解读《福州市健康医疗大数据资源管理暂行办法》

健康医疗大数据是什么，怎么用，数据安全又如何保障？昨日，在中国东南大数据产业合作发展大会暨国家健康医疗大数据平台（福州）发布会上，我市发布了《福州市健康医疗大数据资源管理暂行办法》。副市长李春对《管理办法》作了介绍。

《管理办法》是全国首个行业性数据资源管理办法，共六个章节、三十四条，包括总则、数据资源管理、数据资源服务、安全管理、监督保障和附则，推动政府健康医疗信息系统和公众健康医疗数据互联融合、开放共享，真正打破“信息孤岛”。

健康医疗大数据是什么？

《管理办法》明确了健康医疗大数据的定义，界定了健康医疗大数据的来源、范围、管理服务活动，厘清了数据监管单位、数据运营单位、技术服务单位、数据生产应用单位的权利、责任和义务。

健康医疗大数据是指所有与医疗卫生和生命健康活动相关的数据集合，是覆盖全员人口和全生命周期、涉及国家公共卫生安全和生物信息安全的极大量数据。

福州市健康医疗大数据包含政府机构、卫生医疗机构等组织产生的数据，以及从互联网、物联网、第三方等途径获得的数据。

健康医疗大数据按照开放类型，分为普遍开放类、授权开放类和暂不开放类。

属于普遍开放类的，公民、法人或者其他组织可以直接从健康医疗大数据统一开放平台获取；属于授权开放类的，内资控股法人企业、高校或者科研院所可以向数据运营单位提出申请，申请授权开放的数据使用单位暂限于中国东南大数据产业园范围内；属于暂不开放类的，确有使用需要的由数据运营单位向市数字办及市卫计委等相关行业主管部门提出申请。

健康医疗大数据怎么用？

《管理办法》覆盖了健康医疗大数据全生命周期，包括数据的采集、存储、处理、应用、共享和开放等各个环节，理顺了数据资源管理、数据资源服务、安全管理、监督保障等流程，实现了全流程监管。

使用授权开放类数据的，由数据使用单位向数据运营单位提出健康医疗大数据使用申请，数据运营单位负责审核使用申请的合规性，对符合条件的数据使用单位提供数据服务。

确需使用暂不开放类数据的，由数据使用单位向数据运营单位提出申请；数据运营单位向市数字办及市卫计委等相关行业主管部门报审，经同意后方可提供数据服务。

数据使用单位获准使用数据，应按要求与数据运营单位签订《福州市健康医疗大数据资源使用协议书》。

安全怎么保障？

《管理办法》明确了试点应用的边界，建立了安全保障体系，实施分级分类管理，建立安全评估、安全报告和应急处置机制。

数据生产应用单位、数据运营单位和技术服务单位在开展健康医疗大数据采集、存储、处理、应用、共享、开放及其相关管理服务活动中应做到可管理、可控制、可追溯；涉及商业秘密、个人隐私的，应当遵守有关法律、法规规定。

任何单位和个人均不得篡改和删除健康医疗大数据。

数据使用单位对其所使用的健康医疗大数据负安全和保密责任，在接收到数据后，要进行登记备案，指定人员进行跟踪管理，确保在可控环境下使用，保障数据在使用过程中的安全；在申请使用期满后，应及时销毁在本部门环境中存在的相关数据，并及时反馈给数据运营单位。数据使用单位如需延期使用生产数据，必须在到期前重新申请，按本办法规定获同意后方可继续使用。

附件：

福州市健康医疗大数据资源管理实施细则

　　第一章 总 则

　　第一条　为规范福州市健康医疗大数据资源管理工作，进一步落实数据资源管理的监管和引导，根据《福州市健康医疗大数据资源管理暂行办法》，突出先行先试，制定本实施细则。

　　第二条　本实施细则适用于福州市健康医疗大数据资源管理服务活动。

　　健康医疗大数据的资源管理包含数据资源目录、数据采集、数据标准、数据质量、数据安全、数据共享和数据开放开发等管理内容。其中数据共享是指监管机构将数据提供给国家机关、事业单位、社会团体及具有公共管理职能的组织和公共服务企业共享使用的行为，按照《福州市政务数据资源管理暂行办法》及配套的相关规定执行；数据开放开发按照《福州市健康医疗大数据开放开发实施细则》执行。

　　第三条　本实施细则中所称的国家健康医疗大数据平台（福州）由数据汇聚平台、数据开放平台、数据治理平台、数据安全平台等相关平台组成。

　　第二章　数据资源目录

　　第四条　健康医疗大数据资源目录通过元数据（指数据名称、内容、来源、类别、位置、部门等）对数据资源进行分类和编制。

　　第五条 健康医疗大数据资源目录采用理论研究与调研相结合的方式进行规划设计，并按照多级管理方式进行逐步构建及细化。建立数据资源目录的方法：

　　（一）数据资源调查与梳理。摸清数据资源的底数，明确健康医疗大数据环境下数据资源的范围、内容、责任部门、所在位置、提供部门等内容；设计数据资源调查表，调查表必须包含数据资源核心元数据的内容，并可在此基础上根据需求进行扩展。

　　（二）数据资源分类。把具有某种共同属性或特征的信息归并在一起，根据类别的属性或特征对信息进行区分，建立数据资源分类体系。

　　第六条　根据需要采用不同的数据资源分类体系，每种分类体系均应使用统一的编码方法和代码结构。福州市健康医疗大数据资源目录分类包括资源属性分类、涉密属性分类、开放开发属性分类等。

　　第七条　健康医疗大数据资源目录分类方式：

　　（一）按照资源属性分类分为主题信息、部门信息、服务对象等三种类型。

　　主题信息：依据信息资源的内容属性或主题特征进行分类。目前包括基础信息、公共卫生、计划生育、医疗服务、医疗保障、药品管理、综合管理、新型业态八大类。

　　部门信息：根据行业内健康医疗大数据相关的业务机构和管理机构、外部相关机构进行分类。

　　服务对象：根据信息资源服务对象的应用需求进行分类。

　　（二）按照涉密属性分类分为涉密信息和非涉密信息两种类型。

　　（三）按照开放开发属性分类分为普遍开放类、授权开放类和暂不开放类等三种类型。

　　第八条　编制数据资源目录的目的为开展数据资源的管理、查询和获取，促进数据资源的开发利用。数据资源目录编制完成后应及时对外公布非涉密部分，并在使用过程中进行持续整理、分析和细化，不断更新完善。

　　第三章　数据采集

　　第九条　健康医疗数据采集来源包括医疗卫生机构数据、政务部门共享数据、互联网+医疗数据及第三方相关企业数据等。

　　第十条　数据采集具体方法包括全量抽取和增量抽取。全量抽取可将所有历史数据一次性抽取完成；增量抽取根据规则要求进行抽取，采集频度根据应用场景分为实时采集和每日采集，采集时间一般安排在各信息系统非忙时段。

　　依照福州市健康医疗大数据系统对数据采集的要求，存量数据采用全量抽取的方式进行，增量数据可采用触发器、消息队列、数据库接口等方式进行。

　　第十一条　国家健康医疗大数据平台（福州）是福州市唯一的健康医疗大数据汇聚平台，未经批准其他机构或平台不得重复进行本市的健康医疗大数据汇聚工作。数据生产应用单位确有需要在我市行政区域内汇聚数据，应当与国家健康医疗大数据服务平台（福州）对接并接受监管。

　　有关机构或平台进行跨区域健康医疗大数据汇聚的，可以向国家健康医疗大数据服务平台（福州）进行汇聚。

　　第四章　数据标准

　　第十二条　健康医疗大数据的数据标准来源于健康医疗领域的国家标准、行业标准、相关主流企业的标准。

　　第十三条　数据标准包括三部分具体内容：

　　（一）分类定义。定义数据分类的维度，用于规范和识别数据的分类归属。

　　（二）数据表定义。定义表名、属性，确保属性的业务含义一致性。

　　（三）属性定义。定义属性的编码、分类及使用规则等。

　　第十四条　制定数据标准的具体方法包含建立业务部分和技术部分数据标准两方面内容：

　　（一）建立业务部分数据标准。从业务层面对数据进行统一定义，包括数据项的业务含义和数据项处理加工过程中应遵循的业务规则等。

　　（二）建立技术部分数据标准。从技术实现层面对数据进行统一规范和定义，包括表的命名、字段长度、数据格式、数据的缺省值的定义等。

　　第十五条　前期对数据标准的管理、维护及发布主要基于文档进行；在数据治理平台建设完成后，基于数据治理平台进行数据标准信息及文档的维护管理工作。

　　第五章　数据质量

　　第十六条　建立健康医疗大数据质量管控机制。主要采取以下方式：

　　（一）建立数据质量管控体系，对数据源接口、数据处理过程、数据应用和业务指标等相关环节进行管理。包括建立数据质量的评估体系、制定数据质量考核指标等，定期评估数据质量状况。

　　（二）借助数据治理平台开展数据质量管理工作，通过建立集中化的数据质量管理系统，制定数据质量管理规则，在过程中发现问题并持续改进。

　　（三）将数据质量管理与业务稽核相结合，通过业务规则的稽核来发现数据质量深层次的问题，更加清晰和明确地认识和判断数据质量。

　　第十七条　通过多类维度对数据质量进行度量，迅速定位和有效解决数据质量问题：

　　（一）完整性稽核。对数据是否完整进行稽核，主要包括数据实体缺失、属性缺失、记录缺失等。

　　（二）一致性稽核。对各数据表之间的数据是否一致等进行稽核。

　　（三）准确性稽核。对指标算法、数据处理过程的准确性进行稽核。准确性主要是通过元数据管理中定义的指标的算法、数据处理顺序和人工检查相结合的方式来保证。

　　（四）及时性稽核。主要是对源数据传送、数据获取、数据提取和数据装载等及时性进行稽核。

　　（五）合法性稽核。对数据取值是否在界定的值域范围内，包括格式、类型、值域和业务规则的有效性进行稽核。

　　第十八条　对在数据管理和稽核过程中发现的数据质量问题，应及时报告上级主管部门，并组织力量在最短时间内完成改正和上传工作。

　　第六章　数据安全

　　第十九条　数据安全是指健康医疗大数据使用服务过程中的安全保护，核心目的在于保护数据以及数据代表的对象不受侵害。

　　第二十条　数据安全管控贯穿于数据管理服务活动全过程，重点关注数据在使用环节中的隐私泄露、数据滥用、非法转卖等安全问题。

　　第二十一条　数据安全管控方法如下：

　　（一）基于数据治理平台的业务元数据基础，对业务数据的安全隐私进行进一步管理。

　　（二）数据实行分级分类存储，应当具备符合国家有关规定要求的数据存储、容灾备份等管理条件，建立可靠的数据容灾备份工作机制。

　　（三）在数据采集和数据传输过程中应使用安全的数据传输途径。

　　（四）在数据开放开发过程中，应根据不同的应用场景对数据进行脱敏脱密处理，采用动态脱敏和静态脱敏两种技术手段。

　　（五）在数据申请使用期满后，使用单位应及时销毁在本部门环境中存在的相关数据。

　　第二十二条　数据使用单位应满足以下安全要求：

　　（一）遵守国家法律法规，具有良好的资信、商誉，无违法违规记录的境内合法组织。

　　（二）提供书面的数据交易和使用安全承诺，内容至少应包含满足法律法规和政策要求、遵守数据提供方数据安全要求、为所持有数据提供充分的安全保护、未经明确授权不公开或转交数据给第三方等。

　　（三）按照协议约定的使用目的、范围、方式和期限使用数据。

　　第二十三条　数据运营单位应满足以下安全要求：

　　（一）遵守国家法律法规，具有良好的资信、商誉，无违法违规记录的境内合法组织。

　　（二）具备向数据使用方安全交付数据的能力。

　　（三）应建立数据交易服务安全管理制度，包括但不限于数据安全管理制度、个人信息安全保护制度、数据交易过程安全管理制度、应急响应管理制度等。

　　（四）遵守数据安全监管部门提出的安全管理规则。

　　第二十四条　健康医疗大数据管理服务平台应至少满足以下安全要求：

　　（一）提供安全的数据上传和下载接口，确保数据传输的安全。

　　（二）对数据实施访问控制，防止数据泄露或非法使用。

　　（三）实现数据源和数据操作的可追溯性。

　　（四）对交付数据进行安全审计，数据交付日志应至少包含交付数据唯一标识、交付时间、交付模式、交付结果等信息，保存15年以上。

　　（五）对数据进行安全存储和备份，确保数据的保密性、完整性和可用性。

　　（六）加强用户身份验证管理、网络安全管理，采取严格措施，做好计算机病毒的预防、检测、清除工作，建立针对网络攻击的防范措施。

　　第七章　管理体系

　　第二十五条　市数字办和市卫计委等相关行业主管部门负责会同数据生产应用单位和数据运营单位编制《福州市健康医疗大数据资源目录》，对非涉密部分的数据资源目录进行发布。

　　数据运营单位按照《福州市健康医疗大数据资源目录》，对分散在各级各类医疗卫生机构和其他健康相关领域的健康医疗数据资源进行整合，形成可统一管理和服务的数据资源，为使用者提供数据资源发现和定位服务。

　　当资源目录内容发生调整或数据资源出现变化时，数据生产应用单位或数据运营单位应当向市数字办和市卫计委等相关行业主管部门提出申请，由市数字办和市卫计委等相关行业主管部门更新相应内容并予以发布。

　　第二十六条　市数字办和市卫计委等相关行业主管部门负责制定《福州市健康医疗大数据采集规范》。

　　数据生产应用单位会同数据运营单位制定本单位的数据采集目录和数据采集工作制度，按照采集目录和采集规范开展数据采集工作。明确采集数据的范围、格式和采集流程，确保数据的真实性、准确性、完整性和安全性。

　　市数字办、市卫计委等相关行业主管部门授权数据运营单位按照采集目录及采集规范进行数据汇聚，并对汇聚的数据进行审核、登记和更新等操作。

　　第二十七条　市卫计委等相关行业主管部门负责编制健康医疗大数据标准规范，市卫计委等相关行业主管部门会同数据生产应用单位和数据运营单位对上述标准规范进行评审，形成《福州市健康医疗大数据标准规范》并发布。

　　数据运营单位按照数据标准规范，定义各类数据的业务标准和技术标准；市卫计委根据业务管理及监管工作的实际需求，可以对数据标准规范进行更新。

　　第二十八条　市卫计委等相关行业主管部门会同数据生产应用单位和数据运营单位建立健康医疗大数据质量管控机制；负责定期检查工作，及时要求不合格的数据生产应用单位和数据运营单位进行整改。

　　数据生产应用单位和数据运营单位按照数据质量管控要求，落实数据质量执行工作。数据运营单位应建立数据质量抽查制度，开展经常性的数据质量抽查工作，每月至少进行一次数据质量检查，严格把好数据质量审核关。

　　第二十九条　市数字办及市卫计委等相关行业主管部门负责指导、评估、监督福州健康医疗大数据安全管理工作。

　　数据生产应用单位、数据运营单位和技术服务单位负责健康医疗大数据采集、存储、处理、应用、共享、开放过程中的数据安全管理，保护个人信息、保障数据安全。

　　涉及数据资源管理的相关单位应当建立数据安全管理工作责任追究制度。

　　第八章　保障措施

　　第三十条　市数字办会同市卫计委等相关行业主管部门建立数据资源管理协商机制，负责审核数据资源管理的制度、方法、标准、规范，对数据资源管理以及安全要求的执行情况进行联合考核。

　　第三十一条　对于违反本实施细则规定的单位和个人，主管部门应当视情节轻重予以督导整改、通报批评、行政处分，构成犯罪的，依法追究法律责任。

　　第九章　附 则

　　第三十二条　本实施细则自颁布之日起试行。