医学科研中心数据操作规范

医学科研中心数据操作规范一、总则第一条为规范医学科研中心（以下简称“中心”）的科研数据管理，保障数据质量、安全与合规，促进数据共享与高效利用，支撑高水平科学研究，依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《涉及人的生物医学研究伦理审查办法》《科学数据管理办法》等相关法律法规及政策，结合中心实际，制定本规范。第二条本规范所称科研数据，是指在中心开展的各类医学研究活动中产生、收集、整理、存储、分析、共享、发布等全生命周期过程中涉及的原始数据、衍生数据、元数据及相关文档资料，包括但不限于：临床观察数据、病例报告、影像资料、病理切片数据、基因组学、蛋白质组学、代谢组学等组学数据。实验室检测数据、实验记录、仪器输出数据、样本信息。生物样本库中的样本及相关信息数据。问卷调查数据、随访记录、健康档案等。研究方案、伦理批件、知情同意书、统计分析计划、研究报告等文档资料。第三条本规范适用于中心所有部门、所有研究人员（包括固定人员、流动人员、学生、访问学者等）、所有科研项目（包括纵向、横向、国际合作及自主设立项目）所涉及的数据操作活动。第四条科研数据操作遵循以下基本原则：合法性原则：所有数据操作必须遵守国家法律法规、伦理规范和中心规章制度。安全性原则：采取必要技术和管理措施，确保数据的保密性、完整性和可用性，防止数据泄露、篡改、丢失或滥用。真实性原则：确保数据来源可靠、记录准确、处理规范，杜绝数据伪造、篡改和不当取舍。可溯性原则：对数据全生命周期操作进行完整记录，确保数据可追溯、可复核。共享性原则：在确保安全、合规和保护知识产权的前提下，积极推动数据在科学共同体内部的规范共享与再利用。责任性原则：实行数据管理责任制，明确数据所有者、管理者、使用者的职责。二、组织架构与职责分工第五条中心设立科研数据管理委员会，作为数据管理的最高决策与监督机构，由中心负责人、学术委员会代表、伦理委员会代表、信息技术负责人、各研究部门负责人及数据管理专家组成。其主要职责包括：审议和批准中心数据管理战略、政策与规范。监督本规范的执行情况，评估数据管理绩效。协调解决重大数据管理问题与争议。审批重大数据共享与发布申请。第六条中心指定专门部门或岗位（如科研管理办公室下设数据管理专员）作为数据管理的日常执行机构，负责：本规范的具体实施、宣传与培训。数据管理计划（DMP）的备案与形式审核。组织数据安全检查与风险评估。维护中心级数据目录，促进数据发现。提供数据管理咨询与技术支持。受理数据相关投诉与报告。第七条项目负责人（PI）是其所负责科研项目数据管理的首要责任人，应履行以下职责：确保项目数据操作符合本规范及项目资助方的要求。组织制定并执行项目的数据管理计划。指定项目数据管理员，明确团队内部数据操作权限。保障项目数据管理所需资源。对项目数据的真实性、完整性和安全性负最终责任。项目结题或人员离岗时，负责完成数据的归档与交接。第八条数据使用者（包括项目组成员及其他经授权人员）应履行以下职责：严格遵守数据访问权限，不得越权操作。按照规范流程进行数据收集、处理、分析和记录。保护数据安全，不得私自复制、传播或用于未经授权的目的。发现数据安全问题或违规行为时，立即报告。在发表成果时，按规定进行数据引用或致谢。第九条信息技术部门负责提供数据存储、备份、网络安全等方面的基础设施与技术保障，确保系统稳定运行，并协助实施数据安全技术措施。三、数据全生命周期管理3.1数据管理计划第十条所有新立项的科研项目，在启动前必须制定书面的数据管理计划。计划应作为项目实施方案的重要组成部分，并报中心数据管理执行机构备案。第十一条数据管理计划应至少包含以下内容：数据描述：数据类型、格式、预计规模、产生方式。数据文档与元数据标准：描述数据内容、结构、采集方法的规范。数据存储与备份策略：存储位置、介质、备份频率与方式。数据安全与保密措施：访问控制、加密、脱敏等方案。数据共享与发布政策：是否共享、共享范围、时间、方式及条件。数据保存与归档计划：保存期限、归档位置、移交方案。责任人与分工：明确数据管理各环节的负责人。3.2数据采集与记录第十二条数据采集必须基于经伦理委员会批准（如涉及）的研究方案，并确保获得研究对象有效的知情同意。采集过程应遵守相关技术标准与操作规程。第十三条所有原始数据必须及时、准确、完整地记录。鼓励使用电子数据采集系统。纸质记录应使用规范记录本，用不易褪色的笔书写，避免涂改。如有更正，应划改并签名、注明日期。第十四条数据记录应包含足够的元数据，以确保数据可被理解与复用。元数据应包括但不限于：数据标识符、采集时间与地点、采集人、仪器型号与参数、样本信息、处理步骤、版本号等。3.3数据处理与分析第十五条数据处理与分析应遵循预先制定的统计分析计划或分析方案。任何对原始数据的清洗、转换、计算等操作，必须使用可追溯的脚本或软件（如R、Python脚本），并保留中间版本。第十六条禁止选择性使用数据、人为剔除异常值而不记录理由、或进行其他可能导致结果偏倚的不当操作。如确需处理，需详细说明理由、方法和依据，并记录在案。第十七条使用统计分析软件时，应保存分析代码、参数设置和输出日志。鼓励使用版本控制工具管理代码。3.4数据存储与备份第十八条科研数据应存储在中心指定的安全存储设施中，包括中心服务器、经过认证的云存储平台或专用存储设备。严禁将涉及敏感信息的数据存储在个人电脑、未经加密的移动存储设备或公共网盘。第十九条数据存储实行分类分级管理：公开数据：可存储在一般存储区。内部数据：应存储在访问受控的内部网络存储区。敏感数据（含个人隐私信息、未公开的病例资料等）：必须存储在加密存储区或物理隔离的安全环境中，并实施严格的访问控制。第二十条必须建立定期备份制度。重要数据应实行异地备份。备份频率应根据数据更新速度确定，至少每周一次。备份介质应妥善保管，定期进行恢复测试，确保备份有效性。3.5数据共享与发布第二十一条中心鼓励在研究成果发表后，将支撑研究结论的必要数据在可信的数据仓储中发布共享，或根据合理请求向其他研究者提供。第二十二条数据共享前必须进行风险评估，确保不泄露个人隐私、商业秘密或危害国家安全。共享个人数据必须经过严格的脱敏处理，达到无法识别特定个人且不能复原的标准。第二十三条数据共享与发布应遵循“FAIR”原则（可发现、可访问、可互操作、可重用）。发布数据时应提供丰富的元数据，并建议使用持久标识符。第二十四条数据共享需履行审批程序。项目负责人向中心数据管理执行机构提交申请，说明共享数据的范围、对象、方式、用途及安全保障措施，经审核批准后方可执行。重大数据共享需报数据管理委员会审批。第二十五条数据使用者应尊重数据生产者的权益，在发表物中按规定引用数据来源。共享数据可设置合理的embargo期。3.6数据保存与归档第二十六条项目结题后，项目负责人须在六个月内完成项目数据的整理与归档。归档数据应包括最终版本的原始数据、处理后的数据、分析代码、元数据、相关文档及数据管理计划。第二十七条数据归档期限根据数据类型和资助方要求确定，原则上不少于项目结题后十年，或自研究成果发表后不少于五年。重要数据应永久保存。第二十八条归档数据移交至中心指定的长期保存系统或档案室。移交时应填写数据归档清单，双方签字确认。中心负责归档数据的长期保存与维护。第二十九条研究人员离岗（包括毕业、离职、退休）前，必须完成其负责或使用的数据的移交工作，经项目负责人和部门负责人签字确认后，方可办理离岗手续。四、数据安全与保密第三十条中心建立数据安全分级分类保护制度。根据数据遭到篡改、破坏、泄露或者非法获取、非法利用所造成的危害程度，将数据分为一般数据、重要数据和核心数据三级，并采取相应的保护措施。第三十一条访问控制要求：实行最小权限原则，用户只能访问其完成工作所必需的数据。采用用户名/密码强认证，鼓励使用双因素认证访问敏感数据。定期审查和更新用户访问权限，人员角色变动时及时调整。所有数据访问操作应有安全日志记录，日志保存时间不少于六个月。第三十二条数据传输安全要求：在中心内部网络传输敏感数据，应使用安全协议。通过互联网传输敏感数据，必须使用加密通道。严禁通过普通电子邮件发送未加密的敏感数据附件。第三十三条数据脱敏要求：对于需要用于分析、测试或共享的包含个人身份信息的数据，必须进行脱敏处理。常用脱敏技术包括：替换、泛化、屏蔽、假名化等。脱敏过程应不可逆，并记录脱敏规则。第三十四条物理环境安全要求：存放服务器的机房应符合相应安全标准，配备门禁、监控、消防、不间断电源等设施。重要纸质数据资料应存放在防火防盗文件柜中。五、质量管理与记录第三十五条中心定期对数据管理活动进行内部审核，检查本规范的执行情况，评估数据质量与安全状态。审核结果作为部门及个人考核的参考依据。第三十六条所有数据操作的关键过程必须留有记录，形成审计线索。记录形式包括但不限于：实验记录本、电子系统日志、审批表单、会议纪要、邮件往来等。记录应清晰、可读、防篡改。第三十七条中心建立数据管理文档体系，保存所有数据管理政策、规范、计划、报告、合同及培训记录。六、培训与意识提升第三十八条所有新入职、新参与项目的研究人员必须接受数据管理规范与数据安全的基础培训，考核合格后方可接触科研数据。第三十九条中心定期组织数据管理专题培训、研讨会或讲座，内容涵盖数据管理政策、伦理规范、操作技能、新技术应用、案例分析等，不断提升全员的数据素养。第四十条中心通过网站、公告、宣传册等多种形式，持续宣传数据管理的重要性、相关法规政策及最佳实践，营造重视数据质量、安全与共享的文化氛围。七、违规处理与责任追究第四十一条违反本规范的行为包括但不限于：伪造、篡改科研数据。未经授权访问、复制、使用、传播或销毁数据。因保管不善导致数据丢失、损毁或泄露。未履行数据归档与移交责任。其他违反数据管理规定的行为。第四十二条对于违规行为，中心将视情节轻重，采取以下一种或多种处理措施：口头或书面警告。责令限期整改。暂停数据访问权限。通报批评。取消评优、晋