2023健康医疗大数据应用指南.docx

健康医疗大数据应用指南 目次前言II引言III1 范围12 规范性引用文件13 术语和定义14 总体原则15 应用体系26 应用流程97 应用场景11附录 A（规范性） 数据分级与安全措施13附录 B（资料性） 健康医疗大数据应用申请样表14附录 C（资料性） 健康医疗大数据应用申请专家评估样表15附录 D（资料性） 健康医疗大数据应用的典型场景17附录 E（资料性） 健康医疗大数据应用场景案例19参考文献26I 健康医疗大数据应用指南1 范围本文件给出了健康医疗大数据应用相关的总体原则、应用体系、应用流程、应用场景。 本文件适用于指导各级各类医疗卫生机构和社会健康管理机构开展健康医疗数据的治理、分析、利用、转化等工作。 2 规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件， 仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T 22081 信息技术 安全技术 信息安全控制实践指南GB/T 22239 信息安全技术 网络安全等级保护基本要求GB/T 31168 信息安全技术 云计算服务安全能力要求GB/T 35274 信息安全技术 大数据服务安全能力要求GB/T 37964 信息安全技术 个人信息去标识化指南 GB/T 38664（所有部分） 信息技术 大数据 政务数据开放共享GB/T 39725 信息安全技术 健康医疗数据安全指南 3 术语和定义GB/T 39725 界定的以及下列术语和定义适用于本文件。 3.1大数据 big data具有体量巨大、来源多样、生成极快、且多变等特征，并且难以用传统数据体系结构有效处理的包含大量数据集的数据。 来源：GB/T 352952017，2.1.1 3.2个人健康医疗数据 personal health data单独或者与其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的相关电子数据。 来源：GB/T 397252020，3.1 3.3健康医疗数据 health data个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据。 注： 经过对群体健康医疗数据处理后得到的群体总体分析结果、趋势预测、疾病防治统计数据等。 来源：GB/T 397252020，3.2 4 总体原则1 4.1 合法合规原则遵守国家有关法律法规以及地方部门规章制度，不得用于从事危害国家安全、社会公共利益或他人合法权益的活动。 4.2 最大程度原则以实现国家公共利益、促进公共健康和推动科学研究为目的，在保障数据安全前提下，宜坚持数据“共享为常态，不共享为例外”的最大程度共享原则。 4.3 分类分级原则数据宜进行分类分级，并建立数据安全等级和数据类别权限分级，形成“分级授权、分类应用、权责一致”的大数据应用制度。 4.4 一事一议原则应用各方宜签订数据保密协议，以共享满足应用目标的最少数据项、最少数据量为原则。 4.5 专家评议原则宜成立健康医疗大数据应用专家组（专家评估团队），评估大数据应用所涉及的伦理道德、系统安全、个人信息安全、数据保密等事项，并给予专家意见。 4.6 安全可控原则应用过程宜在安全信任的环境下进行，通过安全技术手段（如联邦学习、多方安全计算等），尽可能在不提供原始数据的情况下，满足大数据应用需求。 4.7 全程监管原则应用过程宜做到事前评估审核、事中实时监管、事后评价反馈；全程透明、留痕；数据按规保存备查；异常追踪、分析、识别和防护。 4.8 积极主动原则在应用过程中，参与各方宜积极主动配合安全评估、报告安全风险、接受安全核查（如代码审核、数据输出检查）等工作。 5 应用体系5.1 角色划分5.1.1 在健康医疗大数据应用过程中，针对特定数据，在特定的场景，相关组织或个人可划分为以下5 类角色。 a) 个人健康医疗数据主体（简称“主体”）：个人健康医疗数据所标识的个人。 b) 健康医疗数据控制者（简称“控制者”）：能决定健康医疗数据处理目的、方式及范围等的组织或个人。判断组织或个人能否决定健康医疗数据的处理目的、方式及范围可以考虑： 1) 该项健康医疗数据处理行为是否属于该组织或个人履行某项法律法规规定所必需； 2) 该项健康医疗数据处理行为是否为该组织或个人行使其公共职能所必需； 3) 该项健康医疗数据处理行为是否由该组织或个人自行决定； 9 4) 该项健康医疗数据处理行为是否由相关个人或者政府授权。 c) 健康医疗数据处理者（简称“处理者”）：代表控制者采集、使用、处理或披露其掌握的健 康医疗数据，或为控制者提供涉及健康医疗数据的使用、处理或披露服务的相关组织或个人。 d) 健康医疗数据使用者（简称“使用者”）：针对特定数据的特定场景，不属于主体，也不属于控制者和处理者，但对健康医疗数据进行利用的相关组织或个人。 e) 健康医疗数据服务者（简称“服务者”）：受使用者委托，利用自身的能力和技术，针对特定数据的特定场景，不属于主体，也不属于控制者、处理者，但对健康医疗数据进行技术处理的相关组织或个人。 5.1.2 各角色的职责及相应角色举例如表 1 所示。 表1 各角色职责要点角色 职责要点 角色举例 主体 - 患者、健康个人等 控制者 网络安全和数据安全的主要责任人： 平台用户管理、数据使用审批；授权、访问控制、审计决定健康医疗数据处理目的、方式及范围。 卫健委信息中心、医疗机构、医保机构等 处理者 数据安全的重要责任人： 数据采集、治理，形成数据资源目录；医疗信息标注、结构化处理；根据使用申请组织数据资源，形成可使用数据集；数据脱敏、去标识化；数据提供前的审查、评估、授权；加密、审计、流量控制、存储介质管控；数据传输加密、传输方式控制；数据使用时间控制。 卫健委信息中心、医疗机构、医疗健康数据服务企业等 使用者 大数据应用过程中相关数据安全责任人： 获得主体授权同意；获得相关部门（例如人类遗传办公室）批准；数据使用申请。 政府机构、医疗机构、医保机构、医院其他科室、商业保险公司、科研机构、医药公司、医疗器械公司等 服务者 大数据应用过程中相关数据安全责任人： 接口对接；数据预处理、医疗信息标注、结构化处理数据使用；数据存储、加密、销毁。 数据分析公司、AI技术公司、医药公司、商业保险公司、科研机构等 5.2 数据划分5.2.1 数据分类健康医疗数据可分为以下 5 类： a) 个人基本信息数据：指单独或者与其他信息结合能够识别特定自然人的数据； b) 诊疗信息数据：指患者在医疗服务过程中所产生的相关数据； c) 费用信息数据：指医疗服务机构在提供医疗服务过程中所有与费用相关的数据； d) 公共卫生信息数据：指公共卫生业务数据，如疾病控制、监督执法、卫生应急、预防干预和妇幼保健等公共事业数据； e) 管理信息数据：指可以反映相关健康医疗机构运营管理状况的数据。 5.2.2 数据分级按照数据的敏感程度将健康医疗数据分为 5 级，数据集的最终定级由其包含数据的最高级别决定。不同等级数据的划分、内容、举例及应用前置条件如表 2 所示。 表2 健康医疗数据分级和应用前置条件情况数据等级 划分 内容 举例 应用前置条件 第 1 级 不包含第2、3、4、5级内容的数据 不包含第2、3、4、5级内容的数据 不包含个人敏感信息或者经过脱敏的病历数据，不包含个人敏感信息或者经过脱敏的检验检测报告 无 第 2 级 机构运营、生产的相关数据 机构相关运营数据 门诊住院人次，药品消耗信息 相关机构授权同意 财务数据 收入支出等财务数据 人力资源数据 人力资源信息 设备运行数据 检验、检查、医疗设备等运行数据，例如开机次数，运行时长，治疗次数等 第 3 级 包含敏感个人信息的数据或不满十四周岁未成年人的信息 生物识别（指纹、声纹、掌纹、耳廓、虹膜、面部识别特征） 检验检查中收集到的生物识别信息，例如声纹，虹膜等 相关主体授权同意，以社会， 综合治理或公共卫生服务为目的的应用除外 宗教信仰 特定身份信息（姓名、出生日期、身份证件号码、住址、电话号码、电子邮箱等） 姓名，出身日期，身份证件号码，住址电话号码，亲属信息 金融账户信息 支付卡号，用于支付的微信、支付宝或其他第三方支付信息 个人行踪轨迹 第 4 级 包含敏感病种的数据 艾滋病诊疗数据，性病诊疗数据，重型精神病诊疗数据，其他敏感病种诊疗数据 相关诊断、检查报告，诊疗信息 严格的相关主体授权同意 第 5 级 包含敏感个人遗传信息的数据 个人基因测试信息 孕前基因检测数据，产前基因检测数据，胚胎染色体检测数据，地中海贫血基因数据，癌症基因检测结果，基因测序数据，蛋白质组、代谢组多组学分析数据，分子靶向药物治疗数据 相关主体授权同意以及相关部门的审批 个人家庭成员基因测试信息 遗传性肿瘤基因检测 5.3 数据应用5.3.1 应用目的5.3.1.1 健康医疗大数据应用目的可分为： a) 社会综合治理； b) 公共医疗卫生服务； c) 科学研究和教育； d) 商业目的。 5.3.1.2 社会综合治理包括疾病控制、政府监督管理、决策支持等。 5.3.1.3 公共医疗卫生服务包括个人医疗卫生服务、基本医疗卫生服务（例如互联网医疗、检验检查互通互认、医联体/医共体）、专业医疗卫生服务（例如随访、疾病管理等）、医疗卫生辅助服务（例如智慧康养、慢病管理等）。 5.3.1.4 科学研究和教育包括医学研究、药物研究、医疗技术研究、智慧教育等。 5.3.1.5 商业目的包括医疗数据园区建设、商业保险、真实世界研究等。 5.3.1.6 健康医疗大数据应用目的详情如表 3 所示。 表3 健康医疗大数据应用目的序号 应用目的 描述 相关方举例 1 社会综合治理 通过医疗健康数据进行传染病的分析和预测。 疾病预防控制中心 通过大量健康数据进行统计分析，推动医保业务的开展，完成审核监督、定点医疗机构布点、医保政策制定或更新等辅助管理。 医疗保险机构、民政部门 从民政系统获取妇女婚姻、残疾人群信息，将划定年龄段的已婚女性作为孕产妇保健预备管理对象，为残疾人群建立残障专项档案、提供残疾康复管理。 公安部门 获取出生人口信息、户口迁入人口信息，触发新增人群(出生、户口迁入)的健康档案建档工作。 卫健委 以政府为核心的公共部门整合社会的各种力量，强化政府的治理能力，提升政府绩效和公共服务品质，从而实现公共的福利与公共利益。提高区域资源共享水平、强化绩效考核、提高监督管理能力、化解疾病风险等。 卫健委、食品药品监督管理机构、卫生监督机构 学生健康档案，接种记录与就诊记录。 教育部门 2 公共医疗卫生服务 个人医疗卫生服务 主要关注的是如何能获得可及的、优质的医疗卫生服务； 获取连续的健康医疗数据、全程的健康管理等方面。 患者、健康个人 基本医疗卫生服务 提供基本医疗和基本公共卫生服务与管理，例如互联网医疗、医共体/医联体、检验检查报告互通互认、门急诊、常见病的住院治疗、妇幼保健、计划生育、免疫接种、慢病管理、老年保健、康复、健康教育等基本医疗、预防保健服务。 社区卫生服务机构、乡镇卫生院、诊所 专业医疗卫生服务 随访、疾病管理、慢病管理、卫生管理、应急管理、医疗咨询等， 对患者进行检查、诊断、治疗和康复等方面的服务以及与这些服务有关的提供药品、医用材料器具、救护车、病房住宿和饮食的业务。 医院、疾病预防控制机构、妇幼保健机构、急救中心、血站、生殖遗传咨询机构 医疗卫生辅助服务 为居民提供更加丰富更加便捷的健康服务。 信息系统供应商 为医疗卫生服务机构提供专业化的信息系统和技术支持。 信息系统供应商 为医疗卫生服务机构提供专业化的医疗设备和技术支持。 医疗设备供应商 包括通过获取本人的医疗数据来督促人们改变不良的行为习惯,帮助养成积极健康的生活方式等。 体检中心、养老院、健康管理机构 3 科学研究和教育 以患者为主要研究对象的医学科学研究，主要分析研究疾病的病因、诊断、治疗、预防、自然病程及预后等方面的重要问题。 科研机构 根据社会需求，有目的、有计划、有组织地培养医药卫生人才的教育活动，一般多指大学水平的医学院校教育。 医学教育机构 4 商业目的 利用健康医疗数据建设医疗数据园区。 政府/企业 利用健康医疗数据进行商业保险的精算、核保、核赔、快赔。 商业保险机构 对一定批量的医疗数据进行二次分析利用(真实世界研究)。 企业公司等机构、区域卫生信息平台 5.3.2 应用方式5.3.2.1 总则健康医疗大数据应用过程涉及政务数据共享的，宜符合GB/T 38664（所有部分）的相关要求；反之， 宜符合本文件5.3.2.25.3.2.4的要求。 5.3.2.2 数据处理方式在健康医疗大数据应用之前，需对原始数据进行加工处理形成可共享的数据，按照对原始数据处理方式的不同程度，划分为以下 3 类。 a) 不做处理：对原始数据不做处理。 b) 脱敏处理：采用数据脱敏技术对指定原始数据进行脱敏处理。 c) 加密处理：采用数据加密技术对指定原始数据进行加密处理。 5.3.2.3 数据共享方式健康医疗大数据应用的过程中，依照数据是否发生移交、数据是否出域、数据是否可见，将数据共享方式分为信任共享、安全域共享和零信任共享。 a) 信任共享：控制者与使用者在达成大数据应用协议后将数据移交给使用者的使用方式。当数据发生移交时，数据接收者负责数据安全保障。 b) 安全域共享：在控制者指定的环境中为使用者授权并提供数据，数据不离开使用环境。 c) 零信任共享：不提供数据给数据使用方的情况下，利用多方安全计算、联邦学习等技术进行联合计算或建模的方式进行数据使用。 注： 本文件中数据使用均不包括司法、公安等非盈利性目的利用、必须追溯到个人信息的情况。 5.3.2.4 技术实现方式5.3.2.4.1 数据资源池5.3.2.4.1.1 概 述数据资源池是指数据资源可以随时使用，按需求进行数据资源创建与产生的一种数据存储交互方式。在数据资源池中数据采用不同的路径按相同的标准与格式进入数据资源池，数据应用则采用统一的流程 和接口进行管控。 数据资源池属于信任共享方式。 5.3.2.4.1.2 使用流程数据资源池使用流程建议为： a) 使用者向控制者提出数据使用申请，申请中宜包含需使用数据的名称、范围、用途、原始数据使用程度和数据流转途径等基本要素； b) 控制者委托专家组对申请内容的社会意义、安全性、可行性、经济性、合规性，以及数据的使用程度、使用方式等方面进行评估； c) 控制者根据评估结果确定是否提供相应数据； d) 评估通过后，控制者将本次数据应用情况向主管部门登记备案； e) 控制者按照申请内容和评估意见向使用者提供数据。 5.3.2.4.1.3 目的和场景数据资源池主要应用于以社会综合治理、公共医疗卫生服务为目的的智慧医疗、智慧养老、疾病控制等应用场景。 5.3.2.4.1.4 参与角色数据资源池主要涉及健康医疗数据的控制者、处理者、服务者、使用者。 5.3.2.4.2 业务协同平台5.3.2.4.2.1 概 述业务协同平台指在保护数据安全和授权使用的前提下，在数据脱敏和治理的基础上，将数据作为资产管理，利用业务协同相关技术，向第三方用户和应用提供数据并实现数据价值充分开发利用的技术平台。 业务协同技术指在数据不离开平台前提下实现安全的数据共享使用、联合计算的一系列技术，包括且不限于沙箱计算、可信执行环境、联邦学习、多方安全计算、同态加密、区块链等隐私安全计算技术。 业务协同平台的建设、管理、维护和数据来源可以是各级卫生行政部门，也可以是各级医疗机构。沙箱计算、可信执行环境属于安全域共享方式，联邦学习、多方安全计算、同态加密属于零信任共享方式。 5.3.2.4.2.2 使用流程控制者、使用者、服务者开展协同数据应用业务宜基于平台展开合作，数据通过平台进行流转。业务协同平台使用流程建议为： a) 使用者向控制者提出数据使用申请，申请中宜包含数据的内容、范围、用途、使用程度、使用方式和伦理评估等基本要素； b) 控制者委托专家组对申请内容的目的分类、数据分级、使用程度、使用方式及伦理等方面进行评估； c) 控制者根据评估结果确定是否提供数据和业务协同服务； d) 评估通过后，控制者将本次数据应用情况向主管部门登记备案； e) 本次应用的参与各方按照申请内容和评估意见开展数据应用。 5.3.2.4.2.3 目的和场景业务协同平台大数据应用主要应用于以科学研究和教育、商业为目的的数据统计、数据查询、AI 模型训练等应用场景。 5.3.2.4.2.4 参与角色业务协同平台大数据应用主要涉及健康医疗数据的控制者、处理者、使用者和服务者。 5.3.2.4.3 定制协商方式5.3.2.4.3.1 概 述对于数据资源池或业务协同平台无法满足数据业务需求的情况下，可开展一事一议的点对点数据合作方式。控制者和使用者宜根据原始数据情况和数据的需求情况约定具体的合作开展方式，确定数据的内容、使用期限、使用方式、加密方式、流转方式（人工拷贝、专网传输、加密传输等）、数据安全等条款。 5.3.2.4.3.2 使用流程点对点数据合作的使用流程建议为： a) 使用者向控制者提出点对点数据合作申请，申请内容宜包含使用者情况介绍、需求描述、合作基础、合作目的、合作模式、合作的成果及用途等； b) 控制者委托专家组对申请内容做出评估； c) 控制者根据评估结果确定是否开展点对点数据合作； d) 评估通过后，控制者将本次数据应用情况向主管部门登记备案； e) 合作双方按照申请内容和评估意见开展点对点数据合作。 5.4 数据安全5.4.1 数据安全管理5.4.1.1 建立安全机制明确各角色的数据安全责任，建立数据安全监督检查与责任追究机制。 5.4.1.2 保障需求分析制定数据安全保障整体规划，根据数据安全保障目标，提出数据安全保障需求，以实现防御攻击、数据防篡改、高可用性等安全保障目标。通过安全影响范围和受损害影响程度分析，拟定数据安全保护等级，并根据安全保护等级，分析健康医疗数据项目现有的安全保护水平与需求之间的差距，提出数据安全保障要求。 5.4.1.3 保障设计在设计阶段，加强安全风险论证，根据安全保护等级，同步设计安全保障技术方案，提升网络管理、态势预警、应急处理和可信服务等能力。根据数据安全保障管理目标，设计数据安全保障管理体系，保障数据安全技术与管理同步建设。汇总数据安全技术措施落实方案，管理措施落实方案等，形成指导安全实施的指导性文件。 5.4.1.4 保障优化与持续改进定期对系统进行安全测评，对发现的安全问题进行及时分类处置。系统变更后，评估变更的部分对系统造成的安全影响。 5.4.2 数据安全技术5.4.2.1 数据分级与安全措施根据数据保护的需要进行数据分级，对不同级别的数据实施不同的安全保护措施，详情见附录A。 5.4.2.2 通用安全技术宜按照GB/T 22081、GB/T 22239、GB/T 31168、GB/T 35274 等做好数据安全管理工作。 5.4.2.3 去标识化技术5.4.2.3.1 通用技术指南根据数据保护的需要，对健康医疗数据进行分级，对不同级别的数据实施不同的安全保护措施。宜按照GB/T 37964 的相关要求开展去标识化工作。 5.4.2.3.2 对第 2 级数据技术指南对第2 级数据，宜按照GB/T 37964 的相关要求采用数据抽样、数据聚合等技术开展去标识化工作。 5.4.2.3.3 对第 3 级数据技术指南对第3 级数据，宜按照GB/T 37964 的相关要求采用抑制、屏蔽、泛化、加密、假名化、K-匿名模型等技术开展去标识化工作。 5.4.2.3.4 对第 4 级数据技术指南对第4 级数据，宜采用数据无效化、赋随机值、数据替换、对称加密等方式，实现数据脱敏，必要时可采用安全多方计算（含同态加密）、可信执行环境等隐私计算技术，联邦学习等框架实现数据“可用不可见”。 5.4.2.3.5 对第 5 级数据技术指南对第5 级数据，宜采用“安全多方计算、可信执行环境、联邦学习”等隐私安全计算，实现“数据不出域，可用不可见。” 6 应用流程6.1 概述6.1.1 健康医疗大数据应用在实施过程中共涉及 4 类角色（角色划分见 5.1）参与： a) 服务者； b) 使用者； c) 控制者； d) 处理者。 6.1.2 健康医疗大数据应用流程共包括 5 个阶段： a) 申请阶段； b) 评估阶段； c) 签订协议阶段； d) 数据应用阶段； e) 结束阶段。 6.1.3 健康医疗大数据应用流程如图 1 所示。 图1 健康医疗大数据应用流程示意图6.2 要求10 6.2.1 申请阶段由使用者根据应用需求提出申请（参见附录 B），在申请时宜详细描述： a) 数据内容，宜详细到业务系统或字段，例如电子病历数据、CT 检查报告、影像文件等； b) 数据范围，指数据筛选条件，例如根据时间段、疾病编码等； c) 数据的用途，宜详细描述数据应用目的（见 5.3.1），例如传染病多点触发预警预测，医保控费，真实世界研究等； d) 技术实现方式（见 5.3.2.4），宜详细描述数据获取方式，例如通过 API 接口，安全沙箱、联邦学习等方式； e) 伦理评估等内容，从数据来源、患者保护与知情、有益、公正等方面对本次数据申请进行伦理评估。 6.2.2 评估阶段由控制者授权专家组对数据使用申请进行评估，依据本文件在应用目的（见5.3.1）、数据分级（见5.2.2）、数据处理方式（见5.3.2.2）、数据共享方式（见5.3.2.3）、数据安全（见5.4）、伦理评估等方面给出评估报告（参见附录 C）： a) 应用目的，按社会综合治理、公共医疗卫生服务、科学研究和教育、商业目的进行分类； b) 数据分级，根据数据字段内容判断是否包含个人遗传信息、个人敏感信息、企业敏感数据进行分级； c) 数据处理方式，根据目的分类和数据分级建议对原始数据的处理方式，例如某些字段提供原始数据，某些字段需要脱敏处理或者加密处理后提供，宜提出具体脱敏方式和加密方式； d) 数据共享方式，根据目的分类和场景决定共享方式，分为信任共享、安全域共享、零信任共享、不予共享； e) 数据安全，对应用过程中的传输安全、数据安全提出意见，例如传输安全、存储安全、应用安全等； f) 伦理评估，从数据来源、患者保护与知情、有益、公正等方面对本次数据申请进行伦理评估。 6.2.3 签订协议阶段在审核同意后，控制者与使用者签订健康医疗大数据应用协议，协议中宜详细描述数据范围、数据处理方式、数据共享方式、安全要求等内容。 6.2.4 数据应用阶段6.2.4.1 控制者授权处理者根据健康医疗大数据应用协议中的数据范围和数据处理方式对原始数据进行预处理，形成共享数据。 6.2.4.2 根据技术实现方式、数据共享方式和安全要求，将共享数据交付给数据应用方（使用者或服务者）。 6.2.4.3 受使用者委托，服务者对数据进行相关应用。 6.2.5 结束阶段服务者将应用成果输出给使用者，并结束大数据应用。控制者对输出成果进行审核，处理者执行大数据应用结束流程（取消数据授权、关闭应用环境、销毁中间数据等）。 7 应用场景24 7.1 场景类别健康医疗大数据应用场景包含且不限于以下情形，详情参见附录D： a) 公共医疗卫生服务； b) 疾病控制； c) 医药、生物园区建设； d) 互联网医疗； e) 智慧医养、智慧养老； f) 医保控费； g) 商业保险； h) 科研； i) 教育。 7.2 应用案例附录 E 给出了 3 个典型的应用场景案例。附 录 A（规范性）数据分级与安全措施数据分级及其对应的数据安全保障技术如表 A.1 所示。 表A.1 从个人信息安全风险出发的数据分级与安全措施数据分级 数据划分 安全措施 第 1 级 不包含第2、3、4、5级内容的数据 是否可公开需要评审；包括网站公开、数据源公开、文件共享、API接入等。 第 2 级 机构运营、生产的相关数据 宜通过抑制、部分屏蔽、泛化编码等技术对信息进行部分遮蔽，环境与接收人数量受到限制。 第 3 级 包含敏感个人信息的数据或不满十四周岁未成年人的信息 由于涉及个人标识信息，环境与接收人需严格管控，宜采用密码（除同态加密外）、屏蔽、假名、泛化、随机、合成等去标识化技术,差分隐私、k匿名、t近邻，l多样性等模型等保证数据的保密性、完整性和可用性。 第 4 级 包含敏感病种的数据 严格控制使用范围，严格管控环境与接收人，宜采用数据无效化、赋随机值、数据替换、对称加密等方式，实现数据税敏，必要时可采用安全多方计算（含同态加密）、可信执行环境等隐私计算技术，联邦学习等框架实现数据“可用不可见”。 第 5 级 包含敏感个人遗传信息的数据 严格的身份鉴别、访问控制等措施，如采用安全多方计算（含同态加密）、可信执行环境等隐私计算技术，联邦学习等框架实现“数据不出域，可用不可见”。 附 录 B（资料性）健康医疗大数据应用申请样表健康医疗大数据应用过程中使用者提出申请时填写的样表见表B.1。 表B.1 健康医疗大数据应用申请表申请机构/部门 申请时间 法人代表 机构代码 （填写统一社会信用代码） 详细地址 经办人姓名 联系电话 身份证号码 电子邮箱 申请编码（数据提供方填写） 数据需求内容 （详细描述所需数据的字段、范围、数量） 数据使用目的 数据使用方式 预计使用时长 伦理评估 备 注 申请机构签章 （法人签字、单位盖章）年 月 日附 录 C（资料性）健康医疗大数据应用申请专家评估样表健康医疗大数据应用过程中填写的专家评估样表见表C.1。 表C.1 健康医疗大数据应用申请专家评估表申请机构基本情况 申请机构名称 法人代表 详细地址 申请机构统一社会信用代码 经办人 身份证号码 联系电话 电子邮箱 申请编码 专家评估意见 评估机构/部门 评估时间 专家组名单 数据分级 o 第一级 o 第二级 o 第三级 o 第四级 o 第五级 意见： 数据使用目的 o 社会综合治理 o 公共医疗卫生服务 o 科学研究和教育 o 商业目的 意见： 数据处理方式 o 不做处理 o 脱敏处理 o 加密处理 意见： 数据共享方式 o 信任共享 o 安全域共享 o 零信任共享 o 不予共享 意见： 表 C.1（续）安全评估 伦理评估 专家组意见 签字： 审核意见控制者 技术负责人审核签字 年 月 日 分管领导 审核签字 年 月 日 负责人 核准签字 年 月 日 注： 以社会综合治理、公共医疗卫生服务为目的的应用，在使用包含敏感个人信息的数据时，无需获得个人主体的授权同意。 附 录 D（资料性）健康医疗大数据应用的典型场景大数据健康医疗大数据应用场景分类分级对照详情如表D.1所示。 表D.1 健康医疗大数据应用的典型场景场景 概述 涉及数据集 数据分类分级 数据应用要点 数据分类 数据分级 前置条件 数据共享 方式 数据处理 方式 历史病历和检公共以公共医疗卫生服务为目的的电子病历数个人基本验检查共享宜医疗卫生数据共享应用场景主要包括历史病历共享、检验检查互认、随据、健康档案数据、影像数信 息 数据、诊疗第3级 无前置条件 采用数据资源池， 随访数据信任共享 服务 访等情形。 据等 信息数据 宜采用业务协同平台 以社会综合治理为目的疾病控疾病控制 制系统，需要采集个人健康信息、医院诊断信息，结合公安、边防、通信、药店、互联网企业等多部门的数据来源，实现多点电子病历数据、健康档案数据等 个人基本信 息 数据、诊疗信息数据 第3级 无前置条件 数据资源池 信任共享 触发的传染病预警预测。 医药、生 物 园 区 建设 以科学研究和商业为最终目的， 为医药、生信园区提供相关数据共享。例如：为生信、医疗等专业园区提供医疗健康数据，政府以此作为吸引相关企业入驻的重要条件；促进企业间数据交流，为企业做大做强提供支撑。 电子病历数据、健康档案数据、基因档案数据、影像数据等 诊疗信息数据 第1级或第4级 1. 对个人敏感信息进行脱敏处理； 2. 涉及个人遗传信息的数据应获得相关部门批准 业务协同平台 脱敏处理、安 全 域 共享、零信任共享 以公共医疗卫生服务为目的，为历史病历数互联网医院提供数据共享服务，据、 药品目互联网医疗 促进互联网医疗的发展。例如： 互联网医生获取患者的历史医疗数据，包括住院病历、门诊病历、检验检查报告、门特/门慢录、处方、检验检查目录及报告信息、病理结果、患个人基本信 息 数据、诊疗信息数据 第3级 获得患者主体授权 数据资源池 信任共享 史等；互联网医生通过共享知识者联系方式库进行辅助诊断、辅助用药。 信息等 表 D.1（续）场景 概述 涉及数据集 数据分类分级 数据应用要点 数据分类 数据分级 前置条件 数据共享 方式 数据处理方式 以公共医疗卫生服务为目的，为养老机构提供数据共享服务，促进养老业的发展。例如：养老院医生获取患者的历史医疗数据， 包括住院病历、门诊病历、检验检查报告、门特/门慢史等。 电子病历数据、健康档案数据、养老档案数据等 个 人 基 本信息数据、诊 疗 信 息数据 数据脱敏后相关部门授权 数 据 资源池 信任共享 智慧 医养、 智慧 第3级 养老 医保控费 以社会综合治理为目的，利用医疗数据实现诊疗合理性以实现医保费控以及打击医保欺诈。例如： 通过对健康档案数据、电子病历数据的分析，从诊疗合理性的角度实施医保控费；通过对设备使用数据的分析，打击医保欺诈。 电子病历数据、健康档案数据、医疗费用数据、设备运行数据等 个 人 基 本信息数据、诊 疗 信 息数据 / 业务协同平台 安全域共享、零信任共享 第2级或第3级 商业保险 以商业应用为目的，利用医疗数据实现商业保险的快赔、直赔和核保业务。例如：快赔、直赔业务，即商业保险公司在收到被保险人在线理赔申请后，实时调取被保险人的医疗数据，实现免纸质