声明

本文是学习GB-T 39725-2020 信息安全技术健康医疗数据安全指南. 而整理的学习笔记,分享出来希望更多人受益,如果存在侵权请及时联系我们

数据使用管理办法示例

第一章总则

第一条为规范数据使用流程，根据国家相关法律法规及相关规定，特制定本办法。

第二条制定本办法所参考的主要法律法规及办法指南包括《中华人民共和国网络安全法》、《中华人民共和国保守国家秘密法》、《关于国家秘密载体保密管理的规定》、《科学数据管理办法》、《关于促进和规范健康医疗大数据应用发展的指导意见》、《卫生工作中国家秘密范围的规定》、《教育工作中国家秘密及其密级具体范围的规定》、《中华人民共和国计算机信息系统安全保护条例》、《信息安全等级保护管理办法》、《国家健康医疗大数据标准、安全和服务管理办法》、《卫生行业信息安全等级保护工作的指导意见》、《信息安全技术大数据安全管理指南》、《信息安全技术个人信息安全规范》、《信息安全技术个人信息去标识化指南》、《信息安全技术信息安全风险评估规范》、《信息安全技术数据出境安全评估指南》、《个人信息和重要数据出境安全评估办法》、《人类遗传资源采集、收集、买卖、出口、出境审批行政许可服务指南》、《医疗机构病历管理规定》、《涉及人的生物医学研究伦理审查办法》、《人口健康信息管理办法（试行）》、《加强医疗卫生行风建设“九不准”》、《关于加强医疗卫生机构统方管理的规定》等。

第三条本办法决策主体为数据安全委员会，执行机构为数据安全工作办公室，申请主体为需要申请数据使用的项目组和个人（详见第二章）。原则上申请人为项目负责人，申请人对所有申请数据的安全使用全权负责，即申请人应保证其本人及其项目组成员对申请数据均有信息安全及数据保密义务、承担由于数据及信息安全问题造成的所有不良后果。

第四条本办法中的数据资源包括但不限于HIS、LIS、PACS等健康医疗信息系统产生的业务数据。

第五条本办法制定原则为“促进利用、规范流程、安全可控、明确责任”。在确保数据安全的前提下，按照国家数据使用相关法律法规，结合医疗、教学、科研工作实际，本着责权利一致原则，推进数据资源管理与利用。

第六条本办法涉及单位如下：

（一）本单位。

（二）数据提供单位。

（三）数据申请使用单位及个人。

第二章组织管理与职责

第七条数据使用管理工作机构设置

成立数据安全委员会，下设数据安全工作办公室执行推进。

1. 数据安全委员会组成如下：

主任委员：1名

副主任委员：2名

委员：若干名

秘书：1名

（建议：委员会主任委员由一把手兼任，副主任委员由相关分管领导兼任，委员由临床研究管理部、党委保密委、伦理办公室、国有资产管理部、审计处、成果转化部、部分临床科室等部级领导组成，秘书由大数据中心常务副主任兼任。）

2. 数据安全工作办公室组成如下：

组长：大数据中心主任

副组长：大数据中心平台工作组组长（兼安全管理员）

成员：若干

第八条数据使用管理机构职责

（一）数据安全委员会职责

1.界定数据使用范围及数据使用权限；

2.审批及决策数据使用相关流程；

3.审批不同来源科研数据的去标识化、加密方案；

4.审批科研成果发表规范；

5.审批本单位科研数据项目申请；

6.审批涉及外单位科研数据项目申请；

7.审批涉及外单位科研数据合作研究申请；

8.其他需要研究与决策的问题。

（二）数据安全工作办公室职责

1.按数据安全委员会要求编制及修订数据使用工作流程；

2.负责初审数据使用申请单位提交的材料；

3.负责收集与汇总数据使用及合作需求，定期上报数据安全委员会；

4.定期组织数据使用及合作审批工作会议；

5.审批不涉及外单位的自研项目数据使用申请；

6.审批数据使用账号申请；

7.负责将审批同意的相应数据移交给申请方或监督申请方在安全环境内使用；

8.负责建立并管理数据的存储和使用环境，确保数据采集、存储和使用各环节的安全保密；

9.数据使用及安全工作的日常协调；

10.完成数据安全委员会交办的其他工作。

第三章数据申请及审批流程

第九条申请单位申请使用相关数据的，应提出明确的使用目的和范围，经数据安全工作办公室初审通过后，将相关资料提交数据安全委员会审批。

第十条数据原则只在单位内部安全环境中使用，数据通过端到端的推送传输方式，原则上不得使用移动存储介质传输。信息中心负责对申请数据进行去标识化加密处理或安全认定。数据原则上只与有相应资质的境内单位开展合作研究。在未获得政府行业主管或监管部门批准合作项目批文的情况下，数据不予境外单位（含外国组织和个人以及在我国注册的外商独资企业和中外合资、合作企业）使用。在未获得政府行业主管或监管部门批准同意的情况下，数据不能出境。

第十一条数据使用申请及审批流程

（一）不涉及外单位的自研项目（不与外单位合作使用）

1.申请单位申请使用数据，应向数据安全工作办公室提交下列申请材料，所有材料一式三份。

（1）数据使用申请表；

（2）项目批准文件、委托函、任务书或其他能够说明使用目的的相关文件；

（3）经办人有效身份证明（身份证或工作证）及复印件。

2.数据安全工作办公室对材料进行初审。初审不通过，将材料退回申请单位；初审通过，将材料提交数据安全委员会审批。

3.数据安全委员会对申请进行集体决议，超过三分之二委员表决同意，视为审批通过，由表决同意的全体委员会签。

4.数据安全委员会审批通过后，申请人将材料一式二份分别交由数据安全工作办公室和数据提供单位。数据使用申请人与数据提供单位签署保密协议，由数据提供单位负责数据安全移交。

（二）涉及境内单位的合作项目（与境内有相关资质的其它合作单位使用）

1.申请单位申请使用数据，应向数据安全工作办公室提交下列申请材料，所有材料一式三份。

（1）数据使用申请表；

（2）项目批准文件、委托函、任务书、合作协议或其他能够说明使用目的的相关文件；

（3）境内合作单位数据安全能力证明材料；

（4）经办人有效身份证明（身份证或工作证）及复印件。

2.数据安全工作办公室对材料进行初审。初审不通过，将材料退回申请单位；初审通过，将材料提交数据安全委员会审批。

3.数据安全委员会对申请进行集体决议，超过三分之二委员表决同意，视为审批通过，由表决同意的全体委员会签。

（三）涉及境外单位的合作项目（与境外其它合作单位使用，含外国组织和个人以及在我国注册的外商独资企业和中外合资、合作企业）

1.申请单位应向数据安全工作办公室提交下列申请材料，所有材料一式三份。

（1）数据使用申请表；

（2）国家行政主管部门批准合作使用项目批文；

（3）外方身份证明材料；

（4）外方单位数据安全能力证明材料；

（5）经办人有效身份证明及复印件。

2.数据安全工作办公室对材料进行初审。初审不通过，将材料退回申请单位；初审通过，将材料提交数据安全委员会审批。

3.数据安全委员会对申请进行集体决议，超过三分之二委员表决同意，视为审批通过，由表决同意的全体委员会签。

第四章数据移交及使用流程

第十二条数据原则上只在大数据中心、信息中心或其它单位内部安全环境中移交和使用，数据通过端到端的推送传输方式，原则上不得使用移动存储介质传输。数据提供单位负责划出项目专用安全应用环境，信息中心负责对申请数据进行去标识化加密处理、对移交使用进行安全技术支撑。如数据提供单位不具备相关能力，可向数据安全工作办公室提出申请，由办公室报数据安全委员会协调。

第十三条申请单位在确定项目数据使用人员后向数据安全工作办公室提交数据使用账号申请，获批后原则上只能在数据提供单位提供的专用安全应用环境中使用所申请的数据。

第十四条数据使用账号申请及审批流程

1.数据使用人员申请账号，应向数据安全工作办公室提交下列申请材料，所有材料一式三份。

（1）数据使用账号申请表；

（2）账号申请人员有效身份证明（身份证或工作证）及复印件。

2.数据安全工作办公室对材料进行初审。初审不通过，将材料退回申请单位；初审通过，将材料提交数据安全委员会审批。

3.数据安全委员会对申请进行集体决议，超过三分之二委员表决同意，视为审批通过，由表决同意的全体委员会签。

4.审批通过后，将材料一式二份分别交由数据安全工作办公室和数据提供单位。由数据提供单位开通专用安全应用环境中相应账号及权限，数据提供单位负责对数据使用全过程进行安全管控。

第十五条项目结束或数据申请使用期满，账号自动注销，如果要继续使用，需重新申请。在项目进行过程中，若账号使用人员发生变更，需提前以书面形式告知数据安全工作办公室。

第五章附则

第十六条本办法自发布之日起执行，由数据安全委员会负责解释和修订。