3 基本信息
CS 11.020
CCS C 07
中華人民共和國衛生行業標準WS/T 788—2021《國家衛生信息資源使用管理規範》(Management specification for use of health information resource)由中華人民共和國國家衛生健康委員會於2021年10月27日《關於發佈《國家衛生信息資源分類與編碼管理規範》等21項推薦性衛生行業標準的通告》(國衛通〔2021〕10號)發佈,自2022年04月01日起實施。
4 發佈通知
關於發佈《國家衛生信息資源分類與編碼管理規範》等21項推薦性衛生行業標準的通告
國衛通〔2021〕10號
現發佈《國家衛生信息資源分類與編碼管理規範》等21項推薦性衛生行業標準,編號和名稱如下:
WS/T 787—2021 國家衛生信息資源分類與編碼管理規範
WS/T 788—2021 國家衛生信息資源使用管理規範
WS/T 790.1—2021 區域衛生信息平臺交互標準 第1部分:總則
WS/T 790.2—2021 區域衛生信息平臺交互標準 第2部分:時間一致性服務
WS/T 790.3—2021 區域衛生信息平臺交互標準 第3部分:節點驗證服務
WS/T 790.4—2021 區域衛生信息平臺交互標準 第4部分:安全審計服務
WS/T 790.5—2021 區域衛生信息平臺交互標準 第5部分:基礎通知服務
WS/T 790.6—2021 區域衛生信息平臺交互標準 第6部分:居民註冊服務
WS/T 790.7—2021 區域衛生信息平臺交互標準 第7部分:醫療衛生機構註冊服務
WS/T 790.8—2021 區域衛生信息平臺交互標準 第8部分:醫療衛生人員註冊服務
WS/T 790.9—2021 區域衛生信息平臺交互標準 第9部分:術語註冊服務
WS/T 790.10—2021區域衛生信息平臺交互標準 第10部分:健康檔案存儲服務
WS/T 790.11—2021 區域衛生信息平臺交互標準 第11部分:健康檔案管理服務
WS/T 790.12—2021 區域衛生信息平臺交互標準 第12部分:健康檔案採集服務
WS/T 790.13—2021 區域衛生信息平臺交互標準 第13部分:健康檔案調閱服務
WS/T 790.14—2021 區域衛生信息平臺交互標準 第14部分:文檔訂閱發佈服務
WS/T 790.15—2021 區域衛生信息平臺交互標準 第15部分:預約掛號服務
WS/T 790.16—2021 區域衛生信息平臺交互標準 第16部分:雙向轉診服務
WS/T 790.17—2021 區域衛生信息平臺交互標準 第17部分:簽約服務
WS/T 790.18—2021 區域衛生信息平臺交互標準 第18部分:提醒服務
上述標準自2022年4月1日起施行。
特此通告。
國家衛生健康委
2021年10月27日
5 前言
本標準由國家衛生健康標準委員會衛生健康信息標準專業委員會負責技術審查和技術諮詢,由國家衛生健康委統計信息中心負責協調性和格式審查,由國家衛生健康委規劃發展與信息化司負責業務管理、法規司負責統籌管理。
本標準起草單位:國家衛生健康委統計信息中心、上海市衛生健康信息中心、上海申康醫院發展中心。
本標準主要起草人:胡建平、徐向東、謝樺、何萍、周光華、崔欣、張宇希、梁藝瓊、滕琳。
6 標準正文
國家衛生信息資源使用管理規範
6.1 1 範圍
本標準定義了“全民健康保障信息化工程一期項目”衛生信息資源的管理職責、使用方式和安全管理要求。
本標準適用於“全民健康保障信息化工程一期項目”衛生信息資源使用與管理。
6.2 2 規範性引用文件
下列文件中的內容通過文中的規範性引用而構成本標準必不可少的條款。其中,注日期的引用文件,僅該日期對應的版本適用於本標準;不注日期的引用文件,其最新版本(包括所有的修改單)適用於本標準。
GB/T 21062.1 政務信息資源交換體系 第1部分 總體框架
GB/T 21062.4 政務信息資源交換體系 第4部分 技術管理要求
GB/T 31167 信息安全技術 雲計算服務安全指南
6.3 3 術語和定義
下列術語和定義適用於本標準。
3.1
衛生信息資源 health information resource
衛生系統部門或機構在履行職責或開展業務過程中採集、存儲、傳輸、處理和產生的以數字化形式記錄的各類信息的集合。衛生信息資源分標準類數據資源和業務類數據資源兩大類。
3.1.1
標準類數據資源 standard data resources
具有基礎性、通用性、標識性和共享性等特徵的衛生信息資源,包括基礎類、數據類、技術類、管理類等。
3.1.2
業務類數據資源 service data resources
由衛生業務系統和管理系統產生的信息資源,包括公共衛生、醫療服務、醫療保障、藥品管理、計劃生育、綜合管理等方面的信息資源。
業務類數據資源根據數據處理形態分爲三類。一是原始數據,直接產自醫療衛生機構的業務系統和管理系統,未經加工的數據(集);二是中間數據,經過脫敏脫密處理,根據主題形成的或依據用戶需求定製的數據(集);三是結果數據,經過統計、分析、計算等加工處理後產生的可供直接應用的數據。
3.2
衛生信息資源用戶 health information resource uses
遵守國家有關法律、法規和本規範的相關條款,按需提出衛生信息資源使用申請的公民、法人或者其他組織。衛生信息資源用戶分爲五類:衛生健康行政部門,衛生健康行政部門下屬機構用戶,其他政府行政管理部門和下屬機構用戶,高校和研究所等科研機構用戶,其他用戶。
3.3
服務類型 type of service
服務類型包括無償服務和有償服務,無償服務指免費或只收取數據服務成本費,有償服務指酌情收取數據服務費。
6.4 4 總則
6.4.1 4.1 目的
本標準目的是加快推動衛生信息資源管理與共享,提高衛生信息使用效率效果,提升衛生服務水平,充分發揮衛生信息資源共享在深化醫改、創新服務和管理中的重要作用。
本標準是繼全民健康信息平臺以互聯互通的方式對衛生信息數據採集、整合與治理形成可靠的信息資源之後,以開放、安全的資源管理框架形成對信息資源使用的全生命週期管理,促進衛生信息資源的合理共享與應用。
6.4.2 4.2 原則
—— 以共享爲原則,不共享爲例外。各醫療衛生機構和衛生健康行政部門形成的衛生信息資源原則上應予共享,涉及國家祕密和安全的,按相關法律法規執行。
—— 需求導向,按需使用。因業務需要或者履行職責需要使用共享信息的機構和個人提出明確的衛生信息共享需求和信息使用用途,衛生信息產生和提供機構和部門應及時響應。
—— 統一標準,統籌建設。按照國家衛生信息相關標準進行衛生信息資源的採集、存儲、交換和共享工作,堅持“一數一源”、統籌建設衛生信息資源目錄體系以及基於目錄的共享交換體系。
—— 建立機制,保障安全。建立衛生信息資源共享管理機制和信息共享工作評價機制,各級衛生健康行政部門和信息資源共享平臺管理單位應加強對數據資源管理與使用全過程的身份鑑別、授權管理、審計追蹤和安全保障,確保共享信息安全。
6.5 5 總體框架
國家衛生信息資源使用管理規範遵從GB/T 21062.1、GB/T 21062.4、GB/T 36073、GB/T 31167等標準,主要包含:衛生信息資源管理職責劃分,衛生信息資源使用方式以及衛生信息資源的安全管理與監督保障。總體架構如圖1所示:
6.6 6 衛生信息資源管理職責
6.6.1 6.1 數據管理者
衛生信息資源的使用實行分級管理,由國家、省(市區)、市、縣四級全民健康信息平臺提供本級衛生信息資源的管理與使用服務。
各級衛生健康行政部門爲衛生信息資源主管部門,履行如下職責:
——負責衛生信息資源管理的相關標準、規範、制度的制訂和落實;
——負責衛生信息資源提供和使用過程中的審批和監督工作;
——負責監督和管理管理範圍內衛生信息資源的保密工作。
各級各類醫療衛生機構信息管理部門(中心)爲衛生信息資源使用管理的實施單位(部門),履行如下職責:
——負責衛生信息資源的採集、存儲和處理;
——負責衛生信息資源共享、開放、利用等技術服務的提供;
——負責用戶申請授權的合規性審覈;
6.6.2 6.2 數據提供者
各級各類醫療衛生機構爲數據提供者,應當按照“一數一源、最少夠用”的原則採集衛生信息,所採集的信息應當符合業務應用和管理要求,保證衛生信息中標識的唯一性,數據的一致性,所採集的信息應當嚴格實行信息複覈程序,避免重複採集、多頭採集;應當嚴格執行相關標準,做到標準統一、術語規範、內容準確;在數據發生變更時,應當將所管理的衛生信息完整、安全地移交給主管部門或承接延續其職能的機構管理,不得造成衛生信息的損毀、丟失;應當按照法律法規的規定,遵循醫學倫理原則,保證信息安全,保護個人隱私。
6.6.3 6.3 數據使用者
各類衛生信息資源用戶爲數據使用者,應依法依規使用衛生信息資源,加強信息資源使用的全過程管理。數據使用者對從共享平臺獲取的信息,只能按照明確的目的和用途使用,不得直接或以改變數據形式等方式提供給第三方,也不得用於或變相用於其他目的。
6.6.4 6.4 數據使用規則
——各級衛生健康行政部門用戶因履行職責需要使用中間數據、結果數據,由下屬信息管理部門(中心)無償提供。
——各級衛生健康行政部門下屬事業單位用戶因開展業務需要使用中間數據、結果數據,由衛生健康行政部門下屬信息管理部門(中心)無償提供。
——其他行政和事業單位、高校和科研院所用戶因職責履行或科學研究所需要使用中間數據、結果數據,需向相關的衛生健康行政部門申請,審批通過後由衛生健康行政部門下屬信息管理部門(中心)無償提供。
——公安等特殊政府部門需要使用原始數據,需向相關的衛生健康行政部門申請,審批通過後由信息管理部門(中心)無償提供。
——其他社會用戶如需要使用結果數據或中間數據,需向相關衛生健康行政部門申請,審批通過後由信息管理部門(中心)有償提供,具體標準由相關部門另行制定。
——在保證患者個人隱私的前提下,按照相關規定在履行居民和患者本人授權和衛生健康行政部門批准的合法合規程序後,信息管理部門(中心)可以爲醫療保險、健康管理等機構提供相關原始數據。
——醫療衛生服務提供者爲居民和患者個人提供醫療衛生服務時,按照相關規定在履行居民和患者本人授權和衛生健康行政部門批准的合法合規程序後,可使用原始數據。
——在保證居民和患者個人隱私的前提下,經衛生健康行政部門批准,信息管理部門(中心)可以對醫療衛生機構提供限於科研、醫療、健康管理用途的原始數據。
——居民和患者個人通過安全的身份認證後,方可使用本人原始數據。
6.7 7 衛生信息資源使用方式
衛生信息資源開放平臺是衛生信息開放共享最重要的渠道,依託衛生信息資源的開放平臺建立規範化數據應用環境,基於衛生信息資源目錄實現對數據的發佈,推動數據在安全架構下的合理共享與使用。
6.7.1 7.1 衛生信息資源目錄
根據已發佈的衛生信息標準及衛生信息資源,按照《政務信息資源目錄編制指南(試行)》中關於政務信息資源目錄的要求,明確衛生信息資源的分類、責任方、格式、屬性、更新時限、共享類型、共享方式、使用要求等內容。
在行業衛生信息整合、跨行業衛生相關信息融合的基礎上,逐步實現衛生信息互聯共享,按照衛生信息資源的數據屬性和應用領域進行信息分類,按照衛生信息資源的保密級別、使用權限進行信息分級,形成內容全面、信息完整、分類合理、分級明確的衛生信息資源庫及信息資源目錄。
6.7.1.1 7.1.1 衛生信息資源目錄管理
國家衛生健康行政部門彙總形成國家衛生信息資源目錄,並建立目錄更新機制。國家衛生信息資源目錄是實現國家衛生信息資源共享和業務協同的基礎,是醫療衛生服務機構和衛生健康行政部門間信息資源共享的依據。
各級衛生健康行政部門維護本地區衛生信息資源目錄,並在有關法律法規作出修訂或業務需求或行政管理職能發生變化後及時更新本地區衛生信息資源目錄,並負責對衛生信息資源目錄更新工作的監督考覈。
6.7.1.2 7.1.2 衛生信息資源目錄開放
基於衛生信息資源目錄建立衛生信息資源的開放平臺,依據相關規範向衛生信息資源用戶公開衛生信息資源,合法有序地推進衛生信息資源的共享開放,除法律、法規另有規定外,需遵循政府信息公開原則。
凡涉及國家祕密的數據資源,按照國家有關涉密數據管理規定執行。
6.7.2 7.2 數據使用的全生命週期管理
用戶基於信息資源目錄申請使用衛生信息資源,形成數據使用者經授權獲取衛生信息數據的業務流程管理。衛生信息資源使用過程必須基於全生命週期管理規範,在衛生信息資源的整個生命週期內,記錄數據從創建存儲開始,包括數據的申請、審批、創建、利用、回收、銷燬的全過程。
—— 數據申請:基於衛生信息資源目錄爲數據使用者提供在線的數據申請通道。
—— 數據審批:數據管理者基於數據授權使用原則對數據申請進行審批。
—— 數據創建:通過數據管理者審批的數據申請,由信息管理部門(中心)實現對數據開放任務的創建,完成申請範圍數據的準備。
—— 數據利用:數據使用者可通過指定的方式獲取已創建的數據。不同的數據提供方式需輔以不同的安全策略,使用單位或者個人應當按照授權要求,做好所涉及的衛生信息資源安全和隱私保護工作,使用單位或者個人不得超出授權範圍利用衛生信息資源。數據的提供方式可根據數據屬性、應用領域、保密級別等相關分級要求,採用合適的方式進行提供,包括但不限於:
在指定地點或設備上直接使用數據;
以數據接口對接形式交換數據;
以數據導出形式藉助存儲介質(如光盤等)提供數據。
—— 數據回收:數據使用者在完成數據使用以後,將可以手動/自動完成信息資源的授權回收,用戶將失去對回收後數據的訪問權限。
—— 數據銷燬:數據在使用完成以後,用戶將只能導出最終的結果數據,在數據計算中產生的中間數據將被銷燬。
6.8 8 衛生信息資源的安全管理
6.8.1 8.1 衛生信息資源管理制度建設
6.8.1.1 8.1.1 衛生健康行政部門建立日常監督制度。
衛生健康行政部門應當加強對本行政區域內各衛生信息資源管理工作的日常監督檢查,對本行政區域內各衛生信息資源綜合利用工作的指導監督,提高精細化衛生信息資源服務和管理能力。
6.8.1.2 8.1.2 衛生健康行政部門建立通報制度。
相關機構和個人在衛生信息資源利用、衛生信息資源系統建設維護和技術支持等過程中,違反本辦法規定造成不良後果的,應當對其予以通報;情節嚴重、違反國家法律法規的,依照國家有關法律法規追究其法律責任。
6.8.2 8.2 衛生信息資源安全管理與監督保障
衛生信息資源主管部門應按照各級網絡與信息安全監管部門的要求,建立衛生信息資源安全保障體系,實施分級管理。衛生信息資源使用應當做好隱私保護工作,涉及敏感信息的原始個案數據提供服務需按照規範流程嚴格執行。用戶對其所使用的衛生信息資源承擔安全和保密責任。信息管理部門(中心)需按照《中華人民共和國網絡安全法》、國家網絡安全等級保護制度等相關要求,建立健全衛生信息資源相關系統安全保障體系,建立網絡安全管理制度、安全審查制度、日誌審計制度、操作規程和技術規範等工作機制,保障衛生信息資源信息安全。
6.8.2.1 8.2.1 數據安全管理
對數據進行分級管理,通過數據分類識別、數據安全目錄、數據脫敏、數據安全審計、數據訪問權限分級等手段,防止數據被非法使用。衛生信息資源使用單位在使用個案數據時,按照相關規定在履行居民和患者本人授權和衛生健康行政部門批准的合法合規程序後,在個人知情的前提下使用。
——訪問控制:信息數據涉及隱私和敏感性,因此數據存取需要進行訪問控制,通過設定邏輯邊界和安全訪問策略實現數據過濾,避免信息泄露。
——數據保護:提供數據隔離存儲、數據傳輸的非對稱加密(內部或外部)、數據保存的加密、數據的異常泄露控制等功能來加強數據層地的安全策略。
——用戶隔離:保證用戶的數據、服務或存儲資源不被其他用戶訪問。進行端到端保護,必須安全地隔離每個用戶的權限。
——數據脫敏:使用結果數據或中間數據時,應對居民和患者個人隱私信息進行脫敏處理。
6.8.2.2 8.2.2 網絡安全管理
對存儲和處理的敏感數據進行透明加密,防止敏感數據泄露。通過部署數據防火牆和審計對數據的訪問操作進行實時監控,阻斷違規訪問,實現安全事件可追溯、可定責。
6.8.2.3 8.2.3 安全審查管理
衛生信息資源服務相關系統的信息技術產品和服務提供者應當遵守國家有關信息安全審查制度,不得中斷或者以其他方式中斷合理的技術支持與服務,並應當爲衛生信息在不同系統間的遷移、交互、共享提供安全與便利條件。
