5月25日，基于“精准医学计划：隐私和信任指导原则”，美国发布了“精准医学计划：数据安全政策指导原则与框架”^[1]。该指导原则与框架参考国家标准与技术研究所（NIST）的网络安全框架（Cybersecurity Framework）制定，旨在为精准医学计划数据安全政策的实施提供指导，有效保护参与者数据资源安全。

数据安全管理不能“一刀切”，该指导原则与框架强调，组织机构应以其特定的数据安全需求出发，开发适用的实施细则，需重点遵循以下原则：

（1）建立提升参与者信任度的机制。即以“优先考虑参与者”为导向，确定并处理相关的数据安全风险。

（2）充分考虑医学发展快速、不断出现新技术，以及由此带来的数据安全的变化这一特征。因此，研究机构不仅应把数据安全作为其工作重点，而且要确保安全管理流程和安全控制具有很强的适应性，并能不断更新。

（3）保持数据完整性，使参与者、研究人员、、医生和其他卫生保健人员可根据数据作出判断。

（4）确定关键风险因素，并在推动科研进步的同时，制定风险评估和管理计划。

（5）为参与者提供明确的数据安全预期和透明的数据安全管理流程。

（6）通过安全实践和安全控制对数据进行保护，但允许参与者访问其自身数据，并允许研究对数据的正当使用。

（7）将数据泄露风险降到最低，并提高参与者和研究人员对相关责任的了解，以提高参与者的信任度。

（8）推动机构间交流，分享数据安全管理的经验和挑战。

（许丽）