卫生健康数据具有高度敏感性。病历信息、诊疗记录、影像资料、检验报告等不仅涉及患者隐私权，更关联其基本人格尊严和社会评价。从法律定性看，健康医疗信息属于《个人信息保护法》第28条明确列举的敏感个人信息，一旦泄露或非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。从危害后果看，医疗个人信息泄露不仅直接侵害患者权益，还可能引发身份冒用、诈骗、就医障碍、就业歧视、保险拒赔等衍生风险。

2026年4月2日，中央网信办、工业和信息化部、公安部联合发布《关于开展2026年个人信息保护系列专项行动的公告》，将卫生健康领域列为七大重点治理领域之一。专项行动的治理对象涵盖医院、卫生服务中心、卫生所、诊所、疾控中心等各级各类医疗卫生机构。专项行动直指卫健领域薄弱环节，明确提出六类违法违规问题，要求各地区、各部门依法从严查处，切实维护个人信息权益。

（一）卫生健康行业数据保护现状

健康医疗信息在个人信息保护法律体系中具有特殊的法律地位。《个人信息保护法》第28条将“医疗健康信息”明确列为敏感个人信息。从数据类型维度看，医疗健康数据具有种类繁多、格式复杂、来源多元的特征。依据国家标准《信息安全技术 健康医疗数据安全指南》（GB/T 39725-2020），健康医疗数据可分为六大类：个人属性数据、健康状态数据、医疗应用数据、医疗支付数据、卫生资源数据以及公共卫生数据。从规模维度看，2023年6月国家卫健委印发的《卫生健康行业数据分类分级指南（试行）》将卫生健康数据划分为3大类22小类，明确了核心数据、重要数据和一般数据的范围定义及报送认定流程。

我国医疗卫生行业正处于数字化转型加速期。电子病历系统全面普及、“互联网+医疗健康”服务持续深化、智慧医疗应用场景不断拓展，医疗数据呈现出“规模大、增长快、流动频”的态势。在此背景下，医疗卫生机构的数据安全保护面临严峻挑战。从国际趋势看，医疗行业已成为网络安全攻击的重灾区。从国内执法实践看，2026年五部门联合启动的个人信息保护系列专项行动，专门将卫生健康领域列为五大重点治理领域之一，直指行业长期存在的超范围收集、身份核验缺失、人脸识别滥用、第三方人员管理不到位等系统性短板。

（二）规范体系

卫生健康行业数据合规的基础性法律包括：《网络安全法》确立了网络安全等级保护制度，要求网络运营者制定内部安全管理制度并落实网络安全保护责任。《数据安全法》建立了数据分类分级保护制度，要求数据处理者建立健全全流程数据安全管理制度并采取相应技术措施。《个人信息保护法》将医疗健康信息列为敏感个人信息，确立了处理敏感个人信息“告知-单独同意”的机制。《基本医疗卫生与健康促进法》专门规定公民个人健康信息受法律保护，并明确了医疗信息泄露的行政处罚条款。《国民法典》规定医疗机构及其医务人员对患者隐私和个人信息的保密义务及侵权责任。此外，《生物安全法》《密码法》等法律在特定领域（人类遗传资源、商用密码应用）作出补充性规定。

行业法规是医疗卫生健康行业数据合规规范体系的核心，由国家卫生健康主管部门会同公安、网信、中医药、疾控等部门联合制定，体现行业特殊监管需求：《医疗卫生机构数据安全和个人信息保护管理办法（试行）》（国卫规划发〔2026〕6号）建立了数据分类分级保护制度，明确了数据全生命周期安全管理要求，划定了数据安全“十项禁止”和个人信息保护“八项禁止”红线。《国家健康医疗大数据标准、安全和服务管理办法（试行）》（国卫规划发〔2018〕23号）明确了健康医疗大数据的定义、内涵和外延，厘清了应用管理过程中的边界权责，涵盖标准管理、安全管理和服务管理三大板块。《医疗卫生机构网络安全管理办法》（国卫规划发〔2022〕29号）明确了“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则，要求落实网络安全等级保护制度，加强数据全生命周期安全管理。《卫生健康行业数据分类分级指南（试行）》明确了卫生健康行业重要数据、核心数据的范围定义，指导行业开展数据分类分级工作，将数据从规模维度分为核心、重要、一般三个级别。《互联网诊疗管理办法（试行）》《互联网医院管理办法（试行）》《远程医疗服务管理规范（试行）》（国卫医发〔2018〕25号）三份文件共同构成互联网医疗服务的三大支柱性规范，对互联网诊疗活动中的患者信息保护、数据安全管理提出具体要求。《个人信息保护合规审计管理办法》要求处理超过1000万人个人信息的处理者每两年至少开展一次合规审计，处理100万人以上个人信息的应当指定个人信息保护负责人。《人脸识别技术应用安全管理办法》确立了人脸识别“最小必要”核心原则，明确规定不得将人脸识别作为唯一验证方式，个人不同意时须提供其他合理便捷方式。

【问题一】医疗卫生机构运营的网站、App超范围收集位置等个人信息，未采取有效验证方式核验用户身份，导致未经授权的无关人员可查询他人病历

此问题涉及两个层面的法律义务：一是信息收集的合法性边界，以“最小必要”原则为法定标准；二是访问控制的有效性，要求建立与数据敏感程度相匹配的身份核验机制。

（一）法律分析

在超范围收集方面，法律要求医疗卫生机构收集个人信息应当限于实现诊疗目的的最小范围，不得过度收集。患者的病情信息、既往病史等属于诊疗所必需的敏感个人信息，具有合法收集的正当性；但位置信息、通讯录、设备识别码等与诊疗无直接关联的信息，则缺乏合法依据。《个人信息保护法》第6条确立了“最小必要”原则，第13条要求处理个人信息须取得个人同意。《医疗卫生机构数据安全和个人信息保护管理办法（试行）》第22条第（一）项明确禁止“违法采集”，规定不得超范围采集数据。执法实践中对“违法采集”的认定重点审查：收集的信息类型与诊疗目的的关联性，是否存在收集位置、通讯录等非必要信息，以及权限调用频率是否超出最低必要限度。

在身份核验方面，法律要求医疗卫生机构建立有效的身份验证机制，防止未经授权的人员查询他人病历。因身份核验机制不健全导致他人病历被违规查询，直接违反《个人信息保护法》第9条关于个人信息处理者应采取必要措施保障个人信息安全的规定。《办法》第18条规定了最小授权原则，要求依据岗位职责设定数据处理权限；第22条第（五）项禁止“越权使用”，要求严格权限管理并加强日志审计；第19条对日志留存作出差异化要求——重要数据处理活动日志留存不少于一年，涉及委托处理的日志留存不少于三年。

（二）合规操作指引

（三）典型案例

2025年7月，衡山县互联网信息办公室巡查发现衡山县某医院体检系统的MySQL数据库服务存在弱口令漏洞且映射至公网地址，可经网络获取相关医疗信息。该机构被认定“未建立健全全流程数据安全管理制度，未采取必要的技术和管理措施保障数据安全”，违反《数据安全法》第27条、第29条规定。衡山县互联网信息办公室依据第45条作出责令改正、警告并处罚款五万元的行政处罚。本案表明：即使尚未发生实际泄露后果，仅存在“重大风险”即可构成独立的行政处罚条件。医疗数据处理者不得以“尚未发生事故”为由忽视基础安全配置义务。[来源：山信执法决字（2025）第01号，衡山县人民政府官网]

【问题二】医疗卫生机构未经患者同意，公开包含患者个人信息的影像图片、文字描述等信息

此问题直接触及医疗机构对患者个人信息的保密义务。法律从民事、行政、刑事多个层面构建了对患者隐私权的双重保护体系。

（一）法律分析

在民事层面，《民法典》第1226条明确规定医疗机构及其医务人员对患者隐私和个人信息的保密义务，泄露或未经同意公开病历资料的，应当承担侵权责任，且该责任不以造成实际损害为前提。在行政层面，《基本医疗卫生与健康促进法》第92条禁止非法收集、使用、加工、传输、买卖、提供或公开公民个人健康信息；第101条规定，医疗信息安全制度不健全导致信息泄露的，可处警告、一万元以上五万元以下罚款，情节严重的可责令停止执业活动。《传染病防治法》（2025年修订）第56条规定，泄露患者个人信息隐私的，可处警告或通报批评并处五万元以下罚款。《医疗卫生机构数据安全和个人信息保护管理办法（试行）》第29条第（五）（六）项进一步细化了禁止性规定，不得违法提供或公开个人信息，包括不得在公共区域明文显示患者信息，未经同意不得在新闻报道、公开讲座、社交媒体、学术论文等场景中公开患者个人信息。

从违法性认定角度分析，即使隐去了姓名，如仍可通过就诊时间、科室、病情特征等组合指向特定个人，即构成违法公开。不属于收集使用个人信息目的范围内的使用行为，亦构成违法。

（二）合规操作指引

（三）典型案例

2026年1月，最高人民检察院发布6件个人信息保护检察公益诉讼典型案例，其中包括上海市闵行区某医院医生及急救中心急救人员利用工作便利，通过疾病控制信息管理系统或救护车显示屏获取逝者及其亲属个人信息800余份，出售给殡葬行业人员用于商业营销。闵行区人民检察院于2025年7月11日立案调查，7月31日向区卫健委制发检察建议督促履职。区卫健委对涉案医院作出责令改正、警告、罚款的行政处罚决定，对涉案医生作出警告、罚款、暂停执业活动的行政处罚决定，解除相关急救人员的外包劳动关系。最高检明确指出，任何单位和个人不得违反国家有关规定，泄露逝者及其亲属个人信息。个人信息的保护不因主体死亡而终止，医疗机构的保密义务具有持续性。[来源：最高人民检察院个人信息保护检察公益诉讼典型案例，2026年1月]

【问题三】医疗卫生机构运营的网站、App等使用非人脸识别技术方式可实现验证患者身份，却将人脸识别技术作为唯一验证方式，未落实人脸识别技术应用安全管理相关要求

此问题涉及人脸识别技术在医疗场景中的合法性边界。医疗场景中的人脸识别应用既有患者身份确认的正当需求（如防止冒名就医、医保欺诈），也存在对敏感生物识别信息滥用的风险。

（一）法律分析

法律对强制人脸识别作出了明确限制。《人脸识别技术应用安全管理办法》确立“最小必要”原则，规定实现相同目的或达到同等业务要求、存在其他非人脸识别技术方式的，不得将人脸识别技术作为唯一验证方式；个人不同意通过人脸信息进行身份验证的，应当提供其他合理、便捷的方式；除法律法规另有规定或取得单独同意外，人脸信息应当存储于人脸识别设备内，不得通过互联网对外传输。《个人信息保护法》第28条将人脸信息归入敏感个人信息，要求处理须具有特定目的和充分必要性，并取得个人单独同意。《医疗卫生机构数据安全和个人信息保护管理办法（试行）》第29条第（八）项完整吸收了上述要求。

《患者身份识别标准》（WS/T 840-2025）要求采用至少两种身份确认方式，与人脸识别合规要求相互支撑。医疗机构应以“人脸识别+实名认证+实人活体检测”等多因素组合验证方式实施身份识别，但应将人脸识别作为可选项而非唯一选项。

（二）合规操作指引

（三）典型案例

2025年初，广西壮族自治区南宁市市民梁女士在某连锁口腔医院洗牙时，发现挂号系统强制要求录入人脸信息。南宁市兴宁区人民检察院在履职中发现案件线索后，启动公益诉讼程序，以公益诉讼督促整改区内医疗机构强制采集人脸信息问题，推动医疗机构从“强制采集”转向“自主选择”，实现患者身份核验自主勾选、数据采集最小化，诊疗信息泄露风险显著降低。本案推动行政机关将人脸信息保护纳入医疗机构执业校验指标，实现了个案治理向行业治理的延伸。[来源：最高人民检察院官网发布的法治日报报道《广西南宁兴宁区：以公益诉讼规范诊疗人脸识别》，2025年7月]

【问题四】医疗卫生机构未建立专门的个人信息保护管理制度，未有效设置个人信息访问管理权限，未明确个人信息保护职责

此问题涉及医疗机构在组织架构与制度建设层面的主体责任落实。完善的管理制度和权限体系是实现个人信息保护的基础性保障，缺乏制度保障，其他技术和管理措施将难以落地。

（一）法律分析

法律要求个人信息处理者建立内部管理制度和操作规程，对个人信息实行分类管理，合理确定操作权限。《个人信息保护法》第51条明确要求制定内部管理制度和操作规程；第52条要求处理个人信息达到规定数量的应当指定个人信息保护负责人。《医疗卫生机构数据安全和个人信息保护管理办法（试行）》第4条要求医疗卫生机构主要负责人为第一责任人，成立网络安全和信息化工作领导小组；第9条要求通过制度、人员、管理、技术、应急五项保障确保数据安全；第10条规定处理重要数据的机构应当明确数据安全负责人和管理机构，每年开展风险评估。此外，《个人信息保护合规审计管理办法》第12条规定，处理100万人以上个人信息的应当指定个人信息保护负责人，处理超过1000万人个人信息的每两年至少开展一次合规审计。

（二）合规操作指引

（三）典型案例

田先生在向保险公司投保时意外被拒，保险公司告知因其病历中存在“胆囊已切除”的手术记录，无法正常投保。田先生自称从未接受过胆囊切除手术，经多方核实发现，有人冒用其身份信息在青县人民医院进行了胆囊切除术，相关手术病历被记录在其名下。由于院方错误的手术记录对生活产生了影响，田先生将青县人民医院诉至法院。相关判决书显示，青县人民法院于2026年1月作出民事判决，认定案涉病案系他人冒用田先生个人信息就诊，判令医院在判决生效七日内，删除该病案中田先生的姓名、出生日期、身份证号、地址、电话等全部个人信息。此后，青县人民医院按判决删除了本院内部系统中涉案病历的田先生个人信息，并于出具证明确认涉案病历与田先生无关联。然而，保险公司系统仍留存虚假记录，导致田先生后续投保理赔仍遇障碍。此案警示，权限管理体系不健全不仅可能引发民事侵权诉讼，还可能触发刑事追责，个人信息访问管理权限制度的建立健全具有现实紧迫性。[来源：凤凰新闻（https://news.ifeng.com），2026年3月]

【问题五】医疗卫生机构内部信息管理系统未采取有效的技术防护手段，未对个人信息采取加密、去标识化等安全技术措施

此问题涉及医疗机构运营的信息系统在技术防护能力上的法定要求。加密、去标识化、访问控制、日志审计等技术措施是法律明确规定的法定义务，也是医疗数据安全的技术核心。

（一）法律分析

《数据安全法》第27条要求采取相应的技术措施和其他必要措施，保障数据安全。《个人信息保护法》第51条明确要求采取加密、去标识化等安全技术措施。《医疗卫生机构数据安全和个人信息保护管理办法（试行）》第9条第（四）项要求综合运用加密、鉴权、认证、脱敏、去标识化、数字水印、校验、审计等技术手段；第11条对核心数据提出强化保护要求——优先使用商用密码、优先使用安全可信产品和服务、核心数据安全事件日志留存不少于三年；第11条同时要求存储处理重要数据须落实三级等保，核心数据（非关基）须落实四级等保；第22条第（三）项禁止通过邮箱、网盘、社交软件等传输核心、重要和敏感数据。国家标准《健康医疗数据安全指南》（GB/T 39725-2020）对去标识化技术提出了具体要求。

（二）合规操作指引

（三）典型案例

2025年5月，四川凉山德昌网安大队在例行检查中发现，辖区某医院的信息系统及公众号存在多处技术防护短板。经核查，该医院的挂号缴费平台及后台信息系统均存在安全漏洞，导致重要敏感数据（包括患者的身份信息、就诊记录、用药信息等）长期处于极大泄露风险状态。进一步调查确认，该医院未对上述重要敏感数据采取加密、去标识化等法律明确要求的安全技术措施。德昌网安大队依据《数据安全法》的相关规定，对该医院立案调查，并依法作出行政处罚决定。[来源：四川网警公布十个护网典型案例（含绵阳案例），2025年9月]

【问题六】医疗卫生机构对技术运维等第三方人员管理不到位，存在个人信息泄露风险隐患

此问题涉及医疗机构在委托处理个人信息、与第三方合作过程中的法定义务。随着医疗机构信息化外包趋势日益普遍，第三方人员（技术运维、系统开发、数据分析、云服务等）接触敏感信息的场景增多，管理漏洞成为信息泄露的重要风险源。值得注意的是，医疗机构的数据安全责任不因委托而转移。

（一）法律分析

《个人信息保护法》第21条规定，委托处理个人信息的，应当与受托方约定目的、期限、处理方式、种类、保护措施及双方权利义务，并对受托方进行监督；受托方不得超出约定目的和方式处理，委托合同终止后应当返还或删除个人信息。《数据安全法》第40条规定，委托他人处理数据的，应当对受托方的数据安全保护能力进行核实，并监督其采取有效的安全保护措施。《办法》第16条规定，数据安全责任不因委托而改变，应通过审批明确受托方权限和责任，选择通过安全评估的云服务商；第22条第（六）项禁止未经授权处理数据，禁止项目转包分包；第27条要求委托处理前进行个人信息保护影响评估，签订委托协议和保密协议。

（二）合规操作指引

（三）典型案例

2026年4月3日，香港医院管理局的恒常监察系统发现一宗怀疑未经授权将病人资料取走并于第三方平台泄露的个案，医管局随即于当日上午向警方报案并通报个人资料私隐专员公署。事件涉及九龙东医院联网56,000多名病人，泄露资料包含病人姓名、性别、身份证号码、医院档案号码、手术内容等。网络安全及科技罪案调查科介入调查并采取拘捕行动。一名承办商系统开发员涉嫌将逾5.6万名病人的医疗记录以及逾千名医管局员工个人信息上传至“暗网”供免费下载。该案中，数据泄露并非源于黑客攻击或系统自身漏洞，而是承办商的系统开发人员利用职务之便实施的不法行为，事后不仅面临行政处罚，还触发了刑事追责。此案凸显了医疗卫生机构在委托处理数据时须履行的严格监督义务：应当对受托方的数据安全保护能力进行充分核实，对内部人员的访问权限实施最小化控制，并建立操作日志的完备审计机制。[来源：香港政府新闻网，2026年4月]