国家卫生健康委关于印发国家健康医疗大数据标准、安全和服务管理办法(试行)的通知
国卫规划发〔2018〕23号
各省、自治区、直辖市及新疆生产建设兵团卫生计生委,委机关各司局,委直属和联系单位,国家中医药局:
为加强健康医疗大数据服务管理,促进“互联网+医疗健康”发展,充分发挥健康医疗大数据作为国家重要基础性战略资源的作用,根据相关法律法规,我委研究制定了《国家健康医疗大数据标准、安全和服务管理办法(试行)》(可从国家卫生健康委员会官网下载)。现印发你们,请遵照执行。
国家卫生健康委员会
2018年7月12日
(信息公开形式:主动公开)
国家健康医疗大数据标准、安全和服务管理办法
(试行)
第一章 总则
第一条 为加强健康医疗大数据服务管理,促进“互联网+医疗健康”发展,充分发挥健康医疗大数据作为国家重要基础性战略资源的作用,根据《中华人民共和国网络安全法》等法律法规和《国务院促进大数据发展行动纲要》《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》《国务院办公厅关于促进“互联网+医疗健康”发展的意见》等文件精神,就健康医疗大数据标准、安全和服务管理,制定本办法。
第二条 我国公民在中华人民共和国境内所产生的健康和医疗数据,国家在保障公民知情权、使用权和个人隐私的基础上,根据国家战略安全和人民群众生命安全需要,加以规范管理和开发利用。
第三条 坚持以人为本、创新驱动,规范有序、安全可控,开放融合、共建共享的原则,加强健康医疗大数据的标准管理、安全管理和服务管理,推动健康医疗大数据惠民应用,促进健康医疗大数据产业发展。
第四条 本办法所称健康医疗大数据,是指在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据。
第五条 本办法适用于县级以上卫生健康行政部门(含中医药主管部门,下同)、各级各类医疗卫生机构、相关单位及个人所涉及的健康医疗大数据的管理。
第六条 国家卫生健康委员会(含国家中医药管理局,下同)会同相关部门负责统筹规划、指导、评估、监督全国健康医疗大数据的标准管理、安全管理和服务管理工作。县级以上卫生健康行政部门会同相关部门负责本行政区域内健康医疗大数据管理工作,是本行政区域内健康医疗大数据安全和应用管理的监管单位。
各级各类医疗卫生机构和相关企事业单位是健康医疗大数据安全和应用管理的责任单位。
第二章 标准管理
第七条 健康医疗大数据标准管理工作遵循政策引领、强化监督、分类指导、分级管理的原则。
第八条 国家卫生健康委员会负责统筹规划、组织制定全国健康医疗大数据标准,监督指导评估标准的应用工作,在已有的基础性通用性大数据标准基础上组织制定健康医疗大数据标准体系规划,负责制定、组织实施年度健康医疗大数据标准工作计划。省级卫生健康行政部门(含省级中医药主管部门)负责监督指导评估本地区健康医疗大数据标准的应用工作,依据国家健康医疗大数据标准体系规划,结合本地实际,负责指导和监督健康医疗大数据标准体系在本省域内落地执行。
第九条 国家卫生健康委员会鼓励医疗卫生机构、科研教育单位、相关企业或行业协会、社会团体等参与健康医疗大数据标准制定工作。公民、法人或者其他组织可提出制修订健康医疗大数据标准的立项建议,并提交相应标准项目建议书。
第十条 国家卫生健康委员会负责统一组织实施,择优确定健康医疗大数据标准起草单位和负责人,提倡多方参与协作机制,由各相关单位组成协作组参与标准起草工作。
第十一条 健康医疗大数据标准起草、审查及发布的程序和要求,按照国家和行业有关规定执行。
第十二条 卫生健康行政部门应当对健康医疗大数据标准的实施加强引导和监督,充分发挥各级各类医疗卫生机构、相关企业等市场主体在标准应用实施中的积极性和主动性,建立激励和促进标准应用实施的长效管理机制。
第十三条 卫生健康行政部门应当建立相应的健康医疗大数据标准化产品生产和采购的激励约束机制,卫生健康行政部门要积极推进健康医疗大数据标准规范和测评工作,并将测评结果与医疗卫生机构评审评价挂钩。
第十四条 国家卫生健康委员会加强健康医疗大数据技术产品和服务模式的标准体系及制度建设,组织对健康医疗大数据标准应用效果评估工作,并根据评估情况,对相关标准进行组织修订或废止等。
第十五条 国家卫生健康委员会基于卫生标准管理平台,动态管理健康医疗大数据标准的开发与应用,对各级各类医疗卫生机构和企事业单位的标准应用情况进行动态监测。
第三章 安全管理
第十六条 健康医疗大数据安全管理是指在数据采集、存储、挖掘、应用、运营、传输等多个环节中的安全和管理,包括国家战略安全、群众生命安全、个人信息安全的权责管理工作。
第十七条 责任单位应当建立健全相关安全管理制度、操作规程和技术规范,落实“一把手”责任制,加强安全保障体系建设,强化统筹管理和协调监督,保障健康医疗大数据安全。
涉及国家秘密的健康医疗大数据的安全、管理和使用等,按照国家有关保密规定执行。责任单位应当建立健全涉及国家秘密的健康医疗大数据管理与使用制度,对制作、审核、登记、拷贝、传输、销毁等环节进行严格管理。
第十八条 责任单位应当采取数据分类、重要数据备份、加密认证等措施保障健康医疗大数据安全。责任单位应当建立可靠的数据容灾备份工作机制,定期进行备份和恢复检测,确保数据能够及时、完整、准确恢复,实现长期保存和历史数据的归档管理。
第十九条 责任单位应当按照国家网络安全等级保护制度要求,构建可信的网络安全环境,加强健康医疗大数据相关系统安全保障体系建设,提升关键信息基础设施和重要信息系统的安全防护能力,确保健康医疗大数据关键信息基础设施和核心系统安全可控。健康医疗大数据中心、相关信息系统等均应开展定级、备案、测评等工作。
第二十条 健康医疗大数据相关系统的产品和服务提供者应当遵守国家有关网络安全审查制度,不得中断或者变相中断合理的技术支持与服务,并应当为健康医疗大数据在不同系统间的交互、共享和运营提供安全与便利条件。
第二十一条 责任单位应当依法依规使用健康医疗大数据有关信息,提供安全的信息查询和复制渠道,确保公民隐私保护和数据安全。
第二十二条 责任单位应当按照《中华人民共和国网络安全法》的要求,严格规范不同等级用户的数据接入和使用权限,并确保数据在授权范围内使用。任何单位和个人不得擅自利用和发布未经授权或超出授权范围的健康医疗大数据,不得使用非法手段获取数据。
第二十三条 责任单位应当建立严格的电子实名认证和数据访问控制,规范数据接入、使用和销毁过程的痕迹管理,确保健康医疗大数据访问行为可管、可控及服务管理全程留痕,可查询、可追溯,对任何数据泄密泄露事故及风险可追溯到相关责任单位和责任人。
第二十四条 建立健全健康医疗大数据安全管理人才培养机制,确保相关从业人员具备健康医疗大数据安全管理所要求的知识和技能。
第二十五条 责任单位应当建立健康医疗大数据安全监测和预警系统,建立网络安全通报和应急处置联动机制,开展数据安全规范和技术规范的研究工作,不断丰富网络安全相关的标准规范体系,重点防范数据资源的集聚性风险和新技术应用的潜在性风险。发生网络安全重大事件,应当按照相关法律法规和有关要求进行报告并处置。
第四章 服务管理
第二十六条 国家卫生健康委员会负责制定健康医疗大数据应用领域相关规范、标准,建立健康医疗大数据应用诚信机制和退出机制,制定健康医疗大数据挖掘、应用的安全和管理规范。
第二十七条 责任单位实施健康医疗大数据管理和服务,应当按照法律法规和相关文件规定,遵循医学伦理原则,保护个人隐私。
第二十八条 责任单位应当根据本单位健康医疗大数据管理的需求,明确相应的管理部门和岗位,按照国家授权,实行“统一分级授权、分类应用管理、权责一致”的管理制度,并建设相应的健康医疗大数据信息系统作为技术和管理支撑。
第二十九条 责任单位采集健康医疗大数据,应当严格执行国家和行业相关标准和程序,符合业务应用技术标准和管理规范,做到标准统一、术语规范、内容准确,保证服务和管理对象在本单位信息系统中身份标识唯一、基本数据项一致,所采集的信息应当严格实行信息复核终审程序,做好数据质量管理。
第三十条 责任单位应当具备符合国家有关规定要求的数据存储、容灾备份和安全管理条件,加强对健康医疗大数据的存储管理。健康医疗大数据应当存储在境内安全可信的服务器上,因业务需要确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估审核。
第三十一条 责任单位选择健康医疗大数据服务提供商时,应当确保其符合国家和行业规定及要求,具备履行相关法规制度、落实相关标准、确保数据安全的能力,建立数据安全管理、个人隐私保护、应急响应管理等方面管理制度。
第三十二条 责任单位委托有关机构存储、运营健康医疗大数据,委托单位与受托单位共同承担健康医疗大数据的管理和安全责任。受托单位应当严格按照相关法律法规和委托协议做好健康医疗大数据的存储、管理与运营工作。
第三十三条 责任单位应当结合服务和管理工作需要,及时更新、甄别、优化和维护健康医疗大数据,确保信息处于最新、连续、有效、优质和安全状态。
第三十四条 责任单位发生变更时,应当将所管理的健康医疗大数据完整、安全地移交给承接延续其职能的机构或本行政区域内的卫生健康行政部门,不得造成健康医疗大数据的损毁、丢失和泄露。
第三十五条 责任单位向社会公开健康医疗大数据时,应当遵循国家有关规定,不得泄露国家秘密、商业秘密和个人隐私,不得侵害国家利益、社会公共利益和公民、法人及其他组织的合法权益。
第三十六条 责任单位应当加强健康医疗大数据的使用和服务,创造条件规范使用健康医疗大数据,推动部分健康医疗大数据在线查询。
第三十七条 国家卫生健康委员会负责按照国家信息资源开放共享有关规定,建立健康医疗大数据开放共享的工作机制,加强健康医疗大数据的共享和交换,统筹建设健康医疗大数据上报系统平台、信息资源目录体系和共享交换体系。
第五章 管理监督
第三十八条 卫生健康行政部门应当加强监督管理,对本行政区域内各责任单位健康医疗大数据安全管理工作开展日常检查,指导监督本行政区域内各责任单位数据综合利用工作,提高数据服务质量和确保安全。各级各类医疗卫生机构应当接入相应区域全民健康信息平台,传输和备份医疗健康服务产生的数据,并向卫生健康行政部门开放监管端口。
第三十九条 卫生健康行政部门应当加强监测评估,定期开展健康医疗大数据平台和服务商的稳定和安全测评及健康医疗大数据应用的安全监测评估,建立网络安全防护、系统互联共享、公民隐私保护等软件评价和安全审查保密制度。
第四十条 卫生健康行政部门会同相关部门建立健康医疗大数据安全管理工作责任追究制度。对于违反本办法规定的单位和个人,由主管部门视情节轻重予以约谈、督导整改、诫勉、通报批评、处分或提出给予处分的建议;构成违法的,移送司法部门依法追究法律责任。
第六章 附则
第四十一条 本办法自印发之日起施行。
链接:《国家健康医疗大数据标准、安全和服务管理办法(试行)》解读稿
一、《国家健康医疗大数据标准、安全和服务管理办法(试行)》的背景和意义是什么?
党中央、国务院高度重视健康医疗大数据的创新发展。习近平总书记指出,要运用大数据促进保障和改善民生,推进“互联网+医疗”等,让百姓少跑腿、数据多跑路,不断提升公共服务均等化、普惠化、便捷化水平。李克强总理强调,发展和应用好健康医疗大数据,是一项重大民生工程,既可以满足群众需求,也能促进培育新业态、形成新的经济增长点。
近年来,“云大物移智”等新兴技术与健康医疗加速融合,健康医疗大数据蓬勃发展,带来健康医疗模式的深刻变化,有利于激发深化医药卫生体制改革的动力和活力,提升健康医疗服务效率和质量,扩大资源供给,不断满足人民群众多层次、多样化的健康需求,有利于培育新的业态和经济增长点,正在成为国家重要的基础性战略资源。但健康医疗大数据作为新兴事物,也遇到一些新情况、新问题,需要及时加以引导规范。
为贯彻落实习近平总书记“网络强国”战略思想,加强对健康医疗大数据的服务管理,促进“互联网+医疗健康”发展,进一步强化对健康医疗大数据的政策指引,充分发挥健康医疗大数据作为国家重要基础性战略资源的作用,根据《中华人民共和国网络安全法》等法律法规和《国务院关于印发深化标准化工作改革方案的通知》《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》《国务院办公厅关于促进“互联网+医疗健康”发展的意见》等文件精神,国家卫生健康委员会组成专门工作组,深入开展研究、广泛听取各方面意见,特别是在充分总结福建、江苏、山东、安徽、贵州五省健康医疗大数据中心试点经验基础上,研究制定了《国家健康医疗大数据标准、安全和服务管理办法(试行)》(以下简称《试行办法》)。
《试行办法》起草过程中,坚持以人为本,突出健康医疗大数据的使用和服务,创造条件规范使用健康医疗大数据,延伸和丰富服务内容,更好满足人民健康医疗需求。坚持共建共享,鼓励政府和社会力量合作,推动形成各方支持、依法开放、便民惠民、蓬勃发展的良好局面,充分释放数据红利。坚持安全可控,妥善处理应用发展与保障安全的关系,突出增强安全技术支撑能力,保护个人隐私和信息安全。《试行办法》进一步明确了各级卫生健康行政部门、各级各类医疗卫生机构、相关应用单位及个人在健康医疗大数据标准管理、安全管理、服务管理中的责权利,对于统筹标准管理、落实安全责任、规范数据服务管理具有重要意义。
二、《试行办法》的主要内容是什么?如何从标准管理、安全管理、服务管理三个方面加以规范?
健康医疗大数据的应用发展,标准是前提,安全是保障,服务是目的。《试行办法》明确健康医疗大数据的定义、内涵和外延,以及制定办法的目的依据、适用范围、遵循原则和总体思路等,明确各级卫生健康行政部门的边界和权责,各级各类医疗卫生机构及相应应用单位的责权利,并对三个方面进行了规范。一是标准管理,明确开展健康医疗大数据标准管理工作的原则,以及各级卫生健康行政部门的工作职责。提倡多方参与标准管理工作,完善健康医疗大数据标准管理平台,并对标准管理流程、激励约束机制、应用效果评估、开发与应用等作出规定。二是安全管理,明确健康医疗大数据安全管理的范畴,建立健全相关安全管理制度、操作规程和技术规范,落实“一把手”负责制,建立健康医疗大数据安全管理的人才培养机制,明确了分级分类分域的存储要求,对网络安全等级保护、关键信息基础设施安全、数据安全保障措施、数据流转全程留痕、数据安全监测和预警、数据泄露事故可查询可追溯等重点环节提出明确的要求。三是服务管理,明确相关方职责以及实施健康医疗大数据管理服务的原则和遵循,实行“统一分级授权、分类应用管理、权责一致”的管理制度,明确了责任单位在健康医疗大数据产生、收集、存储、使用、传输、共享、交换和销毁等环节中的职能定位,强化对健康医疗大数据的共享和交换。同时,在管理监督方面,强调了卫生健康行政部门日常监督管理职责,要求各级各类医疗卫生机构接入相应区域全民健康信息平台,并向卫生健康行政部门开放监管端口。定期开展健康医疗大数据应用的安全监测评估,并提出建立健康医疗大数据安全管理工作责任追究制度。
三、《试行办法》在标准管理方面有什么具体举措?
标准是信息化建设的基础性制度。《试行办法》按照“政策引领、强化监督、分类指导、分级管理”的基本原则,加强加强健康医疗大数据标准管理工作。《试行办法》提出,健康医疗大数据标准起草、审查及发布的程序和要求,按照国家和行业有关规定执行,同时,结合卫生健康行业实际提出了一些具体举措。在标准制定方面,提倡多方参与协作,积极鼓励医疗卫生机构、科研院所、行业学会协会、社会团体和相关企业参与健康医疗大数据的标准制定工作。在标准落地方面,各级卫生健康行政部门负责对健康医疗大数据标准的实施加强引导和监督,充分调动并发挥各级各类医疗卫生机构、相关企业等市场主体在标准应用实施中的积极性和主动性,通过建立激励约束机制推动标准的落地落实。在标准管理方面,国家卫生健康委通过不断完善健康医疗大数据标准管理平台,以实现对健康医疗大数据标准开发与应用的动态管理。通过组织对健康医疗大数据标准应用的效果评估,推动实现对健康医疗大数据标准的制修订或废止等相关工作。
四、《试行办法》在安全管理方面是如何界定主体责任和监管责任的?
健康医疗大数据是国家重要的基础性战略资源,健康医疗大数据的安全关系到国家战略安全、国家生物安全、人民生命安全和公民个人隐私安全。《试行办法》既突出了健康医疗大数据安全和应用管理责任单位的主体责任,又突出了监管单位的监管责任。关于责任单位的主体责任方面,一是责任单位要落实“一把手”负责制,建立健全健康医疗大数据相关管理与使用制度,强化统筹管理和协调监督。二是责任单位要严格落实网络安全等级保护制度,建立健全实名认证访问控制机制、网络安全通报机制和应急处置联动机制,切实加强容灾备份、加密认证、准确恢复等安全保障措施,定期对相关信息系统开展定级、备案和测评工作。三是人才培养方面,责任单位应建立健全安全管理人才培养机制,为相关从业人员培训安全管理所需的知识和技能,为健康医疗大数据应用发展提供人才保障。关于监管单位的监管责任方面,监管单位要建立健全健康医疗大数据安全管理工作责任追究制度,完善软件评价和安全审查保密制度,定期开展健康医疗大数据应用的安全监测评估,切实保障健康医疗大数据安全。
五、《试行办法》在服务管理方面对数据采集、存储、利用、共享等环节提出了哪些明确要求?
《试行办法》明确,在推动健康医疗大数据应用发展过程中,严格遵守相关法律法规和文件规定,在强化标准管理和安全管理的基础上,寓管理于服务之中,为提升健康医疗大数据的服务能力和管理水平奠定基础。在数据采集方面,责任单位要严格执行国家和行业相关标准和程序,要做到标准统一、术语规范、内容准确,并严格实行信息复核终审程序,确保数据质量。在数据存储方面,健康医疗大数据应当存储在境内,因业务需要向境外提供时,应按相关法律法规和要求进行安全评估审核。在服务提供方面,要确保服务提供商具备履行相关法规制度、落实相关标准和确保数据安全的能力,并建有安全管理、隐私保护等管理制度。在数据利用方面,责任单位应坚持包容审慎的态度,加强数据的规范应用和服务,推动部分健康医疗大数据在线查询,同时,不得泄露国家秘密、商业秘密和个人隐私,切实保障各相关方合法权益。在数据共享方面,国家卫生健康委负责建立健康医疗大数据开放共享机制,统筹建设资源目录体系和数据共享交换体系,强化对健康医疗大数据全生命周期的服务与管理。
六、对《试行办法》的下一步工作有什么考虑?
我们将加强宣贯解读工作,推动各地卫生健康主管部门和相关单位准确理解把握《试行办法》精神、政策举措和具体要求。加强督促落实,及时指导各地解决文件落地执行中面临的问题,确保各项政策举措落到实处、发挥作用、产生实效。鼓励探索创新,各地可以结合实际,研究制定实施举措。
同时,考虑到健康医疗大数据是一项新生事物,推动健康医疗大数据的应用发展更是一项创新性工作,未知大于已知,我们将跟踪文件实施情况,及时提炼总结该文件在试行过程中出现的问题和经验,以便进一步完善健康医疗大数据的标准管理、安全管理和服务管理,促进健康医疗大数据规范有序发展。
天水市卫生计生委综合监督执法局麦积分局
长按下方二维码图片,点击“识别图中二维码”,关注麦积卫生计生监督公众号(微信号:mjwsjsjd)
更多信息,请点击“阅读原文”
欢迎提出建议意见,请点击“写留言”