如今���,伴隨前沿技術(shù)的普及應(yīng)用���,醫(yī)療信息化建設(shè)呈現(xiàn)高速發(fā)展態(tài)勢(shì),醫(yī)療數(shù)據(jù)在流動(dòng)中被更加充分加以利用���,其價(jià)值與重要性愈發(fā)受到關(guān)注和重視�����。
本文將通過六類典型醫(yī)療場(chǎng)景�,逐一闡述醫(yī)療數(shù)據(jù)在不同場(chǎng)景下的使用風(fēng)險(xiǎn)及相關(guān)內(nèi)容.
場(chǎng)景一:互聯(lián)互通數(shù)據(jù)安全
醫(yī)院等醫(yī)療機(jī)構(gòu)為實(shí)現(xiàn)跨機(jī)構(gòu)�����、跨地域的健康診療信息交互、共享和醫(yī)療服務(wù)協(xié)同�,需要在各醫(yī)療機(jī)構(gòu)、醫(yī)聯(lián)體信息平臺(tái)之間實(shí)現(xiàn)數(shù)據(jù)(電子病歷��、電子健康檔案等)的互聯(lián)互通與信息共享����。
在此場(chǎng)景下��,醫(yī)護(hù)人員��、衛(wèi)生機(jī)構(gòu)管理人員��、醫(yī)院間聯(lián)合體及醫(yī)療第三方服務(wù)機(jī)構(gòu)人員在對(duì)相關(guān)系統(tǒng)文件�����、數(shù)據(jù)庫(kù)資料等敏感數(shù)據(jù)進(jìn)行訪問瀏覽����,以及通過內(nèi)部信息共享交換系統(tǒng)進(jìn)行文件數(shù)據(jù)傳輸、存儲(chǔ)等操作時(shí)����,均可能導(dǎo)致醫(yī)患隱私等重要信息面臨泄露風(fēng)險(xiǎn)�����。
場(chǎng)景二:遠(yuǎn)程醫(yī)療數(shù)據(jù)安全
一方醫(yī)療機(jī)構(gòu)為邀請(qǐng)其他醫(yī)療機(jī)構(gòu)對(duì)其診療患者提供技術(shù)支持等醫(yī)療活動(dòng)時(shí)�,涉及近端/遠(yuǎn)端醫(yī)院��、患者�、遠(yuǎn)程診療設(shè)備提供者、設(shè)備維護(hù)管理者��、遠(yuǎn)程診療信息發(fā)布平臺(tái)服務(wù)提供商�、網(wǎng)絡(luò)運(yùn)營(yíng)商等第三方。
在此場(chǎng)景下�����,近端醫(yī)院需向遠(yuǎn)端醫(yī)院出示患者的檢驗(yàn)報(bào)告��、診斷結(jié)果�����、用藥信息�、既往病史����、家族病史�����、傳染病史等涉及患者隱私的個(gè)人健康醫(yī)療信息����。如果遠(yuǎn)程診療網(wǎng)絡(luò)相關(guān)服務(wù)器和終端被非法人員使用����,則數(shù)據(jù)在遠(yuǎn)程診療過程中將面臨敏感數(shù)據(jù)被非法訪問、竊取篡改����、惡意上傳等風(fēng)險(xiǎn)。
場(chǎng)景三:匯聚中心數(shù)據(jù)安全
匯聚中心是指區(qū)域衛(wèi)生信息平臺(tái)���、健康醫(yī)療大數(shù)據(jù)中心����、學(xué)會(huì)數(shù)據(jù)中心�、醫(yī)院內(nèi)部數(shù)據(jù)中心等為醫(yī)生����、患者�����、第三方研究機(jī)構(gòu)的“診療參考���、健康管理����、分析利用”等需求提供數(shù)據(jù)應(yīng)用支撐的平臺(tái)機(jī)構(gòu)�����。
在此場(chǎng)景下�,匯聚中心涉及跨機(jī)構(gòu)數(shù)據(jù)匯聚,集中存儲(chǔ)著包括基本人口學(xué)數(shù)據(jù)�����、病歷數(shù)據(jù)�、健康檔案數(shù)據(jù)等大量數(shù)據(jù)信息。例如��,A醫(yī)院醫(yī)生會(huì)通過匯聚中心調(diào)閱某患者在B醫(yī)院就診時(shí)的健康醫(yī)療信息,如果沒有建立對(duì)中心數(shù)據(jù)分級(jí)標(biāo)注以及顆粒度匹配等機(jī)制�,將面臨非法登錄、越權(quán)訪問����、異常調(diào)閱、冒名查詢�、批量竊取、明文泄露等數(shù)據(jù)安全風(fēng)險(xiǎn)���。
場(chǎng)景四:臨床研究數(shù)據(jù)安全
臨床研究數(shù)據(jù)通常指由醫(yī)院�����、學(xué)術(shù)研究機(jī)構(gòu)和醫(yī)療企業(yè)發(fā)起的,以確認(rèn)藥物����、醫(yī)療器械、醫(yī)療信息系統(tǒng)�����、診斷和治療的安全性和有效性為目的的研究中����,所涉及的基本人口學(xué)資料��、檢查信息����、檢驗(yàn)信息���、藥品醫(yī)囑�����、診斷信息����、病例及患者報(bào)告等信息��。
在此場(chǎng)景下�,參與臨床研究的醫(yī)患及有關(guān)信息,被臨床試驗(yàn)電子系統(tǒng)的用戶進(jìn)行訪問或被交由醫(yī)療機(jī)構(gòu)進(jìn)行使用等過程中面臨諸多數(shù)據(jù)安全合規(guī)風(fēng)險(xiǎn)��。
場(chǎng)景五:商保對(duì)接數(shù)據(jù)安全
商業(yè)保險(xiǎn)公司通過與醫(yī)療機(jī)構(gòu)建立連接的醫(yī)療信息系統(tǒng)�,及時(shí)掌握個(gè)人健康醫(yī)療信息主體的診療情況及發(fā)生的相關(guān)費(fèi)用信息。例如���,個(gè)人屬性信息���、健康狀況信息���、醫(yī)療應(yīng)用信息、醫(yī)療資金與支付信息��、衛(wèi)生資源信息等數(shù)據(jù)�����,從而根據(jù)商業(yè)保險(xiǎn)機(jī)構(gòu)的核賠規(guī)則自動(dòng)進(jìn)行支付結(jié)算等理賠業(yè)務(wù)���。
在此場(chǎng)景下�,投保用戶的健康醫(yī)療信息將由醫(yī)療機(jī)構(gòu)向商業(yè)保險(xiǎn)機(jī)構(gòu)進(jìn)行披露��,因而在系統(tǒng)對(duì)接����、數(shù)據(jù)傳輸���、數(shù)據(jù)使用�����、數(shù)據(jù)存儲(chǔ)����、數(shù)據(jù)銷毀等環(huán)節(jié)存在數(shù)據(jù)泄露的風(fēng)險(xiǎn)。
場(chǎng)景六:器械維護(hù)數(shù)據(jù)安全
醫(yī)療器械維護(hù)的目標(biāo)是確保器械安全��、有效和功能正常��。不同的醫(yī)療器械可能涉及不同的數(shù)據(jù)����,影像系統(tǒng)可能涉及病人的影像及其診斷報(bào)告,檢驗(yàn)系統(tǒng)可能涉及病人的檢驗(yàn)���、檢查報(bào)告及檢驗(yàn)結(jié)果等信息�����。
在此場(chǎng)景下�����,醫(yī)療器械廠商在進(jìn)行遠(yuǎn)程維護(hù)時(shí)�����,可能讀取醫(yī)療器械產(chǎn)生的數(shù)據(jù)���,用以分析應(yīng)用的安全性和有效性�。在以上流程中����,數(shù)據(jù)將面臨非授權(quán)訪問、不安全鏈接�����、隱私數(shù)據(jù)泄露����、維護(hù)記錄保存不當(dāng)?shù)劝踩L(fēng)險(xiǎn)。
綜上所述���,醫(yī)療數(shù)據(jù)在不同場(chǎng)景下面臨的大量數(shù)據(jù)“合法利用”的安全風(fēng)險(xiǎn)��,需要制定切實(shí)有效的管控機(jī)制,構(gòu)建數(shù)據(jù)安全治理體系。
2021年6月10日�,十三屆全國(guó)人大常委會(huì)第二十九次會(huì)議表決通過《中華人民共和國(guó)數(shù)據(jù)安全法》,并將于9月1日施行�����?����!稊?shù)據(jù)安全法》是繼《網(wǎng)絡(luò)安全法》之后�,國(guó)家在信息安全領(lǐng)域頒布的又一部重要法律,進(jìn)一步完善和增強(qiáng)了數(shù)據(jù)安全領(lǐng)域的法律法規(guī)�。
《數(shù)據(jù)安全法》從數(shù)據(jù)安全制度、安全義務(wù)等方面��,對(duì)企業(yè)建設(shè)數(shù)據(jù)安全保護(hù)體系提出了明確要求:
1
建立并執(zhí)行數(shù)據(jù)分級(jí)���、分類制度��,對(duì)列入分級(jí)分類目錄的重要數(shù)據(jù)實(shí)施重點(diǎn)保護(hù)——《數(shù)據(jù)安全法》第二十一條����。
2
建立并執(zhí)行數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估�,預(yù)警、監(jiān)測(cè),審計(jì)����、追溯,應(yīng)急響應(yīng)體系——《數(shù)據(jù)安全法》第二十二條���、第二十三條�����。
3
要求建立與數(shù)據(jù)安全相應(yīng)的覆蓋安全管理����,教育培訓(xùn)����,技術(shù)手段等方面的數(shù)據(jù)安全保護(hù)體系——《數(shù)據(jù)安全法》第二十七條。
4
要求履行數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估���,預(yù)警�、監(jiān)測(cè)�,審計(jì)、追溯��,數(shù)據(jù)安全風(fēng)險(xiǎn)和事件報(bào)告等安全義務(wù)——《數(shù)據(jù)安全法》第二十九條、第三十條�。
5
