CSA GCR：保护云中医疗健康数据隐私（2022）（23页）.pdf

1、 2022 云安全联盟大中华区版权所有1保护云中医疗健康数据隐私保护云中医疗健康数据隐私 2022 云安全联盟大中华区版权所有3序序言言数字经济时代， 医疗健康数据的开发利用有利于广大民众的健康生活， 但同时作为一类特殊的隐私数据，患者、医生包括医疗机构等全产业链的数据安全面临着巨大的泄漏风险。随着云计算技术在医疗行业的广泛普及， 网络和平台安全受到云服务商的有效保护， 但是数据的交换与传输不仅需要云服务商技术层面的保护，还需要企业从数据治理，合规层面做出相应的安全管控。如何保证云端的医疗健康数据尤其是敏感的隐私数据的安全， 需要数据控制者和数据处理者从数据的全生命周期考虑安全， 数据安全是数

2、据治理的重要组成部分， 在企业数字化转型中需要重点考虑。本白皮书结合业内最佳实践从隐私工程、风险评估、隐私监管几个方面阐述了云端医疗健康数据的保护策略，对企业和从业者有非常好的借鉴作用，可作为云安全治理，隐私安全评估工作的参考。李雨航 Yale LiCSA 大中华区主席兼研究院院长 2022 云安全联盟大中华区版权所有4致致谢谢保护云中医疗健康数据隐私(Protecting the Privacy of Healthcare Data in the Cloud)一文由CSA 健康信息管理工作组专家编写，CSA 大中华区秘书处组织翻译并审校。中中文文版版翻翻译译专专家家组组（排名不分先后）：中文

3、版翻译专家组（排名不分先后）：组长：童磊翻译组：黄瑞侯汉书李娇娇罗春罗晓兰马嘉魏东薛琨周星宇审校组：史宇航王岩赵晨明张亮姚凯郭鹏程感谢以下单位对本文档的支持与贡献：北京奇虎科技有限公司北京威联科技有限公司北京北森云计算股份有限公司北京谷安天下科技有限公司浙江大华技术股份有限公司杭州世平信息科技有限公司杭州虎符网络有限公司启明星辰信息技术集团股份有限公司上海物盾信息科技有限公司兴业数字金融服务（上海）股份有限公司英英文文版版本本编编写写专专家家主要作者: Dr. James Angle合作者: Michael RozaCSA 全球工作人员: Vince CampitelliAlex Kaluza

4、Claire Lehnert (Design)AnnMarie Ulskey (Cover)在此感谢以上专家。如译文有不妥当之处，敬请读者联系CSA GCR秘书处给与雅正!联系邮箱：researchc-；云安全联盟CSA公众号。 2022 云安全联盟大中华区版权所有5目目录录序言.3致谢.4摘要.6介绍.61 隐私工程.72 风险评估.93 隐私法规.113.1 创建.123.2 存储.133.3 使用.133.4 共享.143.5 存档.153.6 销毁.154 讨论.165 结论.17参考.18附录 A- 隐私影响评估样本格式.19附录 B 数据保护影响评估(DPIA)模板示例.21 20

5、22 云安全联盟大中华区版权所有6摘摘要要隐私安全取决于合法访问、使用和更改信息的决策。隐私安全搭建了一个框架，用于决定合法获得访问和更改信息权力的主体（Bamauer,2013）。科技推动了前所未有的创新、经济发展以及社会服务的改善。特别是在医疗领域，科技赋予的价值与个人健康信息的收集息息相关。理想情况下，科技在最大化个人利益的同时保护个人隐私安全。考虑到医疗数据迁移上云的趋势，且由于云上存储的大量受保护的健康数据，加剧了对于隐私安全的担忧。介介绍绍尽管已经有很多关于云安全和云隐私安全的文章和论文， 但以云隐私为主题的文章却少之又少。我们从如何看待和保护这两个角度将隐私安全和安全区分开来，并

6、赋予全新的意义。安全与隐私安全理应视为具有差异但又紧密相关的话题。传统意义上以机密性、完整性和可用性（缩写为CIA）为基本原则的数据安全广为人知，而本文所指的隐私安全则是在预定义和批准的前提下（如同意），充分处理和利用个人信息的一种数据保护形式。隐私安全可以通过不同方法和工具实现，通常是依据法律、地方政策或个人（如患者）对医疗信息使用的意愿。隐私安全讨论包含合法访问、使用以及更改信息等很多具有争议的决策（Bamauer,2013）。在医疗领域，由于出现了针对于云信息系统的高级持久性威胁和针对性攻击，侵犯患者隐私问题的关注度日益增加.将隐私安全从安全中独立分离具有重要的实际意义。 隐私安全搭建了