国卫计发〔2018〕23号

各省、自治区、直辖市和新疆生产建设兵团卫生计生委，卫生计生委各厅局，各卫生计生委直属、联系单位，国家中医药管理局中医药：为加强健康医疗大数据服务管理，推动“互联网+医疗健康”发展，充分发挥健康医疗大数据作为国家重要基础战略资源的作用国家，根据相关法律法规，我委研究制定了《国家健康医疗大数据标准、安全和服务管理办法（试行）》（可在国家卫生健康委官网下载）。 现印发给你们健康大数据管理与服务，请遵照执行。

国家卫健委

2018 年 7 月 12 日

（信息披露形式：自愿披露）

国家健康医疗大数据标准、安全和服务管理办法（试行）

第一章总则

第一条 为加强健康医疗大数据服务管理，促进“互联网+医疗健康”发展，充分发挥健康医疗大数据作为国家重要基础战略资源的作用，根据《中华人民共和国网络安全法》等法律法规和《国务院促进大数据发展行动计划》、《国家办公厅指导意见》等文件精神《促进和规范健康医疗大数据应用发展委员会》、《国务院办公厅关于促进“互联网+医疗健康”发展的意见》等文件、健康医疗大数据标准、安全和服务管理，制定这些措施。 第二条 中国公民在中华人民共和国境内产生的健康医疗数据，国家在保护公民知情权、使用权和个人隐私的基础上，依法规范、管理和开发，并根据为国家战略安全和人民生命安全需要而使用。 第三条 坚持以人为本、创新驱动、规范有序、安全可控、开放融合、共建共享的原则，加强健康医疗大数据标准管理、安全管理和服务管理，促进健康医疗大数据应用惠民。 推动健康医疗大数据产业发展。 第四条 本办法所称健康医疗大数据，是指人们在疾病预防和健康管理过程中产生的与健康有关的数据。 第五条 本办法适用于县级以上卫生行政部门（含中医药主管部门，下同）、各级各类医疗卫生机构涉及的健康医疗大数据管理工作。 、有关单位和个人。 第六条 国家卫生健康委（含国家中医药管理局，下同）和有关部门负责统筹、指导、评价和监督全国卫生健康和医疗卫生标准管理、安全管理、服务管理工作。大数据。 县级以上卫生行政部门会同有关部门负责本行政区域内的卫生医疗大数据管理工作，是本行政区域内卫生医疗大数据安全和应用管理的主管单位。行政区域。 各级各类医疗卫生机构和相关企事业单位负责健康医疗大数据的安全和应用管理。

第二章规范管理

第七条 健康医疗大数据规范管理遵循政策引导、强化监管、分类指导、分级管理的原则。 第八条 国家卫生健康委负责统筹、组织制定国家健康医疗大数据标准，监督和指导评价标准的应用，依据国家卫生健康委组织制定健康医疗大数据标准体系规划。现有大数据基础通用标准，负责制定、组织实施年度健康医疗大数据标准工作计划。 省级卫生行政部门（含省级中医药部门）负责本地区卫生医疗大数据标准应用的监督、指导和评价工作。 全省推行大数据标准体系。 第九条 国家卫生健康委鼓励医疗卫生机构、科研教育单位、相关企业或行业协会、社会团体参与健康医疗大数据标准制定。 公民、法人或者其他组织可以提出制定和修订健康医疗大数据标准的立项建议，并提交相应的标准立项建议书。 第十条 国家卫生健康委负责统一组织实施，择优确定健康医疗大数据标准的起草单位和负责人，倡导多方参与的协作机制。有关单位组成协作组参与标准的起草工作。 第十一条 健康医疗大数据标准起草、审评和发布的程序和要求按照国家和行业有关规定执行。 第十二条 卫生行政部门应当加强对健康医疗大数据标准实施的指导和监督，充分发挥各级医疗卫生机构和相关企业等市场主体在标准实施中的积极性和主动性，建立激励和促进标准应用实施的长效管理机制。 第十三条 卫生行政部门应当对医疗大数据标准化产品的生产和采购建立相应的激励和约束机制。 机构审查和评估链接。 第十四条 国家卫生健康委员会加强健康医疗大数据技术产品和服务模式的标准体系和体系建设，组织开展健康医疗大数据标准应用效果评价，并根据相关标准组织修订或废止相关标准。评价情况等等。 第十五条 国家卫生健康委员会依托健康标准管理平台对健康医疗大数据标准制定和应用进行动态管理，对各级医疗卫生机构、企事业单位标准应用情况进行动态监测。

第三章 安全管理

第十六条 健康医疗大数据安全管理，是指对数据采集、存储、挖掘、应用、运行、传输等多个环节的安全管理，包括国家战略安全、公共生活安全、人身安全等权利与责任。信息安全管理工作。 第十七条 责任单位应当建立健全相关安全管理制度、操作规程和技术规范，实行“一把手”负责制，加强安全保障体系建设，加强统筹管理和协同监督，确保安全生产。医疗保健大数据。 涉及国家秘密的健康医疗大数据的安全、管理和使用，按照国家有关保密规定执行。 责任单位应当建立健全涉及国家秘密的健康医疗大数据管理和使用制度，严格生产、审核、登记、复制、传输、销毁等管理。 第十八条 责任单位应当采取数据分类、重要数据备份、加密认证等措施，保障医疗卫生大数据安全。 责任单位应建立可靠的数据容灾备份工作机制，定期进行备份恢复测试，确保数据及时、完整、准确恢复，实现数据的长期保存和归档管理。历史数据。 第十九条 主管单位应当按照国家网络安全等级保护体系的要求，构建可信的网络安全环境，加强健康医疗大数据系统相关安全体系建设，提高安全防护能力重点信息基础设施和重要信息系统，确保关键信息基础设施和医疗大数据核心系统安全可控。 健康医疗大数据中心及相关信息系统开展分级、备案、评价等工作。

第二十条 提供大健康和医疗数据系统相关产品和服务的，应当遵守国家相关网络安全审查制度，不得中断或者变相中断合理的技术支持和服务，应当为大健康交互提供医疗数据在不同系统之间、共享和运行提供了安全和便利的条件。 第二十一条 责任单位应当依法依规使用健康医疗大数据相关信息，提供安全的信息查询和复制渠道，保障公民隐私保护和数据安全。 第二十二条 责任单位应当按照《中华人民共和国网络安全法》的要求，严格规范不同级别用户的数据访问和使用权限，确保数据在规定范围内使用的授权。 任何单位和个人不得擅自或超出授权范围使用和发布健康医疗大数据，不得以非法手段获取数据。 第二十三条 责任单位应当建立严格的电子实名认证和数据访问控制，规范数据访问、使用、销毁的溯源管理，确保健康医疗大数据访问行为可管可控，服务管理溯源全程留存，可查询追溯，任何数据泄露事故和风险均可追溯至相关责任单位和责任人。 第二十四条 建立健全健康医疗大数据安全管理人员培训机制，确保相关从业人员具备健康医疗大数据安全管理所需的知识和技能。 第二十五条 责任单位应当建立健康医疗大数据安全监测预警体系，建立网络安全通报和应急联动机制，开展数据安全规范和技术规范研究，不断丰富网络安全相关标准规范体系，重点防范数据资源采集风险和新技术应用潜在风险。 发生重大网络安全事件，应当按照有关法律法规和有关要求报告和处理。

第四章服务管理

第二十六条 国家卫生健康委员会负责制定医疗大数据应用领域的相关规范和标准，建立医疗大数据应用信用机制和退出机制，制定医疗大数据挖掘和应用安全管理规范。医疗保健大数据。

第二十七条 责任单位应当依照法律法规和有关文件的规定实施健康医疗大数据管理和服务，遵循医德原则，保护个人隐私。 第二十八条 责任单位应当根据本单位健康医疗大数据管理工作需要，明确相应的管理部门和岗位，实行“统一分级授权、分类应用管理、权责一致”的管理制度根据国家授权，建设相应的健康医疗大数据信息系统作为技术和管理支撑。 第二十九条 健康医疗大数据采集责任单位应当严格执行国家和行业相关标准和流程，遵守业务应用技术标准和管理规范，做到标准统一、术语规范、内容准确，确保服务和管理对象的真实性。在单位的信息系统中，身份是唯一的，基本数据项是一致的。 采集的信息要严格执行信息审核和终审流程，做好数据质量管理。 第三十条 责任单位应当具备符合国家有关规定要求的数据存储、容灾备份和安全管理条件，加强健康医疗大数据的存储和管理。 健康医疗大数据应当存储在境内安全、可信的服务器上，因业务需要确需向境外提供的，应当按照相关法律法规和相关要求进行安全评估审查。 第三十一条 责任单位选择健康医疗大数据服务提供者，应当确保其符合国家和行业的法规要求，具有执行相关法律法规、执行相关标准的能力健康大数据管理与服务，确保数据安全。 隐私保护、应急管理等管理制度。

第三十二条 责任单位委托相关机构对健康医疗大数据进行存储和运营，委托单位和受托单位共同承担健康医疗大数据的管理和安全责任。 受托单位应严格按照相关法律法规和委托协议，做好健康医疗大数据的存储、管理和运营工作。 第三十三条 责任单位应当根据服务和管理需要，及时更新、筛选、优化和维护健康医疗大数据，确保信息时效、连续、有效、优质、安全. 第三十四条 责任单位发生变更时，应当将其管理的健康医疗大数据完整、安全地转移至继续履行职责的机构或者本行政区域内的卫生健康行政部门，不得对健康造成损害。和医疗大数据。 损坏、丢失和披露。 第三十五条 责任单位向社会公开健康医疗大数据，应当遵守国家有关规定，不得泄露国家秘密、商业秘密和个人隐私，不得侵犯国家利益、社会公共利益、公民、法人和其他组织的合法权益。 权益。 第三十六条 主管单位应当加强健康医疗大数据使用和服务，创造条件规范健康医疗大数据使用，推动部分健康医疗大数据在线查询。 第三十七条 国家卫生健康委员会负责根据国家信息资源开放共享的有关规定，建立健康医疗大数据开放共享工作机制，加强健康医疗大数据的共享与交流统筹建设健康医疗大数据报告系统平台、信息资源目录系统和共享交换系统。

第五章 管理监督

第三十八条 卫生行政部门应当加强监督管理，对本行政区域内各责任单位的健康医疗大数据安全管理工作进行日常检查，指导、监督本行政区域内各责任单位的数据综合利用情况域，提高数据服务质量，保障安全。 各级各类医疗卫生机构应当接入相应区域的国家卫生信息平台，传输、备份医疗卫生服务产生的数据，向卫生行政部门开放监控端口。 第三十九条 卫生行政部门应当加强监测评估，定期开展医疗大数据平台和服务提供者的稳定性和安全评估、医疗大数据应用的安全监测和评估，建立网络安全防护、系统互联共享、公民隐私保护等软件测评和安全审查保密制度。 第四十条 卫生行政部门应当会同有关部门建立卫生医疗大数据安全管理责任追究制度。 对违反本办法规定的单位和个人，由主管部门视情节轻重约谈、督促整改、训诫、通报批评、处分或者建议处分；构成犯罪的，依法追究刑事责任。 构成违法的，将移送司法部门依法追究法律责任。

第六章附则

第四十一条 本办法自发布之日起施行。链接：《国家健康医疗大数据标准、安全和服务管理办法（试行）》解释稿