关于印发《湖南省医疗保障信息平台数据使用与共享安全办法》的通知

湖南省医疗保障局

关于印发《湖南省医疗保障信息平台数据使用与共享安全办法》的通知

湘医保发〔2025〕48号

各市州、县市区医疗保障局，省局各处室、直属单位，医保信息平台各合作单位：

    现将《湖南省医疗保障信息平台数据使用与共享安全办法》印发你们，请遵照执行。

    《关于印发〈湖南省医疗保障数据安全管理暂行办法〉的通知》（湘医保发〔2022〕48号）、《湖南省医疗保障局关于试行医保信息平台数据分级运用和共享若干措施的通知》（湘医保函〔2025〕40号）、《湖南省医疗保障局关于试行医保信息平台数据交付和销毁若干措施的通知》（湘医保函〔2025〕51号）同时废止。

湖南省医疗保障局

2025年9月30日

   （此件主动公开）

湖南省医疗保障信息平台数据使用与共享安全办法

    为规范医疗保障信息平台数据出库、使用与共享管理，保障数据安全，促进数据依法有序流动，依据《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《政务数据共享条例》等法律法规和《国家医疗保障局数据安全管理办法》《医疗保障数据分类分级管理规范》等文件要求，结合我省医疗保障工作实际，制定本办法。

    一、总则

   （一）本办法适用于本省行政区域内医疗保障信息平台数据的出库、使用、共享及相关管理活动。

   （二）数据出库、使用、共享与管理应遵循以下原则：

    1.依法依规原则：严格遵守国家法律法规和部门规章，确保数据活动合法合规。

    2.安全可控原则：落实数据分类分级保护要求，确保数据全过程安全可控。

    3.最小必要原则：数据提供以满足工作必需为前提，实行最小必要授权。

    4.权责一致原则：明确数据提供方、使用方、管理方的安全责任，确保权责对等。

    5.分类管理原则：根据数据敏感程度、使用场景和申请单位性质，实施差异化管理和审批。

    二、职责分工

   （一）省医疗保障局规划财务和法规处（省医疗保障局信息化和大数据运用工作组，以下简称数据工作组）是数据出库使用、共享工作的主管部门，负责统筹管理、制度制定、申请受理、组织数据定级、协调技术评估、监督执行情况、组织安全审计和违规追责。

   （二）省医疗保障局各业务处室单位作为业务主管部门，负责对数据申请的业务必要性、使用范围合理性进行审核，并对数据使用过程中的业务合规性进行监督。

   （三）医保信息平台技术支撑单位负责根据指令完成数据提取、脱敏、加密等技术操作，并提供数据量级评估等技术服务。

    三、分类分级管理

   （一）数据申请单位分类

    1.甲类：省局内设机构、直属单位因履行法定职责需要申请数据。

    2.乙类：市州、县市区医疗保障部门因履行法定职责需要申请数据（县市区医疗保障部门须经市州医疗保障部门统一申报）。

    3.丙类：法院、检察院、纪检监察机关、公安机关、审计机关、统计机关等依法履职需要申请数据。

    4.丁类：其他国家机关、法律法规授权具有公共事务管理职能的组织依据《政务数据共享条例》申请数据。

    5.戊类：定点医药机构、参保单位、事业单位、高校、科研院所等因非营利性工作需要申请数据。

    6.己类：商业机构等市场主体因经营活动需要申请数据。

   （二）数据分级管理

    依据国家医疗保障局《医疗保障数据分类分级管理规范》，数据分为一般级数据、重要级数据、核心级数据三个级别。数据出库前须明确数据级别，并采取相应保护措施。

    四、数据出库使用与共享规则

   （一）甲、乙类需求：按照“履职必需、最小授权”原则予以支持。

   （二）丙类需求：依法依规提供，必要时签订保密协议。

   （三）丁类需求：依据《政务数据共享条例》执行，法律法规以及国务院决定明确不得共享的除外。

   （四）戊类需求：结合使用目的、数据范围、安全风险等因素审慎评估后决定。

   （五）己类需求：原则上不直接提供原始数据，可建议通过合规数据服务产品获取。

    五、工作流程

   （一）申请受理

    1.需求单位填写《湖南省医保信息平台数据使用共享申请表》（附件1），加盖单位公章（甲类需求由处室单位负责人签字），或通过省大数据总枢纽、制式法律公文提交至数据工作组。

    2.数据工作组在收到申请后2个工作日内完成形式审查（材料完整性、申请单位资质等）。材料不齐全的，一次性告知需补正的内容。

    3.对于甲、乙类需求，如所需数据可通过医保信息平台现有查询或导出功能直接获取，信息化和大数据运用工作组应不予受理出库申请，并书面告知查询路径与方法。

   （二）业务审核

    1.数据工作组将形式审查通过的申请转交相关业务处室单位。

    2.业务处室单位应在2个工作日内完成审核，重点审核申请数据的业务必要性、使用目的正当性、数据范围合理性，并出具“同意”“调整后同意”（明确调整意见）或“不同意”的审核意见及理由。

   （三）数据定级与风险评估

    1.业务审核通过后，数据工作组组织技术支撑单位在1个工作日内完成数据量级评估，并依据国家局标准初步确定数据管理级别（一般级、重要级、核心级）。

    2.数据工作组在2个工作日内结合数据管理级别、使用场景、申请单位类别等因素，进行综合安全风险评估。

   （四）分级审批

    1.一般级数据：由数据工作组负责人审批。

    2.重要级数据：由数据工作组提出初步意见，报省局分管领导审批。

    3.核心级数据：由数据工作组提出初步意见，经省局分管领导审核后，报省局主要领导审批。丁、戊类需求还需报国家医疗保障局批准。

    4.审批环节原则上在3个工作日内完成。

   （五）数据交付

    1.审批通过后，数据工作组向技术支撑单位发出数据出库通知。

    2.技术支撑单位依据通知要求，在5个工作日内完成数据提取、脱敏（如需）和技术处理，并通过安全方式（如省大数据总枢纽、医保专网、移动介质等）将数据交付至数据工作组。

    3.数据工作组通知申请单位签订《数据安全与保密承诺书》（附件2），办理正式交付手续。

   （六）使用监督与数据销毁

    1.申请单位应按承诺用途使用数据，采取安全保障措施，并在数据使用期满或目的达成后1个月内完成数据销毁。

    2.申请单位销毁数据后应制作《数据销毁证明》（附件3）并存档备查。甲类需求可由处室单位负责人签字。

    3.业务处室单位和数据工作组可对数据使用和销毁情况进行随机抽查或专项检查。

    六、责任追究

    对未履行数据安全保护义务、超出约定范围使用数据、造成数据泄露或滥用数据的单位，省局将视情节轻重采取通报批评、暂停数据共享权限、依法追究法律责任等措施。

    附件：1.湖南省医保信息平台数据使用共享申请表

          2.数据安全与保密承诺书

          3.数据销毁证明