医院、汕头市中心医院、佛山市第一人民医院、连州市医疗总院、暨南大学附属顺德医

院、东莞市凤岗医院、广州市民政局精神病院、北京中安星云软件技术有限公司、深信服科技股份有限

公司、福建中信网安科技有限公司、深圳君同云科技有限公司、杭州数圭通科技有限公司、杭州美创科

技股份有限公司、深圳昂楷科技有限公司。

本文件主要起草人：熊劲光、郑金、陈惠城、魏书山、黄春柳、高峰、王映辉、涂华、温明峰、黄

新萍、张敦明、冯海燕、陆慧菁、肖庆颖、张亮鸣、李永强、邓联丙、潘遂壮、邱扬、林晓怡、邓意恒、

吴庆斌、冯成志、郑彤涛、董鹏翔、刘杰、袁征、阳磊、文琼、胡雪儿、黄帮钦、周卫华、刘永波、蔡

明辉等。

II

T/GDWJ024—2024

引言

2021年9月1日,《中华人民共和国数据安全法》正式施行,明确提出“各地区、各部门应当按照数据

分类分级保护制度，确定本地区、本部门以及相关行业、领域的重要数据具体目录，对列入目录的数据

进行重点保护”；国家卫生健康委员会等部门2022年制定印发的《医疗卫生机构网络安全管理办法》也

明确了“坚持分等级保护、突出重点。重点保障关键信息基础设施、网络安全等级保护第三级（以下简

称第三级）及以上网络以及重要数据和个人信息安全”。

开展数据分类分级保护工作,需要在对数据进行分类分级的基础上重点识别涉及的重要数据,然后

建立相应的数据安全保护措施和管理制度。本文件根据《中华人民共和国数据安全法》《中华人民共和

国网络安全法》《中华人民共和国个人信息保护法》及有关规定和标准,给出了健康医疗信息的重要数

据识别和管理指南,用于指导医疗卫生健康行业领域、各地区、各部门和数据处理者开展健康医疗信息

的重要数据保护工作。

III

T/GDWJ024—2024

健康医疗信息重要数据识别和管理指南

1范围

本文件规定了健康医疗信息的重要数据的定义、识别规则、识别方法，明确了健康医疗信息的重要

数据识别流程及安全管理机制。

本文件适用于指导健康医疗信息的数据处理者对重要数据进行识别和安全管理，也可供卫生健康管

理部门、网络安全相关主管部门以及第三方评估机构等组织开展健康医疗信息重要数据的安全监督管理

与评估等工作时参考。

2规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T25069-2022信息安全技术术语

GB/T43697-2024数据安全技术数据分类分级规则

T/GDWJ013-2022广东省健康医疗数据安全分类分级管理技术规范

3术语和定义

GB/T25069中界定的以及下列术语和定义适用于本文件。

3.1

重要数据keydata

特定领域、特定群体、特定区域或达到一定精度和规模的数据，一旦被泄露或篡改、损毁，可能直

接危害国家安全、经济运行、社会稳定、公共健康和安全。仅影响组织自身或公民个体的数据，一般不

作为重要数据。

[来源：GB/T43697—2024，定义3.2]

3.2

个人信息personalinformation

以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的

信息。

[来源：GB/T43697—2024，定义3.5]

3.3

敏感个人信息sensitivepersonalinformation

一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人

信息。

[来源：GB/T43697—2024，定义3.6]

1

T/GDWJ024—2024

3.4

个人健康医疗信息personalhealthmedicalinformation

能够单独或者与其他信息结合识别特定自然人或者反映特定自然人生理或心理健康相关信息，涉及

个人过去、现在或将来的身体或精神健康状况、接受的医疗保健服务和与医疗保健服务相关的支付信息

等。

3.5

健康医疗信息healthmedicalinformation

包括个人健康医疗信息以及由个人健康医疗信息加工处理之后得到的健康医疗相关信息。

示例：经过对群体健康医疗数据处理后得到的群体总体分析结果、趋势预测、疾病防治统计数据等。

4重要数据识别原则

识别健康医疗信息的重要数据宜遵循以下原则：

a)聚焦安全影响：从国家安全、经济运行、社会稳定、公共健康和安全等角度识别重要数据；

注：只对组织自身而言重要或敏感的数据不属于重要数据，如卫生健康行业相关机构内部管理相关数据。

b)促进数据流动：明确安全保护重点和监管对象，防止泛化保护，促进重要数据在满足安全保护

要求前提下依法进行开发利用和安全有序流动；

c)衔接既有规定：在识别重要数据时应与卫生健康主管部门现有数据管理政策和标准规范紧密衔

接；

d)综合考虑风险：根据数据用途、面临威胁等不同因素，综合考虑数据遭到篡改、破坏、泄露或

者非法获取、非法利用等风险，从保密性、完整性、可用性、真实性、准确性等多个角度识别

数据的重要性；

e)定量定性结合：以定量与定性相结合的方式识别重要数据，根据具体数据类型、特性不同采取

定量或定性方法；

f)动态识别复查：随着数据用途、共享方式、敏感性等发生变化，动态识别重要数据，并定期核

查重要数据识别结果；

g)T/GDWJ013—2022中四级数据中的个人生物识别信息比照重要数据管理；

h)T/GDWJ013—2022中四级数据中的个人健康状况数据和门（急）诊病历数据超过100万条规

模的比照重要数据管理。

i)卫生健康行业满足下列条件之一，原则上应纳入重要数据的建议范围：

1)涉及100万人及以上个人信息或10万人及以上敏感个人信息；

2)全国性的业务数据，如涉及10万人的群体健康生理状况数据；涉及1万人的族群生物

特征数据、医疗资源数据；涉及10万人的诊疗数据、医疗救援保障数据、特定药品实

验数据等；

3)经评估的其他数据。

5重要数据特征

健康医疗信息重要数据特征主要包括以下几方面。

a)涉及人类遗传信息。基因数据、遗传资源等属于重要数据。包括生命登记信息、人类遗传资源

信息、基因测序原始数据，以及人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料

的情况等。

2