标准规范下载简介
GB/T 41806-2022 信息安全技术 基因识别数据安全要求.pdf简介:
GB/T 41806-2022 是中华人*共和国国家标准,英文全称为 "Information technology - Data security requirements for genetic identification". 这个标准主要关注的是信息安全领域,特别是在基因识别数据(Genetic Identification Data)的安全管理上。基因识别数据通常涉及到个人的生物信息,如DNA序列,这是高度敏感和私人的信息,一旦泄露,可能会对个人隐私和安全造成严重影响。
该标准旨在规定基因识别数据的收集、处理、存储、传输和使用的安全要求,包括但不限于数据加密、访问控制、风险评估、审计追踪、数据生命周期管理等方面,以保护个人隐私权益,防止数据被未经授权的访问、使用、泄露或丢失。它旨在促进基因识别技术的健康发展,保障基因数据的安全和合规性,同时也符合国际上对于数据保护和隐私权的法律法规要求。
GB/T 41806-2022 信息安全技术 基因识别数据安全要求.pdf部分内容预览:
3.3 关联信息associatedinformation 描述遗传物质样本及其数据主体的附加信息。 注:该信息包含部分个人敏感信息、其他个人信息及标签信息。常见的个人敏感信息包括姓名、身份证、家*病史、 用药记录等。其他个人信息包括性别、**、**、出生日期等。常见标签信息包括收集时间、收集地点、收集 对象、收集者、收集方式、样本类型、规格、单位、样本保存期限、测序平台信息、芯片信息、测序时间、数据量、数 据类型等。 B.4 知情同意informedconsent 基因识别数据(3.2)处理者和数据主体或数据主体的法定监护人之间关于基因识别数据处理边界 的约定。 注:知情同意由知情权和同意权两个密切相连的权利组成。知情权是同意权得以存在的前提和基础,同意权又是 知情权的价值体现,强调数据主体的知情同意权,主要目的在于通过赋予基因识别数据处理者相应的告知义 务,使数据主体在了解自己将面临的风险、付出的代价和可能取得的收益的基础上自由作出选择,从而维护数 据主体的利益。
关联信息associatedinformation 描述遗传物质样本及其数据主体的附加信息。 注:该信息包含部分个人敏感信息、其他个人信息及标签信息。常见的个人敏感信息包括姓名、身份证、家*病史 用药记录等。其他个人信息包括性别、**、**、出生日期等。常见标签信息包括收集时间、收集地点、收多 对象、收集者、收集方式、样本类型、规格、单位、样本保存期限、测序平台信息、芯片信息、测序时间、数据量、 据类型等。
基因识别数据(3.2)处理者和数据主体或数据主体的法定监护人之间关于基因识别数据处理边界 的约定。 注:知情同意由知情权和同意权两个密切相连的权利组成。知情权是同意权得以存在的前提和基础,同意权又是 知情权的价值体现,强调数据主体的知情同意权,主要目的在于通过赋予基因识别数据处理者相应的告知义 务,使数据主体在了解自己将面临的风险、付出的代价和可能取得的收益的基础上自由作出选择,从而维护数 据主体的利益
基因识别数据及关联信息处理活动如下。 a)数据收集: 1)需求提出:基因识别数据处理者为完成业务活动,对数据主体提出基因识别数据及关联信 息使用需求的活动。 2)知情同意书签订:基因识别数据处理者提出基因识别数据及关联信息的使用需求、数据主 体知情同意后,双方应完成的知情同意书签订的活动。 注1:知情同意书模板见附录B。 3)遗传物质收集:收集生物样本,并从中提取相应遗传物质的活动。生物样本包括血液、唾 液、尿液、粪便、毛发、脑脊液和脱落细胞等。此活动中会产生相应的关联信息,如:收集时 间、收集地点、收集对象、收集者、收集方式、样本类型、规格、单位、样本保存期限等。 4)数据提取:通过测序技术、基因分型技术等手段从人类遗传物质中获得对应的基因识别数 据的活动。此活动中会产生相应的关联信息,如:测序平台信息、芯片信息、测序时间、数 据量、数据类型等。 b)数据存储和传输:在数据主体知情同意或法定使用的情况下,对基因识别数据及关联信息进行 存储和传输的活动。 注2:数据的存储也包括归档及保藏。 c)数据使用和加工:为满足知情同意书约定或维护公共利益的使用需求,对所获取的基因识别数 据及关联信息进行分析、检测、鉴定、评估、研究及开发的活动。此活动中会产生与数据主体直 接相关的、涉及隐私的关联信息,如:遗传疾病、个体特征、用药指南、健康风险等。 d)数据提供:为达到一定的服务目标或科研目标,在数据主体书面的单独同意或法定使用的前提 下,将基因识别数据及关联信息提供给其他基因识别数据处理者的活动。 e) )数据公开:为科研目的,在向有关部门备案并提交信息备份、数据主体知情同意并经过匿名化 处理后,用于公开发表学术文章或者开放使用的活动。 f 数据删除:不可逆地删除基因识别数据及关联信息的活动。
4.2基因识别数据及关联信息应用场景
GB/T 41806—2022
基因识别数据处理活动中常见的安全风险主要包括数据的滥采、滥用,数据的泄露、损毁,受托方 的未授权处理及未经许可的数据出境等
对基因识别数据处理者的要求如下。 a)应符合GB/T35273、GB/T40660、GB/T41479规定的要求。 b)应符合GB/T37988中数据安全能力成熟度等级3规定的要求。 c)开展基因识别数据处理活动前,根据相关法律法规的要求,取得有关部门的许可。不同场景下 的基因识别数据处理者应符合的要求如下: 1)在医疗服务场景中,应按相关要求取得卫生主管部门的许可,并具备相应的资质,如:二类 医疗技术的准人(备案)资质、临床基因扩增检验实验室资质等; 注1:相关要求见《医疗机构管理条例》医学检验实验室基本标准(试行)X医学检验实验室管理规范(试行)X医疗 机构临床基因扩增检验实验室管理办法《医疗机构临床实验室管理办法(2020修正)》等。 2)在消费级服务场景中,应按相关要求取得卫生主管部门的许可,并具备相应的资质或合格 的质量评估,如:临床基因扩增检验实验室资质、不同类型药物相关基因分型室间质量评 估等; 注2:相关要求见《医疗机构管理条例X医学检验实验室基本标准(试行)X医学检验实验室管理规范(试行)X医疗 机构临床基因扩增检验实验室管理办法》等。 3)在研究开发场景中,应按相关要求具备相关研究开发的能力,包括相应等级的实验室、研 究团队、相关研究经历及成果等,并按照科技管理部门相关的法律法规要求开展基因识别 数据的研究开发活动; 注3:相关要求见《中华人*共和国人类遗传资源管理条例》等。 4)在公共卫生相关活动场景中,应按照相关要求获得资质,如:二级生物安全实验室生物安 全备案、检验人员具有市级以上病原微生物实验室生物安全培训证书、临床基因扩增检验 技术人员上岗证书等,应获得行政许可; 注4:相关要求见《医疗机构管理条例《病原微生物实验室生物安全管理条例》医疗机构临床基因扩增检验实验室 管理办法》等。 5)在遗传信息公共服务场景中,应获得国家有关部门批准的资质,如:采集、保藏、利用、对外 提供等。 d)开展基因识别数据处理活动前,应按照GB/T39335的规定开展个人信息安全影响评估,并形 成评估报告。 e)应设立伦理委员会,按照尊重数据主体选择、处理活动有利于数据主体、确保平等公正无歧视 的原则,负责独立地审查、跟踪审查及复审基因识别数据处理活动的科学性和伦理合理性,对 相关业务活动中基因识别数据滥采、滥用等活动可能造成的社会危害做出评估,同意基因识别 数据处理活动的开展,在本机构组织开展伦理审查培训,保护数据主体的尊严、安全和合法权 益,促进基因识别数据处理活动规范开展。 f) )应设立数据管理委员会,在伦理委员会的审查和监督下,制定个人信息保护政策、基因识别数 据安全策略,建立数据安全管理机制,形成完整的数据安全与信息安全管理体系,应针对基因 识别数据及关联信息进行数据安全风险评估、数据安全风险监测预警、数据访问控制,保障基 因识别数据及关联信息全生命周期的安全性及数据主体的合法权益。 注5:伦理委员会是指为确保机构围绕人类遗传物质及相关遗传信息开展的业务活动(例如:科学研究、医学研究、
对基因识别数据处理者的要求如下。 a)应根据自身业务的特点,提出需求,制定知情同意书。所需的基因识别数据及关联信息应与相 关业务直接关联,并明示只收集和使用满足业务需要的最少数据。 b)知情同意书内容应满足的要求包括: 1)告知方应为提出基因识别数据需求的基因识别数据处理者; 2)应与相关业务对基因识别数据及关联信息的需求一致,不应要求超出需求的生物样本、基 因识别数据及关联信息; 3)应列明数据主体拥有的权利及行使权利的方式和程序; 4)应告知遗传物质及所获取数据的种类、用途、安全保护措施、数据应用的潜在风险,生物样 本和数据存储时限以及剩余生物样本的处理方式; 5)应列明业务过程中所涉及的所有基因识别数据处理者; 6)如涉及基因识别数据及关联信息的提供,应描述提供的内容、范围及数据接收方身份; 7)应描述数据主体撤回授权同意的方法。 c)使用需求应得到许可后方可开展相关活动。依据不同的应用场景,相关使用需求应通过伦理 委员会的审查。
对基因识别数据处理者的要求如下: a) 应以显著方式向数据主体展示知情同意书MH5022-2005*用机场施工图设计文件编制内容及深度要求.pdf,并进行充分的解释说明,得到数据主体的书面的单 独同意,并签署知情同意书; b) 应针对每一个场景分别进行明确描述、告知,并按每一个场景分别取得数据主体的书面的单独 同意。
对基因识别数据处理者的要求如下: a) 数据主体生物样本及遗传物质的收集应符合GB/T37864的要求; b) 2 收集过程完成后,应对样本进行去标识化处理,去除数据主体样本与关联信息的关联关系; C) 如委托受托方收集生物样本及关联信息,应签订委托协议,确保其在约定的目的和范围内 收集。
对基因识别数据处理者的要求如下: a) 应对基因识别数据和关联信息明确区分,提取的数据格式应支持基因识别数据与关联信息的 分离; b)应符合最小必要原则,按照知情同意书中描述的基因识别数据类型和数量进行提取,不应提取 非直接相关的基因识别数据及关联信息; c) 2 数据提取过程中,应只将基因识别数据与生物样本建立关联,不应与任何个体或群体自然人的 任何信息相关联; d)数据提取过程中,应按照知情同意书中的描述处理生物样本;
数据提取完成并通过质量检测后,剩余样本应按照知情同意书中的描述处理; 如委托提取数据,不应提供关联信息,应与受托方签订委托协议,确保其在约定的目的和范围 内提取基因识别数据,且符合本文件对数据提取的数据安全要求; 如委托提取数据,受托方应使用适用的密码技术,保证数据安全。