为规范智能医疗数据全生命周期处理活动，保障个人健康信息权益、公共卫生安全和国家数据安全，促进智能医疗产业健康有序发展，根据《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》《中华人民共和国基本医疗卫生与健康促进法》等法律法规，制定本办法。

### 第一章 适用范围
本办法适用于中华人民共和国境内各级各类医疗卫生机构、互联网医疗服务平台、智能医疗设备生产运营企业、医疗科研机构、第三方医疗数据服务商等主体，在开展智能辅助诊疗、药物研发、公共卫生预警、健康管理服务、医保智能审核等活动中涉及的医疗数据采集、存储、加工、使用、传输、提供、公开、销毁等全流程处理行为。

### 第二章 分类分级管理
国家对智能医疗数据实行分类分级保护制度，根据数据属性、敏感程度、泄露后的危害程度，对不同类别的数据匹配差异化管理要求：
1. **类别划分**：智能医疗数据分为个人健康医疗数据、公共卫生监测数据、临床科研与产业应用数据三大类别。其中个人健康医疗数据包含个人身份标识、诊疗记录、基因信息、生物识别数据、精神健康信息、传染病史等核心敏感内容，为重点保护对象。
2. **等级划分**：从高到低分为核心敏感级、重要级、一般级三个等级。核心敏感级数据（如罕见病患者信息、基因测序数据、未成年人健康数据）的处理需经过专门安全评估，仅限授权人员在封闭办公环境下按需访问；重要级数据（如群体性公共卫生监测数据、批量脱敏诊疗记录）的跨主体共享需报属地卫生健康及网信部门备案；一般级数据（如完全匿名化的行业运行统计数据）可按规定面向产业和科研领域开放。

### 第三章 全流程处理规范
#### （一）采集环节
所有智能医疗数据采集需遵循“最小必要、知情同意”原则，明确告知数据主体采集目的、使用范围、留存期限及自身权益，不得默认勾选同意、不得强制采集与服务场景无关的数据。智能医疗设备的采集功能需通过国家医疗数据安全检测后方可上市使用。
#### （二）存储环节
智能医疗数据需按照国家相关要求实行境内存储，确需向境外提供的需经过国家数据出境安全评估。存储系统需符合网络安全等级保护第三级及以上要求，对核心敏感数据实行端到端加密存储，定期开展容灾备份演练，防范数据丢失、篡改风险。
#### （三）使用环节
用于智能医疗模型训练、临床科研等场景的数据，需先进行去标识化或匿名化处理，不得直接使用可识别个人身份的原始数据。商业机构使用个人健康医疗数据开展增值服务的，需单独取得数据主体的明确授权，不得将数据使用授权与基础医疗服务挂钩。
#### （四）销毁环节
超出留存期限、数据主体提出删除请求或相关服务终止后，相关主体需对存储的智能医疗数据进行不可逆销毁，不得私自留存备份。

### 第四章 主体责任与权益保障
1. **责任划分**：开展智能医疗数据处理活动的主体为数据安全第一责任人，需设立专门的医疗数据安全管理岗位，定期开展数据安全风险评估和从业人员安全培训，每年度向属地监管部门提交数据安全合规报告。
2. **权益保障**：数据主体有权查询、复制、更正本人的健康医疗数据，有权要求处理主体删除违规采集的本人数据。发生数据泄露、篡改等安全事件时，处理主体需在24小时内启动应急响应，向监管部门报备，并告知受影响的用户及相关风险。

### 第五章 监督管理与法律责任
卫生健康、网信、公安、医保、市场监管等部门建立智能医疗数据联合监管机制，定期开展行业安全检查，建立违规主体黑名单制度。
对于未经授权采集、泄露、买卖智能医疗数据，或违规向境外提供数据的行为，由相关部门依法处以罚款、暂停业务、吊销执业资质等处罚；造成个人权益损害的，依法承担民事赔偿责任；构成犯罪的，依法追究刑事责任。

### 附则
本办法自XXXX年XX月XX日起施行，由国家卫生健康委员会会同国家互联网信息办公室负责解释，各地可结合本地实际制定实施细则。

本文由AI大模型（Doubao-Seed-1.6）结合行业知识与创新视角深度思考后创作。