案例应用单位简介：某医院是浙中西唯一省级综合三甲医院、全国唯一在县域的省级医院，同时也是全国最年轻的A+等级公立医院。2020年，经教育部批准，依托医院建设“一带一路”国际医学院和浙江大学国际健康医学研究院，现已形成“三院一体”协同发展模式。医院积极探索医疗数字化改革新路径，建成了5G移动数字医院、远程医疗急救体系和医共体无人机配送等创新应用，实现了“院内院外一体化，线上线下同质化”。

近年来，信息技术飞速发展，卫生健康行业正经历着前所未有的变革。医疗数字化改革作为医疗服务创新的重要方向，对于提升患者就医体验、医疗服务质量与效率，推进医院管理具有重要意义，在此过程中，医疗健康数据为其提供了关键支撑。

随着医疗健康数据的巨大价值潜力日益凸显，数据安全问题也随之而来，合规有效地开展数据安全治理工作是防范医疗健康数据泄露的重要举措，而数据分类分级是数据安全治理工作开展的必要前提条件。根据《中共中央 国务院关于构建数据基础制度更好发挥数据要素作用的意见》（即“数据20条”），结合卫生健康行业对于医疗健康数据分类分级相关政策文件的要求，该医院携手世平信息在浙江省探索开展医疗健康数据分类分级治理方法和实践。

• 针对问题/应用场景

（1）在目前的标准与操作中，默认的数据分类分级基本单元不一致。标准编制者通常基于业务需求对数据进行分类，将最小的分类单位（子类）作为数据分级的基本单元；数据梳理人员往往基于数据库字段进行分类分级，因为自动化扫描工具针对的是数据库结构，而不是业务应用。

（2）以基于业务分类的子类为基本单元不合理。数据分级必须考虑数据的重要性、敏感性及相关影响要素，而基于业务划分的数据子类可能包含不同重要或敏感级别的数据元素和字段，因此不适合作为分类分级的基本单元。

（3）将数据库字段作为基本单元不合理。首先，在数据标准化程度不高的实际场景中，字段异名和重复现象普遍，这会增加冗余并妨碍有效管理。其次，单个字段的重要性或敏感度可能有限，但其组合可能会产生高度的重要性和敏感度，这意味着需要考虑字段的组合作用。此外，对于非结构化数据等不同类型的数据，可能需要通过分析数据内容来确定其重要性和敏感度，而非仅依赖字段名称。

• 创新点

在医疗健康数据分类分级实践中，创新引入国内首创的“数据资产单元”概念，明确以“数据资产单元”为数据分类分级基本单元，从而突破在数据分类分级基本单元概念上模糊不清、标准与操作的基本单元不一致这一长期存在的数据分类分级瓶颈，同时解决因基于业务分类的子类为基本单元而带来的数据元定级不合理，以及以数据库字段为基本单元带来的涵盖面单一而呈现冗杂等诸多症结问题。数据资产单元的认定原则为：将相似特性、相同安全级别的数据元集合在一起，形成一个数据资产单元，从而清晰化、简化对数据元重要性与敏感度的认知和把握，便于对数据的安全属性标注和在维度上的检索，便于数据资产管理。

• 关键技术及其先进性

医疗健康数据分类分级治理方法旨在建立一套全面的医疗健康数据管理系统。该系统可以根据数据的敏感性和重要性将数据分类分级，以确保数据的安全性和合规性。其关键技术包括：

（1）数据分类访问控制：根据数据的分类分级，医疗机构可以实施不同级别的数据访问控制策略。不同级别的数据根据分类分级设定不同的访问权限，以保护敏感数据。例如，一级数据可以被所有医务人员访问，但二级数据只能被特定的授权医生或相关的研究人员访问。通过细分数据访问权限，可以确保敏感数据只能被有权访问的人员或系统获得。

（2）数据高度互操作性：在不同医疗机构或系统之间共享和交换数据时，通过分类分级可以大幅提高数据的互操作性。将数据按照统一的分类分级标准进行归类，可以使不同系统之间更容易对接和共享数据。这样可以促进医疗机构之间的数据协同合作，提高患者诊疗效果。

（3）患者信息隐私管理：在医疗机构中，患者的个人健康数据需要进行分类分级，以便进行更好地管理和保护。例如，基本的个人身份信息如姓名、联系方式可以划分为一级数据，而包含详细病历信息和诊断结果的数据可以划分为二级数据。这样的分类分级可以帮助确保敏感数据的隐私性和安全性。

• 应用效果

（1）明确了分类分级基本单元，弥合标准与操作中的基本单元分歧。构建了一套“数据资产单元”作为分类分级基本单元，一方面映射依据《WS/T787-2021国家卫生信息资源分类与编码管理规范》形成的分类体系中的对应数据，另一方面映射数据清单中的数据库字段，从而解决了“标准和操作基本单元不一致”问题和“分类分级基本单元是什么”问题。

（2）解决了“以基于业务分类的子类为基本单元不合理”问题。以“数据资产单元”区分数据子类中应定为不同级别的对应数据，从而每个基本单元中的数据元定级更合理。

（3）解决“以数据库字段为基本单元形成严重冗杂”问题。本案例构建的数据资产单元数以百计，大幅降低了基本单元的数量级及其标注、处理复杂度，利于数据资产管理。

（4）解决了“以数据库字段为基本单元模态单一”问题。本案例构建的数据资产单元既可以映射数据库字段，又可以根据需要映射其它模态的数据元，如关键数据内容、非结构化数据特征等。

（5）解决了“字段组合、数据汇聚融合时定级变化”问题。本案例构建的数据资产单元既可以是单独字段的集合，也可以是字段组合的集合，或是其它数据资产单元的组合，根据需要应对数据汇聚融合时可能发生的重要性、敏感度变化。

• 社会效益（推广性）

在本次医疗健康数据分类分级治理实践开展过程中，共治理该院数据资产单元1200余项，形成一份完整的院内数据分类分级资产清单。本案例已完成省级学会委托医疗健康数据分类分级课题1项、形成医疗健康数据资产目录1份、参与相关国家行业标准制订1份、编制完成浙江省级团体标准1份、形成研究报告1份，同时与相关安全设备实现联动，有效保护了医疗健康数据资产在重大活动和被动攻击中的安全性，突破了长期困扰业界的落地难瓶颈，不仅能够帮助医疗健康领域提高数据管理效率、提供更为精准的数据隐私保护，还能为浙江省与全国医疗健康领域及其他行业领域的数据分类分级、数据资产管理的规范细化完善和全面实施，提供了一个全新的有效路径指引和实践案例。