醫(yī)療云服務(wù)管理辦法總則目的與依據(jù)為規(guī)范醫(yī)療云服務(wù)的管理，提高醫(yī)療云服務(wù)的質(zhì)量和安全性，保障醫(yī)療信息的合法使用和患者的權(quán)益，依據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》《醫(yī)療信息管理辦法》等相關(guān)法律法規(guī)和行業(yè)標準，結(jié)合醫(yī)療云服務(wù)的特點和實際需求，制定本辦法。適用范圍本辦法適用于在中華人民共和國境內(nèi)提供和使用醫(yī)療云服務(wù)的各類主體，包括醫(yī)療機構(gòu)、醫(yī)療云服務(wù)提供商、相關(guān)軟件開發(fā)商以及其他參與醫(yī)療云服務(wù)活動的組織和個人。定義本辦法所稱醫(yī)療云服務(wù)，是指利用云計算技術(shù)，通過網(wǎng)絡(luò)為醫(yī)療機構(gòu)、醫(yī)護人員和患者提供醫(yī)療數(shù)據(jù)存儲、處理、分析、共享以及相關(guān)醫(yī)療應(yīng)用服務(wù)的活動。基本原則醫(yī)療云服務(wù)的管理應(yīng)遵循合法合規(guī)、安全可靠、公平公正、便捷高效的原則，保障醫(yī)療信息的保密性、完整性和可用性，促進醫(yī)療資源的合理配置和有效利用。服務(wù)提供方管理資質(zhì)要求醫(yī)療云服務(wù)提供商應(yīng)具備相應(yīng)的技術(shù)能力、資金實力和管理經(jīng)驗，依法取得相關(guān)的經(jīng)營許可和資質(zhì)認證。具體資質(zhì)要求包括但不限于：1.具有獨立法人資格，注冊地在中華人民共和國境內(nèi)。2.擁有符合國家相關(guān)標準的云計算基礎(chǔ)設(shè)施和數(shù)據(jù)中心，具備可靠的電力供應(yīng)、網(wǎng)絡(luò)連接和安全防護措施。3.具有專業(yè)的技術(shù)團隊和運維人員，能夠提供7×24小時的技術(shù)支持和服務(wù)保障。4.通過國家相關(guān)部門認可的信息安全等級保護測評，達到相應(yīng)的安全級別。服務(wù)協(xié)議醫(yī)療云服務(wù)提供商應(yīng)與醫(yī)療機構(gòu)簽訂詳細的服務(wù)協(xié)議，明確雙方的權(quán)利和義務(wù)。服務(wù)協(xié)議應(yīng)包括以下主要內(nèi)容：1.服務(wù)內(nèi)容和范圍，包括醫(yī)療數(shù)據(jù)存儲、處理、分析、共享等具體服務(wù)項目。2.服務(wù)質(zhì)量標準，如數(shù)據(jù)可用性、響應(yīng)時間、系統(tǒng)穩(wěn)定性等。3.服務(wù)費用及支付方式。4.數(shù)據(jù)所有權(quán)和使用權(quán)的歸屬。5.安全保障措施和責(zé)任承擔(dān)。6.服務(wù)期限和終止條件。7.保密條款，確保醫(yī)療信息的安全和保密。安全管理醫(yī)療云服務(wù)提供商應(yīng)建立健全安全管理制度，采取有效的安全技術(shù)措施，保障醫(yī)療信息的安全。具體要求包括：1.數(shù)據(jù)加密：對存儲和傳輸?shù)尼t(yī)療數(shù)據(jù)進行加密處理，防止數(shù)據(jù)泄露和篡改。2.訪問控制：建立嚴格的用戶身份認證和授權(quán)機制，確保只有授權(quán)人員能夠訪問醫(yī)療數(shù)據(jù)。3.安全審計：對系統(tǒng)的操作和訪問進行實時監(jiān)控和審計，及時發(fā)現(xiàn)和處理安全事件。4.備份與恢復(fù)：定期對醫(yī)療數(shù)據(jù)進行備份，并建立有效的恢復(fù)機制，確保數(shù)據(jù)的安全性和可用性。5.應(yīng)急響應(yīng)：制定應(yīng)急預(yù)案，在發(fā)生安全事件時能夠及時響應(yīng)和處理，減少損失和影響。服務(wù)監(jiān)督醫(yī)療云服務(wù)提供商應(yīng)接受相關(guān)部門的監(jiān)督檢查，定期向監(jiān)管部門提交服務(wù)報告，包括服務(wù)質(zhì)量、安全保障、數(shù)據(jù)使用等方面的情況。監(jiān)管部門有權(quán)對醫(yī)療云服務(wù)提供商的服務(wù)質(zhì)量和安全管理進行評估和檢查，對不符合要求的，責(zé)令其限期整改。醫(yī)療機構(gòu)使用管理使用申請醫(yī)療機構(gòu)在使用醫(yī)療云服務(wù)前，應(yīng)向醫(yī)療云服務(wù)提供商提出使用申請，并提交相關(guān)資料，包括醫(yī)療機構(gòu)執(zhí)業(yè)許可證、組織機構(gòu)代碼證等。醫(yī)療云服務(wù)提供商應(yīng)對醫(yī)療機構(gòu)的申請進行審核，審核通過后與醫(yī)療機構(gòu)簽訂服務(wù)協(xié)議。數(shù)據(jù)管理醫(yī)療機構(gòu)應(yīng)建立健全醫(yī)療數(shù)據(jù)管理制度，加強對醫(yī)療數(shù)據(jù)的管理和保護。具體要求包括：1.數(shù)據(jù)分類分級：對醫(yī)療數(shù)據(jù)進行分類分級管理，根據(jù)數(shù)據(jù)的敏感程度和重要性采取不同的安全保護措施。2.數(shù)據(jù)授權(quán)：明確數(shù)據(jù)的使用范圍和授權(quán)方式，確保醫(yī)療數(shù)據(jù)的合法使用。3.數(shù)據(jù)安全：加強對醫(yī)療數(shù)據(jù)的安全保護，防止數(shù)據(jù)泄露、篡改和丟失。4.數(shù)據(jù)共享：在符合法律法規(guī)和患者授權(quán)的前提下，積極推進醫(yī)療數(shù)據(jù)的共享和交換，提高醫(yī)療服務(wù)的效率和質(zhì)量。人員培訓(xùn)醫(yī)療機構(gòu)應(yīng)加強對醫(yī)護人員的培訓(xùn)，提高其對醫(yī)療云服務(wù)的認識和使用能力。培訓(xùn)內(nèi)容包括醫(yī)療云服務(wù)的功能和使用方法、數(shù)據(jù)安全和保密意識等方面。監(jiān)督評估醫(yī)療機構(gòu)應(yīng)定期對醫(yī)療云服務(wù)的使用情況進行監(jiān)督評估，及時發(fā)現(xiàn)和解決問題。評估內(nèi)容包括服務(wù)質(zhì)量、安全保障、數(shù)據(jù)使用等方面。醫(yī)療機構(gòu)應(yīng)將評估結(jié)果反饋給醫(yī)療云服務(wù)提供商，促進服務(wù)質(zhì)量的不斷提高。數(shù)據(jù)安全與隱私保護數(shù)據(jù)所有權(quán)醫(yī)療數(shù)據(jù)的所有權(quán)歸醫(yī)療機構(gòu)所有，醫(yī)療云服務(wù)提供商僅享有在服務(wù)協(xié)議約定范圍內(nèi)的使用權(quán)。醫(yī)療云服務(wù)提供商不得擅自將醫(yī)療數(shù)據(jù)提供給第三方使用，如需共享或提供給第三方，應(yīng)事先取得醫(yī)療機構(gòu)和患者的明確授權(quán)。數(shù)據(jù)隱私保護醫(yī)療云服務(wù)提供商和醫(yī)療機構(gòu)應(yīng)嚴格遵守國家有關(guān)數(shù)據(jù)隱私保護的法律法規(guī)，采取有效措施保護患者的個人隱私。具體要求包括：1.匿名化處理：在對醫(yī)療數(shù)據(jù)進行分析和共享時，應(yīng)采取匿名化處理措施，去除能夠識別患者身份的信息。2.患者授權(quán)：在收集、使用和共享患者醫(yī)療數(shù)據(jù)時，應(yīng)事先取得患者的明確授權(quán)，并告知患者數(shù)據(jù)的使用目的、范圍和方式。3.保密義務(wù)：醫(yī)療云服務(wù)提供商和醫(yī)療機構(gòu)的工作人員應(yīng)嚴格遵守保密義務(wù)，不得泄露患者的醫(yī)療信息。數(shù)據(jù)跨境傳輸涉及醫(yī)療數(shù)據(jù)跨境傳輸?shù)?，?yīng)嚴格遵守國家有關(guān)數(shù)據(jù)跨境傳輸?shù)姆煞ㄒ?guī)和監(jiān)管要求。醫(yī)療云服務(wù)提供商和醫(yī)療機構(gòu)在進行數(shù)據(jù)跨境傳輸前，應(yīng)進行安全評估，并取得相關(guān)部門的批準。應(yīng)急管理應(yīng)急預(yù)案制定醫(yī)療云服務(wù)提供商和醫(yī)療機構(gòu)應(yīng)分別制定應(yīng)急預(yù)案，明確應(yīng)急處置的流程和責(zé)任。應(yīng)急預(yù)案應(yīng)包括以下主要內(nèi)容：1.應(yīng)急組織機構(gòu)和職責(zé)分工。2.應(yīng)急響應(yīng)流程和處置措施。3.應(yīng)急資源保障和調(diào)配。4.與相關(guān)部門的協(xié)調(diào)配合機制。應(yīng)急演練醫(yī)療云服務(wù)提供商和醫(yī)療機構(gòu)應(yīng)定期組織應(yīng)急演練，檢驗應(yīng)急預(yù)案的可行性和有效性，提高應(yīng)急處置能力。應(yīng)急演練應(yīng)包括模擬安全事件的發(fā)生、應(yīng)急響應(yīng)和處置等環(huán)節(jié)。事件報告與處理在發(fā)生安全事件或其他緊急情況時，醫(yī)療云服務(wù)提供商和醫(yī)療機構(gòu)應(yīng)及時向相關(guān)部門報告，并按照應(yīng)急預(yù)案的要求進行處置。報告內(nèi)容應(yīng)包括事件的發(fā)生時間、地點、性質(zhì)、影響范圍等信息。監(jiān)督管理與法律責(zé)任監(jiān)督管理部門衛(wèi)生健康、工業(yè)和信息化、公安、網(wǎng)信等部門按照各自職責(zé)，對醫(yī)療云服務(wù)進行監(jiān)督管理。衛(wèi)生健康部門負責(zé)對醫(yī)療機構(gòu)使用醫(yī)療云服務(wù)的情況進行監(jiān)督檢查；工業(yè)和信息化部門負責(zé)對醫(yī)療云服務(wù)提供商的技術(shù)和服務(wù)質(zhì)量進行監(jiān)督管理；公安部門負責(zé)對涉及醫(yī)療云服務(wù)的違法犯罪行為進行打擊；網(wǎng)信部門負責(zé)對醫(yī)療云服務(wù)的網(wǎng)絡(luò)安全進行監(jiān)督管理。法律責(zé)任對違反本辦法規(guī)定的醫(yī)療云服務(wù)提供商、醫(yī)療機構(gòu)和其他相關(guān)主體，依法追究其法律責(zé)任。具體包括：1.未取得相關(guān)資質(zhì)或違反服務(wù)協(xié)議約定的，責(zé)令其限期整改，逾期不整改的，依法予以處罰。2.違反數(shù)據(jù)安全