互聯網新聞信息許可證服務編號:61120190002
陜西互聯網違法和不良信息舉報電話:029-63907152
《獻血者個人信息保護專家共識(2023版)》發布
2023-05-23 21:14:16 來源:咸陽市中心血站
分享到
2021年11月1日正式實施的《中華人民共和國個人信息保護法》從法律層面嚴格規范了個人信息采集、保管和利用。就采供血服務而言,嚴格依法保護獻血者的個人信息,既是必須履行的法律義務,更是推動無償獻血健康、高質量、可持續發展的必然要求。隨著我國采供血事業的發展,信息采集、保管、利用所涉及的領域、范圍、內容不斷拓展,無償獻血個人信息保護工作正面臨新的困難和挑戰,如何在新的階段落實好保護獻血者個人信息的法律義務,讓獻血者受到應有尊重,獻血者個人信息受到更好保護是擺在所有采供血工作者面前共同的任務。
作為采供血服務的一項基礎性工作,目前,獻血者個人信息保護存在重視程度不夠、制度不健全、措施落實不到位等問題。根據中國輸血協會的工作安排,信息化專業委員會組織專家組,結合當前獻血者個人信息保護工作實際,編寫完成后經信息化專業委員會主委辦公會審議通過形成初稿,再向中國輸血協會動員委、倫理委、中小血站委、文化委、服務委以及中國醫學科學院輸血研究所征求意見建議,修改后經信息化專家委員委員一致同意,最終形成了《獻血者個人信息保護專家共識(2023版)。
獻血者個人信息保護專家共識(2023版)從強化獻血者個人信息保護法律法規的學習和貫徹、強化獻血者個人信息采集管理、強化工作流程、服務場景獻血者個人信息保護管理、強化獻血者個人信息存儲安全管理、強化血站計算機信息系統運維服務數據安全管理、強化獻血者個人信息共享管理等六個方面提出了具體的建議,以期能夠為采供血機構進一步做好無償獻血個人信息保護工作提供幫助。這也是中國輸血協會及其專業委員會第一次就無償獻血個人信息保護工作形成的專家共識,一方面體現了中國輸血協會對無償獻血者個人信息保護工作的重視,另一方面也是想通過專家共識和采供血服務的同行們一起共同努力,推動我國無償獻血個人信息保護工作邁上新的臺階,進而實現無償獻血事業健康、高質量、可持續發展。
編撰專家組成員
組長:
馮書禮(中國輸血協會信息化專業委員會主任委員)
范文安(安徽省血液管理中心)
執筆:
范文安(安徽省血液管理中心)
編寫專家:
馮書禮(中國輸血協會信息化專業委員會主任委員)
范文安(安徽省血液管理中心)
王健(廣東穿越醫療科技有限公司)
于保田(唐山啟奧科技股份有限公司)
盧偉(宜昌市紅十字中心血站)
常纓(河北省血液中心)
高瑜(上海市血液中心)
孔長虹(浙江省血液中心)
田耘博(重慶市血液中心)
潘小軍(武漢血液中心)
張智新(安徽省血液管理中心)
獻血者個人信息保護專家共識
(2023版)
中國輸血協會信息化專業委員會
獻血者提供給血站以及采供血服務過程中產生的與獻血者相關的信息屬于獻血者個人信息。依法保護獻血者個人信息既是血站的法律義務,更是保護獻血者,推動無償獻血事業可持續、高質量發展的基礎性工作。為進一步推動獻血者個人信息保護工作,中國輸血協會信息化專業委員會經討論形成如下共識。
一、強化獻血者個人信息保護法律法規的學習和貫徹。
血站要在貫徹落實好《中華人民共和國獻血法》《血站管理辦法》《獻血者健康檢查要求》等血液管理法律法規的基礎上,進一步學習貫徹好《中華人民共和國民法典》《中華人民共和國個人信息保護法》《中華人民共和國網絡安全法》《中華人民共和國數據安全法》等有關個人信息保護法律法規。要通過宣傳、學習和教育,進一步增強全體員工獻血者個人信息保護意識;要將獻血者個人信息保護相關法律法規規定納入血站質量管理體系,加強考核評價,確保獻血者個人信息保護各項措施的落實。
二、強化獻血者個人信息采集管理。
血站采集獻血者個人信息必須嚴格控制在血液管理法律、法規、規章、規范和強制性技術標準規定的范圍內;超出限定范圍,因采供血服務、科研確實需要采集的,如獻血者人臉、指紋等生物識別信息,獻血者定位和行蹤信息,獻血者健康信息等,應當通過內部審查制度嚴格審查,并依照《中華人民共和國個人信息保護法》履行告知義務,取得獻血者同意。
三、強化獻血工作流程、服務場景獻血者個人信息保護管理。
按照非必要不接觸原則,嚴格控制直接接觸獻血者個人信息的人員數量,對確實需要接觸獻血者個人信息的,嚴格實行個人信息接觸授權管理并定期開展密碼應用評估;加強對獻血者個人信息的脫敏處理,避免數據使用過程中非必要接觸獻血者個人信息;進一步完善獻血者個人信息采集場所、獻血者健康征詢場所隱私保護設施建設,為獻血者提供良好的個人隱私保護環境;加強獻血者個人信息流轉管理,因告知、知情同意等業務工作需要流轉獻血者個人信息的,應采取嚴格保密措施,確保獻血者個人信息不被泄露。
四、強化獻血者個人信息存儲安全管理。
嚴格按照《中華人民共和國網絡安全法》《中華人民共和國數據安全法》要求落實獻血者個人信息數據安全主體責任。涉及獻血者個人信息存儲、管理的信息系統應當按照計算機信息安全等級保護二級以上標準進行建設、備案、測評和管理。采用云計算服務存儲、管理獻血者個人信息的,有條件的應當積極爭取將存儲、管理服務納入屬地政府公共服務云計算資源管理,沒有條件或者無法納入屬地政府公共服務云計算資源管理的,血站應當強化對云計算服務的安全性評估和監管,確保獻血者個人信息存儲安全。加強獻血者個人信息數據存儲介質管理,建立完善信息存儲介質交接、保管、使用、廢棄管理制度,獻血者個人信息存儲介質廢棄使用前應徹底、不可恢復的刪除存儲的全部數據,嚴防獻血者個人信息通過存儲介質泄露。
五、強化血站計算機信息系統運維服務的數據安全管理。
血站應當配備計算機專業人員,掌握計算機信息系統超級管理員權限,并與承擔計算機信息系統運維的服務商簽署保密協議,明確獻血者個人信息保密責任,嚴控接觸獻血者個人信息的運維人員授權。加強對接觸獻血者個人信息運維人員的管理,定期組織和開展運維日志分析和研判,及時發現運維服務中存在的數據泄露風險,糾正和解決運維服務過程中存在安全問題。
六、強化獻血者個人信息共享管理。
獻血者個人信息非必要不共享。確因采供血服務安全管理、資源管理、技術服務,政府公共資源管理、公共服務等需要進行共享的,應當符合法律法規的規定,并由血站報請屬地省級衛生健康行政部門批準同意。數據共享前應進行脫敏處理,脫敏處理無法滿足共享需要的,應當充分研判風險,在省級衛生健康行政部門和信息安全管理單位指導下,雙方簽署共享數據協議,限定共享數據使用的目的、范圍、方式,明確共享數據安全管理和保密責任,確保共享數據流轉、使用、保管安全。積極推廣和使用信息新技術,提升獻血者個人信息共享、使用安全管理能力和水平。
編輯:李瑜