自2018年以來(lái)���,隨著等一系列互聯(lián)網(wǎng)醫(yī)療服務(wù)政策的出臺(tái),國(guó)內(nèi)互聯(lián)網(wǎng)醫(yī)療服務(wù)進(jìn)入快速發(fā)展期��,醫(yī)療機(jī)構(gòu)通過(guò)應(yīng)用互聯(lián)網(wǎng)等信息技術(shù)拓展醫(yī)療服務(wù)空間和內(nèi)容����,建設(shè)互聯(lián)網(wǎng)醫(yī)院,開(kāi)展遠(yuǎn)程醫(yī)療服務(wù)����,以更便捷的方式為患者提供包括預(yù)約掛號(hào),遠(yuǎn)程咨詢��,實(shí)時(shí)查閱就診病歷����、醫(yī)技檢查結(jié)果、健康體檢報(bào)告�����,費(fèi)用支付互聯(lián)網(wǎng)醫(yī)院系統(tǒng)��,就醫(yī)反饋��,電子處方和藥品配送等全流程的服務(wù)。2020年初���,突如其來(lái)的新冠疫情造成了線下就診的阻礙��,互聯(lián)網(wǎng)醫(yī)療服務(wù)需求激增�����,進(jìn)一步獲得患者的接受和認(rèn)可。
醫(yī)療機(jī)構(gòu)作為線下醫(yī)療實(shí)體平臺(tái)���,通常通過(guò)網(wǎng)站��、App�、微信公眾號(hào)����、微信小程序等終端實(shí)現(xiàn)上述互聯(lián)網(wǎng)醫(yī)療服務(wù)功能,全程以電子化的途徑收集���、存儲(chǔ)了大量患者個(gè)人基本信息����、健康狀況、醫(yī)療應(yīng)用�、醫(yī)療支付等數(shù)據(jù)。在互聯(lián)網(wǎng)醫(yī)療服務(wù)場(chǎng)景下所涉數(shù)據(jù)安全和個(gè)人信息保護(hù)合規(guī)方面��,醫(yī)療機(jī)構(gòu)應(yīng)重點(diǎn)關(guān)注哪些問(wèn)題�,本文予以梳理以供參考��。
信息系統(tǒng)實(shí)施三級(jí)信息安全等級(jí)保護(hù)
《互聯(lián)網(wǎng)診療管理辦法(試行)》《互聯(lián)網(wǎng)醫(yī)院管理辦法(試行)》均要求�,信息系統(tǒng)應(yīng)當(dāng)實(shí)施第三級(jí)信息安全等級(jí)保護(hù)。2021年6月3日����,國(guó)家衛(wèi)生健康委發(fā)布《互聯(lián)網(wǎng)醫(yī)療健康信息安全管理規(guī)范(征求意見(jiàn)稿)》也指出:“互聯(lián)網(wǎng)醫(yī)療健康信息系統(tǒng)應(yīng)通過(guò)網(wǎng)絡(luò)安全等級(jí)保護(hù)三級(jí)測(cè)評(píng)和定期復(fù)評(píng)?����;ヂ?lián)網(wǎng)醫(yī)療健康信息系統(tǒng)集成第三方服務(wù)應(yīng)用時(shí)�,第三方服務(wù)也需要達(dá)到相關(guān)安全防護(hù)水平?!?/p>
根據(jù)公安部、國(guó)家保密局等部門出臺(tái)的《信息安全等級(jí)保護(hù)管理辦法》的規(guī)定�,信息系統(tǒng)的安全保護(hù)等級(jí)分為五級(jí),第三級(jí)是指“信息系統(tǒng)受到破壞后�����,會(huì)對(duì)社會(huì)秩序和公共利益造成嚴(yán)重?fù)p害�����,或者對(duì)國(guó)家安全造成損害”�����。 同時(shí)���,根據(jù)該規(guī)定����,“第三級(jí)信息系統(tǒng)運(yùn)營(yíng)、使用單位應(yīng)當(dāng)依據(jù)國(guó)家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)����。國(guó)家信息安全監(jiān)管部門對(duì)該級(jí)信息系統(tǒng)信息安全等級(jí)保護(hù)工作進(jìn)行監(jiān)督、檢查”��。
互聯(lián)網(wǎng)醫(yī)療信息系統(tǒng)一旦受到外部攻擊導(dǎo)致患者個(gè)人信息泄露�����,會(huì)造成嚴(yán)重的后果,該系統(tǒng)是否穩(wěn)定安全地運(yùn)轉(zhuǎn)�����,也關(guān)系到互聯(lián)網(wǎng)醫(yī)療服務(wù)的實(shí)現(xiàn)�。因此醫(yī)療機(jī)構(gòu)應(yīng)落實(shí)國(guó)家法規(guī)、政策關(guān)于信息系統(tǒng)等級(jí)保護(hù)的要求����,切實(shí)保障網(wǎng)絡(luò)安全。
關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的合規(guī)管理
《網(wǎng)絡(luò)安全法》首次在法律層面提出“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者”的概念���,在第三十三條到三十八條����,大篇幅規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的責(zé)任和義務(wù),但目前尚無(wú)生效的法律法規(guī)對(duì)關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的識(shí)別作出明確規(guī)定���。
2021年8月17日�,國(guó)務(wù)院正式公布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》(2021年9月1日起施行��,以下簡(jiǎn)稱《條例》),《條例》對(duì)“關(guān)鍵信息基礎(chǔ)設(shè)施”定義采取“行業(yè)+風(fēng)險(xiǎn)”的標(biāo)準(zhǔn)����,規(guī)定“關(guān)鍵信息基礎(chǔ)設(shè)施是指公共通信和信息服務(wù)、能源��、交通����、水利、金融�����、公共服務(wù)��、電子政務(wù)��、國(guó)防科技工業(yè)等重要行業(yè)和領(lǐng)域的���,以及其他一旦遭到破壞����、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國(guó)家安全���、國(guó)計(jì)民生���、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等”��。
按照上述標(biāo)準(zhǔn)���,“關(guān)鍵信息基礎(chǔ)設(shè)施”的范圍相對(duì)寬泛互聯(lián)網(wǎng)醫(yī)院系統(tǒng)���,參照《國(guó)家網(wǎng)絡(luò)安全檢查操作指南》中對(duì)于關(guān)鍵信息基礎(chǔ)設(shè)施的定義和范圍及確定關(guān)鍵信息基礎(chǔ)設(shè)施的步驟[1],一些大型的醫(yī)療機(jī)構(gòu)(比如收集并存儲(chǔ)超過(guò)100萬(wàn)患者個(gè)人信息的醫(yī)院)有可能被納入關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者監(jiān)管范圍內(nèi)����,但《國(guó)家網(wǎng)絡(luò)安全檢查操作指南》位階較低����,是否能作為認(rèn)定標(biāo)準(zhǔn)有待明確。
依據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》規(guī)定�����,“保護(hù)工作部門結(jié)合本行業(yè)、本領(lǐng)域?qū)嶋H���,制定關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定規(guī)則,并根據(jù)認(rèn)定規(guī)則負(fù)責(zé)組織認(rèn)定本行業(yè)�����、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施�,及時(shí)將認(rèn)定結(jié)果通知運(yùn)營(yíng)者”,建議相關(guān)醫(yī)療機(jī)構(gòu)密切關(guān)注監(jiān)管動(dòng)向�����,如被通知納入關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的范圍�����,需遵從關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營(yíng)者的安全保護(hù)規(guī)定進(jìn)行合規(guī)管理����。
數(shù)據(jù)安全(重要數(shù)據(jù)處理)合規(guī)
《互聯(lián)網(wǎng)診療管理辦法(試行)》《互聯(lián)網(wǎng)醫(yī)院管理辦法(試行)》《遠(yuǎn)程醫(yī)療服務(wù)管理規(guī)范(試行)》對(duì)醫(yī)療機(jī)構(gòu)的數(shù)據(jù)安全保護(hù)義務(wù)提出了要求�,比如應(yīng)當(dāng)建立完善相關(guān)管理制度、服務(wù)流程�,保證互聯(lián)網(wǎng)診療活動(dòng)全程留痕�����、可追溯;建立互聯(lián)網(wǎng)醫(yī)院信息系統(tǒng)使用管理制度�����、在線處方管理制度�����;建立數(shù)據(jù)安全管理規(guī)程���,確保網(wǎng)絡(luò)安全�����、操作安全、數(shù)據(jù)安全等����。《互聯(lián)網(wǎng)醫(yī)療健康信息安全管理規(guī)范(征求意見(jiàn)稿)》認(rèn)為�,醫(yī)療機(jī)構(gòu)(建設(shè)方)是互聯(lián)網(wǎng)醫(yī)療健康信息系統(tǒng)建設(shè)和管理的主體��,是信息安全管理的第一責(zé)任方��,應(yīng)履行數(shù)據(jù)安全保護(hù)義務(wù)�,落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任����。
