近日，国家卫生健康委、公安部、国家互联网信息办公室、国家中医药管理局、国家疾病预防控制局五部门联合印发《医疗卫生机构数据安全和个人信息保护管理办法（试行）》（国卫规划发〔2026〕6号，以下简称《办法》），将医疗卫生机构数据安全与个人信息保护纳入法治化、精细化监管轨道。作为国有资质商用密码第三方检测机构，我们严格依据《办法》原文、《密码法》《商用密码管理条例》《商用密码应用安全性评估管理办法》等上位法规，面向医疗卫生机构，就商用密码应用、分类分级保护、密评送检、检测标准等核心合规要点作权威解读，为医疗机构合规落地提供实操指引。

一、新规核心硬约束：分类分级+等保关基与商用密码深度绑定

《办法》确立核心数据、重要数据、一般数据三级分类分级保护制度，明确不同级别数据的网络安全等级保护与商用密码应用刚性要求，形成“定级—等保—密评”闭环管理。

1.分级保护底线

重要数据：须落实三级及以上网络安全等级保护要求，明确数据安全负责人与管理机构，每年开展风险评估并报送报告。

核心数据：涉及关键信息基础设施的，叠加落实关基安全保护要求；不涉及关基的，须落实四级网络安全等级保护要求；数据级别变更需同步重新等保定级备案。

2.商用密码法定绑定

《办法》第十一条明确：法律法规要求使用商用密码保护的，必须严格执行；处理核心数据在重要数据保护基础上，优先使用商用密码进行安全防护，同步落实安全可信产品服务、第三方风险评估、日志留存（不少于三年）、关键岗位背景审查等要求。

二、商用密码：医疗数据安全的法定核心屏障

结合《密码法》《商用密码管理条例》及医疗行业监管要求，商用密码是医疗卫生机构数据全生命周期安全的刚性合规要件，而非可选措施：

1.法律强制依据

《密码法》第二十七条、《商用密码管理条例》第四十一条明确：关键信息基础设施、等保三级及以上系统必须使用商用密码保护，并定期开展商用密码应用安全性评估（密评）。

2.行业专项要求

《中医医院信息与数字化建设规范（2024版）》《医疗卫生机构网络安全管理办法》均要求医疗机构同步规划、同步建设、同步运行商用密码保障系统，委托具备资质的第三方机构开展密评。

3.新规强化导向

《办法》将商用密码嵌入数据收集、存储、传输、共享、跨境等全环节，与加密、鉴权、脱敏、数字水印等技术融合使用，是防范数据泄露、篡改、越权使用的核心技术手段。

三、密评送检：合规必选项，风险防控关键抓手

依据《办法》与密评相关法规，密评送检是医疗卫生机构合规的法定必经程序，国有资质第三方检测机构的评估结论具备法定效力：

1.送检法定要求

《商用密码应用安全性评估管理办法》第六条：重要网络与信息系统运营者必须委托资质机构开展密评，未通过密评不得投入运行，运行后每年至少评估1次。

《办法》第十条、第十一条：重要数据、核心数据处理活动需定期第三方风险评估，密评是数据安全风险评估的核心组成部分，评估报告需报送属地卫健部门备案。

2.检测核心标准

密评严格依据GBT39786-2021《信息系统密码应用基本要求》，覆盖物理环境、网络通信、设备计算、应用数据四大维度，核验商用密码技术、产品、服务的合规性、正确性、有效性。

3.送检主体责任

《办法》第四条明确：医疗卫生机构对数据安全负主体责任，主要负责人为第一责任人；未落实商用密码与密评要求，将依据《数据安全法》《个人信息保护法》被约谈、整改、处罚，情节严重的责令停止执业活动。

四、医疗机构合规落地实操路径

结合《办法》要求与行业实践，医疗机构可按以下步骤完成商用密码合规与密评送检：

1.数据分类定级

按《办法》第五条—第八条梳理数据目录，识别核心重要数据，报属地卫健部门备案，明确等保与密评对象。

2.商用密码部署

核心数据优先采用国密算法（SM2SM3SM4），落实加密存储、安全传输、身份认证、权限管控，满足“三同步”要求。

3.密评送检实施

委托国家密码管理部门认定的国有资质检测机构，开展密评并出具法定评估报告，完成备案。

4.常态化运维

落实日志留存、风险监测、应急演练，每年定期复评，确保商用密码持续有效运行。

《医疗卫生机构数据安全和个人信息保护管理办法（试行）》的实施，标志着医疗行业数据安全进入“强监管、严合规”新阶段。商用密码应用与密评送检是医疗机构守住数据安全底线、履行法定责任的核心必修课。

作为商用密码第三方检测机构，应严格遵循《办法》及相关法律法规，为医疗卫生机构提供涵盖数据分类分级、商用密码方案设计、密评检测、整改优化、合规备案等环节的全流程服务，切实帮助医疗机构夯实数据安全基础，保障合规运营，推动高质量发展。

五、《办法》全文

《医疗卫生机构数据安全和个人信息保护管理办法（试行）》（国卫规划发〔2026〕6号

来源 | 国家卫生健康委办公厅

设计 | 舒越

校正 | 朱麒霖

责编 | 王胡兵