近日，“严守医疗数据安全”被国家卫健委等14部门列为行业年度反腐纠风工作的独立任务，全国100多万医疗机构迎来更为严峻的数字安全合规大考。

　　一份由中国医院协会信息专业委员会近日发布，覆盖全国近八百家医疗机构的行业调研报告（《医院数据安全调查报告》，以下简称“调研”）显示，近年来，医院对网络安全投入逐年增加，防统方、数据访问控制、数据审计等数据安全防护手段日益完备。

　　但与此同时，约七成受访医院数据安全建设仍受限于资金投入不足。在法律层面，虽然“个人敏感信息”“最小数据范围”等原则已确立，但医疗行业的落地标准还有待完善。此外，第三方监管规范的缺位，让医院面对AI应用时，可能陷入进退两难的合规困境。

　　医疗数据安全进入治理“大年”

　　在业界人士看来，2026年是医疗数据安全治理的“大年”。

　　一方面，“三医”数据的共享、开放与协同治理被提升至一个新高度，真实世界研究、新药临床试验和互联网诊疗加速铺开，医疗AI大模型也从技术探索走向临床一线；另一方面，今年上半年，加强患者信息与机构信息保护，频繁出现于多部委的监管文件中。数据安全已不仅是公立医院绩效考核中的硬性指标，也是医院合规经营的红线。

　　近年来，《网络安全法》《数据安全法》《个人信息保护法》《网络数据安全管理条例》密集落地，三级医院评审、电子病历分级评价、互联互通测评也陆续将数据安全列为硬性考核指标。

　　今年上半年，多部门强监管的信号密集释放。

　　2月，国家卫健委会同公安部、国家网信办等部门联合印发《医疗卫生机构数据安全和个人信息保护管理办法（试行）》，强调个人信息是特别重要的一种数据，当达到一定精度、规模时，个人信息要按照数据分类分级管理要求，纳入国家重要数据目录进行重点保护；

　　该办法同时明确，医疗卫生机构对本单位数据安全和个人信息保护管理负主体责任，县级以上医疗卫生机构应当成立网络安全和信息化工作领导小组，每年至少召开一次医疗卫生机构数据安全和个人信息保护会议。

　　4月，中央网信办等三部门启动卫生健康领域个人信息保护专项治理。

　　6月，国家卫健委等14部门联合发布《关于印发2026年纠正医药购销领域和医疗服务中不正之风工作要点的通知》，将“严守医疗数据安全”作为独立任务单列，提出强化医疗数据全流程监管，完善数据使用审查与追溯机制，规范行业数据安全管理，严禁泄露、倒卖及非授权使用，坚决遏制数据牟利，切实保障患者隐私与个人信息安全。

　　尤为值得注意的是，今年14部门专项整治的重点指向借助第三方以科研名义变相实施“带金销售”等不法行为。

　　也就是说，医院数据合规目标的达成，亟需在院内临床科研、信息管理以及医保办、药剂科等职能部门之间形成合力，以应对数据安全泄露和商业贿赂的双重合规风险。同时，医院数据治理的责任并不止步于“院墙之内”，也需延伸至第三方等“院外”合作场景。

　　仅约三成受访医院实现临床科研个人敏感数据脱敏

　　根据前述行业调研，医疗机构对相关监管要求的落实工作已取得阶段性进展，但在执行深度与覆盖广度上，仍未达到预期目标，治理水平还有较大提升空间。

　　这份调研覆盖全国31个省（区、市），共回收有效问卷720份。样本结构具有一定代表性：三级医院占比55.42%，公立医院高达93.61%；在规模分布上，开放床位数“501-1000张”与“≤250张”的医疗机构占比均约26%，实现了对不同体量医院的均衡覆盖。

　　根据调研结果，首先是法规认知“冷热不均”，落地执行待深化。

　　积极的一面在于，97.5%的医院知晓《数据安全法》和《个人信息保护法》。依据“两法”，63.33%的医院认为需在门诊挂号、住院办理等业务流程中加入病人数据采集处理的告知与请求同意步骤，72.36%的医院认为需完成数据分类分级工作。

　　但政策落地“最后一公里”梗阻明显——仅57.5%的医院完成制度修订，32.64%已开展合规建设，近七成医院仍处于“计划中”。

　　其次，在一些数据安全治理的关键环节和关键应对技术投入上，医院仍存在核心能力短板。

　　在与第三方合作中，84.86%的医院与合作对象仅靠保密协议，仅26.11%做数据脱敏，43.19%实现权限闭环；同时重对外防御、轻内部监管，员工违规访问、数据滥用风险突出，进一步加剧三角矛盾。

　　在医学科研个人敏感信息保护中，分别有约六成和五成的医院采取了“设置访问权限”和“签署保密协议”等管理层面的做法。但对于“数字脱敏”“数据匿名化处理”“建设面向临床科研应用的大数据中心”和“数据及时销毁”的核心技术，医院投入占比则分别为33.6%、25.69%、17.92%、12.92%。

　　换言之，在医院数字安全治理中，仍存在一定的“强管理、弱技术”的问题。

　　短板背后

　　医院数据安全工作短板背后，与缺人、缺钱，缺标准等多重因素有关。

　　根据调研，75.14%的医院反映缺乏数据安全专业能力支持，认为缺少资金支持的医院占比同样超过七成。另外分别有四成左右医院认为缺少医院高层支持和医院内部配合程度低。

　　针对医院在数据安全领域亟需开展的工作，选择“开展数据分类分级工作，识别敏感数据”的医院数量最多，达到200家。

　　但掣肘恰恰在于细化标准尚不明确。

　　调研认为，《网络安全法》《数据安全法》《个人信息保护法》等法律法规在医疗健康领域实施，还需要建立相应的标准细则和实施指南，以适应医疗健康领域中不同场景情况下，对数据安全和开放使用的许可和制约。

　　例如，《个人信息保护法》提到的“个人敏感信息”内容的范围分类与定义，“最小数据范围”采集的原则与标准，“个人信息去标识化”的规范性要求和技术措施标准值等。

　　AI在数据安全领域有较大的应用价值。根据调研，多地医院正在积极部署具有AI能力的数据安全功能模块。医院在推进AI+数据安全建设时，倾向于将技术应用于资产盘点、数据库审计及异常行为检测等领域。

　　但AI的投入，在某种程度上也放大了资金和标准的短板问题。其中，AI应用全流程安全管理制度尚不健全，第三方合作管理规范存在缺位，将进一步加剧医疗机构在AI应用中的合规与安全顾虑。

　　不过，在补足这些阶段性短板之后，大数据分析与人工智能技术，有望推动医院变“被动防御”为“主动防控”。

　　根据调研，目前，近八成医院表明医院开展数据安全能力建设的动力来源于“合规需求”，而认同数字安全基础设施投入是为了“更好地为患者提供服务”和“促进数据的应用”占比则相对较低，分别为62.82%和49.86%，仍有较大提升空间。