自2018年以来，随着等一系列互联网医疗服务政策的出台，国内互联网医疗服务进入快速发展期，医疗机构通过应用互联网等信息技术拓展医疗服务空间和内容，建设互联网医院，开展远程医疗服务，以更便捷的方式为患者提供包括预约挂号，远程咨询，实时查阅就诊病历、医技检查结果、健康体检报告，费用支付互联网医院系统，就医反馈，电子处方和药品配送等全流程的服务。2020年初，突如其来的新冠疫情造成了线下就诊的阻碍，互联网医疗服务需求激增，进一步获得患者的接受和认可。

医疗机构作为线下医疗实体平台，通常通过网站、App、微信公众号、微信小程序等终端实现上述互联网医疗服务功能，全程以电子化的途径收集、存储了大量患者个人基本信息、健康状况、医疗应用、医疗支付等数据。在互联网医疗服务场景下所涉数据安全和个人信息保护合规方面，医疗机构应重点关注哪些问题，本文予以梳理以供参考。

信息系统实施三级信息安全等级保护

《互联网诊疗管理办法（试行）》《互联网医院管理办法（试行）》均要求，信息系统应当实施第三级信息安全等级保护。2021年6月3日，国家卫生健康委发布《互联网医疗健康信息安全管理规范（征求意见稿）》也指出：“互联网医疗健康信息系统应通过网络安全等级保护三级测评和定期复评。互联网医疗健康信息系统集成第三方服务应用时，第三方服务也需要达到相关安全防护水平。”

根据公安部、国家保密局等部门出台的《信息安全等级保护管理办法》的规定，信息系统的安全保护等级分为五级，第三级是指“信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害”。 同时，根据该规定，“第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查”。

互联网医疗信息系统一旦受到外部攻击导致患者个人信息泄露，会造成严重的后果，该系统是否稳定安全地运转，也关系到互联网医疗服务的实现。因此医疗机构应落实国家法规、政策关于信息系统等级保护的要求，切实保障网络安全。

关键信息基础设施运营者的合规管理

《网络安全法》首次在法律层面提出“关键信息基础设施运营者”的概念，在第三十三条到三十八条，大篇幅规定了关键信息基础设施运营者的责任和义务，但目前尚无生效的法律法规对关键信息基础设施运营者的识别作出明确规定。

2021年8月17日，国务院正式公布《关键信息基础设施安全保护条例》（2021年9月1日起施行，以下简称《条例》），《条例》对“关键信息基础设施”定义采取“行业+风险”的标准，规定“关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的，以及其他一旦遭到破坏、丧失功能或者数据泄露，可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等”。

按照上述标准，“关键信息基础设施”的范围相对宽泛互联网医院系统，参照《国家网络安全检查操作指南》中对于关键信息基础设施的定义和范围及确定关键信息基础设施的步骤[1]，一些大型的医疗机构（比如收集并存储超过100万患者个人信息的医院）有可能被纳入关键信息基础设施运营者监管范围内，但《国家网络安全检查操作指南》位阶较低，是否能作为认定标准有待明确。

依据《关键信息基础设施安全保护条例》规定，“保护工作部门结合本行业、本领域实际，制定关键信息基础设施认定规则，并根据认定规则负责组织认定本行业、本领域的关键信息基础设施，及时将认定结果通知运营者”，建议相关医疗机构密切关注监管动向，如被通知纳入关键信息基础设施运营者的范围，需遵从关键信息基础设施运营者的安全保护规定进行合规管理。

数据安全（重要数据处理）合规

《互联网诊疗管理办法（试行）》《互联网医院管理办法（试行）》《远程医疗服务管理规范（试行）》对医疗机构的数据安全保护义务提出了要求，比如应当建立完善相关管理制度、服务流程，保证互联网诊疗活动全程留痕、可追溯；建立互联网医院信息系统使用管理制度、在线处方管理制度；建立数据安全管理规程，确保网络安全、操作安全、数据安全等。《互联网医疗健康信息安全管理规范（征求意见稿）》认为，医疗机构（建设方）是互联网医疗健康信息系统建设和管理的主体，是信息安全管理的第一责任方，应履行数据安全保护义务，落实数据安全保护责任。