欧盟医疗健康行业数据保护合规检查清单

适用范围：适用于在欧盟境内运营或面向欧盟个人提供医疗健康服务的组织（医院、诊所、电子健康平台、医疗SaaS、实验室、保险健康服务等），重点覆盖个人健康数据处理的隐私与安全合规。
法规框架基线：GDPR（EU 2016/679）、ePrivacy 指令（2002/58/EC 及成员国实施法）、NIS2（EU 2022/2555，按各成员国落实的国家法规）、（如适用）MDR 医疗器械法规（EU 2017/745）。并参考 EDPB 指南、ENISA 指南及国际标准（ISO/IEC 27001/27701、IEC 81001-5-1、IEC 62304 等）。

—
下表为按领域分类的可执行检查项目，含检查要点、合规依据与证据要点。优先级分为：必须（法律强制或核心高风险）、高（强烈建议/常见审计重点）、中（提升成熟度/降低残余风险）。

一、治理与问责（Accountability）

二、合法性基础与特殊类别数据

三、数据保护影响评估（DPIA）与风险管理

四、数据主体权利

五、处理者与第三方管理（含云服务）

六、跨境数据传输

七、安全措施（技术与组织）— 处理安全（Art.32）

八、电子通信与Cookie（ePrivacy）

九、数据生命周期管理（保留与删除）

十、科研与二次使用（如适用）

十一、医疗器械与健康软件（如适用）

—

合规要求与参考标准说明（精选）

• 法律与监管

  • GDPR（EU 2016/679）：核心条款 Art.5（原则）、Art.6/9（合法性与特殊类别）、Art.12–22（数据主体权利）、Art.25（隐私设计/默认）、Art.30（处理记录）、Art.32（安全）、Art.33/34（泄露通报）、Art.35（DPIA）、Chapter V（跨境传输）
  • ePrivacy 指令及成员国实施法：电子通信保密、Cookie/追踪、直销限制
  • NIS2（EU 2022/2555）：对医疗保健等“重要/关键实体”的网络与信息系统安全及重大事件通报要求（以各成员国转置法为准）
  • MDR（EU 2017/745）：对构成医疗器械的软件适用的安全与性能要求
  • 成员国卫生与患者保密法：医疗记录保存、职业保密、患者访问日志等（需以当地法为准）

• 标准与指南（实施参考）

  • ISO/IEC 27001:2022（信息安全管理）、ISO/IEC 27701（隐私信息管理）、ISO/IEC 27017/27018（云与公有云PII保护）
  • ENISA 医疗行业网络安全指南与假名化最佳实践
  • EDPB 跨境传输补充措施建议（Recommendations 01/2020）、DPIA相关指南
  • IEC 81001-5-1（健康软件网络安全—开发生命周期要求）、IEC 62304（医疗器械软件生命周期）
  • HL7 FHIR 安全与IUA/SMART on FHIR授权、IHE ATNA/XUA 审计与访问控制配置文件
  • ISO/TS 25237（健康信息假名化）、ISO 20889（去识别技术）

—

实施建议与注意事项

• 建立单一事实来源：以数据清单/数据流为核心，联动ROPA、DPIA、传输登记、供应商清单，确保“一处变更全域更新”。
• 将合规要求内化到技术基线：把Art.25/32要求转化为工程控制基线（访问控制、加密、日志、加固、变更门禁），纳入CI/CD与变更管理。
• 明确双重通报机制：为GDPR与NIS2分别设定触发标准与时序，优先遵循更严格时限，建立跨法域通报联络表与模板。
• 本地化差异管理：成员国对医疗保留期限、患者访问日志、儿童同意年龄、电子通信细则存在差异，建立“国家差异矩阵”并在产品/流程中参数化配置。
• 供应链透明与冗余：对关键云与托管服务建立退出计划与数据返还/删除测试；定期验证备份可恢复性，覆盖临床关键系统。
• 假名化与科研分域：将科研/分析环境与临床生产环境分域隔离，采用密钥分离与访问审批，减少再识别风险。
• 加强用户行为监测：对异常访问病历和大批量导出建立行为分析与告警，结合最小化导出与水印溯源。
• 保持时效性：持续跟踪成员国对NIS2的落地法规与主管机构指南，以及欧盟对跨境传输、医疗数据空间等后续规则更新。

—
如需，我可根据贵机构的系统架构（本地/云、EHR品牌、远程医疗模块、科研数据平台等）与成员国所在地，进一步细化为系统级检查脚本与取证清单。

美国加州（SaaS云服务）系统运维合规检查清单

适用范围：

• 适用于在美国加州设有业务、或处理加州居民个人信息（Personal Information, PI）的SaaS云服务提供商。
• 检查重点聚焦系统运维（Ops/SRE/CloudOps/DevOps）环节对隐私与安全合规的落地，包括配置、变更、监控、备份、事件响应、数据生命周期等。
• 法规基线：CCPA/CPRA（Cal. Civ. Code §1798.100 et seq.）、CPRA实施细则（Cal. Code Regs. tit. 11, §7000–§7304）、合理安全措施（Cal. Civ. Code §1798.81.5）、加州数据泄露通知（Cal. Civ. Code §1798.29、§1798.82）。行业/联邦专项（如HIPAA/GLBA）如适用请叠加执行。

按领域分类的检查项目表格

注：上述部分条目属于“合理安全措施”和业界通行标准要求，并非加州法律逐条规定的技术细节；其目的是将CPRA的“合理、安全、最小化、存储限制、合同控制、DSR可执行”等义务转化为系统运维可操作检查点。

合规要求与参考标准说明（摘要）

• 加州隐私与数据安全
  • CCPA/CPRA：Cal. Civ. Code §§1798.100–1798.199.100（含服务商/承包商义务、数据最小化、目的/保存限制、DSR权利、敏感PI处理限制等）
  • CPRA实施细则：Cal. Code Regs. tit. 11, §§7000–7304（消费者请求流程、通知、合同要素、去标识化要求等的操作化规范）
  • 合理安全措施：Cal. Civ. Code §1798.81.5（要求采取合理的安全程序与实践保护PI）
  • 数据泄露通知：Cal. Civ. Code §§1798.29、1798.82（发生泄露时“不得无故拖延”通知；加密且密钥未泄露通常不触发通知）
• 框架与标准（用于证明“合理安全”与业界实践）
  • NIST CSF 2.0、NIST SP 800-53 rev.5、NIST SP 800-61r2（事件响应）、NIST SP 800-92（日志）、NIST SP 800-57（密钥管理）、NIST 800-218（SSDF）
  • ISO/IEC 27001:2022、27017（云安全）、27018（云隐私）
  • AICPA SOC 2 Trust Services Criteria（Security/Availability/Confidentiality/Privacy）
  • CIS Controls v8、CIS Benchmarks，CSA CCM v4
• 契约控制（服务商/承包商）
  • CPRA要求与受托处理者签订合同，包含：仅按指示处理、不得出售/共享PI、保密义务、适当技术/组织措施、协助履行DSR、允许审核、次级处理约束、删除/返还、国际传输限制等（见Cal. Civ. Code §1798.100(d)、§1798.140定义与11 CCR相关条款）

实施建议与注意事项

• 数据与系统基线

  • 建立数据处置目录（Record of Processing）映射到云资产清单；为每一类PI设定明确“目的与保留期限”，并在日志与备份策略中同步体现，避免超期保存。
  • 对生产数据复制到测试/分析环境实行脱敏/去标识，并由变更流程管控。

• 运维流程与证据

  • 将所有高风险操作（访问开通、生产变更、紧急修复、备份恢复、密钥操作）纳入工单系统与审批闭环，保留审计轨迹不少于一年（依据业务/法律目的与最小化原则设定）。
  • 每年至少一次桌面演练与一次技术演练（事件响应、灾备切换、DSR删除在备份环境的执行路径）。

• 技术控制要点

  • 在云平台启用组织级防护：强制MFA、SSO、条件访问、资源标记、策略准入（如AWS SCP、Azure Policy）、配置漂移告警。
  • 统一日志与可观测性平台，明确对PI访问、管理平面操作、网络边界事件的检测规则与告警SLA。
  • 密钥统一托管（KMS/HSM），对备份、数据湖、对象存储、数据库实行静态加密；对跨境/跨区域复制前进行合规评估。

• 第三方与合同

  • 所有触达PI的第三方均需“服务提供商/承包商”合同条款；审核其SOC 2/ISO证据与渗透测试报告；对次级处理者列入清单并公告/审批。
  • 对日志与监控外包方同样适用合同条款与安全尽调，避免将含PI日志无控制地输出至第三方。

• 泄露通报与沟通

  • 预制泄露通知模板（含法定要素）；建立加密豁免判断流程与法务门槛；同态化练习“72小时内内部通报与决策”，对外通知遵循“不得无故拖延”。

• 常见偏差与修复优先级

  • 未区分生产/非生产导致PI外泄至开发环境（优先：环境隔离+脱敏）
  • 公开存储桶或弱加密（优先：资产发现+策略准入+KMS强制）
  • 漏洞发现无SLA与例外泛滥（优先：按CVSS/可利用性定义SLA与例外到期）
  • 备份可用但恢复未验证（优先：季度恢复演练、记录RTO/RPO）

• 变更管理与发布窗口

  • 在高峰/敏感期（促销、报税季等）实施冻结窗口；紧急变更需CTO/CISO级批准并48小时内复盘。

• 说明

  • CPPA关于网络安全审计与风险评估的专项规定在2024年仍处于拟议状态（不作为强制条款引用）；建议关注CPPA最新公告以适时更新检查清单。
  • 若处理受监管数据（如PHI/GLBA/学生数据），请叠加适用的联邦/行业规范（HIPAA、GLBA Safeguards Rule、COPPA、FERPA等）。

如需，我可以将本清单转换为可执行的审计打分表（含证据样例、严重度与整改建议）、或对贵司当前云平台（AWS/Azure/GCP）基于CIS Benchmark映射生成更细化的检查脚本与工单模板。