医疗健康网络数据安全自律公约.pdf

医疗健康网络数据安全自律公约

第一章总则

第一条为贯彻《中华人民共和国网络安全法》《国务院

办公厅关于促进和规范医疗健康大数据应用发展的指导意

见》《国务院办公厅关于促进“互联网+医疗健康”发展的意

见》有关要求，更好推动《国家医疗健康大数据标准、安全

和服务管理办法》（试行）落实，引导相关单位严格遵守国

家有关法律、法规以及政策和标准，提升医疗健康网络数据

安全保护能力，促进行业持续健康有序发展，制定本公约。

第二条本公约所指医疗健康网络数据是指医疗卫生机

构或企事业单位在网络服务和管理过程中收集、存储、传输、

处理和产生的与医疗健康相关的数据，不包括医疗卫生机构

和企事业单位内部经营和管理数据。各级各类医疗卫生机构

和相关企事业单位是医疗健康网络数据安全和应用管理的

责任单位。

第三条医疗健康网络数据包括但不限于医疗机构在网

络诊疗服务、便民服务、医院管理等方面生成和使用的用户

医疗数据，公共卫生机构在网络服务提供、统计管理过程中

生成和使用的用户健康数据，互联网医疗健康平台企业在服

务过程中生成和使用的用户健康数据，医疗健康大数据中心

通过网络汇总、统计的医疗健康行业治理数据等。

第四条中国互联网协会互联网医疗健康工作委员会作

为公约执行机构，在行业主管部门的指导下负责组织签署和

实施本公约。各级各类医疗卫生机构和相关企事业单位自愿

签署本公约后成为公约成员机构，受本公约约束，遵守执行

本公约内容。

第二章自律内容

第五条公约成员机构应明确医疗健康网络数据安全管

理责任部门、制定医疗健康网络数据安全管理制度规范、配

备医疗健康网络数据安全管理和技术措施、开展医疗健康网

络数据安全合规性评估，做好医疗健康网络数据安全审计管

理、应急处置、教育培训等工作，建立并持续完善本机构医

疗健康网络数据安全保障能力。

第六条公约成员机构应综合考虑医疗健康网络数据的

重要及敏感程度、类别属性、使用目的等因素，开展医疗健

康网络数据资产梳理和分类分级工作，并围绕医疗健康网络

数据全生命周期各环节推动部署差异化安全保障措施。

第七条公约成员机构应建立机构内部医疗健康网络数

据安全合规性评估制度规范和工作流程，形成新上线业务全

覆盖评估、存量重点业务定期评估工作机制，开展机构医疗

健康网络数据安全合规性评估工作，并形成评估报告。

第八条公约成员机构应建立并不断完善数据合作方安

全管理，通过签订合同和安全必威体育官网网址协议等方式，明确合作企

业对合作中数据安全保护方式和合作方责任、义务落实要求。

第九条公约成员机构应做好医疗健康网络数据安全事

件应急响应，定期开展应急演练，发生医疗健康网络数据安

全事件时及时采取补救措施，并向卫生健康主管部门报告。

发生大规模用户个人信息泄露、毁损和丢失时，采取合理、

有效方式告知用户。

第十条公约成员机构应完善医疗健康网络数据安全用

户举报与受理机制，建立用户数据安全举报投诉渠道，明确

处理流程并公布举报投诉处理联系方式。

第十一条公约成员机构应针对数据安全岗位人员制定

培训计划并开展定期培训，培训内容应包括医疗健康网络数

据安全制度和实操规范等。

第十二条公约成员机构应加强医疗健康网络数据安全

技术能力研发和建设，积极参与医疗健康网络数据安全相关

试点，不断提升医疗健康网络数据安全技术保障能力。

第三章公约执行

第十三条公约执行机构组织、指导公约成员机构对公

约履行情况定期开展自查，任何单位和个人均有权向公约执

行机构投诉或举报。

第十四条公约执行机构组织第三方评测机构开展医疗

健康网络数据安全风险评估，结合自查和公众监督举报情况，

对违反本公约的签署单位进行指导和督促整改，必要时予以

公示，发现违法违规线索，交国家卫生健康委规划发展与信

息化司处理。

第十五条公约执行机构在行业主管部门的指导下，进

一步健全完善医疗健康网络数据安全合规管理体系，推动制

定医疗健康网络数据分级分类目录，加强医疗健康网络数据

安全管理和技术支撑平台建设。

第四章附则

第十六条本公约生效期间，遵循“动态修订