文/王萍萍 许 俊 丁国徽

人类生物信息指人类生物体中包含的全部信息，如基因组信息、蛋白质、核酸和糖类等生物大分子的结构等，能够反映人类的运动状态和方式。人类生物信息通常包含两类具有显著不同本源属性的生物数据：生物体遗传信息和非生物体遗传信息。[1]人类生物信息不仅与科研相关，也与人类社会和日常生活发展密切相关，蕴藏着巨大的军事应用价值、经济价值和社会价值。

一、人类生物信息安全现状

人类生物信息安全是指对个人基因组序列、生物样本、医疗记录和生物信息数据等重要生物信息的保护和管理，以确保这些信息不被滥用、盗窃、泄露或篡改。人类生物信息安全对于保护个人隐私权、促进科学研究和技术创新、促进医疗卫生信息化、维护社会公平和正义、保障国家安全和社会稳定发挥着重要作用。

人类生物信息安全标准化工作是一项基础性、战略性和全局性的工作。标准化可以提供统一的规范和准则，确保生物信息在收集、存储、传输和使用过程中的安全性，促进不同机构和研究团队之间的合作和信息共享，有助于提高人类生物信息安全的整体水平，为相关行业提供统一的参考和指导，推动生物信息领域的发展和创新。

我国具有较好的人类生物信息资源工作基础，但整体安全意识淡薄，人类生物信息资源存储与利用渠道均严重依赖国外，其生物信息的所有权和掌控权受到严重制约；在国际上，我国在对重要生物信息数据库的管理共享和利用规则或标准制定上缺乏发言权、话语权和主导权，这严重影响着我国对生物信息的整合和利用；我国的人类生物信息技术发展和商业化开发水平较低，随着数字化技术的发展，其新型交易监管也有待加强。[2]

二、人类生物信息安全标准化发展现状

1. 国际标准化现状

生物信息安全领域的国际标准主要由国际标准化组织（ISO）发布，主要技术组织包括：ISO/IEC JTC 1（信息技术）和ISO/TC 215（健康信息学）。ISO/IEC JTC 1为ISO和国际电工委员会（IEC）共同成立的技术委员会，负责制定信息技术领域的国际标准。ISO/TC 215负责制定健康信息学领域的国际标准，以促进与健康相关的数据、信息和知识的捕获、交换和使用。

ISO/IEC JTC 1设有23个分技术委员会和16个工作组，与人类生物信息安全关系密切的分别为ISO/IEC JTC 1/SC 17（用于个人识别的卡和安全设备）、ISO/IEC JTC 1/SC 27（信息安全、网络安全和隐私保护）和ISO/IEC JTC 1/SC 37（生物特征识别）。ISO/IEC JTC 1已发布标准3 416项，与人类生物信息安全相关的标准仅为125项，占比3.66%，涉及生物特征数据交换格式、生物识别技术、生物特征性能测试和报告、生物特征身份认证服务、生物特征样本质量和基因组信息表示等要求。

ISO/TC 215设有1个分技术委员会和18个工作组，与人类生物信息安全密切的分别为ISO/TC 215/SC 1（基因组信息学）、ISO/TC 215/JWG 7：ISO/TC 215-IEC/SC 62A 联合工作组（安全、有效和可靠的健康软件和健康IT系统）和ISO/TC 215/WG 4（安保、安全和隐私）。ISO/TC 215已发布标准232项，与人类生物信息安全相关的标准有56项，占比24.14%，涉及健康信息共享、个人健康数据流动过程中的保护、电子健康记录存档的安全、电子健康记录通信安全性等要求。

2. 国内标准化现状

我国的《网络安全法》《生物安全法》《数据安全法》《个人信息保护法》《人类遗传资源管理条例实施细则》等相关法律法规的实施，标志着我国个人信息保护立法体系进入新的阶段。这些法律法规涉及网络安全、人类遗传资源安全和生物资源安全、我国人类遗传资源和生物资源采集、保藏、利用、对外提供等活动的管理和监督、伦理原则等，对重点保护公共通信和信息服务、金融、公共服务、电子政务等重要行业与领域的关键信息、基础设施等保障人类遗传资源和生物资源安全等提出要求，强调了国家对我国人类遗传资源和生物资源享有主权。其中，对相关的标准化工作提出相应的要求，如《人类遗传资源管理条例实施细则》规定，由科技部会同国务院有关部门与省级科技行政部门，推动我国科研机构、高等学校、医疗机构和企业依法依规开展人类遗传资源保藏工作，推进标准化、规范化的人类遗传资源保藏基础平台和大数据建设等，这些要求将有效推动我国人类生物信息安全标准的制定工作。

我国人类生物信息安全领域的标准制定主要由全国信息技术标准化技术委员会（TC 28）、全国信息安全标准化技术委员会（TC 260）、全国金融标准化技术委员会（TC 180）、全国生物样本标准化技术委员会（TC 559）、全国安全防范报警系统标准化技术委员会（TC 100）和中国通信标准化协会等国内多个技术标准组织承担。如TC 28侧重于信息采集、表示、处理、传输、交换、管理、组织、存储和检索的系统和工具的规范、设计和研制等专业领域的标准化工作。TC 28下设19个分技术委员会，与生物信息安全关系密切的主要有卡及身份识别安全设备分技术委员会（SC 17）和生物特征识别分技术委员会（SC 37）。TC 260侧重于信息安全标准的制定工作，TC 559侧重于生物样本的采集、处理、存储、管理、分发和应用所涉及的相关技术、方法和产品等标准的制定。TC 100侧重于安全防范报警系统、产品等专业领域的标准化工作，TC 100下设2个分技术委员会，与生物信息安全相关的主要是人体生物特征识别应用分技术委员会（SC 2）。

2015年—2018年期间， TC 28、TC 260、TC 180等国内多个技术标准组织共同发力，构建了一个以“终端层、生物特征识别技术层、身份认证与安全、金融应用层”为骨架，覆盖全产业链各个环节标准化需求的标准体系。[3]

本文在全国标准信息公共服务平台以生物特征、生物信息、信息安全、指纹、人脸、掌纹、虹膜、基因数据管理、生物样本和伦理等为关键词进行了检索，检索到的标准数量见图1。

图1 人类生物信息安全领域标准数量

TC 28发布的标准占比超过50%，具体分布见图2。

图2 人类生物信息安全领域国家标准数量构成

行业标准主要集中在公共安全领域，在已发布的与人类生物信息安全相关的61个标准中，有48个均为该领域标准，占比高达78.7%。部分人类生物信息安全领域国内标准见表2。

表2 人类生物信息安全领域国内标准（部分）

随着数字化时代科技的不断发展，人们对于个人隐私保护的关注度持续提升，尤其是2021年《个人信息保护法》的出台，为个人信息权益保护、信息处理者的义务和主管机关的职权范围提供了全面的、体系化的法律依据。基于此，国内相关的标准化技术委员会相继发力，使人类生物信息安全相关的国内标准数量增速较快。其中，尤以GB/T 35273-2020最为突出，该标准更加侧重于对个人隐私信息的保护，是个人信息安全领域最基础、最重要和影响最为广泛的国家标准，对后续个人信息保护工作的开展将产生深远影响。[4]人类生物信息安全相关标准自发布以来的数量变化趋势见图3。虽然，近两年国内标准数量有所增加，但是与现实需求仍有很大差距，需要不断健全现有标准体系，全面提升人类生物信息安全水平。

图3 人类生物信息安全领域国内和国际标准各年份数量分布

三、人类生物信息安全标准体系建设研究

为了更好地支撑人类生物信息技术研究，保障人类生物信息安全，推动人类生物信息研究的全面发展，填补人类生物信息安全标准体系研制的空白，本文结合人类生物信息安全相关标准的探索和研究，初步构建了人类生物信息安全标准体系框架（见图4）。本文将标准体系划分为5个子体系，再根据标准化的技术、流程和方法等内容逐项细分。

图4 人类生物信息安全标准体系框架

1. 通用基础

名词术语标准为保证人类生物信息安全，依据生物信息技术相关标准中的元数据、完全公开共享、去标识化和匿名化等建立了一套统一的、定义清晰的专业术语；数据模型框架标准提供了在标准体系框架、标准构成和研究中涉及的相关模型描述，指导人类生物信息相关研究工作；数据分类分级标准根据信息安全和生物安全等不同要求，对人类生物信息进行不同维度的分类，再根据访问数据或信息需求，赋予相应的保护等级，为数据的精准使用和安全提供保障。

2. 平台管理

建立人类生物信息平台安全系统标准，以规范平台安全运行机制，保障平台系统安全，实现平台平稳运营；安全技术机制与安全运行维护则是通过区块链、隐私计算和数据沙箱等安全保障体系来维护人类生物信息安全平台的安全运行；从数据资产管理、数据访问权限防护与管控、数据风险监控与数据安全持续运营等维度，构建人类生物信息安全整体防护运营屏障，推动形成公共数据的人类生物信息安全应用生态体系。

3. 技术安全

数据采集作为人类生物信息安全建设的第一步，将为后续的数据分析、挖掘和安全运营等提供技术支持；数据存储被认为是数据安全中最核心的保障环节，应根据所存储的数据类型、特性、规模和机构特性等因素，确定数据资产的安全级别；数据在使用过程中可通过数据加密、数据脱敏、身份认证和访问控制等方法，对数据访问进行严格的管控、数据审计，确保人类生物信息的使用安全。

4. 服务安全

数据安全治理标准在研制时，应结合人类生物信息收集、传输、存储、处理、交换和销毁等环节，提出人类生物信息安全测评的测评要求、测评指标、测评方法和测评判定准则；服务安全能力标准将保障通信安全产品、信息技术安全产品等的服务安全，以控制信息安全、降低风险，确保生物信息安全服务持续符合要求；交换共享安全标准将明确规范数据提供者、数据使用者、数据管理者和服务第三方的职责，并在数据流动和管理等过程中，规范安全管理措施。

5. 应用服务

① 健康医疗服务

全维度、多模态、跨时空和多病种的人类生物信息采集标准的研制，有助于研究人员依据技术规范，精准、安全地获取个人健康状况，提高健康干预与管理能力，设计、开发出更有效、更可靠的医疗器械产品，为持续改善健康水平提供支撑。

② 人工智能应用

人类生物信息安全标准体系的建立，为人工智能研究提供了安全可靠的大规模、高质量科学数据样本研究环境，实现数据存储、分析的贯穿，引领互联网+健康的合作，成为人工智能大数据时代研究生物生长发育、衰老、死亡和向产业化推广的有力工具。

③ 政务数据应用

人类生物信息安全标准化在政务数据工作的应用，如政务信息资源安全分级指南、政务信息共享数据安全技术要求等标准的应用，可以有效支持政务数据信息统计工作的顺利开展，逐步促进相关法律法规的完善和制定。

四、人类生物信息安全标准化发展对策

1. 加强创新标准化工作机制

有关部门应依托政府、标准化组织、科研院所和企业等力量，完善标准转化机制，促进创新成果转移转化和开放共享，建立标准立项评估机制，从源头提升标准制定水平，促进标准管理创新；建立健全标准实施信息反馈、评估、结果运用、宣贯培训和反馈机制，提高标准制定全流程管理效果，提升标准质量水平；完善试点培育和标准奖励机制，鼓励更多的社会团体和企业参与标准制定工作。

2. 加快科研转化和标准研制

《国家标准化发展纲要》把“推动标准化与科技创新互动发展”放在五大任务之首，提出要加强关键技术领域标准研究，以科技创新提升标准水平，健全科技成果转化为标准的机制。当前，新一轮科技革命和产业变革正在重构全球创新版图，标准化与科技创新的关系愈发紧密。科技产品周期短，技术更新快，尤其是重点领域和新兴领域，要加快推进标准研制工作，争取主动权和话语权。

3. 加强国际标准化交流与合作

人类生物信息安全一直受到国际社会的关注和重视。加强国际标准化组织之间的合作，有助于各国之间分享经验和最佳实践，共享标准化资源和信息，加强技术交流与培训，推动标准化工作在全球范围内的应用和推广，促进全球生物信息安全水平的提升。

五、结 语

人类生物信息在维系人类生存和发展中蕴含巨大的应用价值，而标准化在保障人类生物信息安全方面发挥着重要的作用。国际、国内标准的制定和实施，可以有效保障人类生物信息安全，促进生物技术的健康发展，实现人类生物信息的安全利用和价值最大化。