在医疗健康领域,随着电子信息系统及相关信息技术的快速发展,大量健康数据通过电子化形式采集、存储,巨大的潜在价值及获取的便利性等因素使得卫生健康数据在政务数据
为了规范深圳市卫生健康数据活动,加强数据安全,保护个人和组织的合法权益,促进卫生健康数据有效开发应用,提高卫生健康数据治理能力和服务水平,深圳市卫生健康委员会根据《中华人民共和国个人信息保护法》《中华人民共和国数据安全法》《国务院促进大数据发展行动纲要》《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》《深圳经济特区医疗条例》《深圳经济特区数据条例》等法律法规规定和相关文件精神,结合深圳实际,制定了《深圳市卫生健康数据管理办法》(以下简称《办法》)。
《办法》共七章四十九条,包括总则,数据处理的一般规定,数据收集、传输和存储,数据使用、加工和删除,数据共享和开放,安全和监管,以及附则。通过明确各级管理架构及各相关单位职责,对卫生健康数据分类处理、分级授权、共享调阅等进行规范,加强对医疗服务、科学研究、公共服务等过程中产生的卫生健康数据处理的全流程管理。
《办法》适用于本市辖区范围内卫生健康行政部门、医疗卫生机构(以下统称责任单位)及其工作人员开展的卫生健康数据处理活动及其监督管理。
一是卫生健康公共数据是指在依法履行公共管理职责或者提供公共服务过程中收集或者产生的,以一定形式记录、保存的各类卫生健康数据;二是卫生健康个人数据是指依法收集或者产生的,载有可识别特定自然人信息的卫生健康数据,不包括匿名化处理后的数据;三是卫生健康敏感个人数据是指一旦泄露、非法提供或者滥用,可能导致自然人的人格尊严受到损害或者人身、财产安全受到危害的卫生健康个人数据,以及不满十四周岁未成年人的卫生健康个人数据。
《办法》明确了市卫生健康行政部门负责统筹全市卫生健康数据处理的管理工作,建立健全卫生健康数据治理体系、管理制度和标准规范,在职责范围内组织开展卫生健康数据处理活动,推动卫生健康数据开放共享;各区卫生健康行政部门负责所辖区域内卫生健康数据处理的管理工作,在职责范围内组织开展卫生健康数据处理活动,推动卫生健康数据开放共享;医疗卫生单位负责本单位卫生健康数据活动的管理工作,并建立完善本单位卫生健康数据管理制度。
依据《深圳市经济特区数据条例》“市政府应当建设城市大数据中心,建立健全其建设运营管理机制,实现对全市公共数据资源统一、集约、安全、高效管理”的规定。《办法》规定市卫生健康行政部门依托城市大数据中心组织建设、运营、维护深圳市卫生健康数据中心。深圳市卫生健康数据中心按照“一数一源”原则,收集、存储全市卫生健康数据,分类形成卫生健康资源配置、居民电子健康档案、电子病历、疾病和健康危险因素监测等卫生健康相关主题数据库,统一、集约、安全、高效管理全市卫生健康数据资源。同时规定市、区卫生健康行政部门分别建设市、区卫生健康信息化平台,实现卫生健康数据互通共享,并将卫生健康数据汇聚至深圳市卫生健康数据中心统一管理。
市卫生健康行政部门组织编制并公布全市卫生健康公共数据资源目录,制定卫生健康数据标准、安全和处理等相关规范,按照有关规定对卫生健康数据实行分类分级及安全管理,并将卫生健康公共数据资源纳入深圳市公共数据资源目录体系管理,规范卫生健康公共数据共享目录和开放目录。
一是规定了责任单位收集、存储卫生健康数据的要求,明确责任单位应当对数据传输、存储采取的安全防护措施,要求医疗卫生机构应当按照要求在本机构信息系统中为实名就医的个人建立身份标识唯一、基本数据项一致的居民电子健康档案,记录为其提供的健康服务信息,并将数据录入或者上传至卫生健康信息化平台,实现居民电子健康档案联网管理,使用电子病历系统的医疗卫生机构还应当将患者的电子病历数据上传至卫生健康信息化平台实现联网管理。同时鼓励产生卫生健康数据的其他单位将卫生健康数据按照规范传输至卫生健康数据中心。
是规定责任单位在使用、加工卫生健康数据时应制定相关管理制度,包括合规性审查、数据访问控制、脱密脱敏、采取相应安全措施等。
三是规定了责任单位进行卫生健康公共数据的共享和开放的具体要求,要求责任单位应当建立卫生健康公共数据的共享对接机制,在卫生健康公共数据共享目录范围内,应有关国家机关、事业单位、医疗卫生单位等公共管理和服务机构的申请,依法共享卫生健康公共数据,并做好登记和管理。
1.明确处理涉及卫生健康个人数据的告知和同意规则。
一是卫生健康行政部门为履行法定职责处理卫生健康个人数据的,应当在处理前集中公告个人数据处理规则;二是医疗卫生机构处理卫生健康个人数据的,应当在处理前依法向个人进行告知,并取得个人或者其监护人的明确同意,涉及卫生健康个人敏感数据的,应当取得单独同意。
2.明确医疗卫生机构查阅居民电子健康档案和个人电子病历的规则。
一是医疗卫生机构为居民提供医疗卫生服务时,经个人或者其监护人同意,可以依法查阅其居民电子健康档案。符合下列情形之一的,医疗卫生机构可以依法查阅个人电子病历:(一)个人或者其监护人单独同意;(二)为居民提供医疗卫生服务时,查阅其在本机构以及属于同一法人单位的医疗机构的电子病历;(三)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康所必需;(四)法律、行政法规规定的其他情形。二是个人或者其监护人可以选择下列同意方式:(一)同意医疗卫生机构为个人提供本次卫生健康服务时查阅;(二)同意医疗卫生机构为个人提供卫生健康服务时均可以查阅。
3.明确涉及卫生健康个人数据的共享规则。
一是责任单位共享数据涉及卫生健康个人数据的,应当取得个人或者其监护人的单独同意,因履行法定职责或者法定义务所必需、应对突发公共卫生事件或者紧急情况下为保护自然人的生命健康和财产安全所必需等法律、行政法规另有规定的除外;二是责任单位应当要求申请单位提供以下资料:(一)收集处理卫生健康个人数据的法律、法规、规章依据;(二)提供明确的所需共享数据的人员名单;(三)数据接收方的名称、联系方式、处理目的、处理方式和个人信息的种类;(四)限于实现处理目的所必要的最小范围、采取对个人权益影响最小的方式等个人信息保护措施。
1.明确卫生健康公共数据的共享规则。
一是国家机关、事业单位申请共享卫生健康公共数据的,由卫生健康行政部门通过城市大数据中心的公共数据共享平台,按照规定提供共享;二是区卫生健康行政部门、市属医疗卫生单位申请共享卫生健康公共数据的,由市卫生健康行政部门通过市卫生健康信息化平台,按照规定提供共享;三是区属医疗卫生单位申请共享卫生健康公共数据的,由区卫生健康行政部门通过区卫生健康信息化平台,按照规定提供共享;四是对不能通过公共数据共享平台或者卫生健康信息化平台共享卫生健康公共数据的,应当按照法律、法规等规定提供数据共享,并履行个人信息保护职责。
2.明确依法应当主动公开的公共数据规则
卫生健康行政部门通过公共数据共享平台无条件共享基本医疗卫生服务目录、收费价格、医疗卫生公共信用、医疗卫生相关证照和其他依法应当主动公开的卫生健康公共数据。
《办法》明确了责任单位的安全监管责任、相关信息系统网络安全等级保护、安全事件处理机制及卫生健康行政部门的监管职责。