国卫规划发〔2018〕23号

 国家卫生健康委员会
                             2018年7月12日

　　（信息公开形式：主动公开）
 

（试行）
 

　　第一条  为加强健康医疗大数据服务管理，促进“互联网+医疗健康”发展，充分发挥健康医疗大数据作为国家重要基础性战略资源的作用，根据《中华人民共和国网络安全法》等法律法规和《国务院促进大数据发展行动纲要》《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》《国务院办公厅关于促进“互联网+医疗健康”发展的意见》等文件精神，就健康医疗大数据标准、安全和服务管理，制定本办法。
　　第二条  我国公民在中华人民共和国境内所产生的健康和医疗数据，国家在保障公民知情权、使用权和个人隐私的基础上，根据国家战略安全和人民群众生命安全需要，加以规范管理和开发利用。
　　第三条  坚持以人为本、创新驱动，规范有序、安全可控，开放融合、共建共享的原则，加强健康医疗大数据的标准管理、安全管理和服务管理，推动健康医疗大数据惠民应用，促进健康医疗大数据产业发展。
　　第四条  本办法所称健康医疗大数据，是指在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据。
　　第五条  本办法适用于县级以上卫生健康行政部门（含中医药主管部门，下同）、各级各类医疗卫生机构、相关单位及个人所涉及的健康医疗大数据的管理。
　　第六条  国家卫生健康委员会（含国家中医药管理局，下同）会同相关部门负责统筹规划、指导、评估、监督全国健康医疗大数据的标准管理、安全管理和服务管理工作。县级以上卫生健康行政部门会同相关部门负责本行政区域内健康医疗大数据管理工作，是本行政区域内健康医疗大数据安全和应用管理的监管单位。
　　各级各类医疗卫生机构和相关企事业单位是健康医疗大数据安全和应用管理的责任单位。

第二章  标准管理

 

　　第十六条  健康医疗大数据安全管理是指在数据采集、存储、挖掘、应用、运营、传输等多个环节中的安全和管理，包括国家战略安全、群众生命安全、个人信息安全的权责管理工作。
　　第十七条  责任单位应当建立健全相关安全管理制度、操作规程和技术规范，落实“一把手”责任制，加强安全保障体系建设，强化统筹管理和协调监督，保障健康医疗大数据安全。
　　涉及国家秘密的健康医疗大数据的安全、管理和使用等，按照国家有关保密规定执行。责任单位应当建立健全涉及国家秘密的健康医疗大数据管理与使用制度，对制作、审核、登记、拷贝、传输、销毁等环节进行严格管理。
　　第十八条  责任单位应当采取数据分类、重要数据备份、加密认证等措施保障健康医疗大数据安全。责任单位应当建立可靠的数据容灾备份工作机制，定期进行备份和恢复检测，确保数据能够及时、完整、准确恢复，实现长期保存和历史数据的归档管理。
　　第十九条  责任单位应当按照国家网络安全等级保护制度要求，构建可信的网络安全环境，加强健康医疗大数据相关系统安全保障体系建设，提升关键信息基础设施和重要信息系统的安全防护能力，确保健康医疗大数据关键信息基础设施和核心系统安全可控。健康医疗大数据中心、相关信息系统等均应开展定级、备案、测评等工作。
　　第二十条  健康医疗大数据相关系统的产品和服务提供者应当遵守国家有关网络安全审查制度，不得中断或者变相中断合理的技术支持与服务，并应当为健康医疗大数据在不同系统间的交互、共享和运营提供安全与便利条件。
　　第二十一条  责任单位应当依法依规使用健康医疗大数据有关信息，提供安全的信息查询和复制渠道，确保公民隐私保护和数据安全。
　　第二十二条  责任单位应当按照《中华人民共和国网络安全法》的要求，严格规范不同等级用户的数据接入和使用权限，并确保数据在授权范围内使用。任何单位和个人不得擅自利用和发布未经授权或超出授权范围的健康医疗大数据，不得使用非法手段获取数据。
　　第二十三条  责任单位应当建立严格的电子实名认证和数据访问控制，规范数据接入、使用和销毁过程的痕迹管理，确保健康医疗大数据访问行为可管、可控及服务管理全程留痕，可查询、可追溯，对任何数据泄密泄露事故及风险可追溯到相关责任单位和责任人。
　　第二十四条  建立健全健康医疗大数据安全管理人才培养机制，确保相关从业人员具备健康医疗大数据安全管理所要求的知识和技能。
　　第二十五条  责任单位应当建立健康医疗大数据安全监测和预警系统，建立网络安全通报和应急处置联动机制，开展数据安全规范和技术规范的研究工作，不断丰富网络安全相关的标准规范体系，重点防范数据资源的集聚性风险和新技术应用的潜在性风险。发生网络安全重大事件，应当按照相关法律法规和有关要求进行报告并处置。

第四章  服务管理

 

　　第三十八条  卫生健康行政部门应当加强监督管理，对本行政区域内各责任单位健康医疗大数据安全管理工作开展日常检查，指导监督本行政区域内各责任单位数据综合利用工作，提高数据服务质量和确保安全。各级各类医疗卫生机构应当接入相应区域全民健康信息平台，传输和备份医疗健康服务产生的数据，并向卫生健康行政部门开放监管端口。
　　第三十九条  卫生健康行政部门应当加强监测评估，定期开展健康医疗大数据平台和服务商的稳定和安全测评及健康医疗大数据应用的安全监测评估，建立网络安全防护、系统互联共享、公民隐私保护等软件评价和安全审查保密制度。
　　第四十条  卫生健康行政部门会同相关部门建立健康医疗大数据安全管理工作责任追究制度。对于违反本办法规定的单位和个人，由主管部门视情节轻重予以约谈、督导整改、诫勉、通报批评、处分或提出给予处分的建议；构成违法的，移送司法部门依法追究法律责任。

第六章  附则

<span style="background-color: transparent; border-bottom-color: rgb(60, 60, 60); border-bottom-style: none; border-bottom-width: 0px; border-image-outset: 0; border-image-repeat: stretch; border-image-slice: 100%; border-image-source: none; border-image-width: 1; border-left-color: rgb(60, 60, 60); border-left-style: none; border-left-width: 0px; border-right-color: rgb(60, 60, 60); border-right-style: none; border-right-width: 0px; border-top-color: rgb(60, 60, 60); border-top-style: none; border-top-width: 0px; color: rgb(60, 60, 60); font-family: Times New Roman; font-size: 12px; font-style: normal; font-variant: normal; font-weight: 400; letter-spacing: normal; list-style-image: none; list-style-position: outside; list-style-type: none; margin-bottom: 0px; margin-left: 0px; margin-right: 0px; margin-top: 0px; orphans: 2; padding-bottom: 0px; padding-left: 0px; padding-right: 0px; padding-top: 0px; text-align: left; text-decoration: none; text-indent: 0px; text-transform: none; vertical-align: baseline; -webkit-text-stroke-width: 0px; white-space: normal; word-spacing: 0px;" 0px;'="" normal;="" 0px;="" none;="" left;="" 2;="" 400;="" 16px;="" "微软雅黑";="" 70);="" 70,="" rgb(71,="" transparent;="" !important;="" inline="">

　　第四十一条  本办法自印发之日起施行。

　　链接：《国家健康医疗大数据标准、安全和服务管理办法（试行）》解读稿

（来源： 国家卫生健康委员会 ）