剛剛,國家健康醫療大資料標準、安全和服務管理辦法(試行)出臺!
9月13日,動脈網(公眾號:vcbeat)瞭解到,國家衛生健康委員會正式釋出了《關於印發國家健康醫療大資料標準、安全和服務管理辦法(試行)的通知(下簡稱:《通知》。
《通知》中提到,為加強健康醫療大資料服務管理,促進“網際網路+醫療健康”發展,充分發揮健康醫療大資料作為國家重要基礎性戰略資源的作用,根據相關法律法規,國家衛生健康委員會研究制定了《國家健康醫療大資料標準、安全和服務管理辦法(試行)》(下簡稱:《試行辦法》)。
解讀稿中,總結了以下幾個關鍵點:
> > > >
一、《試行辦法》的起草方向:
《試行辦法》充分總結了福建、江蘇、山東、安徽、貴州五省健康醫療大資料中心試點經驗基礎。
《試行辦法》起草過程中,堅持以人為本,突出健康醫療大資料的使用和服務,創造條件規範使用健康醫療大資料,延伸和豐富服務內容,更好滿足人民健康醫療需求。
堅持共建共享,鼓勵政府和社會力量合作,推動形成各方支援、依法開放、便民惠民、蓬勃發展的良好局面,充分釋放資料紅利。堅持安全可控,妥善處理應用發展與保障安全的關係,突出增強安全技術支撐能力,保護個人隱私和資訊保安。
《試行辦法》進一步明確了各級衛生健康行政部門、各級各類醫療衛生機構、相關應用單位及個人在健康醫療大資料標準管理、安全管理、服務管理中的責權利,對於統籌標準管理、落實安全責任、規範資料服務管理具有重要意義。
> > > >
二、《試行辦法》的核心
《試行辦法》明確健康醫療大資料的定義、內涵和外延,以及制定辦法的目的依據、適用範圍、遵循原則和總體思路等,明確各級衛生健康行政部門的邊界和權責,各級各類醫療衛生機構及相應應用單位的責權利,並對三個方面進行了規範。
一是標準管理,明確開展健康醫療大資料標準管理工作的原則,以及各級衛生健康行政部門的工作職責。提倡多方參與標準管理工作,完善健康醫療大資料標準管理平臺,並對標準管理流程、激勵約束機制、應用效果評估、開發與應用等作出規定。
二是安全管理,明確健康醫療大資料安全管理的範疇,建立健全相關安全管理制度、操作規程和技術規範,落實“一把手”負責制,建立健康醫療大資料安全管理的人才培養機制,明確了分級分類分域的儲存要求,對網路安全等級保護、關鍵資訊基礎設施安全、資料安全保障措施、資料流轉全程留痕、資料安全監測和預警、資料洩露事故可查詢可追溯等重點環節提出明確的要求。
三是服務管理,明確相關方職責以及實施健康醫療大資料管理服務的原則和遵循,實行“統一分級授權、分類應用管理、權責一致”的管理制度,明確了責任單位在健康醫療大資料產生、收集、儲存、使用、傳輸、共享、交換和銷燬等環節中的職能定位,強化對健康醫療大資料的共享和交換。
同時,在管理監督方面,強調了衛生健康行政部門日常監督管理職責,要求各級各類醫療衛生機構接入相應區域全民健康資訊平臺,並向衛生健康行政部門開放監管埠。定期開展健康醫療大資料應用的安全監測評估,並提出建立健康醫療大資料安全管理工作責任追究制度。
> > > >
三、《試行辦法》的標準管理
標準是資訊化建設的基礎性制度。《試行辦法》按照“政策引領、強化監督、分類指導、分級管理”的基本原則,加強加強健康醫療大資料標準管理工作。
《試行辦法》提出,健康醫療大資料標準起草、審查及釋出的程式和要求,按照國家和行業有關規定執行,同時,結合衛生健康行業實際提出了一些具體舉措。在標準制定方面,提倡多方參與協作,積極鼓勵醫療衛生機構、科研院所、行業學會協會、社會團體和相關企業參與健康醫療大資料的標準制定工作。在標準落地方面,各級衛生健康行政部門負責對健康醫療大資料標準的實施加強引導和監督,充分調動併發揮各級各類醫療衛生機構、相關企業等市場主體在標準應用實施中的積極性和主動性,
附《試行辦法》原文:
國衛規劃發〔2018〕23號 各省、自治區、直轄市及新疆生產建設兵團衛生計生委,委機關各司局,委直屬和聯絡單位,國家中醫藥局: 為加強健康醫療大資料服務管理,促進“網際網路+醫療健康”發展,充分發揮健康醫療大資料作為國家重要基礎性戰略資源的作用,根據相關法律法規,我委研究制定了《國家健康醫療大資料標準、安全和服務管理辦法(試行)》(可從國家衛生健康委員會官網下載)。現印發你們,請遵照執行。 國家衛生健康委員會 2018年7月12日 (資訊公開形式:主動公開) 第一條 為加強健康醫療大資料服務管理,促進“網際網路+醫療健康”發展,充分發揮健康醫療大資料作為國家重要基礎性戰略資源的作用,根據《中華人民共和國網路安全法》等法律法規和《國務院促進大資料發展行動綱要》《國務院辦公廳關於促進和規範健康醫療大資料應用發展的指導意見》《國務院辦公廳關於促進“網際網路+醫療健康”發展的意見》等檔案精神,就健康醫療大資料標準、安全和服務管理,制定本辦法。 第二條 我國公民在中華人民共和國境內所產生的健康和醫療資料,國家在保障公民知情權、使用權和個人隱私的基礎上,根據國家戰略安全和人民群眾生命安全需要,加以規範管理和開發利用。 第三條 堅持以人為本、創新驅動,規範有序、安全可控,開放融合、共建共享的原則,加強健康醫療大資料的標準管理、安全管理和服務管理,推動健康醫療大資料惠民應用,促進健康醫療大資料產業發展。 第四條 本辦法所稱健康醫療大資料,是指在人們疾病防治、健康管理等過程中產生的與健康醫療相關的資料。 第五條 本辦法適用於縣級以上衛生健康行政部門(含中醫藥主管部門,下同)、各級各類醫療衛生機構、相關單位及個人所涉及的健康醫療大資料的管理。 第六條 國家衛生健康委員會(含國家中醫藥管理局,下同)會同相關部門負責統籌規劃、指導、評估、監督全國健康醫療大資料的標準管理、安全管理和服務管理工作。縣級以上衛生健康行政部門會同相關部門負責本行政區域內健康醫療大資料管理工作,是本行政區域內健康醫療大資料安全和應用管理的監管單位。 各級各類醫療衛生機構和相關企事業單位是健康醫療大資料安全和應用管理的責任單位。 第七條 健康醫療大資料標準管理工作遵循政策引領、強化監督、分類指導、分級管理的原則。 第八條 國家衛生健康委員會負責統籌規劃、組織制定全國健康醫療大資料標準,監督指導評估標準的應用工作,在已有的基礎性通用性大資料標準基礎上組織制定健康醫療大資料標準體系規劃,負責制定、組織實施年度健康醫療大資料標準工作計劃。省級衛生健康行政部門(含省級中醫藥主管部門)負責監督指導評估本地區健康醫療大資料標準的應用工作,依據國家健康醫療大資料標準體系規劃,結合本地實際,負責指導和監督健康醫療大資料標準體系在本省域內落地執行。 第九條 國家衛生健康委員會鼓勵醫療衛生機構、科研教育單位、相關企業或行業協會、社會團體等參與健康醫療大資料標準制定工作。公民、法人或者其他組織可提出制修訂健康醫療大資料標準的立項建議,並提交相應標準專案建議書。 第十條 國家衛生健康委員會負責統一組織實施,擇優確定健康醫療大資料標準起草單位和負責人,提倡多方參與協作機制,由各相關單位組成協作組參與標準起草工作。 第十一條 健康醫療大資料標準起草、審查及釋出的程式和要求,按照國家和行業有關規定執行。 第十二條 衛生健康行政部門應當對健康醫療大資料標準的實施加強引導和監督,充分發揮各級各類醫療衛生機構、相關企業等市場主體在標準應用實施中的積極性和主動性,建立激勵和促進標準應用實施的長效管理機制。 第十三條 衛生健康行政部門應當建立相應的健康醫療大資料標準化產品生產和採購的激勵約束機制,衛生健康行政部門要積極推進健康醫療大資料標準規範和測評工作,並將測評結果與醫療衛生機構評審評價掛鉤。 第十四條 國家衛生健康委員會加強健康醫療大資料技術產品和服務模式的標準體系及制度建設,組織對健康醫療大資料標準應用效果評估工作,並根據評估情況,對相關標準進行組織修訂或廢止等。 第十五條 國家衛生健康委員會基於衛生標準管理平臺,動態管理健康醫療大資料標準的開發與應用,對各級各類醫療衛生機構和企事業單位的標準應用情況進行動態監測。 第三章 安全管理 第十六條 健康醫療大資料安全管理是指在資料採集、儲存、挖掘、應用、運營、傳輸等多個環節中的安全和管理,包括國家戰略安全、群眾生命安全、個人資訊保安的權責管理工作。 第十七條 責任單位應當建立健全相關安全管理制度、操作規程和技術規範,落實“一把手”責任制,加強安全保障體系建設,強化統籌管理和協調監督,保障健康醫療大資料安全。 涉及國家祕密的健康醫療大資料的安全、管理和使用等,按照國家有關保密規定執行。責任單位應當建立健全涉及國家祕密的健康醫療大資料管理與使用制度,對製作、稽核、登記、拷貝、傳輸、銷燬等環節進行嚴格管理。 第十八條 責任單位應當採取資料分類、重要資料備份、加密認證等措施保障健康醫療大資料安全。責任單位應當建立可靠的資料容災備份工作機制,定期進行備份和恢復檢測,確保資料能夠及時、完整、準確恢復,實現長期儲存和歷史資料的歸檔管理。 第十九條 責任單位應當按照國家網路安全等級保護制度要求,構建可信的網路安全環境,加強健康醫療大資料相關係統安全保障體系建設,提升關鍵資訊基礎設施和重要資訊系統的安全防護能力,確保健康醫療大資料關鍵資訊基礎設施和核心繫統安全可控。健康醫療大資料中心、相關資訊系統等均應開展定級、備案、測評等工作。 第二十條 健康醫療大資料相關係統的產品和服務提供者應當遵守國家有關網路安全審查制度,不得中斷或者變相中斷合理的技術支援與服務,並應當為健康醫療大資料在不同系統間的互動、共享和運營提供安全與便利條件。 第二十一條 責任單位應當依法依規使用健康醫療大資料有關資訊,提供安全的資訊查詢和複製渠道,確保公民隱私保護和資料安全。 第二十二條 責任單位應當按照《中華人民共和國網路安全法》的要求,嚴格規範不同等級使用者的資料接入和使用許可權,並確保資料在授權範圍內使用。任何單位和個人不得擅自利用和釋出未經授權或超出授權範圍的健康醫療大資料,不得使用非法手段獲取資料。 第二十三條 責任單位應當建立嚴格的電子實名認證和資料訪問控制,規範資料接入、使用和銷燬過程的痕跡管理,確保健康醫療大資料訪問行為可管、可控及服務管理全程留痕,可查詢、可追溯,對任何資料洩密洩露事故及風險可追溯到相關責任單位和責任人。 第二十四條 建立健全健康醫療大資料安全管理人才培養機制,確保相關從業人員具備健康醫療大資料安全管理所要求的知識和技能。 第二十五條 責任單位應當建立健康醫療大資料安全監測和預警系統,建立網路安全通報和應急處置聯動機制,開展資料安全規範和技術規範的研究工作,不斷豐富網路安全相關的標準規範體系,重點防範資料資源的集聚性風險和新技術應用的潛在性風險。發生網路安全重大事件,應當按照相關法律法規和有關要求進行報告並處置。 第二十六條 國家衛生健康委員會負責制定健康醫療大資料應用領域相關規範、標準,建立健康醫療大資料應用誠信機制和退出機制,制定健康醫療大資料探勘、應用的安全和管理規範。 第二十七條 責任單位實施健康醫療大資料管理和服務,應當按照法律法規和相關檔案規定,遵循醫學倫理原則,保護個人隱私。 第二十八條 責任單位應當根據本單位健康醫療大資料管理的需求,明確相應的管理部門和崗位,按照國家授權,實行“統一分級授權、分類應用管理、權責一致”的管理制度,並建設相應的健康醫療大資料資訊系統作為技術和管理支撐。 第二十九條 責任單位採集健康醫療大資料,應當嚴格執行國家和行業相關標準和程式,符合業務應用技術標準和管理規範,做到標準統一、術語規範、內容準確,保證服務和管理物件在本單位資訊系統中身份標識唯一、基本資料項一致,所採集的資訊應當嚴格實行資訊複核終審程式,做好資料質量管理。 第三十條 責任單位應當具備符合國家有關規定要求的資料儲存、容災備份和安全管理條件,加強對健康醫療大資料的儲存管理。健康醫療大資料應當儲存在境內安全可信的伺服器上,因業務需要確需向境外提供的,應當按照相關法律法規及有關要求進行安全評估稽核。 第三十一條 責任單位選擇健康醫療大資料服務提供商時,應當確保其符合國家和行業規定及要求,具備履行相關法規制度、落實相關標準、確保資料安全的能力,建立資料安全管理、個人隱私保護、應急響應管理等方面管理制度。 第三十二條 責任單位委託有關機構儲存、運營健康醫療大資料,委託單位與受託單位共同承擔健康醫療大資料的管理和安全責任。受託單位應當嚴格按照相關法律法規和委託協議做好健康醫療大資料的儲存、管理與運營工作。 第三十三條 責任單位應當結合服務和管理工作需要,及時更新、甄別、優化和維護健康醫療大資料,確保資訊處於最新、連續、有效、優質和安全狀態。 第三十四條 責任單位發生變更時,應當將所管理的健康醫療大資料完整、安全地移交給承接延續其職能的機構或本行政區域內的衛生健康行政部門,不得造成健康醫療大資料的損毀、丟失和洩露。 第三十五條 責任單位向社會公開健康醫療大資料時,應當遵循國家有關規定,不得洩露國家祕密、商業祕密和個人隱私,不得侵害國家利益、社會公共利益和公民、法人及其他組織的合法權益。 第三十六條 責任單位應當加強健康醫療大資料的使用和服務,創造條件規範使用健康醫療大資料,推動部分健康醫療大資料線上查詢。 第三十七條 國家衛生健康委員會負責按照國家資訊資源開放共享有關規定,建立健康醫療大資料開放共享的工作機制,加強健康醫療大資料的共享和交換,統籌建設健康醫療大資料上報系統平臺、資訊資源目錄體系和共享交換體系。 第三十八條 衛生健康行政部門應當加強監督管理,對本行政區域內各責任單位健康醫療大資料安全管理工作開展日常檢查,指導監督本行政區域內各責任單位資料綜合利用工作,提高資料服務質量和確保安全。各級各類醫療衛生機構應當接入相應區域全民健康資訊平臺,傳輸和備份醫療健康服務產生的資料,並向衛生健康行政部門開放監管埠。 第三十九條 衛生健康行政部門應當加強監測評估,定期開展健康醫療大資料平臺和服務商的穩定和安全測評及健康醫療大資料應用的安全監測評估,建立網路安全防護、系統互聯共享、公民隱私保護等軟體評價和安全審查保密制度。 第四十條 衛生健康行政部門會同相關部門建立健康醫療大資料安全管理工作責任追究制度。對於違反本辦法規定的單位和個人,由主管部門視情節輕重予以約談、督導整改、誡勉、通報批評、處分或提出給予處分的建議;構成違法的,移送司法部門依法追究法律責任。 第四十一條 本辦法自印發之日起施行。