福州市人民政府办公厅关于印发
《福州市健康医疗大数据开放开发实施细则》的通知
榕政办〔2017〕300号
各县(市)区人民政府,市直各委、办、局(公司),市属各高等院校,自贸区福州片区管委会:
《福州市健康医疗大数据开放开发实施细则》已经市政府研究同意,现印发给你们,请认真贯彻执行。
福州市人民政府办公厅
2017年10月25日
福州市健康医疗大数据开放开发实施细则
第一章 总则
第一条 为提升福州健康医疗大数据对外服务能力,满足健康医疗行业需求,进一步落实对健康医疗大数据开放的监管和引导,确保大数据资源安全可控开放,根据《福州市健康医疗大数据资源管理暂行办法》,突出先行先试,制定本实施细则。
第二条 本实施细则适用于福州市健康医疗大数据开放开发相关管理服务活动。
本实施细则所称“数据开放”,是指经政府授权的健康医疗大数据运营单位面向法人和其他组织提供健康医疗大数据的行为。本实施细则所称“数据开发”,是指经政府授权的数据运营单位面向数据开发者提供健康医疗大数据利用的行为。
第二章 数据申请
第三条 健康医疗大数据的开放类型分为普遍开放类、授权开放类和暂不开放类,数据使用单位按照不同的开放类型获取数据或提起数据使用申请。
第四条 对于普遍开放类的数据,数据使用单位通过安全渠道或介质从福州市健康医疗大数据开放平台或福州市政务数据开放平台直接获取。
第五条 对于授权开放类的数据,内资控股法人企业、高校或者科研院所等数据使用单位根据应用场景提出数据使用申请,按流程获取数据。暂不接受社会公民以个人名义申请使用授权开放类数据。
第六条 申请授权开放类数据,数据使用单位应当向数据运营单位提交数据使用申请,申请资料如下:
(一)数据使用申请书。申请信息包含应用场景描述、所需数据描述、数据流向说明、使用周期等。
(二)申请企业营业执照复印件、公司财务证明、税收证明等相关文件。
(三)申请企业法定代表人身份证复印件。
(四)申请代理人公民个人身份证复印件。
(五)数据使用承诺书。
第七条 数据运营单位负责受理数据使用单位提出的授权开放类数据使用申请,对申请资料及申请使用的合规性进行审核。审核通过的,数据运营单位与数据使用单位按法定程序签订商业合作协议书,并将相关资料向市数字办、市卫计委等相关行业主管部门进行报备;审核未通过的,数据运营单位向数据使用单位出具审核未通过意见书。
第八条数据运营单位根据协议书准备数据并交付。
(一)对于数据不包含敏感信息的申请,数据运营单位应向数据使用单位开放数据。
(二)对于数据包含敏感信息的申请,数据运营单位应将数据进行脱敏处理后向数据使用单位开放。
(三)对于暂时不能满足数据使用单位需求的数据使用申请,数据运营单位应告知数据使用单位。
第九条 对于暂不开放类的数据,数据使用单位确有使用需要的,由数据使用单位向数据运营单位提出申请。数据运营单位负责将相关申请资料向市数字办及市卫计委等相关行业主管部门报审。
市数字办、市卫计委等相关行业主管部门对申请资料进行审批。审批通过的,数据运营单位根据行业主管部门的审批意见,执行本实施细则第六条所述流程内容;审批未通过的,由数据运营单位告知数据使用单位或要求其重新提交申请材料。
第十条 申请授权开放类和暂不开放类的数据使用单位范围目前暂限于注册在中国东南大数据产业园内的内资企业,港、澳、台及外资企业确有必要申请使用授权开放类和暂不开放类数据的,应报市数字办、市卫计委等相关行业主管部门审批。
第十一条 数据运营单位和数据使用单位应按照商业合作协议书约定或行业主管部门审批的范围和权限进行运营、使用。
第三章 加工和交付
第十二条 数据运营单位会同市数字办、市卫计委等相关行业主管部门进行健康医疗大数据开放开发的分级分类管理。数据分级分类要求如下:
(一)制定数据资产分级分类策略和原则,明确禁止交易的数据。
(二)为数据提供方提供数据分级分类标识,并审核分级分类情况。
(三)根据数据分级分类策略,实施安全管理策略和保障措施。
(四)记录并保存数据交付过程中分级分类的操作过程,对数据分级分类变更的操作记录进行审计。
第十三条在数据开放过程中要对敏感数据进行脱敏脱密处理的,步骤如下:
(一)定义敏感信息。在敏感信息内容梳理过程中,要协调相关部门共同确定敏感信息范围,敏感信息包括但不限于病患索引信息,银行卡信息,身份证件号码、地址、电话号码等信息。
(二)梳理敏感信息使用的各种应用场景,分析敏感数据使用流程。
(三)制订不同类型数据脱敏变形方案,对可能在数据交叉比对过程中泄露隐私的数据进行脱敏脱密处理。
第十四条 数据运营单位将原始数据脱敏脱密和加工后交付给数据使用单位,交付方法为:
(一)线上交付:数据运营单位将数据交付给数据开放平台,数据使用单位以数据下载的方式获取数据;或数据运营单位准备好数据交付环境,数据使用单位通过接口调用数据;或者数据使用单位在健康医疗大数据平台内部进行数据开发。
(二)线下交付:商业合作协议生效后,数据使用单位按约定时间、地点通过安全介质从数据运营单位获取数据。
第十五条 数据交付后,数据运营单位通过安全审计系统对数据使用单位进行过程管理,确保数据使用单位的数据开发活动符合相关法律法规和标准规范的要求。
第十六条 数据使用期限到期后,数据运营单位应监督数据使用单位全部销毁其所获得的数据。
第四章 开放监管
第十七条 市数字办会同市卫计委等相关行业主管部门对数据内容进行监管,确定数据合规后才能进行数据开放。数据合规标准如下:
(一)数据应是通过合法渠道获取,权利归属清晰无争议。
(二)遵守国家法律,不危害国家安全,不泄漏国家机密。
(三)不得侵犯商业机密,不得泄露个人隐私。
第十八条 数据运营单位对数据源提供方所提供的数据进行质量监管,监管主要内容包括数据一致性、完整性和准确性。数据质量监管方法如下:
(一)制定数据质量要求的相关说明文件。
(二)建立数据质量检查模型,根据质量检查模型进行质量评估。
(三)将数据质量检查结果予以上报。
第十九条 市数字办会同市卫计委等相关行业主管部门根据数据运营单位上报的质量检查结果,对数据源提供方进行监管。数据质量不合格的,责成数据运营单位将其数据下架,并督促数据源提供方进行整改。
第二十条 市数字办会同市卫计委等相关行业主管部门对数据使用进行监管,对数据运营单位提供的数据与数据使用单位获取的数据进行比对,包括类型、格式、时间、大小等,确保数据使用单位使用数据不违反国家法律法规、不超出商业合作协议书的约定。
第二十一条 市数字办会同市卫计委等相关行业主管部门定期对数据运营单位的技术操作日志、业务合规情况进行监管。
第五章 安全保障
第二十二条 数据运营单位应当加强平台安全防护,建立应急处置机制、备份恢复机制,保障数据、平台的安全、可靠运行。
第二十三条数据运营单位和数据使用单位应在重要岗位人员任职前对其进行背景调查,确保其任职资格符合相关的法律、法规要求,并签订保密协议。应明确重要岗位人员安全责任和要求,并定期进行安全审查和技能考核。
第二十四条 数据运营单位和数据使用单位应明确安全岗位人员职责和要求,不得在外单位兼职或在本单位兼任其他职务,并定期进行信用审查。
第二十五条数据运营单位和数据使用单位应对所有人员制定和实施培训计划,培训内容包括安全意识、专项技能以及相关知识,对培训结果进行评估和记录,并告知相关人员安全责任和违规惩罚规定。
第六章 责任追究
第二十六条 市数字办、市卫计委等相关行业主管部门主要负责人是福州市健康医疗大数据管理工作的第一责任人,相关行业主管部门应明确专人对健康医疗大数据进行动态管理。相关行业主管部门及其工作人员违反本细则规定,在健康医疗大数据开放开发工作中玩忽职守、滥用职权、徇私舞弊或者不履行本细则规定职责,尚不构成犯罪的,由其上级机关或者监察机关依法处理。构成犯罪的,依法追究刑事责任。
第二十七条 对于违反本实施细则规定,数据生产应用单位、数据运营单位、数据使用单位、技术服务单位有下列情形之一的,由市数字办和市卫计委等行业相关主管部门责令限期整改;逾期不整改的,给予通报批评;情节严重的,对相关责任人依法给予处分;造成损失的,责令赔偿损失;构成犯罪的,依法追究刑事责任:
(一)未按规定向国家健康医疗大数据服务平台(福州)汇聚数据的。
(二)所提供数据不符合有关规范,无法使用的。
(三)超出商业合作协议书范围进行开放开发的。
(四)非授权使用或未经许可扩散、泄露数据的。
(五)具有其他违反本细则规定及相关行业主管部门监管要求行为的。
第七章 附则
第二十八条 本实施细则自印发之日起试行。