日前,國(guó)家衛(wèi)生健康委(以下簡(jiǎn)稱衛(wèi)健委)公布對(duì)全國(guó)政協(xié)委員涉受試者個(gè)人信息保護(hù)提案答復(fù)的函��。該函件指出,衛(wèi)健委已起草相關(guān)文件��,對(duì)加強(qiáng)生命科學(xué)和醫(yī)學(xué)研究領(lǐng)域生物樣本�����、信息數(shù)據(jù)隱私保護(hù)����,對(duì)醫(yī)療衛(wèi)生機(jī)構(gòu)開展的非注冊(cè)類臨床研究、數(shù)據(jù)管理等方面提出要求�。
醫(yī)療行業(yè)的隱私信息保護(hù)問(wèn)題在國(guó)家層面已經(jīng)提上日程,昂楷科技在醫(yī)療行業(yè)數(shù)據(jù)安全方面實(shí)施了大量落地項(xiàng)目�����,在醫(yī)療行業(yè)隱私信息保護(hù)方面也積累不少實(shí)戰(zhàn)經(jīng)驗(yàn)醫(yī)療?數(shù)據(jù)安全?場(chǎng)景�,今天分享給大家,一同討論學(xué)習(xí)�。
01
個(gè)人隱私信息泄露風(fēng)險(xiǎn)和挑戰(zhàn)
醫(yī)療個(gè)人隱私信息安全面臨的威脅
伴隨著以人工智能、5G���、云計(jì)算��、大數(shù)據(jù)�、區(qū)塊鏈、物聯(lián)網(wǎng)等為代表的新一代信息技術(shù)向醫(yī)療行業(yè)的不斷滲透�,醫(yī)療行業(yè)的信息安全問(wèn)題日益凸顯。醫(yī)療行業(yè)歷來(lái)就需要采集��、存儲(chǔ)和使用個(gè)人隱私信息���。
2020年初的新冠疫情��,通過(guò)利用數(shù)字技術(shù)輔助流行病學(xué)調(diào)查����,追蹤疑似病例����,而且還滲入了生活的方方面面,最大程度滿足了疫情期間的工作生活��。然而�����,數(shù)字技術(shù)的大范圍應(yīng)用對(duì)公民個(gè)人隱私信息的收集���,這在一定程度上加大了數(shù)據(jù)泄露風(fēng)險(xiǎn)�。
再者在醫(yī)療診治過(guò)程中��,構(gòu)建了大量患者醫(yī)療記錄���,大量的個(gè)人信息數(shù)據(jù)被匯總和關(guān)聯(lián)分析后�����,形成了對(duì)醫(yī)療機(jī)構(gòu)�、疾病控制�����、醫(yī)學(xué)研究有價(jià)值的醫(yī)療大數(shù)據(jù)���。在醫(yī)療信息數(shù)據(jù)中涉及大量患者個(gè)人特征數(shù)據(jù)�����。(如患者的真實(shí)身份����、聯(lián)系電話、家庭地址�、生活軌跡、疾病信息����、檢查信息也涉及患者隱私,不希望被無(wú)關(guān)人員知曉��,患者擔(dān)心泄漏的信息包括個(gè)人信息�����、疾病信息和檢查信息�。)
醫(yī)療行業(yè)個(gè)人隱私信息泄漏風(fēng)險(xiǎn)分析
當(dāng)前互聯(lián)網(wǎng)大數(shù)據(jù)時(shí)代,各醫(yī)療機(jī)構(gòu)之間高度共享各自醫(yī)療數(shù)據(jù)信息���,實(shí)現(xiàn)醫(yī)療業(yè)務(wù)數(shù)據(jù)共享����、發(fā)掘和利用��,來(lái)獲得更加準(zhǔn)確��、有價(jià)值的醫(yī)療信息���,推進(jìn)醫(yī)療業(yè)務(wù)水平的發(fā)展��,但同時(shí)醫(yī)療隱私泄漏風(fēng)險(xiǎn)也將貫穿于醫(yī)療信息系統(tǒng)的全生命周期����。
/
02
需求與問(wèn)題
醫(yī)療行業(yè)個(gè)人隱私信息需求主要體現(xiàn)在三方面:
《個(gè)人信息保護(hù)法》合規(guī)要求
隨著《個(gè)人信息保護(hù)法》正式公布實(shí)施����,個(gè)人信息處理過(guò)程中的行為主體、相關(guān)違法行為及懲罰力度做出了明確的規(guī)定����。政企機(jī)構(gòu)將面對(duì)最高可達(dá)5000萬(wàn)元(或者不超過(guò)年?duì)I收5%)的罰款醫(yī)療?數(shù)據(jù)安全?場(chǎng)景,個(gè)人信息保護(hù)的壓力陡然增加�。
結(jié)合《個(gè)人信息保護(hù)法》合規(guī)要求總結(jié)如下:
個(gè)人隱私信息保護(hù)組織建設(shè)需求;
個(gè)人隱私信息保護(hù)制度及流程建設(shè)需求��;
個(gè)人隱私信息全生命周期過(guò)程中的防護(hù)需求�����。
醫(yī)療行業(yè)個(gè)人隱私信息分類分級(jí)需求
2020年12月14日�,國(guó)標(biāo)委發(fā)布GB/T 39725-2020《信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南》(簡(jiǎn)稱“《指南》”),《指南》的發(fā)布實(shí)施可以幫助我們明確了醫(yī)療行業(yè)個(gè)人隱私信息����。
醫(yī)療行業(yè)數(shù)據(jù)安全治理需求
由于醫(yī)療行業(yè)的個(gè)人隱私信息保護(hù)與業(yè)務(wù)息息相關(guān)�����,個(gè)人隱私信息和業(yè)務(wù)數(shù)據(jù)交叉整合�,拋開業(yè)務(wù)數(shù)據(jù)只關(guān)注個(gè)人隱私信息安全不太現(xiàn)實(shí)����。因此,個(gè)人隱私信息保護(hù)應(yīng)該從數(shù)據(jù)安全治理的高度來(lái)統(tǒng)一規(guī)劃��,才能更好地解決需求���。
數(shù)據(jù)庫(kù)作為醫(yī)療行業(yè)應(yīng)用系統(tǒng)數(shù)據(jù)的承載單元����,在進(jìn)行數(shù)據(jù)交互共享��、數(shù)據(jù)統(tǒng)計(jì)等等場(chǎng)景時(shí)���,需保障數(shù)據(jù)庫(kù)系統(tǒng)自身的安全,防止數(shù)據(jù)被泄露破壞����,當(dāng)前醫(yī)療行業(yè)數(shù)據(jù)安全面臨如下問(wèn)題:
1)數(shù)據(jù)庫(kù)自身審計(jì)不足:審計(jì)內(nèi)容細(xì)粒度不夠�����,是否產(chǎn)生違法操作數(shù)據(jù)庫(kù)行為等���;缺乏對(duì)信息中敏感的數(shù)據(jù)發(fā)現(xiàn)與檢測(cè)的能力;缺乏獨(dú)立的監(jiān)控能力��,傳統(tǒng)審計(jì)只能依賴數(shù)據(jù)庫(kù)日志系統(tǒng)����,容易被篡改��,不具備獨(dú)立性����。
2)數(shù)據(jù)庫(kù)防護(hù)能力不足:無(wú)法對(duì)于惡意查詢��、刪除����、篡改數(shù)據(jù)的行為進(jìn)行分析阻攔�����;連接數(shù)據(jù)庫(kù)的系統(tǒng)多����,獲取數(shù)據(jù)����、運(yùn)維的單位多���,獲取數(shù)據(jù)的方法無(wú)法統(tǒng)一�,因此對(duì)于交互中一些患者�、醫(yī)生的隱私信息敏感數(shù)據(jù)無(wú)法進(jìn)行真正的有效保護(hù),數(shù)據(jù)被竊取風(fēng)險(xiǎn)巨大�。
3)數(shù)據(jù)安全聯(lián)動(dòng)聯(lián)防能力不足:缺乏對(duì)整體數(shù)據(jù)交互情況及風(fēng)險(xiǎn)狀況進(jìn)行整體性監(jiān)測(cè)。
4)數(shù)據(jù)庫(kù)系統(tǒng)自身安全問(wèn)題:數(shù)據(jù)庫(kù)漏洞�、數(shù)據(jù)庫(kù)配置安全、弱口令等問(wèn)題����,缺乏針對(duì)數(shù)據(jù)庫(kù)環(huán)境的檢測(cè)或分析工具����。
03
數(shù)據(jù)安全總體思路
隨著醫(yī)療行業(yè)數(shù)字化進(jìn)程在提速����,出現(xiàn)了業(yè)務(wù)迭代快��、互聯(lián)網(wǎng)暴露面大的特征����。因此,建議醫(yī)療行業(yè)的數(shù)據(jù)安全治理采用體系化方式進(jìn)行建設(shè)�,包括組織、制度流程���、技術(shù)能力、安全審計(jì)四個(gè)維度�,如下圖所示:
