國衛規劃發〔2018〕23号

各省、自治區、直轄市及新疆生(shēng)産建設兵團衛生(shēng)計生(shēng)委，委機關各司局，委直屬和聯系單位，國家中(zhōng)醫藥局： 
　　爲加強健康醫療大(dà)數據服務管理，促進“互聯網+醫療健康”發展，充分(fēn)發揮健康醫療大(dà)數據作爲國家重要基礎性戰略資(zī)源的作用，根據相關法律法規，我(wǒ)委研究制定了《國家健康醫療大(dà)數據标準、安全和服務管理辦法（試行）》（可從國家衛生(shēng)健康委員(yuán)會官網下(xià)載）。現印發你們，請遵照執行。 
                             

 國家衛生(shēng)健康委員(yuán)會 
                             2018年7月12日 

　　（信息公開(kāi)形式：主動公開(kāi)） 

國家健康醫療大(dà)數據标準、安全和服務管理辦法

（試行） 

第一(yī)章  總則 

    第一(yī)條  爲加強健康醫療大(dà)數據服務管理，促進“互聯網+醫療健康”發展，充分(fēn)發揮健康醫療大(dà)數據作爲國家重要基礎性戰略資(zī)源的作用，根據《中(zhōng)華人民共和國網絡安全法》等法律法規和《國務院促進大(dà)數據發展行動綱要》《國務院辦公廳關于促進和規範健康醫療大(dà)數據應用發展的指導意見》《國務院辦公廳關于促進“互聯網+醫療健康”發展的意見》等文件精神，就健康醫療大(dà)數據标準、安全和服務管理，制定本辦法。 
　　第二條 我(wǒ)國公民在中(zhōng)華人民共和國境内所産生(shēng)的健康和醫療數據，國家在保障公民知(zhī)情權、使用權和個人隐私的基礎上，根據國家戰略安全和人民群衆生(shēng)命安全需要，加以規範管理和開(kāi)發利用。 
　　第三條  堅持以人爲本、創新驅動，規範有序、安全可控，開(kāi)放(fàng)融合、共建共享的原則，加強健康醫療大(dà)數據的标準管理、安全管理和服務管理，推動健康醫療大(dà)數據惠民應用，促進健康醫療大(dà)數據産業發展。 
　　第四條  本辦法所稱健康醫療大(dà)數據，是指在人們疾病防治、健康管理等過程中(zhōng)産生(shēng)的與健康醫療相關的數據。 
　　第五條  本辦法适用于縣級以上衛生(shēng)健康行政部門（含中(zhōng)醫藥主管部門，下(xià)同）、各級各類醫療衛生(shēng)機構、相關單位及個人所涉及的健康醫療大(dà)數據的管理。 
　　第六條  國家衛生(shēng)健康委員(yuán)會（含國家中(zhōng)醫藥管理局，下(xià)同）會同相關部門負責統籌規劃、指導、評估、監督全國健康醫療大(dà)數據的标準管理、安全管理和服務管理工(gōng)作。縣級以上衛生(shēng)健康行政部門會同相關部門負責本行政區域内健康醫療大(dà)數據管理工(gōng)作，是本行政區域内健康醫療大(dà)數據安全和應用管理的監管單位。 
　　各級各類醫療衛生(shēng)機構和相關企事業單位是健康醫療大(dà)數據安全和應用管理的責任單位。 

第二章  标準管理

　　第七條  健康醫療大(dà)數據标準管理工(gōng)作遵循政策引領、強化監督、分(fēn)類指導、分(fēn)級管理的原則。 
　　第八條  國家衛生(shēng)健康委員(yuán)會負責統籌規劃、組織制定全國健康醫療大(dà)數據标準，監督指導評估标準的應用工(gōng)作，在已有的基礎性通用性大(dà)數據标準基礎上組織制定健康醫療大(dà)數據标準體(tǐ)系規劃，負責制定、組織實施年度健康醫療大(dà)數據标準工(gōng)作計劃。省級衛生(shēng)健康行政部門（含省級中(zhōng)醫藥主管部門）負責監督指導評估本地區健康醫療大(dà)數據标準的應用工(gōng)作，依據國家健康醫療大(dà)數據标準體(tǐ)系規劃，結合本地實際，負責指導和監督健康醫療大(dà)數據标準體(tǐ)系在本省域内落地執行。 
　　第九條  國家衛生(shēng)健康委員(yuán)會鼓勵醫療衛生(shēng)機構、科研教育單位、相關企業或行業協會、社會團體(tǐ)等參與健康醫療大(dà)數據标準制定工(gōng)作。公民、法人或者其他組織可提出制修訂健康醫療大(dà)數據标準的立項建議，并提交相應标準項目建議書(shū)。 
　　第十條  國家衛生(shēng)健康委員(yuán)會負責統一(yī)組織實施，擇優确定健康醫療大(dà)數據标準起草單位和負責人，提倡多方參與協作機制，由各相關單位組成協作組參與标準起草工(gōng)作。 
　　第十一(yī)條  健康醫療大(dà)數據标準起草、審查及發布的程序和要求，按照國家和行業有關規定執行。 
　　第十二條  衛生(shēng)健康行政部門應當對健康醫療大(dà)數據标準的實施加強引導和監督，充分(fēn)發揮各級各類醫療衛生(shēng)機構、相關企業等市場主體(tǐ)在标準應用實施中(zhōng)的積極性和主動性，建立激勵和促進标準應用實施的長效管理機制。 
　　第十三條  衛生(shēng)健康行政部門應當建立相應的健康醫療大(dà)數據标準化産品生(shēng)産和采購的激勵約束機制，衛生(shēng)健康行政部門要積極推進健康醫療大(dà)數據标準規範和測評工(gōng)作，并将測評結果與醫療衛生(shēng)機構評審評價挂鈎。 
　　第十四條  國家衛生(shēng)健康委員(yuán)會加強健康醫療大(dà)數據技術産品和服務模式的标準體(tǐ)系及制度建設，組織對健康醫療大(dà)數據标準應用效果評估工(gōng)作，并根據評估情況，對相關标準進行組織修訂或廢止等。 
　　第十五條  國家衛生(shēng)健康委員(yuán)會基于衛生(shēng)标準管理平台，動态管理健康醫療大(dà)數據标準的開(kāi)發與應用，對各級各類醫療衛生(shēng)機構和企事業單位的标準應用情況進行動态監測。 

第三章  安全管理 

　　第十六條  健康醫療大(dà)數據安全管理是指在數據采集、存儲、挖掘、應用、運營、傳輸等多個環節中(zhōng)的安全和管理，包括國家戰略安全、群衆生(shēng)命安全、個人信息安全的權責管理工(gōng)作。 
　　第十七條  責任單位應當建立健全相關安全管理制度、操作規程和技術規範，落實“一(yī)把手”責任制，加強安全保障體(tǐ)系建設，強化統籌管理和協調監督，保障健康醫療大(dà)數據安全。 
　　涉及國家秘密的健康醫療大(dà)數據的安全、管理和使用等，按照國家有關保密規定執行。責任單位應當建立健全涉及國家秘密的健康醫療大(dà)數據管理與使用制度，對制作、審核、登記、拷貝、傳輸、銷毀等環節進行嚴格管理。 
　　第十八條  責任單位應當采取數據分(fēn)類、重要數據備份、加密認證等措施保障健康醫療大(dà)數據安全。責任單位應當建立可靠的數據容災備份工(gōng)作機制，定期進行備份和恢複檢測，确保數據能夠及時、完整、準确恢複，實現長期保存和曆史數據的歸檔管理。 
　　第十九條  責任單位應當按照國家網絡安全等級保護制度要求，構建可信的網絡安全環境，加強健康醫療大(dà)數據相關系統安全保障體(tǐ)系建設，提升關鍵信息基礎設施和重要信息系統的安全防護能力，确保健康醫療大(dà)數據關鍵信息基礎設施和核心系統安全可控。健康醫療大(dà)數據中(zhōng)心、相關信息系統等均應開(kāi)展定級、備案、測評等工(gōng)作。 
　　第二十條  健康醫療大(dà)數據相關系統的産品和服務提供者應當遵守國家有關網絡安全審查制度，不得中(zhōng)斷或者變相中(zhōng)斷合理的技術支持與服務，并應當爲健康醫療大(dà)數據在不同系統間的交互、共享和運營提供安全與便利條件。 
　　第二十一(yī)條  責任單位應當依法依規使用健康醫療大(dà)數據有關信息，提供安全的信息查詢和複制渠道，确保公民隐私保護和數據安全。 
　　第二十二條  責任單位應當按照《中(zhōng)華人民共和國網絡安全法》的要求，嚴格規範不同等級用戶的數據接入和使用權限，并确保數據在授權範圍内使用。任何單位和個人不得擅自利用和發布未經授權或超出授權範圍的健康醫療大(dà)數據，不得使用非法手段獲取數據。 
　　第二十三條  責任單位應當建立嚴格的電子實名認證和數據訪問控制，規範數據接入、使用和銷毀過程的痕迹管理，确保健康醫療大(dà)數據訪問行爲可管、可控及服務管理全程留痕，可查詢、可追溯，對任何數據洩密洩露事故及風險可追溯到相關責任單位和責任人。 
　　第二十四條  建立健全健康醫療大(dà)數據安全管理人才培養機制，确保相關從業人員(yuán)具備健康醫療大(dà)數據安全管理所要求的知(zhī)識和技能。 
　　第二十五條  責任單位應當建立健康醫療大(dà)數據安全監測和預警系統，建立網絡安全通報和應急處置聯動機制，開(kāi)展數據安全規範和技術規範的研究工(gōng)作，不斷豐富網絡安全相關的标準規範體(tǐ)系，重點防範數據資(zī)源的集聚性風險和新技術應用的潛在性風險。發生(shēng)網絡安全重大(dà)事件，應當按照相關法律法規和有關要求進行報告并處置。 

第四章  服務管理 

　　第二十六條  國家衛生(shēng)健康委員(yuán)會負責制定健康醫療大(dà)數據應用領域相關規範、标準，建立健康醫療大(dà)數據應用誠信機制和退出機制，制定健康醫療大(dà)數據挖掘、應用的安全和管理規範。 
　　第二十七條  責任單位實施健康醫療大(dà)數據管理和服務，應當按照法律法規和相關文件規定，遵循醫學倫理原則，保護個人隐私。 
　　第二十八條  責任單位應當根據本單位健康醫療大(dà)數據管理的需求，明确相應的管理部門和崗位，按照國家授權，實行“統一(yī)分(fēn)級授權、分(fēn)類應用管理、權責一(yī)緻”的管理制度，并建設相應的健康醫療大(dà)數據信息系統作爲技術和管理支撐。 
　　第二十九條  責任單位采集健康醫療大(dà)數據，應當嚴格執行國家和行業相關标準和程序，符合業務應用技術标準和管理規範，做到标準統一(yī)、術語規範、内容準确，保證服務和管理對象在本單位信息系統中(zhōng)身份标識唯一(yī)、基本數據項一(yī)緻，所采集的信息應當嚴格實行信息複核終審程序，做好數據質量管理。 
　　第三十條  責任單位應當具備符合國家有關規定要求的數據存儲、容災備份和安全管理條件，加強對健康醫療大(dà)數據的存儲管理。健康醫療大(dà)數據應當存儲在境内安全可信的服務器上，因業務需要确需向境外(wài)提供的，應當按照相關法律法規及有關要求進行安全評估審核。 
　　第三十一(yī)條  責任單位選擇健康醫療大(dà)數據服務提供商(shāng)時，應當确保其符合國家和行業規定及要求，具備履行相關法規制度、落實相關标準、确保數據安全的能力，建立數據安全管理、個人隐私保護、應急響應管理等方面管理制度。 
　　第三十二條  責任單位委托有關機構存儲、運營健康醫療大(dà)數據，委托單位與受托單位共同承擔健康醫療大(dà)數據的管理和安全責任。受托單位應當嚴格按照相關法律法規和委托協議做好健康醫療大(dà)數據的存儲、管理與運營工(gōng)作。 
　　第三十三條  責任單位應當結合服務和管理工(gōng)作需要，及時更新、甄别、優化和維護健康醫療大(dà)數據，确保信息處于最新、連續、有效、優質和安全狀态。 
　　第三十四條  責任單位發生(shēng)變更時，應當将所管理的健康醫療大(dà)數據完整、安全地移交給承接延續其職能的機構或本行政區域内的衛生(shēng)健康行政部門，不得造成健康醫療大(dà)數據的損毀、丢失和洩露。 
　　第三十五條  責任單位向社會公開(kāi)健康醫療大(dà)數據時，應當遵循國家有關規定，不得洩露國家秘密、商(shāng)業秘密和個人隐私，不得侵害國家利益、社會公共利益和公民、法人及其他組織的合法權益。 
　　第三十六條  責任單位應當加強健康醫療大(dà)數據的使用和服務，創造條件規範使用健康醫療大(dà)數據，推動部分(fēn)健康醫療大(dà)數據在線查詢。 
　　第三十七條  國家衛生(shēng)健康委員(yuán)會負責按照國家信息資(zī)源開(kāi)放(fàng)共享有關規定，建立健康醫療大(dà)數據開(kāi)放(fàng)共享的工(gōng)作機制，加強健康醫療大(dà)數據的共享和交換，統籌建設健康醫療大(dà)數據上報系統平台、信息資(zī)源目錄體(tǐ)系和共享交換體(tǐ)系。

第五章  管理監督 

　　第三十八條  衛生(shēng)健康行政部門應當加強監督管理，對本行政區域内各責任單位健康醫療大(dà)數據安全管理工(gōng)作開(kāi)展日常檢查，指導監督本行政區域内各責任單位數據綜合利用工(gōng)作，提高數據服務質量和确保安全。各級各類醫療衛生(shēng)機構應當接入相應區域全民健康信息平台，傳輸和備份醫療健康服務産生(shēng)的數據，并向衛生(shēng)健康行政部門開(kāi)放(fàng)監管端口。 
　　第三十九條  衛生(shēng)健康行政部門應當加強監測評估，定期開(kāi)展健康醫療大(dà)數據平台和服務商(shāng)的穩定和安全測評及健康醫療大(dà)數據應用的安全監測評估，建立網絡安全防護、系統互聯共享、公民隐私保護等軟件評價和安全審查保密制度。 
　　第四十條  衛生(shēng)健康行政部門會同相關部門建立健康醫療大(dà)數據安全管理工(gōng)作責任追究制度。對于違反本辦法規定的單位和個人，由主管部門視情節輕重予以約談、督導整改、誡勉、通報批評、處分(fēn)或提出給予處分(fēn)的建議；構成違法的，移送司法部門依法追究法律責任。 

第六章  附則

　　第四十一(yī)條  本辦法自印發之日起施行。