榕政综〔2017〕122号
各县(市)区人民政府、市直各委、办、局(公司),市属各高等院校,自贸区福州片区管委会:
《福州市健康医疗大数据资源管理暂行办法》已经
福州市人民政府
福州市健康医疗大数据资源管理暂行办法
第一章总则
第一条根据《国务院关于印发促进大数据发展行动纲要的通知》(国发〔2015〕50号)、《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》(国办发〔2016〕47号)、《国务院关于印发政务数据资源共享管理暂行办法的通知》(国发〔2016〕 51号)、《福建省政务数据管理办法》(省政府令〔2016〕第178号)等规定要求,为全面推进大数据发展和应用,规范健康医疗大数据信息采集、加强数据管理、优化共享开放、提升开发应用价值、保障数据安全,推动健康医疗大数据中心与产业园国家试点工程建设,对健康医疗大数据资源进行规范管理,结合本市实际,制定本办法。
第二条本市行政区域内从事健康医疗大数据的采集、存储、处理、应用、共享、开放及其相关管理服务活动,适用本办法。
第三条本办法所称健康医疗大数据,是指所有与医疗卫生和生命健康活动相关的数据集合,是覆盖全员人口和全生命周期、涉及国家公共卫生安全和生物信息安全的极大量数据。
福州市健康医疗大数据包含政府机构、卫生医疗机构等组织产生的数据,以及从互联网、物联网、第三方等途径获得的数据。
第四条健康医疗大数据资源是国家重要的基础性战略资源。福州市“数字福州”建设领导小组办公室(以下简称市数字办)是福州市人民政府承担健康医疗大数据管理工作的机构,负责本行政区域内的健康医疗大数据的统筹管理和指导监督工作,评估数据共享开放情况,及时纠正相关违法违规行为。
市数字办会同福州市卫生和计划生育委员会(以下简称市卫计委)等相关行业主管部门负责本市健康医疗大数据政策的制定和督导,对健康医疗大数据生产应用单位(以下简称数据生产应用单位)进行监督检查,对健康医疗大数据技术服务单位(以下简称技术服务单位)进行监督评价。
市卫计委会同相关行业主管部门,共同制定健康医疗大数据面向全社会分级授权、分类开放应用的具体办法,按照相关流程分类、分级、分域授权使用。
第五条数据生产应用单位是指在履行职责过程中采集和获取或者通过特许经营、购买服务等方式开展信息化建设和应用产生健康医疗大数据的数据生产单位、数据使用单位,包括:
(一)国家机关、事业单位、社会团体;
(二)依法经授权、受委托的具有公共管理职能的组织或公共服务企业;
(三)产生非政务数据范围内的健康医疗大数据所涉及的其他组织或个人。
数据生产应用单位依法采集处理数据,做好数据登记汇聚、更新维护,开展共享应用和公共服务,配合市健康医疗大数据运营单位(以下简称数据运营单位)做好开放开发工作。
第六条数据运营单位是指依法取得本市健康医疗大数据运营权的企业或其他组织,负责建设健康医疗大数据运营平台,运营健康医疗大数据,承担运营数据的安全和保密责任,接受市数字办、市卫计委等相关行业主管部门管理、指导和监督。
第七条技术服务单位是指根据数据运营单位授权或者委托承担健康医疗大数据采集、存储、处理、应用、共享、开放的技术支撑,以及健康医疗大数据平台建设运维、安全保障和日常管理工作的企业或其他组织。
第二章数据资源管理
第八条市数字办会同市卫计委等相关行业主管部门做好健康医疗大数据顶层设计,遵循“一数一源”原则,根据健康医疗大数据资源目录,编制健康医疗大数据采集标准规范,并根据机构职能或者特殊业务的需要,做好规范更新、畅通资源通道、规范采集流程、保证数据质量。建立健康医疗大数据采集、加工、使用、安全管理等考评机制,做到标准统一、术语规范、内容准确。
第九条市健康医疗大数据资源目录由基础信息、公共卫生、计划生育、医疗服务、医疗保障、药品管理、综合管理、新型业态八大类组成。
市健康医疗大数据标准体系规划包括基础类、数据类、技术类、应用类、管理类以及安全与隐私保护类等标准。
第十条市卫计委负责建立健康医疗大数据标准管理机制,动态管理健康医疗大数据标准的开发与应用,加强健康医疗大数据相关标准应用的监督检查,对各级各类医疗卫生计生机构信息化建设项目的标准应用情况进行动态监测;负责组织对健康医疗大数据标准应用效果进行评估,并根据标准应用评估情况,对相关标准进行修订或废止等。
市卫计委等相关行业主管部门应当按照国家有关规定会同数据生产应用单位建立健康医疗大数据质量管控机制,实施数据质量全程监控、定期检查,及时要求不合规的医疗卫生计生机构及其技术服务单位进行整改。
第十一条数据生产应用单位应当按照健康医疗大数据采集目录和相关标准规范,组织开展数据采集工作,不得采集目录范围外的数据。数据生产应用单位因特殊业务或者紧急需要,可以临时采集目录范围外数据,但必须先行向市数字办及市卫计委等相关行业主管部门报备。
数据生产应用单位所采集的原始数据应当符合业务应用和管理要求,保证服务和管理对象在本单位信息系统中身份标识唯一、基本数据项一致,所采集的信息应当严格实行信息复核程序;并会同市数字办将公共卫生、计划生育、综合管理类目的原始数据汇聚到市政务数据汇聚共享平台进行统一管理。
数据生产应用单位应当遵从健康医疗大数据标准,生成符合标准的信息技术产品,激励相关机构优先采购标准化产品,限制不符合标准的产品或技术使用。
第三章数据资源服务
第十二条数据资源服务包含数据的共享和开放开发。
第十三条市数字办会同市卫计委等相关行业主管部门负责建立健康医疗大数据共享机制、明确共享内容,依托健康医疗大数据平台,为健康医疗大数据资源共享、汇总分析提供工作基础。
第十四条根据数据资源目录,健康医疗大数据可以提供给符合条件的行政机关、事业单位共享使用。
第十五条健康医疗大数据按照开放类型分为普遍开放类、授权开放类和暂不开放类。
属于普遍开放类的,公民、法人或者其他组织可以直接从健康医疗大数据统一开放平台获取;属于授权开放类的,内资控股法人企业、高校或者科研院所可以向数据运营单位提出申请,申请授权开放的数据使用单位暂限于中国东南大数据产业园范围内;属于暂不开放类的,确有使用需要的由数据运营单位向市数字办及市卫计委等相关行业主管部门提出申请。
第十六条市数字办会同市卫计委等相关行业主管部门及数据运营单位建立健康医疗大数据开放开发机制,规范健康医疗大数据应用领域的准入标准,建立大数据应用诚信机制和退出机制,严格规范大数据挖掘、应用和开发行为。除法律、法规另有规定外,涉及商业秘密、个人隐私的健康医疗大数据应当进行脱密脱敏处理后开放。
第十七条市数字办会同市卫计委等相关行业主管部门建立健康医疗大数据应用工作制度,授权使用有关信息,提供安全的信息查询和复制渠道。使用单位或个人不得超出其申请和被授权的数据使用范围和目的使用和发布健康医疗大数据。
第十八条使用授权开放类数据的,由数据使用单位向数据运营单位提出健康医疗大数据使用申请,数据运营单位负责审核使用申请的合规性,对符合条件的数据使用单位提供数据服务。
确需使用暂不开放类数据的,由数据使用单位向数据运营单位提出申请;数据运营单位向市数字办及市卫计委等相关行业主管部门报审,经同意后方可提供数据服务。
数据使用单位获准使用数据,应按要求与数据运营单位签订《福州市健康医疗大数据资源使用协议书》。
第十九条高校或者科研院所获得的数据只限用于科研教育等非营利性活动。数据使用单位确需使用可识别个人身份和隐私内容的个案信息的,应向数据运营单位提出应用服务申请,在征得个人同意或经脱敏脱密后,方可实行。
第二十条市数字办可以授权数据运营单位以数据资产形式吸收社会资本合作进行数据开发利用;授权数据运营单位应当通过公开招标等竞争性方式确定合作开发对象,并进行公示。
授权开发对象或者合作开发对象应当按照法律、法规和协议,进行数据开发利用,保障数据安全,定期向市数字办报告开发利用情况,其依法获得的开发收益权益受法律保护。
开发的数据产品应当注明所利用健康医疗大数据的来源和获取日期。
第二十一条 市数字办会同市卫计委等相关行业主管部门及数据运营单位组织开放开发健康医疗大数据,根据数据开发利用价值贡献度,合理分配开发收入。
第二十二条数据运营单位要按照政府规划,加快构建健康医疗大数据产业链,探索互联网健康医疗服务新模式,持续推动集政产学研用一体化的健康医疗全产业链模式的产业园建设。
第二十三条技术服务单位应当根据数据使用单位申请制定最小化满足使用需求的提取方案,在提取方案中明确安全预处理方法;根据提取方案执行数据提取操作;采取安全措施,与数据生产使用单位进行数据交接;清理、销毁提取过程所产生的中间数据;保留数据使用过程中的数据申请、审批和销毁记录。
第四章安全管理
第二十四条市数字办及市卫计委等相关行业主管部门应按照省、市信息网络安全监管部门的要求建立健康医疗大数据安全保障体系,实施分级分类管理,防止越权使用数据,定期进行安全评估,建立安全报告和应急处置机制。
第二十五条市数字办授权数据运营单位组织开展健康医疗大数据平台和服务商的可靠性、可控性和安全性评测,开展健康医疗大数据应用的安全性评测和风险评估,建立安全防护、系统互联共享、公民隐私保护等软件评价和安全审查制度。市数字办应当按照国家有关规定的数据存储、容灾备份和管理条件要求,建立可靠的数据容灾备份工作机制,定期进行备份和恢复检测,确保数据能够及时、完整、准确恢复,实现长期保存和历史数据的归档管理。禁止将健康医疗大数据存储在境外服务器。
第二十六条数据生产应用单位、数据运营单位和技术服务单位在开展健康医疗大数据采集、存储、处理、应用、共享、开放及其相关管理服务活动中应做到可管理、可控制、可追溯;涉及商业秘密、个人隐私的,应当遵守有关法律、法规规定。
任何单位和个人均不得篡改和删除健康医疗大数据。
第二十七条技术服务单位应当加强平台安全防护,建立应急处置、备份恢复机制,保障数据、平台安全可靠运行。
技术服务单位应当对信息资源及副本建立应用日志审计制度,确保信息汇聚、共享、查询、比对、下载、分析研判、访问和更新维护情况等所有操作可追溯,日志记录保留时间不少于3年,并根据需要将使用日志推送给数据运营单位及相应的数据生产应用单位。
第二十八条数据生产应用单位应当设立健康医疗大数据安全管理部门或岗位,应当加强健康医疗大数据采集处理、共享应用和公共服务的安全保障工作。健康医疗大数据生产应用单位发生变更时,应当将所管理的健康医疗大数据完整、安全地移交给主管部门或承接延续其职能的机构管理,不得造成数据的损毁、丢失和泄露。
第二十九条数据使用单位对其所使用的健康医疗大数据负安全和保密责任,在接收到数据后,要进行登记备案,指定人员进行跟踪管理,确保在可控环境下使用,保障数据在使用过程中的安全;在申请使用期满后,应及时销毁在本部门环境中存在的相关数据,并及时反馈给数据运营单位。数据使用单位如需延期使用生产数据,必须在到期前重新申请,按本办法规定获同意后方可继续使用。
第五章监督保障
第三十条市数字办会同市卫计委等相关行业主管部门加强对本行政区域内各单位健康医疗大数据管理工作的日常监督检查,加强对本行政区域内各单位数据综合利用工作的指导监督,提高数据服务效率和质量。
第三十一条市数字办定期向市政府报告健康医疗大数据资源管理服务情况,并对健康医疗大数据资源管理服务工作提出意见建议。
第三十二条违反本办法规定,数据生产应用单位、数据运营单位、技术服务单位有下列情形之一的,由市数字办或市卫计委等相关行业主管部门责令限期改正;逾期不改正的,给予通报批评;情节严重的,对直接负责的主管人员或者其他直接责任人员依法给予处分;造成损失的,责令赔偿损失;构成犯罪的,依法追究刑事责任:
(一)擅自扩大数据采集范围的;
(二)重复采集数据的;
(三)未在规定期限内汇聚数据的;
(四)未按照规定使用共享数据的;
(五)违规使用涉及商业秘密、个人隐私的健康医疗大数据的;
(六)擅自更改或者删除健康医疗大数据的;
(七)其他违反本办法规定行为的。
第三十三条在健康医疗大数据管理工作中滥用职权、徇私舞弊、玩忽职守的,对直接负责的主管人员和其他直接责任人员依法给予处分;构成犯罪的,依法追究刑事责任。
第六章附则
第三十四条本办法自印发之日起试行。