《國家健康醫療大數據標準、安全和服務管理辦法》解讀
一、《國家健康醫療大數據標準、安全和服務管理辦法(試行)》的背景和意義是什么?
黨中央、國務院高度重視健康醫療大數據的創新發展。習近平總書記指出,要運用大數據促進保障和改善民生,推進“互聯網+醫療”等,讓百姓少跑腿、數據多跑路,不斷提升公共服務均等化、普惠化、便捷化水平。李克強總理強調,發展和應用好健康醫療大數據,是一項重大民生工程,既可以滿足群眾需求,也能促進培育新業態、形成新的經濟增長點。
近年來,“云大物移智”等新興技術與健康醫療加速融合,健康醫療大數據蓬勃發展,帶來健康醫療模式的深刻變化,有利于激發深化醫藥衛生體制改革的動力和活力,提升健康醫療服務效率和質量,擴大資源供給,不斷滿足人民群眾多層次、多樣化的健康需求,有利于培育新的業態和經濟增長點,正在成為國家重要的基礎性戰略資源。但健康醫療大數據作為新興事物,也遇到一些新情況、新問題,需要及時加以引導規范。
為貫徹落實習近平總書記“網絡強國”戰略思想,加強對健康醫療大數據的服務管理,促進“互聯網+醫療健康”發展,進一步強化對健康醫療大數據的政策指引,充分發揮健康醫療大數據作為國家重要基礎性戰略資源的作用,根據《中華人民共和國網絡安全法》等法律法規和《國務院關于印發深化標準化工作改革方案的通知》《國務院辦公廳關于促進和規范健康醫療大數據應用發展的指導意見》《國務院辦公廳關于促進“互聯網+醫療健康”發展的意見》等文件精神,國家衛生健康委員會組成專門工作組,深入開展研究、廣泛聽取各方面意見,特別是在充分總結福建、江蘇、山東、安徽、貴州五省健康醫療大數據中心試點經驗基礎上,研究制定了《國家健康醫療大數據標準、安全和服務管理辦法(試行)》(以下簡稱《試行辦法》)。
《試行辦法》起草過程中,堅持以人為本,突出健康醫療大數據的使用和服務,創造條件規范使用健康醫療大數據,延伸和豐富服務內容,更好滿足人民健康醫療需求。堅持共建共享,鼓勵政府和社會力量合作,推動形成各方支持、依法開放、便民惠民、蓬勃發展的良好局面,充分釋放數據紅利。堅持安全可控,妥善處理應用發展與保障安全的關系,突出增強安全技術支撐能力,保護個人隱私和信息安全?!对囆修k法》進一步明確了各級衛生健康行政部門、各級各類醫療衛生機構、相關應用單位及個人在健康醫療大數據標準管理、安全管理、服務管理中的責權利,對于統籌標準管理、落實安全責任、規范數據服務管理具有重要意義。
二、《試行辦法》的主要內容是什么?如何從標準管理、安全管理、服務管理三個方面加以規范?
健康醫療大數據的應用發展,標準是前提,安全是保障,服務是目的。《試行辦法》明確健康醫療大數據的定義、內涵和外延,以及制定辦法的目的依據、適用范圍、遵循原則和總體思路等,明確各級衛生健康行政部門的邊界和權責,各級各類醫療衛生機構及相應應用單位的責權利,并對三個方面進行了規范。一是標準管理,明確開展健康醫療大數據標準管理工作的原則,以及各級衛生健康行政部門的工作職責。提倡多方參與標準管理工作,完善健康醫療大數據標準管理平臺,并對標準管理流程、激勵約束機制、應用效果評估、開發與應用等作出規定。二是安全管理,明確健康醫療大數據安全管理的范疇,建立健全相關安全管理制度、操作規程和技術規范,落實“一把手”負責制,建立健康醫療大數據安全管理的人才培養機制,明確了分級分類分域的存儲要求,對網絡安全等級保護、關鍵信息基礎設施安全、數據安全保障措施、數據流轉全程留痕、數據安全監測和預警、數據泄露事故可查詢可追溯等重點環節提出明確的要求。三是服務管理,明確相關方職責以及實施健康醫療大數據管理服務的原則和遵循,實行“統一分級授權、分類應用管理、權責一致”的管理制度,明確了責任單位在健康醫療大數據產生、收集、存儲、使用、傳輸、共享、交換和銷毀等環節中的職能定位,強化對健康醫療大數據的共享和交換。同時,在管理監督方面,強調了衛生健康行政部門日常監督管理職責,要求各級各類醫療衛生機構接入相應區域全民健康信息平臺,并向衛生健康行政部門開放監管端口。定期開展健康醫療大數據應用的安全監測評估,并提出建立健康醫療大數據安全管理工作責任追究制度。
三、《試行辦法》在標準管理方面有什么具體舉措?
標準是信息化建設的基礎性制度?!对囆修k法》按照“政策引領、強化監督、分類指導、分級管理”的基本原則,加強加強健康醫療大數據標準管理工作。《試行辦法》提出,健康醫療大數據標準起草、審查及發布的程序和要求,按照國家和行業有關規定執行,同時,結合衛生健康行業實際提出了一些具體舉措。在標準制定方面,提倡多方參與協作,積極鼓勵醫療衛生機構、科研院所、行業學會協會、社會團體和相關企業參與健康醫療大數據的標準制定工作。在標準落地方面,各級衛生健康行政部門負責對健康醫療大數據標準的實施加強引導和監督,充分調動并發揮各級各類醫療衛生機構、相關企業等市場主體在標準應用實施中的積極性和主動性,通過建立激勵約束機制推動標準的落地落實。在標準管理方面,國家衛生健康委通過不斷完善健康醫療大數據標準管理平臺,以實現對健康醫療大數據標準開發與應用的動態管理。通過組織對健康醫療大數據標準應用的效果評估,推動實現對健康醫療大數據標準的制修訂或廢止等相關工作。
四、《試行辦法》在安全管理方面是如何界定主體責任和監管責任的?
健康醫療大數據是國家重要的基礎性戰略資源,健康醫療大數據的安全關系到國家戰略安全、國家生物安全、人民生命安全和公民個人隱私安全?!对囆修k法》既突出了健康醫療大數據安全和應用管理責任單位的主體責任,又突出了監管單位的監管責任。關于責任單位的主體責任方面,一是責任單位要落實“一把手”負責制,建立健全健康醫療大數據相關管理與使用制度,強化統籌管理和協調監督。二是責任單位要嚴格落實網絡安全等級保護制度,建立健全實名認證訪問控制機制、網絡安全通報機制和應急處置聯動機制,切實加強容災備份、加密認證、準確恢復等安全保障措施,定期對相關信息系統開展定級、備案和測評工作。三是人才培養方面,責任單位應建立健全安全管理人才培養機制,為相關從業人員培訓安全管理所需的知識和技能,為健康醫療大數據應用發展提供人才保障。關于監管單位的監管責任方面,監管單位要建立健全健康醫療大數據安全管理工作責任追究制度,完善軟件評價和安全審查保密制度,定期開展健康醫療大數據應用的安全監測評估,切實保障健康醫療大數據安全。
五、《試行辦法》在服務管理方面對數據采集、存儲、利用、共享等環節提出了哪些明確要求?
《試行辦法》明確,在推動健康醫療大數據應用發展過程中,嚴格遵守相關法律法規和文件規定,在強化標準管理和安全管理的基礎上,寓管理于服務之中,為提升健康醫療大數據的服務能力和管理水平奠定基礎。在數據采集方面,責任單位要嚴格執行國家和行業相關標準和程序,要做到標準統一、術語規范、內容準確,并嚴格實行信息復核終審程序,確保數據質量。在數據存儲方面,健康醫療大數據應當存儲在境內,因業務需要向境外提供時,應按相關法律法規和要求進行安全評估審核。在服務提供方面,要確保服務提供商具備履行相關法規制度、落實相關標準和確保數據安全的能力,并建有安全管理、隱私保護等管理制度。在數據利用方面,責任單位應堅持包容審慎的態度,加強數據的規范應用和服務,推動部分健康醫療大數據在線查詢,同時,不得泄露國家秘密、商業秘密和個人隱私,切實保障各相關方合法權益。在數據共享方面,國家衛生健康委負責建立健康醫療大數據開放共享機制,統籌建設資源目錄體系和數據共享交換體系,強化對健康醫療大數據全生命周期的服務與管理。
六、對《試行辦法》的下一步工作有什么考慮?
我們將加強宣貫解讀工作,推動各地衛生健康主管部門和相關單位準確理解把握《試行辦法》精神、政策舉措和具體要求。加強督促落實,及時指導各地解決文件落地執行中面臨的問題,確保各項政策舉措落到實處、發揮作用、產生實效。鼓勵探索創新,各地可以結合實際,研究制定實施舉措。
同時,考慮到健康醫療大數據是一項新生事物,推動健康醫療大數據的應用發展更是一項創新性工作,未知大于已知,我們將跟蹤文件實施情況,及時提煉總結該文件在試行過程中出現的問題和經驗,以便進一步完善健康醫療大數據的標準管理、安全管理和服務管理,促進健康醫療大數據規范有序發展。