《医疗数据资产管理要求》征求意见稿

1本文件规定了医疗数据资产管理的原则、框架、能力要求、规范流程以及长效保障机制的基本建设要求。本文件适用于医疗机构、医疗信息技术服务商、医疗数据研究机构。2规范性引用文件下列文件中的内容通过本文件的规范性引用而成为本文件必不可少的条款。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T39725信息安全技术健康医疗数据安全指南GB/T33770.2信息技术服务—外包—第2部分：数据保护要求GB/T33172资产管理综述、原则和术语GB/T33173资产管理管理体系要求GB/T34960.5信息技术服务治理第5部分：数据治理规范3术语、定义及缩略语3.1术语及定义下列术语及定义适用于本文件。3.1.1医疗数据资产medicaldataassets组织合法拥有或控制的，能进行计量的，并为组织带来经济或社会价值的医疗数据资源。3.1.2医疗数据资产管理medicaldataassetmanagement组织内通过将医疗数据作为一种全新的资产形态进行规范管理，实现医疗数据资产价值保值与增值的过程。3.1.3数据合规datacompliance组织在收集、处理、存储、传输和使用数据时遵守适用的法律、法规和政策等一系列规定，既包括形式上使用数据合规，也包括数据内容本身的实质合规。3.1.4数据资产识别dataassetidentification依据医疗健康管理要求，从现有医疗数据资源中，辨识并登记数据资产的活动。3.1.5数据资产确权dataassetownershipconfirmation2对医疗卫生机构内医疗数据资产的权属进行登记确认，使其具备时间、身份和内容等属性的活动。3.1.6数据资产评估dataassetevaluation对医疗卫生机构内医疗数据资产现状以及质量、价值等进行定量和定性评价的活动。3.1.7数据资产审计dataassetaudit对医疗卫生机构内医疗数据资产的真实性、一致性、正确性、合法性、效益性以及其使用情况等进行审查和监督的活动。3.1.8数据资产保护dataassetprotection对医疗卫生机构内医疗数据资产的采集、传输、存储、使用、删除、销毁等环节开展安全保护的活动。3.2缩略语下列缩略词适用于本文件。API：应用程序接口（ApplicationProgrammingInterface）4管理总则4.1基本原则医疗数据资产管理遵循治理先行，价值导向，权责明确，安全合规原则，具体如下：——治理先行原则；数据治理是数据资产管理的必要前提，是保证数据资产的规范性、有效性、完整性和一致性的基础工作。加强医疗数据资产管理应将数据治理作为切入口，完善医疗数据标准、提高医疗数据质量、保障医疗数据安全，促进医疗数据应用；——价值导向原则；开展医疗数据资产管理应以价值为导向，挖掘医疗数据资产应用场景，促进医疗数据资产的开发利用和价值创造，促进医疗数据资产价值保值、增值；——权责明确原则；协同各个层级，明确医疗数据资产的管理者、提供者和使用者等多方责任与义务；——安全合规原则；医疗数据资产管理要遵循国家相关法律法规和监管要求，综合考量医疗数据资产对国家利益、社会稳定、组织效益、个人隐私等因素影响，对医疗数据资产进行分类、分级管理，采取有效措施保护医疗数据资产的安全，防范组织内外部的潜在威胁。4.2管理框架医疗数据资产管理框架主要包括战略规划、组织协调、医疗数据资产管理流程、医疗数据资产管理能力建设、制度约束和平台工具,见图1。3图1医疗数据资产管理要求框架5医疗数据资产管理能力域5.1总体要求从医疗数据资产的标准、质量、开发应用、安全合规四个方面入手，注重提高医疗机构中医疗数据资产管理能力，为医疗机构开展数据资产管理工作提供可靠、有力的保障，提高医疗数据的应用价值和资产化价值。5.2数据标准管理5.2.1目的开展医疗数据资产标准管理，在医疗机构内、医疗机构间统一数据资源相关标准，使数据资源能够被便捷、高效、安全的开发利用。5.2.2基本要求数据标准管理能力建设应满足的基本要求如下：a)积极推行数据资产相关领域内的国标、行标、地标、团标，主要为卫生健康信息相关的各类数据元目录、数据集、值域代码、电子病历规范等标准；b)应做到业务、技术标准规范，数据资源产生的过程中，各类各项业务环节具有统一的业务标准和规范；数据资产中数据的架构、模型、编码规则等，软件的技术路线、系统架构、设计开发等，应用终端的交互设计等都应参照符合相关的标准规c)应做到管理标准规范，数据资产管理过程的始终均应严格按照相关管理标准规范执5.3数据质量管理45.3.1目的开展医疗数据资产质量管理，提高数据资产的质量，从而提升数据资产的应用效果和资产价值。5.3.2基本要求数据质量管理能力建设应满足的基本要求如下：a)根据国家对医疗数据、处方管理、病案管理相关质量要求，包括但不限于《住院病案首页数据填写质量规范》、《电子病历分级评价数据质量评估具体要求》等，结合数据标准，对本机构的数据质量进行分类管理，制定数据质量管理目标。结合本机构实际建立医疗信息质量评估的指标体系。b)建立专门的数据质量管理部门或团队，定义数据治理管理的角色和职责，明确数据质量管理方法。c)明确数据质量管理要求，建立数据质量检查和告警机制，优先通过技术手段定期开展数据质量检查和分析，如发现原始数据质量问题需要修改的，应符合国家对处方、病案等医疗记录变更的管理规定。5.4数据开发应用管理5.4.1目的提升数据开发应用能力，提高医疗数据资产的利用转化效率效果，增加数据资产估值。5.4.2基本要求数据开发服务能力建设应满足的基本要求如下：a)应做到业务应用、数据处理、技术开发三者有机结合，充分发挥数据开发应用过程中各自的作用；b)业务应用层面应充分理解数据资产源头产生业务和后续应用业务的实际需求和场景，充分理解数据资产中数据的含义和价值；c)数据处理层面应对数据内在逻辑、含义有充分认识，提升数据处理的效率和准确度；d)技术开发层面应充分利用新型技术带来的应用能力、应用场景的转变，有效提升数据资产的作用和价值。5.5数据安全合规管理5.5.1目的提升医疗数据资产的安全管控和合规审核能力，在保障相关患者隐私、个人信息安全的前提下，提升医疗数据资产价值。5.5.2基本要求数据安全合规能力建设应满足的基本要求如下：a)根据GB/T39725,对医疗机构数据进行分级分类管理。针对不同级别数据的安全要求，结合应用场景，制定数据安全目标、方针和措施。b)根据《民法典》《个人信息保护法》及相关法规要求保护患者隐私和个人信息，对涉及患者隐私等的涉密数据，要做好相关内容的识别和脱敏处理；符合相关医学伦理要求；c)建立专门的数据安全管理部门或团队，定义数据安全管理的角色和职责，明确数据安全管理方法。d)做好数据资产确权工作，明晰相关医疗数据资产的数据持有权、数据加工使用权、数据产品经营权，确保数据资产使用合法合规。涉及第三方的数据开发应用场景，应在开展前明确其数据相关权责。5e)做好医疗数据资产的安全存储、访问控制和权限管理，将数据资产作为组织的核心资产进行管理、保护。6医疗数据资产管理流程域6.1总体要求医疗数据资产管理流程应涵盖医疗数据资产全生命周期，包括数据资产的识别盘点、管理目录、确权估值、处置变更、审计保护等一系列管理活动，规范提高医疗数据资产管理效6.2识别盘点6.2.1目的医疗机构应依据管理目标，梳理现有医疗数据资源，基于医疗数据资产应用各方面，识别医疗数据资产及其信息要素，并登记医疗数据资产信息，确保其准确、有效。明确医疗机构医疗数据资产全貌，记录组织内医疗数据资产状态，对组织内全量的医疗数据资产进行摸底盘点。6.2.2基本要求数据资产识别盘点应满足的基本要求如下：a)基于疾病防控、医疗资源优化、临床决策支持、医药研发创新、医疗质量监管等理论研究、应用实践，梳理现有医疗数据资源，识别盘点医疗数据资产及其信息要素，包括具体信息、业务信息、管理信息和价值信息等；b)在医疗数据资产识别盘点完成后，按照分类、分级、登记到医疗数据资产目录中，支撑医疗数据资产应用、评估和审计等过程的实施；c)对医疗数据资产的变化进行识别，并执行医疗数据资产变更过程；d)在医疗数据资产识别盘点过程中，应对含患者隐私和个人信息等敏感性数据、医疗行为记录的法定数据进行准确识别、归类，登记。6.3确权估值6.3.1目的通过对医疗数据资产利益相关者进行赋权，确定医疗数据资产权益归属，使利益相关者对医疗数据资产拥有合法的控制手段，便于应用过程中的规范使用、维权追溯，保障数据资产相关方的权利。通过系统性方法和工具，从医疗数据资产的基本情况、数据质量、应用场景等维度对医疗数据资产进行合理的价值判定和估算，为数据资产入表、数据资产流通交易等提供价值参考依据。6.3.2基本要求医疗数据资产确权及估值的基本要求有：a)应协同第三方数据资产确权机构共同开展医疗数据资产确权，医疗数据资产确权结果应出具《医疗数据资产确权报告》等证明凭证。协同第三方数据资产价值评估机构共同开展医疗数据资产估值，基于数据资产估值作价结果进行评价报告撰写，并进行报告内审和盖章出具，形成具有法律效益的评估结果；b)应基于电子认证、区块链等技术手段，在单一或多方机构共同鉴证下，确认医疗数据资产权属，并符合GB/T33770.2和GB/T33173的规定；应在医疗数据资产的使用和提供过程中，通过数字签名、分布式账本等方式记录医疗数据资产的身份属性和时间属性；6c)应综合考虑医疗数据资产状态、质量、风险、收益等多种因素，并对各类要素对医疗数据资产价值的影响进行量化评估。根据评估目标和数据特点，充分结合市场法、收益法和成本法三种基本方法及其衍生方法在医疗数据资产价值评估过程中差异与优劣，综合运用多种方法来评估医疗数据资产的价值。例如，可以先使用成本法初步评估，然后结合市场法对价格趋势进行分析，最后使用收益法对可能带来的未来收益进行预测。6.4变更处置6.4.1目的在医疗数据资产使用、更新和维护过程中，当医疗数据资产管理活动或业务需求触发数据资产变化时，通过对数据资产内容进行识别变更，并及时更新数据资产目录。对不再需要或时效性较低的数据资产进行清理、转让、销毁等，以降低资产存储和管理成本、数据安全风险，优化数据资产配置，重组剩余价值。6.4.2基本要求医疗数据资产变更处置的基本要求有：a)建立医疗数据资产变更机制，明确数据资产变更触发条件，有效管理变更过程，明确拟变更的医疗数据资产的范围、要求、程序、技术手段等；b)明确拟变更医疗数据资产的权属和价值，开展医疗数据资产变更风险评估和影响分c)及时更新医疗数据资产目录，并在组织内外部发布，确保数据资产目录信息与时间情况保持一致；d)选择合适的方式对数据资产进行处置，保留数据资产处置的执行日志或记录。6.5安全审计6.5.1目的监督医疗机构医疗数据资产管理过程的执行，评价医疗数据资产管理的风险，保障医疗数据资产管理和应用的合规。6.5.2基本要求医疗数据资产审计与安全应满足的基本要求如下：a)医疗数据资产的使用应符合国家相关法律法规要求，符合相应医学伦理要求；b)应对医疗数据资产开展安全合规的审计工作，审计对象包括数据资产管理的制度、流程和相应的过程记录；c)建立覆盖医疗数据资产管理全过程的审计机制，根据需求制定审计计划；审计内容包括与法律法规、标准和规章制度等的符合性，医学伦理道德的复合型，权属的可证性以及过程的合规性；d)审计结果包括审计范围、审计问题、审计评价及建议等，宜以审计报告形式提供。7医疗数据资产管理保障7.1总体要求数据资产管理同数据治理紧密相连，资产管理保障机制可依据GB/T34960.5的管理规范，从顶层规划、组织协同、制度体系、平台工具等方面制定针对性保障措施，规范管理医疗机构内各类医疗数据资产，有效实现医疗数据资产价值保值、增值。77.2顶层规划在组织内树立数据即资产的价值意识，明确医疗机构内医疗数据资产管理方向和目标，从短期、长期视角进行资源优化和风险管理，推动医疗数据资产管理各项工作落地，确保医疗数据资产管理符合法律法规和行业标准。7.2.2基本要求医疗数据资产管理顶层规划应遵循以下基本管理要求：a)符合国家相关法律法规和监管要求，综合衡量医疗数据资产管理对国家利益、社会稳定、组织效益、个人隐私等方面的影响；b)明确医疗数据资产管理各方的权利义务，包括数据所有者、数据管理者、数据生产者和数据使用者等，推动医疗数据资产权利分置；c)强化医疗数据资产管理目标与原则，包括实施愿景、工作原则、总体目标、阶段任务、管理边界等；d)设计医疗数据资产管理的优化路径，包括管控方案、实施路线等；e)建立医疗数据资产管理活动的评价体系。7.3组织协同在组织内建立有效的跨部门协同机制，确保医疗数据资产管理活动的协调一致。7.3.2基本要求医疗数据资产管理组织协同应遵循以下基本管理要求：a)建立医疗数据资产管理决策机制，统筹制定医疗数据资产管理相关政策路线；b)成立医疗数据资产管理专项领导小组，协调各部门资源，监督医疗数据资产管理策略的有效执行；c)定义医疗数据资产管理责任部门，负责推进医疗数据资产管理的各项职能活动；d)配备医疗数据资产管理团队及专、兼职人员，明确岗位角色，确定医疗数据资产管理责任人；e)对内协同业务职能部门确保医疗数据资产完整性和可用性，对外协同第三方审计机构监督评估数据管理的合规性、安全性和效率。7.4制度体系在组织内加强医疗数据资产管理意识，细化医疗数据资产管理各个流程节点要求，保障数据资产管理和各项职能活动的规范化运行。7.4.2基本要求医疗数据资产管理制度体系应遵循以下基本管理要求：a)政策：制定明确的医疗数据资产管理战略规划，并根据内外部发展情况不断优化；b)制度：制定明确的医疗数据资产管理制度，明确医疗数据资产管理各项职能活动的管理要求；c)办法：依据政策和制度，建立各部门、各层级、各业务领域细分的医疗数据资产管理办法，规范医疗数据资产管理的具体流程、标准和操作要求；d)指南：制定医疗数据资产管理过程中的相关操作手册，例如《医疗数据资产识别盘点指南》、《医疗数据分类分级操作方法》等。87.5平台工具在医疗机构内完善各项数据资产管理活动职能的技术保障，支持医疗数据资产的收集、存储、处理和分析，实现医疗数据资产全量全域纳管。7.5.2基本要求医疗数据资产管理平台工具应遵循以下基本管理要求：a)建立医疗数据资产管理平台，支持医疗数据资产的元数据管理、主数据管理、数据审计、变更处置、权限设置、安全审计、API服务等；b)支持数据资产管理过程中交付物的管理。9数据资产价值评估的参考方法A.1市场法市场法是指比较被评估的数据资产与已完成交易的同类资产的异同，并且结合数据资产的价值影响因素，如期限、数量等，从而来计算被评估数据资产价值的方法。市场法评估前提是被评估资产需求量大、类型并且交易频繁。数据资产是新兴资产，开始进行交易的时间比较短，交易资料较少。并且数据资产差异较大，个性化程度高，不同评估对象参考性差。由于历史资料的缺乏，采用市场法评估数据资产的价值难以设定评估基础，结果的准确性也会比较低。在数据资产交易所越来越成熟越来越规范的背景下，市场法很快也可以