第一条【立法目的】为了规范健康医疗大数据应用发展,提升健康医疗服务水平,满足公众健康医疗需求,培育经济发展新动能。根据《中华人民共和国基本医疗卫生与健康促进法》等有关法律、法规,结合本省实际,制定本办法。
第二条【适用范围】本省行政区域内健康医疗大数据的采集、汇聚、存储、开发、应用及其监督管理等活动,适用本办法。 前款规定的活动,必须遵守国家生物安全、网络安全以及国家秘密、商业秘密、个人信息保护等相关法律、法规规定,遵循医学伦理原则。
第三条【概念定义】本办法所称健康医疗大数据,是指在疾病防治、健康管理等过程中采集和产生的与健康医疗相关的数据。第四条【管理原则】健康医疗大数据活动应当坚持以人为本、创新驱动、规范有序、安全可控原则。第五条【职责分工】省人民政府应当将健康医疗大数据应用发展纳入国民经济和社会发展规划,构建健康医疗大数据产业链,探索“互联网+医疗健康”服务新模式,推动集政产学研用一体化的健康产业发展。 县级以上人民政府大数据主管部门、卫生健康主管部门应当会同相关部门负责管理、指导、协调、推进等工作,网信、公安、医疗保障和药品监督管理等有关部门在各自职责范围内负责相关工作。
县级以上人民政府卫生健康主管部门应当加强对国家健康医疗大数据标准实施的引导和监督。
第六条【责任主体】健康医疗大数据管理机构是指经省人民政府授权,承担健康医疗数据日常管理等工作的机构。 数据生产应用单位是指在履行职责过程中采集、获取或者通过特许经营、购买服务等方式开展信息化建设和应用产生健康医疗大数据的数据生产单位、数据使用单位,包括:
(一)国家机关、事业单位、社会团体;
(二)依法经授权、受委托的具有公共管理职能的组织或者公共服务企业;
(三)产生非政务数据范围内的健康医疗大数据所涉及的其他组织或者个人。
数据运营单位是指依法取得本省健康医疗大数据运营权,负责建设健康医疗大数据运营平台,运营健康医疗大数据,承担运营数据安全和保密责任的企业或者其他组织。
数据生产应用单位、数据运营单位应当接受省人民政府大数据主管部门、卫生健康主管部门管理、指导和监督。
第七条【目录编制】省人民政府卫生健康主管部门应当会同医疗保障、药品监督管理等部门编制省级健康医疗大数据资源目录,并进行动态维护,报省人民政府大数据主管部门备案。 健康医疗大数据资源目录由基础信息、公共卫生、计划生育、医疗服务、医疗保障、药品管理、新型业态、政务共享等类别组成。
第八条【采集原则】数据生产应用单位应当按照健康医疗大数据资源目录和相关标准规范,坚持合法、正当、必要原则,依法开展数据采集。第九条【数据汇聚】数据生产应用单位应当按照有关标准规范,将其依法履行职责、提供服务等业务活动产生的健康医疗大数据汇聚、存储到国家健康医疗大数据中心。第十条【数据治理】数据生产应用单位应当加强数据治理,对采集的数据进行电子化、结构化、标准化处理,及时维护更新,提高数据质量,切实保证数据的真实、准确、完整。第十一条【共享开放机制】省人民政府大数据主管部门、卫生健康主管部门应当会同相关行业主管部门依法建立健康医疗大数据共享开放机制,明确共享开放的具体规定。第十二条【政务共享】国家健康医疗大数据中心应当通过政务信息资源交换共享平台为有关行政机关提供数据共享服务,通过共享获得的数据,应当用于本单位履职需要或者与申请的用途一致,不得用于任何其他目的或者以任何形式提供给第三方。 第十三条【数据开放】国家健康医疗大数据中心应当采取措施为公民、法人和其他组织提供分级分类数据开放服务。
数据开放类型分为无条件开放、有条件开放和不予开放,对涉及商业秘密、个人隐私,或者根据法律、法规规定不得开放的健康医疗数据,列为不予开放;对数据安全和处理能力要求较高、时效性较强或者需要持续获取的健康医疗数据,列为有条件开放;其他健康医疗数据列入无条件开放。分类为有条件开放和不予开放类别时,应当在开放清单中说明其相应的法律、法规等依据。
除法律、法规另有规定外,不予开放数据依法进行脱敏、脱密等技术处理,或者相关权利人同意开放的,可以列入无条件开放或者有条件开放。
第十四条【有条件开放流程】使用有条件开放数据的,由数据使用单位向健康医疗大数据管理机构提出健康医疗大数据使用申请,健康医疗大数据管理机构应当组织评估使用申请的合规性,由数据运营单位对符合条件的数据使用单位提供数据服务,并签订协议。第十五条【开发利用】经依法获得数据使用权的数据使用单位应当依照法律、法规和协议进行开发利用,保证数据安全。其依法获得的数据开发收益受法律保护。第十六条【鼓励措施】鼓励数据使用单位利用开放数据,依法开展健康医疗大数据应用与服务技术研发,促进成果转化,增强改革新动力,推动本省健康医疗产业发展。第十七条【共享服务】健康医疗大数据中心应当向各级各类医疗卫生机构提供数据共享服务。 鼓励各级各类医疗卫生机构打通数据资源共享通道,建立与健康医疗大数据中心共享机制。
第十八条【安全机制】网信、公安、大数据和卫生健康等行业主管部门应当完善健康医疗大数据安全保障体系,协调处理重大安全事件,指导健康医疗大数据管理机构、数据生产应用单位、数据运营单位制定健康医疗数据全生命周期安全管理制度。 健康医疗大数据管理机构应当依法加强数据安全监督管理,对数据生产应用单位、数据运营单位安全情况进行监督、检查、指导、评估。
数据生产应用单位、数据运营单位应当负责健康医疗大数据采集、汇聚、存储、开发、应用等过程中的数据安全管理,保护个人信息、保障数据安全。
第十九条【监测预警】健康医疗大数据管理机构、数据生产应用单位、数据运营单位应当建立安全预警和信息报告制度,对数据泄露等异常情况进行监测预警,及时采取措施,按照规定程序向网信、公安、大数据等行业主管部门报告。第二十条【应急预案】健康医疗大数据管理机构、数据生产应用单位、数据运营单位应当遵守并执行国家网络和信息安全规定,建立健全健康医疗大数据安全管理制度,设立网络安全部门和岗位,制定完善应急预案,组织开展安全演练。第二十一条【防护体系】数据运营单位应当严格执行网络安全等级保护制度、关键信息基础设施保护条例等法律、法规和技术标准,建立健全安全防护体系、保障机制、安全风险评估制度,组织开展数据安全风险评估,并及时处置数据安全风险。第二十二条【机构变更】健康医疗大数据管理机构、数据生产应用单位、数据运营单位主体资格变更时,应当将所管理的健康医疗大数据完整、安全地移交给委托机构或者承接延续其职能的机构。第二十三条【其他法律责任】对违反本办法规定的行为,法律、法规已经规定法律责任的,适用其规定。第二十四条【主管部门法律责任】县级以上人民政府大数据、卫生健康等行业主管部门及其工作人员在健康医疗大数据管理工作中不依法履行职责,或者滥用职权、玩忽职守、徇私舞弊的,对直接负责的主管人员和其他直接责任人员依法予以处分。第二十五条【数据生产应用单位法律责任】数据生产应用单位有下列情形之一的,由县级以上人民政府卫生健康主管部门责令限期改正,拒不改正的处10万元以下罚款: (一)未按照健康医疗大数据资源目录和相关标准规范组织开展数据采集工作的;
(二)未按照有关数据标准规范将健康医疗大数据汇聚、存储到国家健康医疗大数据中心的;
(三)未对采集的数据进行电子化、结构化、标准化处理和及时维护更新的;
(四)未制定健康医疗数据全生命周期安全管理制度的;
(五)未履行健康医疗大数据安全管理责任的。
第二十六条【数据运营单位法律责任】数据运营单位有下列情形之一的,由县级以上人民政府卫生健康主管部门责令限期改正,拒不改正的处10万元以下罚款: (一)未制定健康医疗数据全生命周期安全管理制度的;
(二)未按照规划和技术标准建设健康医疗大数据运营平台的;
(三)未履行运营数据安全和保密责任的。
第二十七条【健康医疗大数据管理机构、数据生产应用单位、数据运营单位法律责任】健康医疗大数据管理机构、数据生产应用单位、数据运营单位有下列情形之一的,由县级以上人民政府卫生健康主管部门责令限期改正,拒不改正的处10万元以下罚款: (一)未建立安全预警和信息报告制度的;
(二)未建立健全健康医疗大数据安全管理制度,制定应急预案的;
(三)对数据泄露等异常情况未及时采取措施,并按照规定立即报告的;
(四)主体资格变更时,未将所管理的健康医疗大数据完整、安全地移交给委托机构或承接延续其职能机构的。
第二十八条【施行日期】本办法自2020年××月××日起施行。