制定依据:根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国基本医疗卫生与健康促进法》《网络数据安全管理条例》等法律、行政法规制定。
职责分工:国家卫生健康委、国家中医药局、国家疾控局负责统筹规划、指导、评估、监督;县级以上地方卫生健康行政部门负责本行政区域内工作;医疗卫生机构负主体责任,主要负责人为第一责任人,分管负责人为直接责任人。
分类分级:医疗卫生机构数据分为核心数据、重要数据和一般数据,不同类别、级别数据同时处理且难以分别采取保护措施的,按级别最高的要求实施保护。
分类分级工作:省级卫生健康行政部门组织开展省域内数据分类分级工作,提出重要数据和核心数据目录建议并上报;医疗卫生机构定期梳理数据,确定类别,识别重要数据,并向属地卫生健康行政部门报送相关情况。
级别变更:数据级别确定后,出现数据内容、规模、时效性、应用场景、加工处理方式等发生较大变化等情形时,应及时变更数据级别。
衍生数据:数据经过脱敏、标签、统计、汇聚融合等加工活动产生的衍生数据,应在原始数据定级基础上重新评估确定级别。
总体要求:医疗卫生机构开展数据和个人信息处理活动,应履行数据安全保护义务,通过制度、人员、管理、技术、应急等保障措施,确保数据持续处于有效保护和合法合规利用状态。
重要数据处理:处理重要数据的医疗卫生机构应明确安全负责人和管理机构,每年度开展风险评估并报送报告;提供、委托处理、共同处理重要数据前应进行风险评估(履行法定职责或义务的除外),并与接收方约定相关事项。
存储安全:存储处理重要数据落实三级及以上网络安全等级保护要求;存储处理核心数据,涉及关键信息基础设施的落实关键信息基础设施安全保护要求,不涉及的落实四级网络安全等级保护要求;核心数据跨不同法人主体活动时采取安全措施,达到一定规模应经风险评估。
共享与利用:支持数据共享和开发利用,建立使用申请及批准流程,鼓励“原始数据不出域”等利用方式;探索建立数据分类分级授权运营机制,纳入领导班子集体决策。
禁止行为:明确了不得违法采集、存储、传输、向境外提供、越权使用、未经授权处理、未经批准提供、随意公开数据,以及未经销毁数据报废设备或变更用途、隐瞒数据安全事件等行为。
监测预警机制:国家和地方卫生健康行政部门建立健全数据安全风险监测预警机制,医疗卫生机构建立监测预警与应急处置机制,防范安全风险。
风险信息上报共享:国家卫生健康委建立风险信息上报和共享机制,地方卫生健康行政部门汇总分析本地区风险隐患并上报,医疗卫生机构及时报告可能造成重要数据或核心数据安全事件的风险隐患。
应急预案与处置:国家卫生健康委制定应急预案并开展演练,地方卫生健康行政部门组织本地区应急处置,医疗卫生机构制定应急预案并定期演练,发生安全事件后及时处置、报告。
委托处理:委托处理个人信息时应事前进行影响评估并签订协议,明确双方权利义务,监督协议执行。
新技术使用:使用人工智能等新技术涉及患者病历等个人信息的,必须确保个人信息安全。
禁止行为:明确了不得违法处理、收集、超范围收集、超授权调阅、违法提供、违法公开、违法向境外提供个人信息,以及滥用人脸识别信息等行为。
风险处置与整改:卫生健康行政部门发现安全风险或事件时督促整改,医疗卫生机构配合核查调查。
责任追究:地方卫生健康行政部门不履行义务的,由上级机关责令改正,对相关人员给予处分;医疗卫生机构及相关人员违反规定的,依法给予警告、罚款、停止执业活动、行政处罚、追究法律责任等。
约谈与审计:卫生健康行政部门等可对存在较大风险或发生安全事件的医疗卫生机构法定代表人或主要负责人进行约谈,或要求委托专业机构进行合规审计。
投诉举报:任何组织、个人有权投诉、举报违法个人信息处理活动,相关部门应及时处理并告知结果。
涉密数据:涉及国家秘密、工作秘密的数据处理活动适用《中华人民共和国保守国家秘密法》等规定。
解释与施行:本办法由国家卫生健康委负责解释,自印发之日起施行。返回搜狐,查看更多
- 手机:
- 13968960023
- 邮箱:
- kuyou@chaoshuntong.com
- 电话:
- 010-80480367
- 地址:
- 北京市怀柔区琉璃庙镇老公营村293号-20室
