为指导医疗卫生机构加强网络安全管理，近日，国家卫生健康委、国家中医药局、国家疾控局制定印发了《医疗卫生机构网络安全管理办法》（下称《办法》）。

　　《办法》要求各医疗卫生机构依据相关标准科学确定网络的安全保护等级，新建的网络上线运行前应进行安全性测试，新建信息化项目的网络安全预算不低于项目总预算的5%。

　　《办法》提出，各医疗卫生机构应成立网络安全和信息化工作领导小组，由单位主要负责人任领导小组组长，每年至少召开一次网络安全办公会，部署安全重点工作，落实《关键信息基础设施安全保护条例》和网络安全等级保护制度要求。有二级及以上网络的医疗卫生机构应明确负责网络安全管理工作的职能部门，明确承担安全主管、安全管理员等职责的岗位；建立网络安全管理制度体系，加强网络安全防护，强化应急处置，在此基础上对关键信息基础设施实行重点保护，防止网络安全事件发生。

　　《办法》要求，各医疗卫生机构开展人脸识别或人脸辨识时，应同时提供非人脸识别的身份识别方式，不得因数据主体不同意收集人脸识别数据而拒绝数据主体使用其基本业务功能，人脸识别数据不得用于除身份识别之外的其他目的，包括但不限于评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等。各医疗卫生机构应采取安全措施存储和传输人脸识别数据，包括但不限于加密存储和传输人脸识别数据，采用物理或逻辑隔离方式分别存储人脸识别和个人身份信息等。

　　各医疗卫生机构应严格规定不同人员的权限，加强数据使用过程中的申请及批准流程管理，确保数据在可控范围内使用，加强日志留存及管理工作，杜绝篡改、删除日志的现象发生，防止数据越权使用。各数据使用部门和数据使用人须严格按照申请所述用途与范围使用数据，对数据的安全负责。未经批准，任何部门和个人不得将未对外公开的信息数据传递至部门外，不得以任何方式将其泄露。

　　《办法》明确，如发生个人信息和数据泄露，或者出现重大网络安全事件的，按《网络安全法》《密码法》《基本医疗卫生与健康促进法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》以及网络安全等级保护制度等法律法规处理。