DB51T 2989-2023 四川省健康医疗大数据应用指南

ICS35.240.80CCSC07DB51四川省地方标准DB51/T2989—2023四川省健康医疗大数据应用指南Guidelinesforapplicationofhealthbigdataofsichuanprovince2023-02-07发布2023-04-08实施四川省市场监督管理局发布学兔兔—2023I目次前言.......................................................................II引言......................................................................III1范围.....................................................................12规范性引用文件...........................................................13术语和定义...............................................................14总体原则.................................................................15应用体系.................................................................26应用流程.................................................................97应用场景................................................................11附录A（规范性）数据分级与安全措施.......................................13附录B（资料性）健康医疗大数据应用申请样表...............................14附录C（资料性）健康医疗大数据应用申请专家评估样表.......................15附录D（资料性）健康医疗大数据应用的典型场景.............................17附录E（资料性）健康医疗大数据应用场景案例...............................19参考文献...................................................................26学兔兔—2023II前言本文件按照GB/T1.1—2020《标准化工作导则第1部分：标准化文件的结构和起草规则》的规定起草。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任。本文件由四川省卫生健康委员会提出、归口并解释。本文件起草单位：四川省卫生健康信息中心、四川省大数据中心、四川省卫生信息学会、四川省肿瘤医院、成都健康医联信息产业有限公司、翼健（上海）信息科技有限公司、四川孚艾尔信息技术咨询有限公司、四川省标准化研究院、四川大学华西医院、四川大学华西第二医院、四川数字金沙科技有限公司、成都智审数据有限公司、中电信医疗健康科技有限公司、中移（成都）信息通信科技有限公司、成都知识视觉科技有限公司、中国信息通信研究院、北京百度网讯科技有限公司、成都市智慧蓉城研究院有限公司。本文件主要起草人：向海平、吴沧浪、林晓东、马鸣、谭坤、邓韧、毛云鹏、沈明辉、周力、卢彬、向明飞、王凯、张雪莉、陈锐、齐翌、李蒙科、李正、赵婷、唐探宇、徐驰、靳娜、肖丽、郭亮、黄承基、周正、刘宇峰、聂蛟、陈超、冯天宜、武雅文、蒋翔宇。本次为首次发布。学兔兔—2023III引言在国家实施网络强国战略，全面推行大数据战略、“互联网+”行动计划的浪潮下，整个医疗卫生行业以及大健康产业正在进入蓬勃发展期，大数据、人工智能等新技术的应用，催生出健康服务新需求、新产业、新模式、新业态。在此时代背景下，高质量、高可用、多来源、多批量的业务数据集合构成了“健康医疗大数据”，从而引出了大数据应用的概念和需求。本文件的制定，旨在加快推动四川省健康医疗大数据全方位、跨领域的应用合作，并深化健康医疗大数据在决策支持、便民惠民、临床科研、产业促进等方面的应用。学兔兔—20231四川省健康医疗大数据应用指南1范围本文件给出了四川省健康医疗大数据应用相关的总体原则、应用体系、应用流程、应用场景。本文件适用于指导四川省各级各类医疗卫生机构和社会健康管理机构开展健康医疗数据的治理、分析、利用、转化等工作。2规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T22081信息技术安全技术信息安全控制实践指南GB/T22239信息安全技术网络安全等级保护基本要求GB/T31168信息安全技术云计算服务安全能力要求GB/T35274信息安全技术大数据服务安全能力要求GB/T37964信息安全技术个人信息去标识化指南GB/T38664（所有部分）信息技术大数据政务数据开放共享GB/T39725信息安全技术健康医疗数据安全指南3术语和定义GB/T39725界定的以及下列术语和定义适用于本文件。3.1大数据bigdata具有体量巨大、来源多样、生成极快、且多变等特征，并且难以用传统数据体系结构有效处理的包含大量数据集的数据。[来源：GB/T35295—2017，2.1.1]3.2个人健康医疗数据personalhealthdata单独或者与其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的相关电子数据。[来源：GB/T39725—2020，3.1]3.3健康医疗数据healthdata个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据。注：经过对群体健康医疗数据处理后得到的群体总体分析结果、趋势预测、疾病防治统计数据等。[来源：GB/T39725—2020，3.2]4总体原则学兔兔—202324.1合法合规原则遵守国家有关法律法规以及四川省地方部门规章制度，不得用于从事危害国家安全、社会公共利益或他人合法权益的活动。4.2最大程度原则以实现国家公共利益、促进公共健康和推动科学研究为目的，在保障数据安全前提下，宜坚持数据“共享为常态，不共享为例外”的最大程度共享原则。4.3分类分级原则数据宜进行分类分级，并建立数据安全等级和数据类别权限分级，形成“分级授权、分类应用、权责一致”的大数据应用制度。4.4一事一议原则应用各方宜签订数据保密协议，以共享满足应用目标的最少数据项、最少数据量为原则。4.5专家评议原则宜成立健康医疗大数据应用专家组（专家评估团队），评估大数据应用所涉及的伦理道德、系统安全、个人信息安全、数据保密等事项，并给予专家意见。4.6安全可控原则应用过程宜在安全信任的环境下进行，通过安全技术手段（如联邦学习、多方安全计算等），尽可能在不提供原始数据的情况下，满足大数据应用需求。4.7全程监管原则应用过程宜做到事前评估审核、事中实时监管、事后评价反馈；全程透明、留痕；数据按规保存备查；异常追踪、分析、识别和防护。4.8积极主动原则在应用过程中，参与各方宜积极主动配合安全评估、报告安全风险、接受安全核查（如代码审核、数据输出检查）等工作。5应用体系5.1角色划分5.1.1在健康医疗大数据应用过程中，针对特定数据，在特定的场景，相关组织或个人可划分为以下5类角色。a)个人健康医疗数据主体（简称“主体”）：个人健康医疗数据所标识的个人。b)健康医疗数据控制者（简称“控制者”）：能决定健康医疗数据处理目的、方式及范围等的组织或个人。判断组织或个人能否决定健康医疗数据的处理目的、方式及范围可以考虑：1)该项健康医疗数据处理行为是否属于该组织或个人履行某项法律法规规定所必需；2)该项健康医疗数据处理行为是否为该组织或个人行使其公共职能所必需；3)该项健康医疗数据处理行为是否由该组织或个人自行决定；学兔兔—202334)该项健康医疗数据处理行为是否由相关个人或者政府授权。c)健康医疗数据处理者（简称“处理者”）：代表控制者采集、使用、处理或披露其掌握的健康医疗数据，或为控制者提供涉及健康医疗数据的使用、处理或披露服务的相关组织或个人。d)健康医疗数据使用者（简称“使用者”）：针对特定数据的特定场景，不属于主体，也不属于控制者和处理者，但对健康医疗数据进行利用的相关组织或个人。e)健康医疗数据服务者（简称“服务者”）：受使用者委托，利用自身的能力和技术，针对特定数据的特定场景，不属于主体，也不属于控制者、处理者，但对健康医疗数据进行技术处理的相关组织或个人。5.1.2各角色的职责及相应角色举例如表1所示。表1各角色职责要点角色职责要点角色举例主体-患者、健康个人等控制者网络安全和数据安全的主要责任人：平台用户管理、数据使用审批；授权、访问控制、审计；决定健康医疗数据处理目的、方式及范围。卫健委信息中心、医疗机构、医保机构等处理者数据安全的重要责任人：数据采集、治理，形成数据资源目录；医疗信息标注、结构化处理；根据使用申请组织数据资源，形成可使用数据集；数据脱敏、去标识化；数据提供前的审查、评估、授权；加密、审计、流量控制、存储介质管控；数据传输加密、传输方式控制；数据使用时间控制。卫健委信息中心、医疗机构、医疗健康数据服务企业等使用者大数据应用过程中相关数据安全责任人：获得主体授权同意；获得相关部门（例如人类遗传办公室）批准；数据使用申请。政府机构、医疗机构、医保机构、医院其他科室、商业保险公司、科研机构、医药公司、医疗器械公司等服务者大数据应用过程中相关数据安全责任人：接口对接；数据预处理、医疗信息标注、结构化处理数据使用；数据存储、加密、销毁。数据分析公司、AI技术公司、医药公司、商业保险公司、科研机构等5.2数据划分5.2.1数据分类健康医疗数据可分为以下5类：a)个人基本信息数据：指单独或者与其他信息结合能够识别特定自然人的数据；b)诊疗信息数据：指患者在医疗服务过程中所产生的相关数据；c)费用信息数据：指医疗服务机构在提供医疗服务过程中所有与费用相关的数据；d)公共卫生信息数据：指公共卫生业务数据，如疾病控制、监督执法、卫生应急、预防干预和妇幼保健等公共事业数据；e)管理信息数据：指可以反映相关健康医疗机构运营管理状况的数据。5.2.2数据分级按照数据的敏感程度将健康医疗数据分为5级，数据集的最终定级由其包含数据的最高级别决定。不同等级数据的划分、内容、举例及应用前置条件如表2所示。学兔兔—20234表2健康医疗数据分级和应用前置条件情况数据等级划分内容举例应用前置条件第1级不包含第2、3、4、5级内容的数据不包含第2、3、4、5级内容的数据不包含个人敏感信息或者经过脱敏的病历数据，不包含个人敏感信息或者经过脱敏的检验检测报告无第2级机构运营、生产的相关数据机构相关运营数据门诊住院人次，药品消耗信息相关机构授权同意财务数据收入支出等财务数据人力资源数据人力资源信息设备运行数据检验、检查、医疗设备等运行数据，例如开机次数，运行时长，治疗次数等第3级包含敏感个人信息的数据或不满十四周岁未成年人的信息生物识别（指纹、声纹、掌纹、耳廓、虹膜、面部识别特征）检验检