首頁 資訊 《信息安全技術健康醫(yī)療數(shù)據(jù)安全指南》解讀(一)

《信息安全技術健康醫(yī)療數(shù)據(jù)安全指南》解讀(一)

來源:泰然健康網(wǎng) 時間:2024年12月07日 09:49

《信息安全技術健康醫(yī)療數(shù)據(jù)安全指南》對于健康醫(yī)療數(shù)據(jù)的定義、分類體系、使用披露、安全措施、安全管理、安全技術指南以及八種典型場景數(shù)據(jù)安全制定了體系標準。

律師將分為多期,對于消費醫(yī)療領域內涉及的個人信息保護事項,給予適度解讀。建立和完善患者個人信息保護制度,必須在嚴格遵守法律法規(guī)規(guī)定的前提下,結合醫(yī)療機構的實際情況,建立和運行醫(yī)療數(shù)據(jù)合規(guī)管理體系。

01— 個人健康醫(yī)療數(shù)據(jù)

單獨或與其他信息結合后能夠識別特定自然人或者反映特定自然人生理或心理健康的數(shù)據(jù)。個人健康醫(yī)療數(shù)據(jù)范圍:

1.1提供健康醫(yī)療服務時登記的個人信息;

 1.2出于健康醫(yī)療目的,例如治療、支付或者保健護理等,分配給個人的唯一標識號碼或者符號等;

 1.3在向個人提供健康醫(yī)療服務過程中采集的有關個人的任何數(shù)據(jù),例如既往病史、社會史、家族史、癥狀和生活方式等各類病歷記載的數(shù)據(jù);

 1.4來自身體部位或身體物質,例如組織、體液、血、尿、氣體,以及DNA、RNA、蛋白質等生物大分子、代謝小分子、腸道微生物等檢查或者檢驗的結果數(shù)據(jù); 

1.5可穿戴設備采集的與個人健康相關的數(shù)據(jù),并且該種數(shù)據(jù): 

(1)本身或者明顯未健康醫(yī)療相關數(shù)據(jù); 

(2)或是由傳感器采集的,并且可以單獨或者與其他數(shù)據(jù)相結合用來對可穿戴設備的用戶健康狀況或者疾病風險進行判斷的數(shù)據(jù); 

(3)或是可穿戴設備采集的數(shù)據(jù)并且為對用戶的健康狀況或者疾病風險進行判斷后的結論;

(4)或是通過可穿戴設備相連的APP或者系統(tǒng)進行傳送的,并非可穿戴設備使用者另行提供的。 

1.6接受的健康醫(yī)療服務相關數(shù)據(jù),例如檢驗檢查醫(yī)囑、診斷、操作、藥物、醫(yī)療效果等;

 1.7為個人提供健康醫(yī)療服務的服務者身份數(shù)據(jù);

 1.8關于個人的支付或醫(yī)保相關數(shù)據(jù);

 1.9醫(yī)學科研相關數(shù)據(jù),例如臨床研究病歷數(shù)據(jù)、生物樣本庫、全基因組等多種生物組學測序結果醫(yī)學相關隊列研究結果等; 

1.10公共衛(wèi)生與預防醫(yī)學數(shù)據(jù),例如疾控中心、公共衛(wèi)生管理部門收集的疾病衛(wèi)生檢測個人數(shù)據(jù);

 1.11婦幼保健數(shù)據(jù),例如婦幼保健院、醫(yī)療衛(wèi)生機構等收集的婦幼保健服務與健康管理數(shù)據(jù)。

 02—健康醫(yī)療數(shù)據(jù)

 包括個人健康醫(yī)療數(shù)據(jù)以及由個人健康醫(yī)療數(shù)據(jù)加工處理之后得到的健康醫(yī)療相關電子數(shù)據(jù),其類別與范圍是:

 2.1 個人屬性數(shù)據(jù)能夠單獨或者與其他信息介個識別特定自然人的數(shù)據(jù) 

(1)人口統(tǒng)計信息包括姓名、出生日期、性別、民族、國籍、職業(yè)、住址、工作單位、家庭成員信息、聯(lián)系人信息、收入、婚姻狀態(tài)等; 

(2)個人身份信息包括姓名、身份證、工作證、居住證、社???、可識別個人的影像圖像、健康卡號、住院號、各類檢查檢驗相關單號等; 

(3)個人通訊信息包括個人電話號碼、郵箱、賬戶及關聯(lián)信息等; 

(4)個人生物識別信息包括基因、指紋、聲紋、掌紋、耳廓、虹膜、面部特征等; 

(5)個人健康監(jiān)測傳感設備ID等。2.2健康狀況數(shù)據(jù)能夠反映個人健康情況或同個人健康情況有著密切關系的數(shù)據(jù)包括主訴、現(xiàn)病史、既往病史、體格檢查(體征)、家族史、癥狀、檢驗檢查數(shù)據(jù)、遺傳咨詢數(shù)據(jù)、可穿戴設備采集的健康相關數(shù)據(jù)、生活方式、基因測序、轉錄產(chǎn)物測序、蛋白質分析測定,代謝小分子檢測、人體微生物檢測等。

 2.3醫(yī)療應用數(shù)據(jù) 

反映醫(yī)療保健、門診、住院、出院和其他醫(yī)療服務情況的數(shù)據(jù)包括門(急)診病歷、住院醫(yī)囑、檢查檢驗報告、用藥信息、病程記錄、手術記錄、麻醉記錄、輸血記錄、護理記錄、入院記錄、出院小結、轉診(院)記錄、知情告知信息等。

 2.4醫(yī)療支付數(shù)據(jù) 

醫(yī)療或保險等服務中所涉及的與費用相關的數(shù)據(jù) 

(1)醫(yī)療交易信息 

包括醫(yī)保支付信息、交易金額、交易記錄等 

(2)保險信息 

包括保險狀態(tài)、保險金額等

 2.5衛(wèi)生資源數(shù)據(jù) 

可以反映衛(wèi)生服務人員、衛(wèi)生計劃和衛(wèi)生體系的能力與特征的數(shù)據(jù)包括醫(yī)院基本數(shù)據(jù)、醫(yī)院運營數(shù)據(jù)等 

2.6公共衛(wèi)生數(shù)據(jù) 

關系到國家或者地區(qū)大眾健康的公共事業(yè)相關數(shù)據(jù)包括環(huán)境衛(wèi)生數(shù)據(jù)、傳染病疫情數(shù)據(jù)、疾病檢測數(shù)據(jù)、疾病預防數(shù)據(jù)、出生死亡數(shù)據(jù)等 

 03—數(shù)據(jù)分級管理 

 根據(jù)數(shù)據(jù)重要程度、風險級別、對個人健康醫(yī)療數(shù)據(jù)主體可能造成的損害和影響,建議分級:

 第1級 可完全公開使用使用數(shù)據(jù)例如醫(yī)院名、地址、電話等,可直接在互聯(lián)網(wǎng)上面向公眾公開

 第2級 可在較大范圍內供訪問使用的數(shù)據(jù)例如不能標識個人身份的數(shù)據(jù),各科室醫(yī)生經(jīng)過申請審批可以用于研究分析 

第3級 可在中等范圍內供訪問使用的數(shù)據(jù)例如經(jīng)過部分去標識化處理,但仍可能重標識的數(shù)據(jù),僅限于獲得授權的項目組范圍內使用 

第4級 在較小范圍內供訪問使用的數(shù)據(jù)例如可以直接表示個人身份的數(shù)據(jù),僅限于相關醫(yī)護人員訪問使用 

第5級 僅在極小范圍內且在嚴格限制條件下供訪問使用的數(shù)據(jù)例如特殊病種(艾滋病、性?。┑脑敿氋Y料,僅限于主治醫(yī)護人員訪問且需要進行嚴格管控

 04—相關角色分類

 針對特定數(shù)據(jù)特定場景,相關組織或個人劃分角色:

 4.1個人健康醫(yī)療數(shù)據(jù)主體:個人健康醫(yī)療數(shù)據(jù)所標識的自然人

4.2健康醫(yī)療數(shù)據(jù)控制住能夠決定健康醫(yī)療數(shù)據(jù)處理目的、方式及范圍等的組織或個人 

4.3健康醫(yī)療數(shù)據(jù)處理者代表控制著采集、傳輸、儲存、使用、處理或披露其掌握的健康醫(yī)療數(shù)據(jù),或未控制著提供涉及醫(yī)療數(shù)據(jù)的使用、處理或者披露服務的相關組織或個人

 4.4建立醫(yī)療數(shù)據(jù)使用者對于健康醫(yī)療數(shù)據(jù)進行利用的相關組織或者個人 

 05—數(shù)據(jù)開放形式

 5.1網(wǎng)站公開,屬于完全公開共享,統(tǒng)計概要類數(shù)據(jù)或經(jīng)匿名處理后的數(shù)據(jù),向大眾開放,可自行下載分析;

 5.2文件共享,屬于受控公開共享,由數(shù)據(jù)系統(tǒng)生成文件并推送之SFTP接口設備或應用吸引,或采用移動介質進行共享;

 5.3API接入,屬于受控公開共享,系統(tǒng)自檢通過請求回應方式提供數(shù)據(jù),由數(shù)據(jù)系統(tǒng)提供實時或準實時面向特定用戶的數(shù)據(jù)服務應用接口,需求方系統(tǒng)發(fā)起請求數(shù)據(jù)系統(tǒng)返回所需數(shù)據(jù);

 5.4在先查詢,屬于完全公開共享(匿名查詢)、受控公開共享(用戶查詢),在數(shù)據(jù)系統(tǒng)提供的功能頁面上查詢相關數(shù)據(jù);

 5.5數(shù)據(jù)分析平臺,屬于領地公開共享,提供數(shù)據(jù)分析平臺、系統(tǒng)環(huán)境、挖掘工具以及不含敏感數(shù)據(jù)的樣本數(shù)據(jù)或模擬數(shù)據(jù)。平臺用戶共享或者專用硬件和數(shù)據(jù)資源,可以部署自有數(shù)據(jù)和數(shù)據(jù)分析算法,可以查詢權限內的數(shù)據(jù)和分析結果。平臺所有數(shù)據(jù)不能導出,分析結果的輸出、下載必須經(jīng)過審核通過后才能對外輸出。 

 06— 應遵循的使用披露要求 

 6.1應獲得主體的個人授權

 1)同意為原則:所有授權應使用通俗易懂的語言,并且保護有關要披露或使用的數(shù)據(jù)內容、數(shù)據(jù)的接收方、數(shù)據(jù)的用語以及使用方式、數(shù)據(jù)使用期限、數(shù)據(jù)主體權利以及控制著采取的保護措施等具體信息。使用或者披露個人健康醫(yī)療數(shù)據(jù)不能超過授權范圍,因業(yè)務需要,確需超出范圍使用的,應再次征得主體同意。

 2)例外 在沒有獲得授權時,控制者可依靠法律法規(guī)要求、職業(yè)道德、倫理或專業(yè)判斷來確定: 

(1)向主體提供其本人健康醫(yī)療數(shù)據(jù); 

(2)治療、支付或保健護理時; 

(3)涉及公共利益或法律法規(guī)要求時; 

(4)用于科學研究、醫(yī)學/健康教育、公共衛(wèi)生或醫(yī)療保健操作目的的受限制數(shù)據(jù)集。

 3)授權要求控制者與主體之間可以面對面溝通,以合理方式提示主體,并讓其充分知悉、明確,自主作出同意。該同意時獨立的,并且不得作為主體獲得任何公共服務、醫(yī)療服務的前置條件或者捆綁與其他服務條款之中,控制者在取得授權的同時,應書面告知其有權隨時撤銷該授權。

 6.2 向主體披露

 1)主體或其授權代表有權訪問其個人健康醫(yī)療數(shù)據(jù)或要求披露;

 2)主體有權復查并獲得個人健康醫(yī)療數(shù)據(jù)的副本;

 3)主體發(fā)現(xiàn)個人健康醫(yī)療數(shù)據(jù)不準確或不完整時,有權要求更正或補充信息;

 4)主體有權要求對個人健康醫(yī)療數(shù)據(jù)使用、披露數(shù)據(jù)情況歷史回溯查詢,最短回溯其為六年;

 5)主體有權要求在診斷、治療、支付、健康服務過程中限制使用或披露個人健康醫(yī)療數(shù)據(jù),控制者沒有義務同意,一旦同意,除非法律法規(guī)要求一級醫(yī)療經(jīng)濟情況下,控制者應遵守商定的限制 

6.3 控制者使用、披露義務

 1)可以使用治療筆記用語治療,在進行必要的去標識化處理后,可以在未經(jīng)個人授權的情況下使用或披露治療筆記進行內部培訓和學術研討;

 2)應制定、實施合理的側臉與流程,將使用和披露限制在最低限度;

 3)應確認矗立著的安全能力滿足安全要求,并簽署數(shù)據(jù)處理協(xié)議后,才能讓矗立著為其進行數(shù)據(jù)處理,處理者應當按照控制者要求處理數(shù)據(jù),未經(jīng)許可不能引入第三方協(xié)助處理;

 4)向政府授權的第三方控制者傳送數(shù)據(jù)前,應獲得加蓋政府公章的相關文件;

 5)在確認數(shù)據(jù)使用的合法性、正當性和必要性,并確認使用者具備相應數(shù)據(jù)安全能力,且使用者簽訂了數(shù)據(jù)使用協(xié)議并承諾保護受限制數(shù)據(jù)集中的個人健康醫(yī)療數(shù)據(jù)后,可將受限制數(shù)據(jù)集用語科學研究、醫(yī)療保健業(yè)務、公共衛(wèi)生等目的,使用者只能在協(xié)議約定的范圍使用數(shù)據(jù)并承擔數(shù)據(jù)安全責任,在使用數(shù)據(jù)完成后,應按照控制者要求歸還、徹底銷毀或者進行其他垂,未經(jīng)控制者許可,使用者不能將數(shù)據(jù)披露給第三方。

 6.4去標識化處理

 如果針對個人健康醫(yī)療數(shù)據(jù)匯聚分析垂之后得到了不能識別個人的健康醫(yī)療相關數(shù)據(jù),該數(shù)據(jù)不再屬于個人信息,但其使用和披露應遵守國家其他相關法律要求;

 6.5 境外合作

 1)因為學術研討需要向境外提供相應數(shù)據(jù)的,在進行必須的去標識化處理后,經(jīng)過數(shù)據(jù)安全委員會討論審批同意,數(shù)量在250條以內的非涉密非重要數(shù)據(jù)可以提供,否則應提請相關部門審批。

 2)經(jīng)主體授權同意并經(jīng)數(shù)據(jù)安全委員會討論審批同意,不涉及國家秘密且不屬于重要數(shù)據(jù)的,可向境外目的地傳送個人健康醫(yī)療數(shù)據(jù),累計數(shù)據(jù)量應控制在250條以內,否則應提起相關部門審批。

 3)不將健康醫(yī)療數(shù)據(jù)在境外的服務器中存儲,不托管、租賃在境外服務器,使用云平臺的應符合國家相關要求

 4)對外數(shù)據(jù)合作開發(fā)利用是,宜采用“數(shù)據(jù)分析平臺”開發(fā)形式,對數(shù)據(jù)使用披露進行嚴格管控。

本文由“健康號”用戶上傳、授權發(fā)布,以上內容(含文字、圖片、視頻)不代表健康界立場。“健康號”系信息發(fā)布平臺,僅提供信息存儲服務,如有轉載、侵權等任何問題,請聯(lián)系健康界(jkh@hmkx.cn)處理。

相關知識

健康醫(yī)療大數(shù)據(jù)的安全與應用
ISO27799 醫(yī)療健康信息安全管理體系
區(qū)塊鏈+大數(shù)據(jù)=醫(yī)療行業(yè)的數(shù)據(jù)安全和患者隱私的革命
論新時代醫(yī)療衛(wèi)生信息技術和大數(shù)據(jù)應用發(fā)展及未來
關于落實衛(wèi)生健康行業(yè)網(wǎng)絡信息與數(shù)據(jù)安全責任的通知
全球健康醫(yī)療大數(shù)據(jù)報告
國家醫(yī)療質量安全改進目標權威解讀⑥
科技資迅|電子健康檔案里的信息安全
電子健康檔案,保障你的醫(yī)療信息安全與隱私
2023年中國健康醫(yī)療大數(shù)據(jù)行業(yè)發(fā)展現(xiàn)狀分析 政策積極推進醫(yī)療數(shù)據(jù)安全治理

網(wǎng)址: 《信息安全技術健康醫(yī)療數(shù)據(jù)安全指南》解讀(一) http://www.gysdgmq.cn/newsview334549.html

推薦資訊