福州市健康醫療大數據資源管理暫行辦法
第一章 總則
第一條 根據《國務院關於印發促進大數據發展行動綱要的通知》(國發〔2015〕50號)、《國務院辦公廳關於促進和規範健康醫療大數據套用發展的指導意見》(國辦發〔2016〕47號)、《國務院關於印發政務數據資源共享管理暫行辦法的通知》(國發〔2016〕 51號)、《福建省政務數據管理辦法》(省政府令〔2016〕第178號)等規定要求,為全面推進大數據發展和套用,規範健康醫療大數據信息採集、加強數據管理、最佳化共享開放、提升開發套用價值、保障數據安全,推動健康醫療大數據中心與產業園國家試點工程建設,對健康醫療大數據資源進行規範管理,結合本市實際,制定本辦法。
第二條本市行政區域內從事健康醫療大數據的採集、存儲、處理、套用、共享、開放及其相關管理服務活動,適用本辦法。
第三條本辦法所稱健康醫療大數據,是指所有與醫療衛生和生命健康活動相關的數據集合,是覆蓋全員人口和全生命周期、涉及國家公共衛生安全和生物信息安全的極大量數據。
福州市健康醫療大數據包含政府機構、衛生醫療機構等組織產生的數據,以及從網際網路、物聯網、第三方等途徑獲得的數據。
第四條健康醫療大數據資源是國家重要的基礎性戰略資源。福州市“數字福州”建設領導小組辦公室(以下簡稱市數字辦)是福州市人民政府承擔健康醫療大數據管理工作的機構,負責本行政區域內的健康醫療大數據的統籌管理和指導監督工作,評估數據共享開放情況,及時糾正相關違法違規行為。
市數字辦會同福州市衛生和計畫生育委員會(以下簡稱市衛計委)等相關行業主管部門負責本市健康醫療大數據政策的制定和督導,對健康醫療大數據生產套用單位(以下簡稱數據生產套用單位)進行監督檢查,對健康醫療大數據技術服務單位(以下簡稱技術服務單位)進行監督評價。
市衛計委會同相關行業主管部門,共同制定健康醫療大數據面向全社會分級授權、分類開放套用的具體辦法,按照相關流程分類、分級、分域授權使用。
第五條 數據生產套用單位是指在履行職責過程中採集和獲取或者通過特許經營、購買服務等方式開展信息化建設和套用產生健康醫療大數據的數據生產單位、數據使用單位,包括:
(一) 國家機關、事業單位、社會團體;
(二) 依法經授權、受委託的具有公共管理職能的組織或公共服務企業;
(三) 產生非政務數據範圍內的健康醫療大數據所涉及的其他組織或個人。
數據生產套用單位依法採集處理數據,做好數據登記匯聚、更新維護,開展共享套用和公共服務,配合市健康醫療大數據運營單位(以下簡稱數據運營單位)做好開放開發工作。
第六條 數據運營單位是指依法取得本市健康醫療大數據運營權的企業或其他組織,負責建設健康醫療大數據運營平台,運營健康醫療大數據,承擔運營數據的安全和保密責任,接受市數字辦、市衛計委等相關行業主管部門管理、指導和監督。
第七條技術服務單位是指根據數據運營單位授權或者委託承擔健康醫療大數據採集、存儲、處理、套用、共享、開放的技術支撐,以及健康醫療大數據平台建設運維、安全保障和日常管理工作的企業或其他組織。
第二章 數據資源管理
第八條 市數字辦會同市衛計委等相關行業主管部門做好健康醫療大數據頂層設計,遵循“一數一源”原則,根據健康醫療大數據資源目錄,編制健康醫療大數據採集標準規範,並根據機構職能或者特殊業務的需要,做好規範更新、暢通資源通道、規範採集流程、保證數據質量。建立健康醫療大數據採集、加工、使用、安全管理等考評機制,做到標準統一、術語規範、內容準確。
第九條 市健康醫療大數據資源目錄由基礎信息、公共衛生、計畫生育、醫療服務、醫療保障、藥品管理、綜合管理、新型業態八大類組成。
市健康醫療大數據標準體系規劃包括基礎類、數據類、技術類、套用類、管理類以及安全與隱私保護類等標準。
第十條 市衛計委負責建立健康醫療大數據標準管理機制,動態管理健康醫療大數據標準的開發與套用,加強健康醫療大數據相關標準套用的監督檢查,對各級各類醫療衛生計生機構信息化建設項目的標準套用情況進行動態監測;負責組織對健康醫療大數據標準套用效果進行評估,並根據標準套用評估情況,對相關標準進行修訂或廢止等。
市衛計委等相關行業主管部門應當按照國家有關規定會同數據生產套用單位建立健康醫療大數據質量管控機制,實施數據質量全程監控、定期檢查,及時要求不合規的醫療衛生計生機構及其技術服務單位進行整改。
第十一條 數據生產套用單位應當按照健康醫療大數據採集目錄和相關標準規範,組織開展數據採集工作,不得採集目錄範圍外的數據。數據生產套用單位因特殊業務或者緊急需要,可以臨時採集目錄範圍外數據,但必須先行向市數字辦及市衛計委等相關行業主管部門報備。
數據生產套用單位所採集的原始數據應當符合業務套用和管理要求,保證服務和管理對象在本單位信息系統中身份標識唯一、基本數據項一致,所採集的信息應當嚴格實行信息覆核程式;並會同市數字辦將公共衛生、計畫生育、綜合管理類目的原始數據匯聚到市政務數據匯聚共享平台進行統一管理。
數據生產套用單位應當遵從健康醫療大數據標準,生成符合標準的信息技術產品,激勵相關機構優先採購標準化產品,限制不符合標準的產品或技術使用。
第三章 數據資源服務
第十二條數據資源服務包含數據的共享和開放開發。
第十三條市數字辦會同市衛計委等相關行業主管部門負責建立健康醫療大數據共享機制、明確共享內容,依託健康醫療大數據平台,為健康醫療大數據資源共享、匯總分析提供工作基礎。
第十四條 根據數據資源目錄,健康醫療大數據可以提供給符合條件的行政機關、事業單位共享使用。
第十五條健康醫療大數據按照開放類型分為普遍開放類、授權開放類和暫不開放類。
屬於普遍開放類的,公民、法人或者其他組織可以直接從健康醫療大數據統一開放平台獲取;屬於授權開放類的,內資控股法人企業、高校或者科研院所可以向數據運營單位提出申請,申請授權開放的數據使用單位暫限於中國東南大數據產業園範圍內;屬於暫不開放類的,確有使用需要的由數據運營單位向市數字辦及市衛計委等相關行業主管部門提出申請。
第十六條市數字辦會同市衛計委等相關行業主管部門及數據運營單位建立健康醫療大數據開放開發機制,規範健康醫療大數據套用領域的準入標準,建立大數據套用誠信機制和退出機制,嚴格規範大數據挖掘、套用和開發行為。除法律、法規另有規定外,涉及商業秘密、個人隱私的健康醫療大數據應當進行脫密脫敏處理後開放。
第十七條市數字辦會同市衛計委等相關行業主管部門建立健康醫療大數據套用工作制度,授權使用有關信息,提供安全的信息查詢和複製渠道。使用單位或個人不得超出其申請和被授權的數據使用範圍和目的使用和發布健康醫療大數據。
第十八條使用授權開放類數據的,由數據使用單位向數據運營單位提出健康醫療大數據使用申請,數據運營單位負責審核使用申請的合規性,對符合條件的數據使用單位提供數據服務。
確需使用暫不開放類數據的,由數據使用單位向數據運營單位提出申請;數據運營單位向市數字辦及市衛計委等相關行業主管部門報審,經同意後方可提供數據服務。
數據使用單位獲準使用數據,應按要求與數據運營單位簽訂《福州市健康醫療大數據資源使用協定書》。
第十九條高校或者科研院所獲得的數據只限用於科研教育等非營利性活動。數據使用單位確需使用可識別個人身份和隱私內容的個案信息的,應向數據運營單位提出套用服務申請,在徵得個人同意或經脫敏脫密後,方可實行。
第二十條市數字辦可以授權數據運營單位以數據資產形式吸收社會資本合作進行數據開發利用;授權數據運營單位應當通過公開招標等競爭性方式確定合作開發對象,並進行公示。
授權開發對象或者合作開發對象應當按照法律、法規和協定,進行數據開發利用,保障數據安全,定期向市數字辦報告開發利用情況,其依法獲得的開發收益權益受法律保護。
開發的數據產品應當註明所利用健康醫療大數據的來源和獲取日期。
第二十一條 市數字辦會同市衛計委等相關行業主管部門及數據運營單位組織開放開發健康醫療大數據,根據數據開發利用價值貢獻度,合理分配開發收入。
第二十二條數據運營單位要按照政府規劃,加快構建健康醫療大數據產業鏈,探索網際網路健康醫療服務新模式,持續推動集政產學研用一體化的健康醫療全產業鏈模式的產業園建設。
第二十三條技術服務單位應當根據數據使用單位申請制定最小化滿足使用需求的提取方案,在提取方案中明確安全預處理方法;根據提取方案執行數據提取操作;採取安全措施,與數據生產使用單位進行數據交接;清理、銷毀提取過程所產生的中間數據;保留數據使用過程中的數據申請、審批和銷毀記錄。
第四章 安全管理
第二十四條市數字辦及市衛計委等相關行業主管部門應按照省、市信息網路安全監管部門的要求建立健康醫療大數據安全保障體系,實施分級分類管理,防止越權使用數據,定期進行安全評估,建立安全報告和應急處置機制。
第二十五條市數字辦授權數據運營單位組織開展健康醫療大數據平台和服務商的可靠性、可控性和安全性評測,開展健康醫療大數據套用的安全性評測和風險評估,建立安全防護、系統互聯共享、公民隱私保護等軟體評價和安全審查制度。市數字辦應當按照國家有關規定的數據存儲、容災備份和管理條件要求,建立可靠的數據容災備份工作機制,定期進行備份和恢復檢測,確保數據能夠及時、完整、準確恢復,實現長期保存和歷史數據的歸檔管理。禁止將健康醫療大數據存儲在境外伺服器。
第二十六條數據生產套用單位、數據運營單位和技術服務單位在開展健康醫療大數據採集、存儲、處理、套用、共享、開放及其相關管理服務活動中應做到可管理、可控制、可追溯;涉及商業秘密、個人隱私的,應當遵守有關法律、法規規定。
任何單位和個人均不得篡改和刪除健康醫療大數據。
第二十七條技術服務單位應當加強平台安全防護,建立應急處置、備份恢復機制,保障數據、平台安全可靠運行。
技術服務單位應當對信息資源及副本建立套用日誌審計制度,確保信息匯聚、共享、查詢、比對、下載、分析研判、訪問和更新維護情況等所有操作可追溯,日誌記錄保留時間不少於3年,並根據需要將使用日誌推送給數據運營單位及相應的數據生產套用單位。
第二十八條數據生產套用單位應當設立健康醫療大數據安全管理部門或崗位,應當加強健康醫療大數據採集處理、共享套用和公共服務的安全保障工作。健康醫療大數據生產套用單位發生變更時,應當將所管理的健康醫療大數據完整、安全地移交給主管部門或承接延續其職能的機構管理,不得造成數據的損毀、丟失和泄露。
第二十九條數據使用單位對其所使用的健康醫療大數據負安全和保密責任,在接收到數據後,要進行登記備案,指定人員進行跟蹤管理,確保在可控環境下使用,保障數據在使用過程中的安全;在申請使用期滿後,應及時銷毀在本部門環境中存在的相關數據,並及時反饋給數據運營單位。數據使用單位如需延期使用生產數據,必須在到期前重新申請,按本辦法規定獲同意後方可繼續使用。
第五章 監督保障
第三十條市數字辦會同市衛計委等相關行業主管部門加強對本行政區域內各單位健康醫療大數據管理工作的日常監督檢查,加強對本行政區域內各單位數據綜合利用工作的指導監督,提高數據服務效率和質量。
第三十一條市數字辦定期向市政府報告健康醫療大數據資源管理服務情況,並對健康醫療大數據資源管理服務工作提出意見建議。
第三十二條違反本辦法規定,數據生產套用單位、數據運營單位、技術服務單位有下列情形之一的,由市數字辦或市衛計委等相關行業主管部門責令限期改正;逾期不改正的,給予通報批評;情節嚴重的,對直接負責的主管人員或者其他直接責任人員依法給予處分;造成損失的,責令賠償損失;構成犯罪的,依法追究刑事責任:
(一)擅自擴大數據採集範圍的;
(二)重複採集數據的;
(三)未在規定期限內匯聚數據的;
(四)未按照規定使用共享數據的;
(五)違規使用涉及商業秘密、個人隱私的健康醫療大數據的;
(六)擅自更改或者刪除健康醫療大數據的;
(七)其他違反本辦法規定行為的。
第三十三條在健康醫療大數據管理工作中濫用職權、徇私舞弊、玩忽職守的,對直接負責的主管人員和其他直接責任人員依法給予處分;構成犯罪的,依法追究刑事責任。
第六章 附則
第三十四條本辦法自印發之日起試行。
