深圳市衛生健康數據管理辦法

各有關單位：

為了規範衛生健康數據活動，保障數據安全，保護個人和組織的合法權益，促進衛生健康數據有序流動和開放共享，我委制定了《深圳市衛生健康數據管理辦法》，現予印發，請遵照執行。

深圳市衛生健康委員會

2023年11月16日

第一條 為了規範衛生健康數據活動，保障數據安全，維護個人和組織的合法權益，促進衛生健康數據有序流動和開放共享，根據《中華人民共和國個人信息保護法》《中華人民共和國數據安全法》《深圳經濟特區醫療條例》《深圳經濟特區健康條例》《深圳經濟特區數據條例》等法律法規規定，結合本市衛生健康工作實際，制定本辦法。

第二條 本市轄區範圍內衛生健康行政部門、醫療衛生機構及其工作人員開展的衛生健康數據處理活動及其監督管理適用本辦法。

涉及國家秘密的數據處理活動，按照國家有關規定執行。

第三條 本辦法中下列用語的含義：

（一）衛生健康數據，是指在疾病防治、健康管理、醫學教學和科研、醫療管理、行業管理等過程中產生的與衛生健康相關的數據。

（二）衛生健康公共數據，是指在依法履行公共管理職責或者提供公共服務過程中收集或者產生的，以一定形式記錄、保存的衛生健康數據。

（三）衛生健康個人數據，是指依法收集或者產生的，載有可識別特定自然人信息的衛生健康數據，不包括匿名化處理後的數據。

（四）衛生健康敏感個人數據，是指一旦泄露或者非法使用，容易導致自然人的人格尊嚴受到侵害或者人身、財產安全受到危害的衛生健康個人數據，以及不滿十四周歲未成年人的衛生健康個人數據。

（五）數據處理，是指數據的收集、存儲、使用、加工、傳輸、提供、公開、刪除等行為。

第四條 市衛生健康行政部門依法負責全市衛生健康數據處理的管理工作，統籌規劃、指導、評估、監督全市衛生健康數據處理活動，建立健全衛生健康數據治理體系、管理制度和標準規範，在職責範圍內組織開展衛生健康數據處理活動，推動衛生健康數據開放共享。

區衛生健康行政部門依法負責轄區內衛生健康數據處理的管理工作，在職責範圍內組織開展衛生健康數據處理活動，推動衛生健康數據開放共享。

第五條 醫療衛生機構依法負責本單位衛生健康數據處理的管理工作，建立完善本單位衛生健康數據管理制度，開展衛生健康數據處理活動。

第六條 本辦法第四條、第五條規定的單位（以下統稱責任單位）應當按照分類套用、分級授權、權責一致的原則對衛生健康數據處理活動進行規範管理，履行數據安全保護義務，不得損害國家利益、公共利益以及其他組織或者個人的合法權益，並符合合法、正當、必要、安全的要求。涉及生物安全的衛生健康數據處理活動，還應當符合生物安全管理的有關規定。

鼓勵企業、科研機構、高等院校等參與衛生健康數據科學研究和開發套用。

第七條 市衛生健康行政部門依託城市大數據中心組織建設、運營、維護深圳市衛生健康數據中心（以下簡稱市衛生健康數據中心）。市衛生健康數據中心按照“一數一源”原則，收集、存儲全市衛生健康數據，分類形成衛生健康資源配置、居民電子健康檔案、電子病歷、疾病和健康危險因素監測等衛生健康相關主題資料庫，統一、集約、安全、高效管理全市衛生健康數據資源，支持智慧健康建設、數字健康產業發展。

市、區衛生健康行政部門分別建設市、區衛生健康信息化平台，實現衛生健康數據互通共享，並將衛生健康數據匯聚至市衛生健康數據中心統一管理。

第八條 責任單位應當明確本單位衛生健康數據管理的分管負責人和責任部門，並配備專職或者兼職工作人員，建立健全本單位數據管理制度，加強單位內部信息共享管理，組織開展數據安全和個人信息保護教育培訓，落實數據安全保護責任。

第九條 市衛生健康行政部門組織編制並公布全市衛生健康公共數據資源目錄，制定衛生健康數據標準、安全和處理等相關規範，按照有關規定對衛生健康數據實行分類分級及安全管理，並將衛生健康公共數據資源納入深圳市公共數據資源目錄體系管理，規範衛生健康公共數據已分享資料夾和開放目錄。

第十條 衛生健康行政部門為履行法定職責處理衛生健康個人數據的，應當在處理前集中公告個人數據處理規則；個人數據處理規則未規定的，應當依法向個人告知。

醫療衛生機構處理衛生健康個人數據的，應當在處理前依法向個人進行告知，並取得個人或者其監護人的明確同意，涉及衛生健康個人敏感數據的，應當取得單獨同意。

法律、行政法規另有規定的除外。

第十一條 責任單位為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康和財產安全需要處理衛生健康個人數據的，應當按照最小必要原則，在法律法規規定的範圍內進行數據處理，不得用於其他用途。

未經個人或者其監護人同意，責任單位及其工作人員不得公開其姓名、出生日期、身份證件號碼、生物識別信息、住址、電話號碼、電子信箱、健康信息、行蹤信息等信息，因應對突發公共衛生事件需要且經匿名化處理的除外。

第十二條 責任單位進行衛生健康數據處理時，應當按照有關規定實施合規審計。開展涉及人的生命科學和生物醫學研究的衛生健康數據處理活動，應當按照有關規定進行倫理審查。

第十三條 責任單位按規定委託相關單位開展衛生健康數據處理活動的，應當與被委託單位簽訂委託協定和保密協定，明確委託數據處理的目的、期限、處理方式、涉及的數據範圍和種類、委託結束後的數據刪除、數據安全保護措施和責任、違約責任等雙方權利義務，並應當明確未經責任單位同意，被委託單位不得將數據處理轉委託第三方處理。責任單位應當對被委託單位開展數據活動進行監督。

第十四條 責任單位收集衛生健康數據時，應當根據工作需要，明確數據收集的目的、範圍、期限、處理規則、安全管理措施等。

責任單位應當真實、準確、按時、完整收集衛生健康數據，加強數據質量控制。

第十五條 責任單位在收集、存儲衛生健康個人數據時，應當依法告知當事人數據收集和存儲的必要性、目的、範圍、期限、處理規則以及對個人權益的影響，並按規定取得當事人同意，且不得違反法律法規規定和雙方的約定。

責任單位不得在法律、行政法規規定的範圍外收集、存儲可識別個人身份的人臉、指紋、虹膜等生物識別信息。

第十六條 責任單位應當對數據傳輸、存儲採取下列安全防護措施：

（一）對涉及工作秘密、商業秘密、智慧財產權和個人信息以及其他敏感信息等數據採用國密算法進行加密；

（二）採用由密碼技術支持的網路傳輸通道保護機制，保障通信網路數據傳輸的完整性、機密性，並具備應急恢復能力；

（三）數據存儲在境內安全可信的伺服器上，選取安全性能、防護級別與其安全等級相匹配的存儲載體；

（四）建立可靠的數據容災備份機制，保證數據的有效歸檔、恢復和使用；

（五）對身份鑑別、安全策略、異地備份、系統恢復等重要操作實行安全審計；

（六）法律、法規、規章和網路安全部門、衛生健康行政部門等規定的其他措施。

第十七條 醫療衛生機構應當按照深圳市居民電子健康檔案管理規範要求，在本機構信息系統中為實名就醫的個人建立身份標識唯一、基本數據項一致的居民電子健康檔案，記錄為其提供的健康服務信息，並按照全市統一的接口規範、數據標準和質量控制等要求，依法依規將數據錄入或者上傳至衛生健康信息化平台，實現居民電子健康檔案聯網管理。

使用電子病歷系統的醫療衛生機構還應當依法將患者的電子病歷數據上傳至衛生健康信息化平台實現聯網管理。

第十八條 鼓勵產生衛生健康數據的企事業單位、科研機構等其他單位將衛生健康數據按照規範傳輸至市衛生健康數據中心。

第十九條 責任單位應當制定本轄區、本單位數據使用、加工的許可權管理制度，責任單位工作人員應當在許可權範圍內使用、加工數據。

第二十條 責任單位應當建立電子實名認證和數據訪問控制制度，防止數據泄露或者被非法使用。數據的訪問日誌應當保存6個月以上，對居民電子健康檔案、醫學證明檔案、歸檔電子病歷以及其他醫學文書的數據訪問日誌應當保存3年以上。

第二十一條 醫療衛生機構為居民提供預防保健、健康管理、臨床診療、網際網路診療等醫療衛生服務時，經個人或者其監護人同意，可以依法查閱其居民電子健康檔案。

符合下列情形之一的，醫療衛生機構可以依法查閱個人電子病歷：

（一）個人或者其監護人單獨同意；

（二）為居民提供醫療衛生服務時，查閱其在本機構以及屬於同一法人單位的醫療機構的電子病歷；

（三）為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康所必需；

（四）法律、行政法規規定的其他情形。

第二十二條 醫療衛生機構基於個人同意查閱居民電子健康檔案和個人電子病歷的，應當由個人或其監護人在充分知情的前提下自願、單獨同意。個人或者其監護人可以選擇下列同意方式：

（一）同意醫療衛生機構為個人提供本次衛生健康服務時查閱；

（二）同意醫療衛生機構為個人提供衛生健康服務時均可以查閱。

醫療衛生機構取得前款規定的個人同意的，個人或者其監護人有權撤回其同意，醫療衛生機構應當提供便捷的撤回同意的方式。個人撤回同意的，不影響撤回前基於個人同意已進行的個人信息處理活動的效力。

第二十三條 醫療衛生機構在查閱居民電子健康檔案或者個人電子病歷時，不得違規進行拍照、錄像、截屏、複製和本地保存等操作，不得用於衛生健康以外的目的。法律、行政法規另有規定的除外。

第二十四條 責任單位在委託、授權數據使用、加工時，應當對數據安全進行評估，並採取下列安全措施，保障數據安全：

（一）根據數據使用、加工的實際需要，制定並執行符合最小必要原則的數據提取方案；

（二）採取必要措施保障數據安全；

（三）及時清理、刪除提取過程所產生的中間數據；

（四）保留數據使用過程中的申請、審批和刪除記錄；

（五）其他必要的安全措施。

第二十五條 對數據加工過程中臨時保存的數據，以及保存或者使用期限屆滿後的數據，責任單位應當採用無法還原的方式及時進行刪除，並驗證數據刪除操作的可信性，重點關注數據殘留風險及數據備份風險。法律、法規另有規定的除外。

數據刪除的審批流程、操作記錄等資料應當存檔保存。

第二十六條 按照“誰使用、誰負責、誰解釋”的原則，由數據使用者負責衛生健康數據使用的對外解釋。數據使用者應當收集數據使用過程中出現的問題，並積極與數據提供者協商處理。

第二十七條 責任單位應當建立衛生健康公共數據的共享對接機制，在衛生健康公共數據已分享資料夾範圍內，應有關國家機關、事業單位、醫療衛生單位等公共管理和服務機構的申請，依法共享衛生健康公共數據，並做好登記和管理。

第二十八條 責任單位應當要求衛生健康公共數據共享申請單位列明申請的數據欄位，明確數據使用的依據、目的、範圍、方式、期限等，並要求其按照規定加強共享數據使用管理，不得超出使用範圍、期限或者用於其他目的。

責任單位依據規定的共享條件以及申請單位履行職責的需要進行審核，核定套用業務場景、用數單位、所需數據、共享模式、截止時間等要素，按照最小授權原則，確保衛生健康公共數據按需、安全共享。

第二十九條責任單位共享數據涉及衛生健康個人數據的，應當取得個人或者其監護人的單獨同意，因履行法定職責或者法定義務所必需、應對突發公共衛生事件或者緊急情況下為保護自然人的生命健康和財產安全所必需等法律、行政法規另有規定的除外。

申請單位應當配合責任單位取得申請共享的個人數據所涉個人或者其監護人作出的單獨同意的資料。

第三十條 申請共享衛生健康公共數據涉及衛生健康個人數據的，責任單位應當要求申請單位提供以下資料：

（一）收集處理衛生健康個人數據的法律、法規、規章等依據；

（二）提供明確的所需共享數據的人員名單；

（三）數據接收方的名稱、聯繫方式、處理目的、處理方式和個人信息的種類；

（四）限於實現處理目的所必要的最小範圍、採取對個人權益影響最小的方式等個人信息保護措施。

申請單位無法明確共享數據人員名單的，責任單位可以提供衛生健康公共數據共享查詢接口，按照最小必要原則與申請單位協商確定涉及個人的範圍和觸發數據共享查詢的條件，以確定共享數據人員名單。

第三十一條 責任單位應當在衛生健康個人數據共享前，通過簡訊、電話、網路、微信等方式，向數據所涉及個人或者其監護人傳送信息告知數據接收方的名稱、聯繫方式、處理目的和處理方式和個人信息的種類。法律、法規另有規定的除外。

第三十二條 國家機關、事業單位申請共享衛生健康公共數據的，由衛生健康行政部門通過城市大數據中心的公共數據共享平台，按照規定提供共享。

第三十三條 區衛生健康行政部門、市屬醫療衛生單位申請共享衛生健康公共數據的，由市衛生健康行政部門通過市衛生健康信息化平台，按照規定提供共享。

區屬醫療衛生單位申請共享衛生健康公共數據的，由區衛生健康行政部門通過區衛生健康信息化平台，按照規定提供共享。

第三十四條 責任單位應當規範數據共享管理，對不能通過公共數據共享平台或者衛生健康信息化平台共享衛生健康公共數據的，應當按照法律、法規等規定提供數據共享，並履行個人信息保護職責。

第三十五條 下列衛生健康公共數據不予共享：

（一）除法律、行政法規另有規定外，涉及工作秘密、商業秘密、智慧財產權的數據；

（二）除法律、行政法規另有規定外，共享後可能危害國家安全、公共安全、經濟安全、社會穩定、公眾健康或者公共利益的數據；

（三）法律、法規規定的其他不予共享的數據。

第三十六條 衛生健康行政部門通過公共數據共享平台無條件共享基本醫療衛生服務目錄、收費價格、醫療衛生公共信用信息、醫療衛生相關證照和其他依法應當主動公開的衛生健康公共數據。

第三十七條 公安機關、司法、人力資源社會保障部門、醫療保障部門、保險等部門，因辦理案件或者社會保險審核等需要，直接向數源責任單位提出衛生健康數據需求的，責任單位應當依法予以提供。

第三十八條 衛生健康公共數據開放堅持公平有序、安全可控、分類管理的原則，不得侵害國家利益、公共利益和個人、組織的合法權益。

第三十九條責任單位應當向成年居民本人、未成年人的監護人開放居民電子健康檔案和電子病歷，提供線上查詢、複製、更新、使用、授權等功能，並通過電子簽名、數字水印等技術保障數據防篡改、防泄露、可追溯。

第四十條責任單位通過公共數據開放平台向社會提供可機器讀取的衛生健康公共數據，按照向社會開放條件分為無條件開放、有條件開放和不予開放三類。

無條件開放的衛生健康公共數據，是指應當無條件向自然人、法人和非法人組織開放的公共數據。

有條件開放的衛生健康公共數據，是指按照特定方式向自然人、法人和非法人組織平等開放的衛生健康公共數據。

不予開放的衛生健康公共數據，是指涉及國家安全、商業秘密和個人隱私，或者法律、法規等規定不得開放的公共數據。

第四十一條 責任單位開放衛生健康數據時，應當評估可能帶來的安全風險，並採取必要的安全防控措施。

第四十二條 任何組織和個人不得以再識別或者推斷個人身份為目的對共享和開放的衛生健康數據進行數據處理。

第四十三條 責任單位應當嚴格落實數據安全主體責任，制定數據安全管理制度和數據安全應急預案，定期開展數據安全測評、風險評估和應急演練，保障衛生健康數據安全。

第四十四條 責任單位應當按照國家網路安全等級保護制度要求，構建可信的網路安全環境，加強衛生健康數據相關係統安全保障體系建設，開展網路安全定級、備案、測評等工作，提升關鍵信息基礎設施和重要信息系統的安全防護能力。

第四十五條 責任單位應當建立安全預警和信息報告制度，加強日常檢查和監測預警，及時發現數據泄露等異常情況。

發生數據安全事件的，責任單位應當立即啟動應急預案，採取補救措施，按照規定及時向數據主管部門和上一級衛生健康行政部門報告，並依法及時告知相關組織或者個人。

第四十六條 衛生健康行政部門應當加強對衛生健康數據處理活動的監督，對責任單位的數據報送情況、數據質量、數據套用等進行檢查評估。

第四十七條 醫療衛生機構應當建立健全數據安全管理制度，結合工作實際細化數據安全操作規程和技術規範，涉及的管理制度每年至少修訂一次，與數據管理工作人員每年度簽署保密協定。

第四十八條 責任單位及其工作人員違反本辦法規定的，依據《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》《深圳經濟特區數據條例》《深圳經濟特區醫療條例》《深圳經濟特區健康條例》等規定予以處理。

第四十九條 本辦法自2024年1月1日起施行，有效期5年。

　一、出台背景

　　在醫療健康領域，隨著電子信息系統及相關信息技術的快速發展，大量健康數據通過電子化形式採集、存儲，巨大的潛在價值及獲取的便利性等因素使得衛生健康數據在政務數據資源整合共享、二次使用方面成為熱點，衛生健康數據成為國家重要的基礎性戰略資源。目前，國家逐步完善了衛生健康數據套用發展的頂層設計，並將衛生健康數據套用發展納入國家大數據戰略布局，明確了推進衛生健康數據套用發展工作任務和重點工程，初步建成國家、省、市、縣四級全民健康信息平台。2018年7月國家衛生健康委員會發布《國家健康醫療大數據標準、安全和服務管理辦法（試行）》，明確了各級衛生健康行政部門的邊界和權責，各級各類醫療衛生機構及相關套用單位的責權利。2020年10月，中共中央辦公廳、國務院辦公廳印發了《深圳建設中國特色社會主義先行示範區綜合改革試點實施方案（2020－2025年）》，提出加快培育數據要素市場，包括率先完善數據產權制度，探索數據產權保護和利用新機制，建立數據隱私保護制度，試點推進政府數據開放共享，並支持建設粵港澳大灣區數據平台。2022年12月，中共中央國務院發布《關於構建數據基礎制度更好發揮數據要素作用的意見》，指出數據基礎制度建設事關國家發展和安全大局，要維護國家數據安全，保護個人信息和商業秘密，促進數據高效流通使用、賦能實體經濟，統籌推進數據產權、流通交易、收益分配、安全治理，加快構建數據基礎制度體系。

　　為了規範深圳市衛生健康數據活動，加強數據安全，保護個人和組織的合法權益，促進衛生健康數據有效開發套用，提高衛生健康數據治理能力和服務水平，深圳市衛生健康委員會根據《中華人民共和國個人信息保護法》《中華人民共和國數據安全法》《國務院促進大數據發展行動綱要》《國務院辦公廳關於促進和規範健康醫療大數據套用發展的指導意見》《深圳經濟特區醫療條例》《深圳經濟特區數據條例》等法律法規規定和相關檔案精神，結合深圳實際，制定了《深圳市衛生健康數據管理辦法》（以下簡稱《辦法》）。

　　二、主要內容

　　《辦法》共七章四十九條，包括總則，數據處理的一般規定，數據收集、傳輸和存儲，數據使用、加工和刪除，數據共享和開放，安全和監管，以及附則。通過明確各級管理架構及各相關單位職責，對衛生健康數據分類處理、分級授權、共享調閱等進行規範，加強對醫療服務、科學研究、公共服務等過程中產生的衛生健康數據處理的全流程管理。

　　《辦法》適用於本市轄區範圍內衛生健康行政部門、醫療衛生機構（以下統稱責任單位）及其工作人員開展的衛生健康數據處理活動及其監督管理。

　　（一）細化明確相關數據概念。

　　一是衛生健康公共數據是指在依法履行公共管理職責或者提供公共服務過程中收集或者產生的，以一定形式記錄、保存的各類衛生健康數據；二是衛生健康個人數據是指依法收集或者產生的，載有可識別特定自然人信息的衛生健康數據，不包括匿名化處理後的數據；三是衛生健康敏感個人數據是指一旦泄露、非法提供或者濫用，可能導致自然人的人格尊嚴受到損害或者人身、財產安全受到危害的衛生健康個人數據，以及不滿十四周歲未成年人的衛生健康個人數據。

　　（二）明確衛生健康數據管理架構及相關機構職責。

　　《辦法》明確了市衛生健康行政部門負責統籌全市衛生健康數據處理的管理工作，建立健全衛生健康數據治理體系、管理制度和標準規範，在職責範圍內組織開展衛生健康數據處理活動，推動衛生健康數據開放共享；各區衛生健康行政部門負責所轄區域內衛生健康數據處理的管理工作，在職責範圍內組織開展衛生健康數據處理活動，推動衛生健康數據開放共享；醫療衛生單位負責本單位衛生健康數據活動的管理工作，並建立完善本單位衛生健康數據管理制度。

　　（三）明確衛生健康數據治理體系。

　　依據《深圳市經濟特區數據條例》“市政府應當建設城市大數據中心，建立健全其建設運營管理機制，實現對全市公共數據資源統一、集約、安全、高效管理”的規定。《辦法》規定市衛生健康行政部門依託城市大數據中心組織建設、運營、維護深圳市衛生健康數據中心。深圳市衛生健康數據中心按照“一數一源”原則，收集、存儲全市衛生健康數據，分類形成衛生健康資源配置、居民電子健康檔案、電子病歷、疾病和健康危險因素監測等衛生健康相關主題資料庫，統一、集約、安全、高效管理全市衛生健康數據資源。同時規定市、區衛生健康行政部門分別建設市、區衛生健康信息化平台，實現衛生健康數據互通共享，並將衛生健康數據匯聚至深圳市衛生健康數據中心統一管理。

　　市衛生健康行政部門組織編制並公布全市衛生健康公共數據資源目錄，制定衛生健康數據標準、安全和處理等相關規範，按照有關規定對衛生健康數據實行分類分級及安全管理，並將衛生健康公共數據資源納入深圳市公共數據資源目錄體系管理，規範衛生健康公共數據已分享資料夾和開放目錄。

　　（四）加強衛生健康數據活動全流程管理。

　　一是規定了責任單位收集、存儲衛生健康數據的要求，明確責任單位應當對數據傳輸、存儲採取的安全防護措施，要求醫療衛生機構應當按照要求在本機構信息系統中為實名就醫的個人建立身份標識唯一、基本數據項一致的居民電子健康檔案，記錄為其提供的健康服務信息，並將數據錄入或者上傳至衛生健康信息化平台，實現居民電子健康檔案聯網管理，使用電子病歷系統的醫療衛生機構還應當將患者的電子病歷數據上傳至衛生健康信息化平台實現聯網管理。同時鼓勵產生衛生健康數據的其他單位將衛生健康數據按照規範傳輸至衛生健康數據中心。

　　二是規定責任單位在使用、加工衛生健康數據時應制定相關管理制度，包括合規性審查、數據訪問控制、脫密脫敏、採取相應安全措施等。

　　三是規定了責任單位進行衛生健康公共數據的共享和開放的具體要求，要求責任單位應當建立衛生健康公共數據的共享對接機制，在衛生健康公共數據已分享資料夾範圍內，應有關國家機關、事業單位、醫療衛生單位等公共管理和服務機構的申請，依法共享衛生健康公共數據，並做好登記和管理。

　　（五）明確涉及衛生健康個人數據的處理規則。

　　1.明確處理涉及衛生健康個人數據的告知和同意規則。

　　一是衛生健康行政部門為履行法定職責處理衛生健康個人數據的，應當在處理前集中公告個人數據處理規則；二是醫療衛生機構處理衛生健康個人數據的，應當在處理前依法向個人進行告知，並取得個人或者其監護人的明確同意，涉及衛生健康個人敏感數據的，應當取得單獨同意。

　　2.明確醫療衛生機構查閱居民電子健康檔案和個人電子病歷的規則。

　　一是醫療衛生機構為居民提供醫療衛生服務時，經個人或者其監護人同意，可以依法查閱其居民電子健康檔案。符合下列情形之一的，醫療衛生機構可以依法查閱個人電子病歷：（一）個人或者其監護人單獨同意；（二）為居民提供醫療衛生服務時，查閱其在本機構以及屬於同一法人單位的醫療機構的電子病歷；（三）為應對突發公共衛生事件，或者緊急情況下為保護自然人的生命健康所必需；（四）法律、行政法規規定的其他情形。二是個人或者其監護人可以選擇下列同意方式：（一）同意醫療衛生機構為個人提供本次衛生健康服務時查閱；（二）同意醫療衛生機構為個人提供衛生健康服務時均可以查閱。

　　3.明確涉及衛生健康個人數據的共享規則。

　　一是責任單位共享數據涉及衛生健康個人數據的，應當取得個人或者其監護人的單獨同意，因履行法定職責或者法定義務所必需、應對突發公共衛生事件或者緊急情況下為保護自然人的生命健康和財產安全所必需等法律、行政法規另有規定的除外；二是責任單位應當要求申請單位提供以下資料：（一）收集處理衛生健康個人數據的法律、法規、規章依據；（二）提供明確的所需共享數據的人員名單；（三）數據接收方的名稱、聯繫方式、處理目的、處理方式和個人信息的種類；（四）限於實現處理目的所必要的最小範圍、採取對個人權益影響最小的方式等個人信息保護措施。

　　（六）明確衛生健康公共數據共享和開放規則。

　　1.明確衛生健康公共數據的共享規則。

　　一是國家機關、事業單位申請共享衛生健康公共數據的，由衛生健康行政部門通過城市大數據中心的公共數據共享平台，按照規定提供共享；二是區衛生健康行政部門、市屬醫療衛生單位申請共享衛生健康公共數據的，由市衛生健康行政部門通過市衛生健康信息化平台，按照規定提供共享；三是區屬醫療衛生單位申請共享衛生健康公共數據的，由區衛生健康行政部門通過區衛生健康信息化平台，按照規定提供共享；四是對不能通過公共數據共享平台或者衛生健康信息化平台共享衛生健康公共數據的，應當按照法律、法規等規定提供數據共享，並履行個人信息保護職責。

　　2.明確依法應當主動公開的公共數據規則

　　衛生健康行政部門通過公共數據共享平台無條件共享基本醫療衛生服務目錄、收費價格、醫療衛生公共信用、醫療衛生相關證照和其他依法應當主動公開的衛生健康公共數據。

　　（七）加強衛生健康數據安全和監管。

　　《辦法》明確了責任單位的安全監管責任、相關信息系統網路安全等級保護、安全事件處理機制及衛生健康行政部門的監管職責。