健康医疗数据跨境安全风险指标体系（新）

8.请您对一级指标的合适程度进行判定，指标及其内涵分别是：

（1）发生可能性：指特定的健康医疗数据跨境安全风险事件（如数据泄露、滥用、篡改等）发生的概率。

（2）后果严重性：指健康医疗数据跨境安全风险事件一旦发生，对国家安全、经济运行、社会秩序、公共利益、组织权益及个人权益造成的损害程度。

10.请您对发生可能性维度下二级指标的合适程度进行判定，指标及其内涵分别是：

（1）数据：指来源于数据自身的风险。

（2）境内处理者：指来源于数据出境发起方的风险。

（3）跨境通道：指来源于数据跨境传输或访问过程中的风险。

（4）境外处理者：指来源于数据接收方的风险。

12.请您对后果严重性维度下二级指标的合适程度进行判定，指标及其内涵分别是：

  说明：本部分新增“影响经济运行”和“影响社会秩序”，与GB/T 43697-2024《数据安全技术 数据分类分级规则》保持一致。

（1）影响国家安全：指风险发生后对政权、主权、领土完整、社会发展等国家重大利益的影响。

（2）影响经济运行：指风险发生后对国民经济、重要产业、行业、区域等经济运行与发展的影响。

（3）影响社会秩序：指风险发生后对社会基本生活生产秩序的影响。

（2）影响公共利益：指风险发生后对社会全体成员或大部分成员共同利益造成的损害。

（3）影响组织权益：指风险发生后对相关组织（如医院、企业）自身造成的直接或间接损失。

（4）影响个人权益：指风险发生后对数据所涉及的个人主体造成的具体伤害。

14.请您对数据指标下三级指标的合适程度进行判定，指标及其内涵分别是：

（1）数据内容：指因为数据内容的敏感性、重要性等引发风险的可能性。数据内容越敏感、重要，其价值越大，越可能引发风险。

（2）数据规模：指因为数据量级、覆盖范围等引发风险的可能性。数据规模越大，涉及人群越多，越可能引发风险。

16.请您对境内处理者指标下三级指标的合适程度进行判定，指标及其内涵分别是：

18.请您跨境通道指标下三级指标的合适程度进行判定，指标及其内涵分别是：

  说明：本部分删除“自然灾害”，因有专家反馈目前大多存在异地备份，该威胁发生可能性较小，影响也较小；将“网络与系统漏洞”修改为“网络安全等级”，通过组织的网络安全等级认证情况体现网络和系统的水平。

（1）网络安全等级：指因数据跨境涉及的网络和系统存在漏洞而引发风险的可能性，网络安全等级越高，系统和网络抗威胁能力越强，风险发生可能性越低。

（2）网络攻击：指数据在跨境过程中遭受的有组织、有预谋的恶意网络行为而引发风险的可能性。

（3）服务商行为：指提供跨境服务的供应商无意或恶意行为而而引发风险的可能性。

20.请您境外处理者指标下三级指标的合适程度进行判定，指标及其内涵分别是：

（1）境外处理者数量：指因境外处理者数量而引发风险的可能性。数据出境后涉及的处理者数量越多，数据流转的环节就越多，越可能引发风险。

（2）数据保护水平：指境外接收方因其数据安全方面管理制度、技术能力等综合水平而引发风险的可能性。保护水平越低，数据在境外被滥用或再次泄露的可能性就越高。

（3）合同违约：指因境外接收方违反双方数据出境协议中约定义务而引发风险的可能性。如超出授权范围处理数据、未履行数据安全保障义务等。

（4）所在地政策：指境外接收方所在地区数据安全政策引发风险的可能性。如数据保护力度低于境内、存在数据本地化、强制披露等条款。

（5）地缘政治冲突：指地缘政治博弈、国际制裁、双边关系恶化而引发风险的可能性。如数据被扣押或被政治化利用等。

22.请您对影响国家安全指标下三级指标的合适程度进行判定，指标及其内涵分别是：

（1）影响国家政治安全：指风险发生后对我国政治稳定方面的损害程度。

（2）影响国家重点领域安全：指风险发生后对我国科技、卫生健康、生物、资源等重点领域造成的损害程度。

24.请您对影响经济运行指标下三级指标的合适程度进行判定，指标及其内涵分别是：

（1）影响行业发展：指风险发生后对我国行业内部的业务经营、技术进步、产业生态等的影响。

（2）影响地区发展：指风险发生后对我国地市、省等区域的影响。

26.请您对影响社会秩序指标下三级指标的合适程度进行判定，指标及其内涵分别是：

（1）影响生活秩序：指风险发生后对人民衣食住行等生活秩序方面的影响。

（2）影响生产秩序：指风险发生后对对社会团体的科研、经营等生产秩序方面的影响。

28.请您对影响公共利益指标下三级指标的合适程度进行判定，指标及其内涵分别是：

（1）影响卫生服务：指风险发生后对健康监测、疾病预防、健康管理等卫生服务的影响程度。

（2）影响卫生资源：指风险发生后对人力、物力、财力等卫生资源的影响程度。

30.请您对影响组织权益指标下三级指标的合适程度进行判定，指标及其内涵分别是：

（1）造成经济损失：指因数据泄露事件给相关组织带来的直接和间接的经济损失。

（2）造成名誉损失：指数据安全事件对组织的声誉、公信力和品牌形象造成的负面影响。

32.请您对影响个人权益指标下三级指标的合适程度进行判定，指标及其内涵分别是：

（1）损害人身安全：指风险发生后导致个人生命健康收到伤害，如错误数据导致的医疗事故。

（2）损害人格尊严：指风险发生后导致个人遭受社会歧视、名誉扫地，精神受到严重打击，如基因缺陷、特殊疾病史等导致个体受歧视。

（3）损害个人财产：指风险发生后导致个人遭受财产损失，如个人信息被用于电信诈骗、身份盗用、恶意骗保等。

35.您在进行以上指标是否合适的判断过程中，以下判断依据对您的影响如何？