健康医疗大数据使用明确责权利

9月13日，国家卫生健康委员会发布《关于印发国家健康医疗大数据标准、安全和服务管理办法（试行）的通知》明确，责任单位应当加强健康医疗大数据的使用和服务，创造条件规范使用健康医疗大数据，推动部分健康医疗大数据在线查询。

《试行办法》明确了健康医疗大数据的定义、内涵和外延，还明确了各级卫生健康行政部门的边界和权责，各级各类医疗卫生机构及相应应用单位的责权利。

《试行办法》指出，提倡多方参与标准管理工作。卫生健康行政部门应当建立健康医疗大数据标准化产品生产和采购的激励约束机制，积极推进健康医疗大数据标准规范和测评工作，并将测评结果与医疗卫生机构评审评价挂钩。实行“统一分级授权、分类应用管理、权责一致”的管理制度，明确了责任单位在健康医疗大数据产生、收集、存储、使用、传输、共享、交换和销毁等环节中的职能定位，强化对健康医疗大数据的共享和交换。在管理监督方面，强调了卫生健康行政部门日常监督管理职责，要求各级各类医疗卫生机构接入相应区域全民健康信息平台，并向卫生健康行政部门开放监管端口。定期开展健康医疗大数据应用的安全监测评估。

《试行办法》还在服务管理方面对数据采集、存储、利用、共享等环节提出具体要求。比如，健康医疗大数据应当存储在境内，因业务需要向境外提供时，应按相关法律法规和要求进行安全评估审核。国家卫生健康委员会负责建立健康医疗大数据开放共享机制，统筹建设资源目录体系和数据共享交换体系，强化对健康医疗大数据全生命周期的服务与管理。

国家卫生健康委员会相关司局负责人表示，《试行办法》鼓励政府和社会力量合作，充分释放数据红利；要求妥善处理应用发展与保障安全的关系，突出增强安全技术支撑能力，保护个人隐私和信息安全。同时，将跟踪文件实施情况，及时提炼总结试行过程中出现的问题和经验，以便进一步完善管理，促进健康医疗大数据规范有序发展。

一手抓当前 一手谋长远

大数据的发展如火如荼，健康医疗领域尤为热闹。然而，无规矩不成方圆，医疗的特殊性决定了健康医疗大数据的使用需要国家层面明确责权利。近日，国家卫生健康委员会发布《国家健康医疗大数据标准、安全和服务管理办法（试行）》，希望通过规范性文件的形式，将其发展纳入法制轨道。众多受访者表示，《试行办法》出台适应了新时代的新要求，可谓一手抓当前、一手谋长远。

■站在了改革原点上

“《试行办法》确立了以人为本、创新驱动、规范有序、安全可控、开放融合、共建共享的基本原则，这也是政策出台的初心。”中国政法大学王敬波教授参与了《试行办法》起草，他表示，文件强调大数据利用的基础是保障公民知情权、使用权和个人隐私，指出个人健康数据属于隐私，国家必须充分予以保障。

“医疗本身非常强调公益性与服务性。该文件的理念是以规范管理作为首要目标，保障健康医疗大数据的利用对社会大众的服务性与保障性，同时允许社会主体的合法参与，以保持该领域的活力。”作为《试行办法》制定参与者、中国人民大学冯玉军教授表示，随着数据储存、移动医疗、可穿戴设备和互联网技术的发展，健康医疗数据正呈现大爆发的趋势，需要在其发展之初就给予有预见性的管控，不能再走类似于“先污染，后治理”的老路。

国务院发展研究中心宏观经济研究部副研究员江宇指出，《试行办法》是在我国尚未完成医疗卫生立法和信息安全立法的情况下，出台的一个比较完善的部门规章，不仅有利于推进卫生健康领域大数据的发展和应用，回应了居民最关切的数据安全问题，也为其他领域保护用户信息做了探索。

冯玉军指出，今年4月，《国务院办公厅关于促进“互联网+医疗健康”发展的意见》是从正面鼓励健康医疗大数据发展，同时强调要加强医疗质量和数据安全。《试行办法》则对健康医疗大数据的各项活动进行了规制。前者“加大油门”，后者 “踩好刹车”，一松一紧，彼此配合。

据了解，文件出台前，相关内容已经在福建、江苏、山东、安徽、贵州5省健康医疗大数据中心试点。

■规范管理开放利用

健康医疗大数据上联国家安全，下接普通百姓，任何一个管理上的失误都能带来严重的后果，这就注定了《试行办法》制定的谨慎。冯玉军表示，该文件重点规定了标准、安全与服务，并非覆盖健康医疗大数据管理的全部工作，也不是事无巨细的加以约束，而是聚焦在有一定实践经验且急需规范的领域。

更为重要的是，文件为健康医疗大数据安全前行制定了“交通规则”。江宇表示，文件详细回答了健康医疗大数据从哪里来、如何管理、如何使用、如何保证安全的问题，初步明确了健康医疗大数据使用和安全领域的政府责任、医院、第三方企业等各方的责任，为健康医疗大数据发挥作用提供了基本遵循。

国家卫生健康委员会卫生发展研究中心研究员游茂表示，《试行办法》为健康医疗大数据的内容和责权划了一个边界，指明了方向，保证了其健康发展。具体来讲，文件不仅明确了健康医疗大数据的定义、内涵和外延，也明确了各级卫生健康行政部门的边界和权责、各级各类医疗卫生机构及应用单位的责权利，并在标准、安全和服务方面进行了规范。例如，在安全管理方面，落实“一把手”负责制，建立健康医疗大数据安全管理的人才培养机制，明确分级分类分域的存储要求，并对网络安全等级保护和关键信息基础设施安全等重点环节提出明确要求。

对《试行办法》的亮点，王敬波则一口气给出多条，比如国家卫生健康委员会统一组织实施健康医疗大数据的标准制定，这是建立健康大数据标准体系的前提和基础；强化健康医疗大数据的安全，实行全流程安全管理，实现安全可控的目标；创造条件开发和利用健康医疗大数据，在线查询应当惠及个人，公民可以通过网络查询自己的健康数据等。

■“一把尺子不可能量天下”

寄希望用一个文件解决“互联网+医疗健康”领域的所有安全、标准等问题，不现实，一把尺子不可能丈量天下。但是，“健康医疗大数据作为新兴事物在当下遇到了一些新情况、新问题，亟须加以引导规范，不能再等下去”。业内专家表示，健康医疗大数据需要在安全中推进发展，在发展中促进安全。

“作为一种事前管控的方式，规则制定之时即使穷尽立法者的智慧，恐怕也难以照顾到所有的问题点，需要颁布施行之后对规则进行完善。” 冯玉军表示。而受访者对《试行办法》落地施行也给出建议。比如，大家普遍认为，文件中的“责任单位”在实践中应进一步明确，建议使用数据来源单位、数据应用单位、数据运营单位。同时，责任追究制度过于简单，还应加大力度，切实起到监督作用。

江宇表示，健康医疗大数据应该是一个封闭的数据系统，有唯一的责任者，这样才能更好地保护数据安全，维护国家安全。同时，政府应该进一步做好顶层设计，在现有的各个信息平台基础上，尽快明确各平台之间的关系，通过试点明确将来我国医疗卫生健康信息系统的总体设计。

冯玉军建议从两个方面切入：一是总结已有案例，利用实践中出现的问题对规则体系进行补充。二是在吸收足够修改意见的基础上，提升该规范性文件的位阶。具体来讲，待完善后，可以提升至正式的部门规章，甚至有可能以国务院的名义出台行政法规。

文/健康报首席记者 姚常房

编辑/管仲瑶

原创声明：以上为《健康报》原创作品，如若转载须获得本报授权。