在醫(yī)療大數(shù)據(jù)產(chǎn)業(yè)如日中天的今天��,數(shù)據(jù)已成為推動醫(yī)療創(chuàng)新����、提升服務(wù)效率�����、加速藥物研發(fā)的關(guān)鍵力量����。然而,隨著《個人信息保護(hù)法》與《數(shù)據(jù)安全法》等法律法規(guī)的相繼出臺�����,醫(yī)療行業(yè)正步入一個數(shù)據(jù)合規(guī)的“高壓期”��。這一背景下�,醫(yī)療數(shù)據(jù)資源的高效、合規(guī)運(yùn)營不僅關(guān)乎企業(yè)的長遠(yuǎn)發(fā)展����,更是構(gòu)建健康中國不可或缺的一環(huán)。眾多醫(yī)療服務(wù)機(jī)構(gòu)�、醫(yī)藥研發(fā)商、醫(yī)療設(shè)備制造商及醫(yī)療系統(tǒng)技術(shù)方等數(shù)據(jù)處理者�,正積極應(yīng)對挑戰(zhàn),將數(shù)據(jù)合規(guī)理念深植于數(shù)據(jù)處理的全鏈條之中�。
一、醫(yī)療數(shù)據(jù)的基本認(rèn)識與處理原則
總體而言�,醫(yī)療數(shù)據(jù)包括在疾病防治����、健康管理�����、醫(yī)療管理���、醫(yī)學(xué)研究等過程中產(chǎn)生的各種數(shù)據(jù)�,包括患者的個人信息��、病歷記錄����、藥物購買與使用情況����、設(shè)備數(shù)據(jù)、系統(tǒng)記錄等�����,這些數(shù)據(jù)可能來源于與醫(yī)療健康相關(guān)的醫(yī)院信息系統(tǒng)(HIS)���、電子病歷系統(tǒng)(EMR)等信息系統(tǒng)及臨床治療�����、藥物銷售等活動�����。
開展數(shù)據(jù)處理活動遵守法律����、法規(guī),尊重社會公德和倫理��,遵守商業(yè)道德和職業(yè)道德����,誠實(shí)守信,履行數(shù)據(jù)安全保護(hù)義務(wù)�,承擔(dān)社會責(zé)任,不得危害國家安全��、公共利益���,不得損害個人�����、組織的合法權(quán)益���。處理個人信息的還應(yīng)當(dāng)遵守合法���、正當(dāng)、必要和誠信原則���,目的明確和最小化處理原則���,公開透明原則、質(zhì)量原則�����、責(zé)任原則和安全保障原則�����。
針對醫(yī)療數(shù)據(jù)�����,《國家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)�、安全和服務(wù)管理辦法(試行)》第2條特規(guī)定:“國家在保障公民知情權(quán)、使用權(quán)和個人隱私的基礎(chǔ)上�,根據(jù)國家戰(zhàn)略安全和人民群眾生命安全需要,加以規(guī)范管理和開發(fā)利用��?��!?/p>
二����、國家政策引領(lǐng)醫(yī)療數(shù)據(jù)安全治理新篇章
近年來,國家層面對醫(yī)療數(shù)據(jù)安全給予了前所未有的重視���,通過一系列政策文件明確了數(shù)據(jù)安全治理的方向與要求��。這些政策不僅強(qiáng)化了數(shù)據(jù)主體的權(quán)益保護(hù)����,還促進(jìn)了數(shù)據(jù)流通與利用的有序進(jìn)行��,為醫(yī)療行業(yè)的數(shù)字化轉(zhuǎn)型提供了堅(jiān)實(shí)的法律保障����。在此背景下,各醫(yī)療機(jī)構(gòu)及數(shù)據(jù)處理者需緊跟政策步伐���,建立健全數(shù)據(jù)安全管理體系,確保醫(yī)療數(shù)據(jù)在合法��、安全��、可控的軌道上運(yùn)行����。
2018年4月�����,國家衛(wèi)生健康委發(fā)布《關(guān)于印發(fā)全國醫(yī)院信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范(試行)的通知》。對二級及以上醫(yī)院的數(shù)據(jù)中心安全、終端安全、網(wǎng)絡(luò)安全及容災(zāi)備份提出要求��。
2018年9月13日�,國家衛(wèi)生健康委發(fā)布《國家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)�����、安全和服務(wù)管理辦法(試行)》����,明確責(zé)任單位應(yīng)當(dāng)落實(shí)網(wǎng)絡(luò)安全等級保護(hù)制度要求��,對健康醫(yī)療大數(shù)據(jù)中心、相關(guān)信息系統(tǒng)開展定級����、備案、測評等工作。
2018年9月14日,國家衛(wèi)生健康委發(fā)布《關(guān)于印發(fā)互聯(lián)網(wǎng)診療管理辦法(試行)等3個文件的通知》�,管理辦法要求醫(yī)療機(jī)構(gòu)開展互聯(lián)網(wǎng)診療活動��,應(yīng)當(dāng)具備滿足互聯(lián)網(wǎng)技術(shù)要求的設(shè)施�、信息系統(tǒng)、技術(shù)人員以及信息安全系統(tǒng)����,并實(shí)施第三級信息安全等級保護(hù)��。
2018年12月21日�,國家衛(wèi)生健康委辦公廳發(fā)文《加快推進(jìn)電子健康卡普及及應(yīng)用工作的意見》,對重點(diǎn)工作任務(wù)進(jìn)行部署,要求著力加強(qiáng)電子健康卡應(yīng)用安全建設(shè)及管理����,對電子健康卡管理服務(wù)系統(tǒng)�����、識讀終端設(shè)備����、應(yīng)用密碼機(jī)、互聯(lián)網(wǎng)醫(yī)療健康服務(wù)應(yīng)用軟件等依據(jù)國家行業(yè)標(biāo)準(zhǔn)實(shí)行質(zhì)量及安全檢測,強(qiáng)化個人健康信息安全管理�,建立相關(guān)安全風(fēng)險動態(tài)評估管理機(jī)制�,同時要求電子健康卡積極采用國密算法和國產(chǎn)自主可控安全技術(shù),確保居民健康信息的安全��。
2019年4月��,國家衛(wèi)生健康委發(fā)布《關(guān)于印發(fā)全國基層醫(yī)療衛(wèi)生機(jī)構(gòu)信息化建設(shè)標(biāo)準(zhǔn)與規(guī)范(試行)的通知》,明確了基層醫(yī)療衛(wèi)生機(jī)構(gòu)未來 5-10 年信息化建設(shè)的基本內(nèi)容和要求�����。其中信息安全部分包括身份認(rèn)證�����、桌面終端安全����、移動終端安全��、計(jì)算安全���、通信安全���、數(shù)據(jù)防泄露、可信組網(wǎng)、數(shù)據(jù)備份與恢復(fù)�����、應(yīng)用容災(zāi)、安全運(yùn)維等10個方面����。
2019年12月�,經(jīng)第十三屆全國人民代表大會常務(wù)委員會第十五次會議通過����,我國頒布衛(wèi)生健康領(lǐng)域第一部基礎(chǔ)性�、綜合性法律《中華人民共和國基本醫(yī)療衛(wèi)生與健康促進(jìn)法》,明確國家采取措施推進(jìn)醫(yī)療衛(wèi)生機(jī)構(gòu)建立健全信息安全制度,保護(hù)公民個人健康信息安全�����,對醫(yī)療信息安全制度����、保障措施不健全���,導(dǎo)致醫(yī)療信息泄露和非法損害公民個人健康信息的行為進(jìn)行處罰��。
2020年2月�,國家醫(yī)療保障局、國家衛(wèi)生健康委員會發(fā)布《關(guān)于推進(jìn)新冠肺炎疫情防控期間開展“互聯(lián)網(wǎng)+”醫(yī)保服務(wù)的指導(dǎo)意見》����,要求不斷提升信息化水平,同步做好互聯(lián)網(wǎng)醫(yī)保服務(wù)有關(guān)數(shù)據(jù)的網(wǎng)絡(luò)安全工作�����,防止數(shù)據(jù)泄露��。
2022年9月�����,《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》發(fā)布�,要求基于網(wǎng)絡(luò)和數(shù)據(jù)的全生命周期視角��,梳理安全策略架構(gòu),識別具體業(yè)務(wù)場景���,有針對性的設(shè)計(jì)安全措施�,實(shí)現(xiàn)安全防護(hù)���。
三���、醫(yī)療數(shù)據(jù)安全合規(guī)存在諸多挑戰(zhàn)
盡管政策導(dǎo)向明確��,但醫(yī)療數(shù)據(jù)安全合規(guī)之路仍面臨諸多挑戰(zhàn)�。
數(shù)據(jù)分類分級不清:組織可能未能準(zhǔn)確識別要對哪些據(jù)進(jìn)行分類和分級���,導(dǎo)致關(guān)鍵數(shù)據(jù)與一般數(shù)據(jù)的保護(hù)措施混為一談�����。
風(fēng)險評估不全面:風(fēng)險識別過程可能僅關(guān)注技術(shù)層面���,忽視了組織管理、人員意識等非技術(shù)因素帶來的風(fēng)險�����。
技術(shù)實(shí)施不足:雖然認(rèn)識到防護(hù)需求��,但未能按照《數(shù)據(jù)安全法》要求采用適當(dāng)?shù)募夹g(shù)手段�����,如加密�����、訪問控制等���。
第三方管理疏忽:對外包服務(wù)提供商的數(shù)據(jù)處理活動監(jiān)管不嚴(yán)�,未要求其達(dá)到相應(yīng)的安全標(biāo)準(zhǔn)����。
監(jiān)控盲點(diǎn):雖然按照《信息安全技術(shù)政務(wù)信息共享數(shù)據(jù)安全技術(shù)要求》GB/T39477-2020 要求進(jìn)行了部署,但監(jiān)控系統(tǒng)未覆蓋所有數(shù)據(jù)處理環(huán)節(jié)���,如數(shù)據(jù)流轉(zhuǎn)和使用過程中的異常未被有效監(jiān)測��。
威脅響應(yīng)遲緩:雖然按照《信息安全技術(shù)政務(wù)信息共享數(shù)據(jù)安全技術(shù)要求》GB/T39477-2023 建立了檢測響應(yīng)機(jī)制���,缺乏實(shí)時威脅情報和自動化的監(jiān)測響應(yīng)機(jī)制���,對新出現(xiàn)的威脅反應(yīng)緩慢。
應(yīng)急計(jì)劃不完善:雖有應(yīng)急響應(yīng)計(jì)劃�����,但未針對數(shù)據(jù)泄露等特定場景制定詳細(xì)步驟��,或未進(jìn)行定期演練����。
信息通報不暢:事件發(fā)生后,內(nèi)部溝通和外部通報流程復(fù)雜��,延誤了響應(yīng)時間���。
恢復(fù)措施表面化:僅進(jìn)行數(shù)據(jù)和系統(tǒng)的簡單恢復(fù)�����,未深入分析事件根源和采取長期改進(jìn)措施����。
持續(xù)改進(jìn)機(jī)制缺失:缺乏將事件經(jīng)驗(yàn)轉(zhuǎn)化為組織學(xué)習(xí)和改進(jìn)的機(jī)制���,問題重復(fù)發(fā)生���。
四、全過程數(shù)據(jù)安全治理保障醫(yī)療數(shù)據(jù)安全合規(guī)
為了應(yīng)對上述挑戰(zhàn)��,道普信息風(fēng)險管控專家建議從風(fēng)險識別�����、防護(hù)加固���、檢測監(jiān)測���、應(yīng)急處置、恢復(fù)改進(jìn)等各階段過程����,采取措施�����,確保符合數(shù)據(jù)安全法等相關(guān)法律法規(guī)�。
數(shù)據(jù)分類分級與保護(hù)強(qiáng)化:制定敏感性與價值導(dǎo)向的數(shù)據(jù)分類分級標(biāo)準(zhǔn)�,實(shí)施精準(zhǔn)分類并差異化保護(hù),同時強(qiáng)化員工培訓(xùn)以提升數(shù)據(jù)安全意識�。
全面動態(tài)風(fēng)險評估:綜合非技術(shù)因素,采用定性與定量法精準(zhǔn)識別風(fēng)險�,并隨業(yè)務(wù)與技術(shù)發(fā)展定期更新評估,確保全面性與時效性�����。
強(qiáng)化技術(shù)防護(hù)與創(chuàng)新能力:依據(jù)法規(guī)加強(qiáng)數(shù)據(jù)加密�、訪問控制等技術(shù)防護(hù),同時引入AI等前沿技術(shù)�,并強(qiáng)化技術(shù)培訓(xùn),提升數(shù)據(jù)安全防護(hù)水平��。
嚴(yán)控第三方數(shù)據(jù)風(fēng)險:嚴(yán)格篩選外包商��,簽訂保密協(xié)議明確責(zé)任���,并強(qiáng)化監(jiān)管審計(jì)����,確保數(shù)據(jù)安全無虞。
智能監(jiān)控與日志管理強(qiáng)化:擴(kuò)展監(jiān)控范圍�,引入AI技術(shù)提升監(jiān)控效能,完善日志管理��,確保數(shù)據(jù)處理全程可視可控����。
構(gòu)建智能應(yīng)急響應(yīng)體系:建立實(shí)時威脅情報系統(tǒng)�,引入自動化監(jiān)測響應(yīng),強(qiáng)化應(yīng)急演練����,確保數(shù)據(jù)安全無憂。
強(qiáng)化應(yīng)急準(zhǔn)備與響應(yīng):完善應(yīng)急計(jì)劃�����,定期演練評估�����,組建專業(yè)團(tuán)隊(duì),確保數(shù)據(jù)泄露等風(fēng)險高效應(yīng)對����。
優(yōu)化通報與協(xié)作機(jī)制:簡化流程,建立明確通報機(jī)制���,強(qiáng)化內(nèi)部溝通協(xié)作����,確保信息暢通無阻��,應(yīng)對迅速有力�����。
深入分析事件原因:深度剖析泄露根源�����,系統(tǒng)性制定改進(jìn)方案�����,持續(xù)跟蹤評估效果�����,確保問題根治無復(fù)發(fā)。
隨著政策的不斷推進(jìn)��,醫(yī)療數(shù)據(jù)安全合規(guī)將成為醫(yī)療行業(yè)乃至健康中國戰(zhàn)略的重要組成部分����。只有通過持續(xù)關(guān)注并積極應(yīng)對數(shù)據(jù)安全合規(guī)的相關(guān)問題,才能促進(jìn)醫(yī)療行業(yè)的健康發(fā)展��,并最終惠及廣大人民群眾���。未來���,隨著更多創(chuàng)新技術(shù)和管理方法的應(yīng)用���,我們期待醫(yī)療數(shù)據(jù)安全合規(guī)領(lǐng)域迎來更大的進(jìn)步和發(fā)展����。
