2025年7月，海南省医疗保障局联合卫健委、药监局发布《三医真实世界数据使用管理暂行办法》（以下简称《办法》），专项治理省内医保、医疗、医药领域数据安全乱象。检查发现，部分医疗机构及科研平台长期存在系统性管理漏洞：

1、未建立数据分类分级保护制度，对健康档案、诊疗记录、医保结算等敏感数据未按风险等级区分管控，高敏感数据与一般数据混存混用；

2、未制定重要数据目录，导致生物样本库基因数据、慢性病患者全周期诊疗记录等重要数据边界模糊，缺乏针对性防护措施。

上述行为违反《数据安全法》第二十一条“建立数据分类分级保护制度”及“制定重要数据目录”的强制性要求。依据《办法》第六条，主管部门责令违规单位限期90日内完成制度重建与目录编制，并纳入年度网络安全考核一票否决项。

本案例直击数据安全治理的基础性缺失，其违法核心在于漠视分类分级与目录管理的法定框架作用：

一、制度与目录是数据安全的“地基工程”。

《数据安全法》第二十一条将分类分级和目录制定确立为强制性义务，旨在通过识别数据价值与风险，实现精准防护。本案中运营者未区分基因数据（高风险）与普通诊疗记录（中风险），导致防护资源错配，本质是对“数据风险差异性”的认知缺位。

二、管理真空必然引发系统性风险。

权责落空：无分类分级则无法明确数据安全责任人，如基因数据需专职机构管控，但混同管理致责任虚化；

防护失效：未制定目录致使重要数据（如慢性病全周期记录）未被加密存储，一旦泄露将危及患者隐私与公共科研安全。这与2024年某银行因客户数据未分级遭勒索攻击案例（处罚2000万元）逻辑一致——基础制度缺失是实际危害的根源。

三、监管以“制度合规”倒逼能力升级。

海南《办法》将整改期限与考核挂钩，体现三大趋势：

1、目录动态化：要求目录随业务更新（如新增生物样本数据需即时纳入），呼应《重要数据识别指南》“一年一评”要求；

2、防护精细化：高敏感数据强制“物理隔离+全字段加密”（《办法》第十二条），中低风险数据逻辑隔离，终结“一刀切”防护；

3、问责前置：未完成整改即“一票否决”，凸显基础制度建设的不可妥协性。