1.引言
現(xiàn)代醫(yī)院高質量的發(fā)展對于信息化的依賴越來越高���,智慧醫(yī)院建設成為近年來各個醫(yī)院以及衛(wèi)生健康管理部門高度重視的醫(yī)院信息化的主要內(nèi)容[1-2]。智慧醫(yī)院目前并沒有一個準確的定義�����,從不同角度看也會有不同的看法����,因此�����,也很難明確一個基本概念�����。但從目前大多數(shù)醫(yī)院迫切需要解決的實際問題看�,智慧醫(yī)院的建設主要落實在3個方面:通過電子病歷的應用提升醫(yī)療的安全���、質量與效率;通過智慧服務系統(tǒng)處理患者服務信息以改善患者的就醫(yī)體驗��,使患者能夠方便快捷地就醫(yī)����;通過醫(yī)院運營管理信息系統(tǒng)管理醫(yī)療質量,細化醫(yī)院人財物管理�,改善后勤服務,提升醫(yī)院的運營效益����。這也是當前管理部門重點推動智慧醫(yī)院落地的主要內(nèi)容,其核心是解決醫(yī)院業(yè)務信息數(shù)字化、數(shù)據(jù)全面共享以及信息智能化處理的問題��。盡管這些內(nèi)容可能被一些人認為是醫(yī)院信息化的基礎�,但是在當前醫(yī)院的實際情況下,多數(shù)醫(yī)院還需要做好基礎建設工作才能夠實現(xiàn)后續(xù)“高大上”的“智慧”化��。
在信息技術發(fā)展的今天���,互聯(lián)網(wǎng)�、移動應用�、云計算、大數(shù)據(jù)的應用越來越普遍����。智慧醫(yī)院建設也大量使用了這些新的技術成果。為滿足更高效的醫(yī)療����、服務和管理需求,醫(yī)療���、患者服務��、運營管理信息不僅僅在醫(yī)院內(nèi)部網(wǎng)絡中存儲與傳輸����,還在互聯(lián)網(wǎng)、云存儲的環(huán)境中流動���,也由此引起了數(shù)據(jù)安全的風險變化�����。提升醫(yī)療服務的質量是醫(yī)院高質量發(fā)展的剛性需求���。如何在新的應用環(huán)境下既滿足提升質量的應用需求,又能夠符合國家信息安全法規(guī)要求���,降低數(shù)據(jù)安全風險是各個醫(yī)院需要面對的重要問題����。
2.醫(yī)療機構中個人信息的相應法規(guī)要求
衛(wèi)生健康管理部門根據(jù)醫(yī)療服務的特點制定了一系列保障醫(yī)療安全與質量的法規(guī)以規(guī)范醫(yī)療服務���,對服務質量進行嚴格監(jiān)管。在《中華人民共和國醫(yī)師法》[3]的執(zhí)業(yè)規(guī)則中明確要求醫(yī)師親自診察并按照規(guī)范書寫病歷�����。醫(yī)務人員在為患者提供診療服務過程中需要多次識別與核對患者信息,并對診療相關的信息進行記錄與確認����。在《病歷書寫基本規(guī)范》[4]中明確要求在門診和住院病歷中記錄患者的姓名、性別����、婚姻、住址等個人息���,以及記錄醫(yī)療過程的診斷與治療的詳細信息�����。因此��,在診療過程中采集并使用了大量的患者個人及與健康相關的信息�。
在信息化廣泛應用前���,已經(jīng)形成一整套適應傳統(tǒng)環(huán)境的管理方法����,如《醫(yī)療機構病歷管理規(guī)定》[5]對于醫(yī)療機構和醫(yī)務人員記錄的病歷進行了嚴格管理����,以保障相關信息的安全���。隨著信息化的發(fā)展,醫(yī)療機構大量應用了信息系統(tǒng)��、網(wǎng)絡等現(xiàn)代化的手段來采集�����、傳輸��、存儲和管理病歷等信息�����。因此��,管理方式在新的環(huán)境和工具下也需要有相應的完善和發(fā)展����。隨著信息化應用的普及���,信息安全問題也越來越突出����。國家在近幾年持續(xù)發(fā)布了一系列網(wǎng)絡、數(shù)據(jù)安全相關的法律�����,對于信息安全保障提出了明確要求��。在2017年實施的《中華人民共和國網(wǎng)絡安全法》[6](以下簡稱《網(wǎng)絡安全法》)���,對整體的信息安全保護���、安全責任給出了明確要求。2021年實施的《中華人民共和國數(shù)據(jù)安全法》(以下簡稱《數(shù)據(jù)安全法》)�����、《中華人民共和國個人信息保護法》[7-8](以下簡稱《個人信息保護法》)���,更加明確了對于網(wǎng)絡中的數(shù)據(jù)�、個人信息的保護責任主體��,知情同意要求等內(nèi)容���。如在《數(shù)據(jù)安全法》中規(guī)定數(shù)據(jù)保護的責任是數(shù)據(jù)的采集與處理者��,醫(yī)務人員在醫(yī)療過程中采集與掌握了患者的相關信息�,就同時需要承擔保護的義務;在《個人信息保護法》中將健康信息列為敏感個人信息��,要求進行單獨確認���,因此����,醫(yī)療機構對于患者的知情同意告知需要進行相應的調整���。2017年和2019年最高人民法院和最高人民檢察院關于信息安全保護相關釋法[9-10]細化了對相關法律責任的認定���,結合《中華人民共和國民法典》《中華人民共和國刑法》[11-12]等法律,目前對于網(wǎng)絡中的信息保護��、責任認定�、違法處置等都已有了明確的規(guī)定?�!搬尫ā敝幸?guī)定了非法提供或出售個人信息50條��、500條相應的法律責任��,以及泄露個人1 000條����、5 000條法律性質的認定,這些詳細的規(guī)定都提升了法律實施的可操作性�。在國外,隨著信息化手段在醫(yī)療健康領域的廣泛應用���,同樣也遇到醫(yī)療健康服務中的數(shù)據(jù)應用需求與個人信息保護需要平衡的問題���。通過立法的手段保護個人信息、促進數(shù)據(jù)的有效應用也已經(jīng)成為目前許多國家正在應用的有效方法����。如歐盟的GDPR(General Data Protection Regulation ),美國的HIPAA(Health Insurance Portability and Accountability Act)����,日本的“醫(yī)療大數(shù)據(jù)法”等[13-15],這些國家都通過建立法規(guī)保護醫(yī)療活動中患者個人信息的安全����,并且規(guī)定了具體的數(shù)據(jù)所有者�、使用者的責任�����、處理的規(guī)則等內(nèi)容����。這些法規(guī)的應用也推動了醫(yī)療數(shù)據(jù)的利用。醫(yī)院在利用網(wǎng)絡�����、信息系統(tǒng)等手段輔助支持醫(yī)療活動提高質量與效率的同時��,也需要符合國家法規(guī)對保護患者個人信息與醫(yī)療相關記錄安全的要求�����。盡管許多醫(yī)院在應用信息系統(tǒng)的同時對醫(yī)院中相關醫(yī)療記錄的管理制度有所調整���,但隨著我國新法律法規(guī)的實施����,醫(yī)院中的一些制度、流程等還需進行相應的完善�����,以滿足醫(yī)療質量與信息安全保障兩方面的要求��。
3.智慧醫(yī)院中的信息處理需求
對醫(yī)院來說提升醫(yī)療工作質量與效率永遠是第一位的需求��,因此充分利用信息技術成為當前的一種必然選擇����。絕大多數(shù)醫(yī)院使用醫(yī)生站����、護士站等信息系統(tǒng)在醫(yī)療服務過程中幫助處理各種記錄。為滿足醫(yī)療質量管理的要求�,記錄中含有大量涉及患者個人信息和健康記錄的數(shù)據(jù)。當信息系統(tǒng)封閉在醫(yī)院內(nèi)部局域網(wǎng)中運行時��,數(shù)據(jù)的安全比較容易控制�����,但在打通了院內(nèi)的局域網(wǎng)與互聯(lián)網(wǎng)后安全管理的難度隨之增加����。
通過互聯(lián)網(wǎng)與移動端提供的預約和繳費服務大大方便了患者�,但也使患者的個人信息����、診療項目、費用明細表等敏感數(shù)據(jù)在互聯(lián)網(wǎng)上進行傳輸��。在開展互聯(lián)網(wǎng)診療時��,醫(yī)院不僅通過互聯(lián)網(wǎng)與患者進行文字��、音視頻溝通�����,還將處方信息�����、線下病歷�����、多個醫(yī)院的醫(yī)療記錄通過互聯(lián)網(wǎng)傳輸�,有些數(shù)據(jù)還存儲在互聯(lián)網(wǎng)上的云端存儲平臺��。這些都增加了患者個人信息���、醫(yī)療信息泄露的安全風險。
醫(yī)院的教學與科研是不斷提升醫(yī)療質量與水平的重要方式��,許多醫(yī)院都需要開展大量的臨床醫(yī)學研究工作���。這些研究對于臨床醫(yī)療記錄數(shù)據(jù)的依賴程度非常高。如對療效的追蹤��、慢性疾病的病因調查等過程就需要長期追蹤患者���,還要對患者的基本情況�、治療�、并發(fā)癥、生活環(huán)境與習慣影響等數(shù)據(jù)進行綜合分析����,因而需要使用患者個人信息。此外����,許多醫(yī)學研究都是由醫(yī)院、學校、科研單位��、企業(yè)等組成的跨機構��、跨學科的團隊合作開展的���,因此���,對這些研究往往需要將所需的醫(yī)療記錄共享給多個參與機構的各類研究人員,保護的難度也大大增加�����。
4.智慧醫(yī)院建設中個人信息
數(shù)據(jù)安全風險應對應對上述信息安全的風險需要從管理和技術2個層面著手��。通過管理層面的各種制度與措施使醫(yī)院工作人員按照規(guī)范的要求采集與使用患者個人信息和各種醫(yī)療數(shù)據(jù)���,通過技術層面的各種措施����、工具來保障醫(yī)院中各項制度與措施的落實���。
4.1 從管理層面應對風險
4.1.1 建立制度與落實管理措施應對信息泄露風險
醫(yī)院作為服務提供者采集了患者的個人信息�����,就有保護信息安全的責任�,所有員工都是承擔這些責任的主體。管理制度使全體員工做好信息保護工作是保障醫(yī)院中個人信息與醫(yī)療數(shù)據(jù)安全的基礎�。首先需要強化醫(yī)院全體人員的信息安全意識,醫(yī)療服務過程中不僅要保證醫(yī)療質量���,同時還要保護患者的個人信息和醫(yī)療數(shù)據(jù)�。除了安全意識外��,醫(yī)院還需要有一整套保障患者個人信息和醫(yī)療數(shù)據(jù)安全的制度以及配套的落實執(zhí)行措施����。這些制度和措施最核心的要求就是讓掌握信息的醫(yī)院員工明確自己的責任����,對于信息的獲取、傳遞�、使用都有記錄并受到監(jiān)督。通過這種方式使醫(yī)院保護患者個人信息和醫(yī)療數(shù)據(jù)的法律責任得到落實�����。
4.1.2 改善醫(yī)院的患者告知方式以滿足個人信息保護法要求
在2021年實施的《個人信息保護法》將醫(yī)療健康信息列為敏感個人信息,要求處理敏感個人信息需要單獨同意��。目前大多數(shù)醫(yī)院在采集患者個人信息和記錄醫(yī)療信息過程中主要是依據(jù)醫(yī)療管理部門對于保障醫(yī)療質量與安全相關的規(guī)定來執(zhí)行的�。許多醫(yī)院是通過制定病歷管理制度和公示管理規(guī)則等方式告知患者對醫(yī)療健康信息的保護,并沒有直接顯式地對患者進行告知��。在管理部門新的行業(yè)管理規(guī)定沒有出臺之前����,許多醫(yī)院的線下醫(yī)療仍然沿用以往的方法。而在互聯(lián)網(wǎng)醫(yī)院和互聯(lián)網(wǎng)診療中則實現(xiàn)了在患者注冊和網(wǎng)上掛號預約時進行告知并要求患者在網(wǎng)上選擇同意才能進行下一步的診療服務��。為應對《個人信息保護法》中單獨同意的要求�,一些醫(yī)院對線下醫(yī)療的患者也采用線上注冊或預約掛號時告知并進行知情同意選擇的方式,這是一種比較可行的方法���,但對于一些老年人又存在困難����。
4.1.3 患者信息及醫(yī)療數(shù)據(jù)共享需求的應對
隨著分級診療的普遍開展����,患者的醫(yī)療健康信息在多個醫(yī)療機構之間共享需求越來越多。病歷共享有多種方式�����,目前應用最多的是患者復制病歷并帶到就診的醫(yī)療機構,這種方式自然解決了患者知情同意的問題但非常低效�。一些城市的衛(wèi)生管理部門建立了區(qū)域內(nèi)的病歷共享平臺,這也是部分地區(qū)在使用的另一種共享方式:如患者就診時同意����,醫(yī)院就可以從平臺中獲取病歷資料。但目前許多醫(yī)院要求患者的書面同意����,這在實際應用中非常不便。而通過醫(yī)院的App或微信公眾號等電子服務平臺取得患者的同意�����,則能夠較好地解決這個問題���。更加高效的解決方式是通過行業(yè)或地方的法規(guī)明確限定范圍和用途的病歷共享,免去每次就診患者的知情同意����。既方便患者就醫(yī),也能減少醫(yī)院對每次就診知情同意記錄工作量�����。
4.2 技術層面的風險應對方法
在數(shù)字化環(huán)境下,通過技術手段保護信息安全是使安全措施落實的主要手段����。然而,保障信息安全各種措施的實施是需要付出相應的代價�����。這些代價包括:影響醫(yī)療工作的效率����、需要投入資金和增加工作人員,也有可能會影響患者就醫(yī)的方便性��。此外�����,數(shù)據(jù)安全保障還需要具有高水平掌握信息安全技術的人員����,這就需要醫(yī)院能夠擁有或利用企業(yè)的信息安全保護技術力量。通過選擇合適的技術手段��,可以使醫(yī)院在保障醫(yī)療安全與質量的前提下,在一個可承受的代價范圍內(nèi)將信息安全風險降低到一個可接受的����、最小的程度。
4.2.1 醫(yī)療信息系統(tǒng)被非法訪問風險的防范
醫(yī)療信息系統(tǒng)訪問人員的管控就是讓醫(yī)院中的患者個人信息�����、醫(yī)療數(shù)據(jù)只供需要的人員使用�����,防止信息被無關人員非法獲取和使用�。管控的主要技術手段是在各個信息系統(tǒng)中設置人員身份鑒別的功能,即常用的用戶認證與登錄功能�����。這個功能最常用的是進入信息系統(tǒng)時的用戶/口令登錄體系��。為保證系統(tǒng)的安全性����,在國家制定的信息系統(tǒng)安全等級保護標準[16]中要求每個人必須使用自己的用戶����,且口令需要有一定的復雜度���。一些高要求的系統(tǒng)還可采用物理認證手段,如裝載數(shù)字證書的UKey���、手機二維碼或指紋等生物認證手段���。
4.2.2 互聯(lián)網(wǎng)環(huán)境下數(shù)據(jù)傳輸風險的防范
互聯(lián)網(wǎng)是一個開放的環(huán)境,其中傳輸?shù)臄?shù)據(jù)如果不加控制將很容易被無關人員獲取���。醫(yī)院在通過互聯(lián)網(wǎng)開展醫(yī)療服務����、患者服務時����,網(wǎng)絡傳輸過程的信息保護是一項非常重要的內(nèi)容。目前采用最多的是利用HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer)協(xié)議進行互聯(lián)網(wǎng)環(huán)境下的數(shù)據(jù)傳輸�。HTTPS協(xié)議是通過SSL協(xié)議[17]對所傳輸?shù)臄?shù)據(jù)進行加密傳輸。在進行數(shù)據(jù)傳輸之前���,HTTPS協(xié)議會先對兩端的系統(tǒng)進行認證���,利用系統(tǒng)中數(shù)字證書的識別與驗證確認數(shù)據(jù)發(fā)送與接收者安全與可靠����,然后再通過非對稱加密方式交換數(shù)據(jù)加密的密鑰����,隨后再利用密鑰對傳輸?shù)臄?shù)據(jù)進行加密和解密。當醫(yī)院通過HTTPS協(xié)議傳輸數(shù)據(jù)時�����,每次連接傳輸數(shù)據(jù)所采用的密鑰都可不同����,盡管數(shù)據(jù)傳輸效率會比直接傳輸明文低些,但能夠較好地保護互聯(lián)網(wǎng)傳輸?shù)臄?shù)據(jù)不被非法竊取��。
4.2.3 互聯(lián)網(wǎng)環(huán)境存儲數(shù)據(jù)泄露風險的防范
在許多醫(yī)院的互聯(lián)網(wǎng)患者服務系統(tǒng)和互聯(lián)網(wǎng)診療系統(tǒng)中利用了互聯(lián)網(wǎng)上的服務器來存儲部分患者和醫(yī)療數(shù)據(jù)����,一些公用的云環(huán)境也經(jīng)常被用來存儲這些內(nèi)容。一些存儲數(shù)據(jù)的環(huán)境并不受醫(yī)院的控制��。防范這種風險通常采用兩類方法,這兩類方法也可以并用�����。一類是加強數(shù)據(jù)存儲環(huán)境的安全防護��,與服務器或云環(huán)境管理者提出安全防護要求���,通過強化數(shù)據(jù)存儲環(huán)境的防護措施,加強訪問者鑒別認證等手段防止數(shù)據(jù)被非法竊取�����。另一類是采用數(shù)據(jù)加密措施����,將存儲在醫(yī)院控制區(qū)域以外的數(shù)據(jù)采用加密方式存儲。這樣即使存儲數(shù)據(jù)的環(huán)境被非法入侵�,其中存儲的患者信息與醫(yī)療數(shù)據(jù)信息泄露風險也會降低。在互聯(lián)網(wǎng)環(huán)境下應用的醫(yī)療信息系統(tǒng)應達到信息安全等級三級的要求����,存儲數(shù)據(jù)的環(huán)境也應滿足相應的要求。加密方法可以參考《信息安全技術 信息系統(tǒng)密碼應用基本要求》[18]中對數(shù)據(jù)加密存儲以及加密算法應達到的安全等級給出的建議�。加密存儲的數(shù)據(jù)在訪問時需要有加解密的過程����,因此��,整個系統(tǒng)的應用效率會有所降低���,對于管理軟件�、應用軟件的設計難度也會加大���。
目前在實際的應用中����,對醫(yī)院外網(wǎng)所存儲數(shù)據(jù)的加密應用還不夠普遍�。
4.2.4 醫(yī)院科研數(shù)據(jù)安全風險的防范
臨床醫(yī)學研究依賴大量的醫(yī)療記錄數(shù)據(jù)。然而�����,許多應用數(shù)據(jù)進行的臨床醫(yī)學研究并不需要使用醫(yī)療記錄中的患者個人信息��,如姓名�、地址、身份證號等識別患者的個人信息��。因此,通?����?梢园堰@些敏感的信息去除或由其他信息替代�。如用隨機的代碼替代患者的姓名�,用年齡替代出生日期,用行政區(qū)域代碼替代具體的地址等���。一些醫(yī)院中常將各個科室以及部門的數(shù)據(jù)集中生成一個數(shù)據(jù)倉庫���,這樣方便了研究工作但同時也增加了數(shù)據(jù)泄露風險。如能夠建立一個去除了患者個人信息的研究用數(shù)據(jù)倉庫���,那些不需要使用患者個人信息的研究項目就可以從沒有患者信息的科研數(shù)據(jù)倉庫中抽取數(shù)據(jù)�����,既方便了研究工作��,又降低了信息泄露的風險��。在醫(yī)院中為臨床研究���、管理的數(shù)據(jù)分析建立專門的數(shù)據(jù)分析處理服務體系也是防范數(shù)據(jù)泄露風險的一種方法���。臨床研究和管理的主要目的是得到數(shù)據(jù)分析的結果,對于原始數(shù)據(jù)只是進行數(shù)據(jù)處理的基礎條件����。如醫(yī)院有專門的數(shù)據(jù)處理工具或專業(yè)人員提供相應服務時,各個課題組就不需要將原始數(shù)據(jù)拿出醫(yī)院所控制的環(huán)境�����,因而最大限度地降低了泄露風險�����。常用的服務體系包括:數(shù)據(jù)處理分析工具����、上載數(shù)據(jù)分析軟件接口、基礎標準字典����、專業(yè)的數(shù)據(jù)處理服務人員等。利用這個體中的數(shù)據(jù)進行分析研究時���,數(shù)據(jù)可以不離開醫(yī)院的管控���,因而降低泄露可能性���。國外的許多醫(yī)院中有大量的信息技術人員,其中大部分人員是提供數(shù)據(jù)分析處理服務的人員���,這些都值得借鑒�。
4.2.5 健康醫(yī)療數(shù)據(jù)技術保護的一些參考規(guī)則
對于醫(yī)療健康數(shù)據(jù)的應用是多方面的�����,保護這些信息安全的方法也需要有多種方式���。其中對于醫(yī)療健康數(shù)據(jù)的分類分級管理是一種常用且可行的方法。這種方法就是根據(jù)醫(yī)療健康數(shù)據(jù)中涉及患者個人信息的多少進行分類管理�����?;驹瓌t是包含患者個人信息越多的數(shù)據(jù),就需要在越嚴格受控的環(huán)境下使用��;當數(shù)據(jù)無法識別出患者個人信息時,就可以在比較寬松的環(huán)境中應用�����。在《網(wǎng)絡安全法》和《數(shù)據(jù)安全法》等法規(guī)中����,也明確對那些不能識別個人信息且不可恢復識別的數(shù)據(jù)可以按照不同的方式管理。國家標準《信息安全技術 健康醫(yī)療數(shù)據(jù)安全指南》[19]中給出了對患者個人信息的劃分���、去除規(guī)則���、醫(yī)療數(shù)據(jù)分級以及分級應用范圍等的具體處理方法建議。表1是對數(shù)據(jù)的劃分與處理規(guī)則���。醫(yī)院在建設信息系統(tǒng)�、建立科研和管理數(shù)據(jù)倉庫��、處理研究與管理應用數(shù)據(jù)時����,可以參考標準所給出的這些分類分級方法。同時在這個標準中還提供了個人信息的去除、轉換等相應的處理方法�,可以作為醫(yī)院進行信息安全建設的參考。
5.結論
醫(yī)院越來越多地利用信息技術為患者提供優(yōu)質高效的醫(yī)療服務已成為趨勢��。在利用信息技術的同時�,信息安全保護也是不可或缺的內(nèi)容。目前國家關于個人信息保護相關的法規(guī)越來越全面�,醫(yī)療行業(yè)相關的實施細則也在不斷完善。醫(yī)院在建設醫(yī)療��、患者服務�����、醫(yī)院管理�、科研與教學等方面的信息系統(tǒng)時�,需要將信息安全保護的各項要求包括在建設內(nèi)容中。在智慧醫(yī)院建設中已經(jīng)遇到的各類風險���,目前也已經(jīng)有許多相關的管理和技術手段進行管控�。醫(yī)院應該充分了解這些方法與手段���,使醫(yī)院的醫(yī)療服務與信息保護都能夠符合國家的法規(guī)要求����,以充分保障患者的各項權益。
