9月13日,国家卫生健康委员会研究制定了《国家健康医疗大数据标准、安全和服务管理办法(试行)》,《试行办法》明确健康医疗大数据的定义、内涵和外延,以及制定办法的目的依据、适用范围、遵循原则和总体思路等,明确各级卫生健康行政部门的边界和权责,各级各类医疗卫生机构及相应应用单位的责权利,并对三个方面进行了规范。
一是标准管理,明确开展健康医疗大数据标准管理工作的原则,以及各级卫生健康行政部门的工作职责。提倡多方参与标准管理工作,完善健康医疗大数据标准管理平台,并对标准管理流程、激励约束机制、应用效果评估、开发与应用等作出规定。
《试行办法》提出,健康医疗大数据标准起草、审查及发布的程序和要求,按照国家和行业有关规定执行,同时,结合卫生健康行业实际提出了一些具体举措。
·在标准制定方面,提倡多方参与协作,积极鼓励医疗卫生机构、科研院所、行业学会协会、社会团体和相关企业参与健康医疗大数据的标准制定工作。
·在标准落地方面,各级卫生健康行政部门负责对健康医疗大数据标准的实施加强引导和监督,充分调动并发挥各级各类医疗卫生机构、相关企业等市场主体在标准应用实施中的积极性和主动性,通过建立激励约束机制推动标准的落地落实。
·在标准管理方面,国家卫生健康委通过不断完善健康医疗大数据标准管理平台,以实现对健康医疗大数据标准开发与应用的动态管理。通过组织对健康医疗大数据标准应用的效果评估,推动实现对健康医疗大数据标准的制修订或废止等相关工作。
二是安全管理,明确健康医疗大数据安全管理的范畴,建立健全相关安全管理制度、操作规程和技术规范,落实“一把手”负责制,建立健康医疗大数据安全管理的人才培养机制,明确了分级分类分域的存储要求,对网络安全等级保护、关键信息基础设施安全、数据安全保障措施、数据流转全程留痕、数据安全监测和预警、数据泄露事故可查询可追溯等重点环节提出明确的要求。
健康医疗大数据是国家重要的基础性战略资源,健康医疗大数据的安全关系到国家战略安全、国家生物安全、人民生命安全和公民个人隐私安全。《试行办法》既突出了健康医疗大数据安全和应用管理责任单位的主体责任,又突出了监管单位的监管责任。关于责任单位的主体责任方面:
·责任单位要落实“一把手”负责制,建立健全健康医疗大数据相关管理与使用制度,强化统筹管理和协调监督。
·责任单位要严格落实网络安全等级保护制度,建立健全实名认证访问控制机制、网络安全通报机制和应急处置联动机制,切实加强容灾备份、加密认证、准确恢复等安全保障措施,定期对相关信息系统开展定级、备案和测评工作。
·人才培养方面,责任单位应建立健全安全管理人才培养机制,为相关从业人员培训安全管理所需的知识和技能,为健康医疗大数据应用发展提供人才保障。关于监管单位的监管责任方面,监管单位要建立健全健康医疗大数据安全管理工作责任追究制度,完善软件评价和安全审查保密制度,定期开展健康医疗大数据应用的安全监测评估,切实保障健康医疗大数据安全。
三是服务管理,明确相关方职责以及实施健康医疗大数据管理服务的原则和遵循,实行“统一分级授权、分类应用管理、权责一致”的管理制度,明确了责任单位在健康医疗大数据产生、收集、存储、使用、传输、共享、交换和销毁等环节中的职能定位,强化对健康医疗大数据的共享和交换。同时,在管理监督方面,强调了卫生健康行政部门日常监督管理职责,要求各级各类医疗卫生机构接入相应区域全民健康信息平台,并向卫生健康行政部门开放监管端口。定期开展健康医疗大数据应用的安全监测评估,并提出建立健康医疗大数据安全管理工作责任追究制度。
在数据采集方面,责任单位要严格执行国家和行业相关标准和程序,要做到标准统一、术语规范、内容准确,并严格实行信息复核终审程序,确保数据质量。
·在数据存储方面,健康医疗大数据应当存储在境内,因业务需要向境外提供时,应按相关法律法规和要求进行安全评估审核。
·在服务提供方面,要确保服务提供商具备履行相关法规制度、落实相关标准和确保数据安全的能力,并建有安全管理、隐私保护等管理制度。
·在数据利用方面,责任单位应坚持包容审慎的态度,加强数据的规范应用和服务,推动部分健康医疗大数据在线查询,同时,不得泄露国家秘密、商业秘密和个人隐私,切实保障各相关方合法权益。
·在数据共享方面,国家卫生健康委负责建立健康医疗大数据开放共享机制,统筹建设资源目录体系和数据共享交换体系,强化对健康医疗大数据全生命周期的服务与管理。
