6.2数据提供者 各级各类医疗卫生机构为数据提供者,应当按照“一数一源、最少够用”的原则采集卫生信息,所采集的信息应当符合业务应用和管理要求,保证卫生信息中标识的唯一性。
数据的一致性, 所采集的信息应当严格实行信息复核程序,避免重复采集.多头采集:应当严格执行相关标准,做到标准统一、术语规范、内容准确;在数据发生变更时,应当将所管理的卫生信息完整、安全地移交给主管部门或承接延续其职能的机构管理,不得造成卫生信息的损毁、丢失;应当按照法律法规的规定,遵循医学伦理原则,保证信息安全,保护个人隐私。 6.3 数据使用者 各类卫生信息资源用户为数据使用者,应依法依规使用卫生信息资源,加强信息资源使用的全过程管理。数据使用者对从共享平台获取的信息,只能按照明确的目的和用途使用,不得直接或以改变数据形式等方式提供给第三方,也不得用于或变相用于其他目的。 6.4 数据使用规则 —— 各级卫生健康行政部门用户因履行职责需要使用中间数据、结果数据,由下属信息管理部门(中心)无偿提供。 —— 各级卫生健康行政部门下属事业单位用户因开展业务需要使用中间数据、结果数据,由卫生健康行政部门下属信息管理部门(中心)无偿提供。 —— 其他行政和事业单位、高校和科研院所用户因职责履行或科学研究所需要使用中间数据、结果数据,需向相关的卫生健康行政部门申请,审批通过后由卫生健康行政部门下属信息管理部门(中心)无偿提供。 —— 公安等特殊政府部门需要使用原始数据,需向相关的卫生健康行政部门申请,审批通过后由信息管理部门(中心)无偿提供。 —— 其他社会用户如需要使用结果数据或中间数据,需向相关卫生健康行政部门申请,审批通过后由信息管理部门(中心)有偿提供,具体标准由相关部门另行制定。 —— 在保证患者个人隐私的前提下,按照相关规定在履行居民和患者本人授权和卫生健康行政部门批准的合法合规程序后,信息管理部门(中心)可以为医疗保险、健康管理等机构提供相关原始数据。 —— 医疗卫生服务提供者为居民和患者个人提供医疗卫生服务时,按照相关规定在履行居民和患者本人授权和卫生健康行政部门批准的合法合规程序后,可使用原始数据。 —— 在保证居民和患者个人隐私的前提下,经卫生健康行政部门批准,信息管理部门(中心)可以对医疗卫生机构提供限于科研、医疗、健康管理用途的原始数据。 —— 居民和患者个人通过安全的身份认证后,方可使用本人原始数据。 7 卫生信息资源使用方式 卫生信息资源开放平台是卫生信息开放共享最重要的渠道,依托卫生信息资源的开放平台建立规范化数据应用环境,基于卫生信息资源目录实现对数据的发布,推动数据在安全架构下的合理共享与使用。 7.1 卫生信息资源目录 根据已发布的卫生信息标准及卫生信息资源,按照《政务信息资源目录编制指南(试行)》中关于政务信息资源目录的要求,明确卫生信息资源的分类、责任方、格式、属性、更新时限、共享类型、共享方式、使用要求等内容。 在行业卫生信息整合、跨行业卫生相关信息融合的基础上,逐步实现卫生信息互联共享,按照卫生信息资源的数据属性和应用领域进行信息分类,按照卫生信息资源的保密级别、使用权限进行信息分级,形成内容全面、信息完整、分类合理、分级明确的卫生信息资源库及信息资源目录。 7.1.1 卫生信息资源目录管理 国家卫生健康行政部门汇总形成国家卫生信息资源目录,并建立目录更新机制。国家卫生信息资源目录是实现国家卫生信息资源共享和业务协同的基础,是医疗卫生服务机构和卫生健康行政部门间信息资源共享的依据。 各级卫生健康行政部门维护本地区卫生信息资源目录,并在有关法律法规作出修订或业务需求或行政管理职能发生变化后及时更新本地区卫生信息资源目录,并负责对卫生信息资源目录更新工作的监督考核。
7.1.2 卫生信息资源目录开放 基于卫生信息资源目录建立卫生信息资源的开放平台,依据相关规范向卫生信息资源用户公开卫生信息资源,合法有序地推进卫生信息资源的共享开放,除法律、法规另有规定外,需遵循政府信息公开原则。 凡涉及国家秘密的数据资源,按照国家有关涉密数据管理规定执行。 7.2 数据使用的全生命周期管理 用户基于信息资源目录申请使用卫生信息资源,形成数据使用者经授权获取卫生信息数据的业务流程管理。卫生信息资源使用过程必须基于全生命周期管理规范,在卫生信息资源的整个生命周期内,记录数据从创建存储开始,包括数据的申请、审批、创建、利用、回收、销毁的全过程。 —— 数据申请:基于卫生信息资源目录为数据使用者提供在线的数据申请通道。 —— 数据审批:数据管理者基于数据授权使用原则对数据申请进行审批。 —— 数据创建:通过数据管理者审批的数据申请,由信息管理部门(中心)实现对数据开放任务的创建,完成申请范围数据的准备。 —— 数据利用:数据使用者可通过指定的方式获取已创建的数据。不同的数据提供方式需辅以不同的安全策略,使用单位或者个人应当按照授权要求,做好所涉及的卫生信息资源安全和隐私保护工作,使用单位或者个人不得超出授权范围利用卫生信息资源。数据的提供方式可根据数据属性、应用领域、保密级别等相关分级要求,采用合适的方式进行提供,包括但不限于: ●在指定地点或设备上直接使用数据; ●以数据接口对接形式交换数据; ●以数据导出形式借助存储介质(如光盘等)提供数据。 —— 数据回收:数据使用者在完成数据使用以后,将可以手动/自动完成信息资源的授权回收,用户将失去对回收后数据的访问权限。 —— 数据销毁:数据在使用完成以后,用户将只能导出最终的结果数据,在数据计算中产生的中间数据将被销毁。 8 卫生信息资源的安全管理 8.1 卫生信息资源管理制度建设 8.1.1 卫生健康行政部门建立日常监督制度。 卫生健康行政部门应当加强对本行政区域内各卫生信息资源管理工作的日常监督检查,对本行政区域内各卫生信息资源综合利用工作的指导监督,提高精细化卫生信息资源服务和管理能力。 8.1.2 卫生健康行政部门建立通报制度。 相关机构和个人在卫生信息资源利用、卫生信息资源系统建设维护和技术支持等过程中,违反本办法规定造成不良后果的,应当对其予以通报;情节严重、违反国家法律法规的,依照国家有关法律法规追究其法律责任。 8.2 卫生信息资源安全管理与监督保障 卫生信息资源主管部门应按照各级网络与信息安全监管部门的要求,建立卫生信息资源安全保障体系,实施分级管理。卫生信息资源使用应当做好隐私保护工作,涉及敏感信息的原始个案数据提供服务需按照规范流程严格执行。用户对其所使用的卫生信息资源承担安全和保密责任。 信息管理部门(中心)需按照《中华人民共和国网络安全法》、国家网络安全等级保护制度等相关要求,建立健全卫生信息资源相关系统安全保障体系,建立网络安全管理制度、安全审查制度、日志审计制度、操作规程和技术规范等工作机制,保障卫生信息资源信息安全。 8.2.1 数据安全管理 对数据进行分级管理,通过数据分类识别、数据安全目录。数据脱敏、数据安全审计、数据访问权限分级等手段,防止数据被非法使用。卫生信息资源使用单位在使用个案数据时,按照相关规定在履行居民和患者本人授权和卫生健康行政部[ ]批准的合法合规程序后,在个人知情的前提下使用。 ——访间控制:信息数据涉及隐私和敏感性,因此数据存取需要进行访问控制,通过设定還辑边界和安全访问策略实现数据过滤,避免信息泄露。 ——数据保护:提供数据隔离存储、数据传输的非对称加密(内部或外部)、数据保存的加密。 数据的异常泄露控制等功能来加强数据层地的安全策略。 ——用户隔离:保证用户的数据、服务或存储资源不被其他用户访问。进行端到端保护,必须安全地隔离每个用户的权限。 ——数据脱敏:使用结果数据或中间数据时,应对居民和患者个人隐私信息进行脱敏处理。 8.22网络安全管理 对存踏和处理的敏感数据进行透明加密,防止敏感数据泄露。 通过部署数据防火墙和审计对数据的访问操作进行实时监控,阻断违规访问,实现安全事件可追溯、可定责。 8.23安全审查管理 卫生信息资源服务相关系统的信息技术产品和服务提供者应当遵守国家有关信息安全审查制度,不得中断或者以其他方式中断合理的技术支持与服务,并应当为卫生信息在不同系统间的迁移。交互、共享提供安全与便利条件。 8.24日志审计管理 对卫生信息资源的必须具备完善的日志功能.为卫生信息资源管理部]提供数据使用的管理、日志、审计、控制和追溯功能。 |
