如今,伴隨前沿技術的普及應用�,醫(yī)療信息化建設呈現高速發(fā)展態(tài)勢�����,醫(yī)療數據在流動中被更加充分加以利用��,其價值與重要性愈發(fā)受到關注和重視����。
本文將通過六類典型醫(yī)療場景,逐一闡述醫(yī)療數據在不同場景下的使用風險及相關內容.
場景一:互聯互通數據安全
醫(yī)院等醫(yī)療機構為實現跨機構、跨地域的健康診療信息交互�、共享和醫(yī)療服務協(xié)同����,需要在各醫(yī)療機構、醫(yī)聯體信息平臺之間實現數據(電子病歷��、電子健康檔案等)的互聯互通與信息共享����。
在此場景下,醫(yī)護人員����、衛(wèi)生機構管理人員、醫(yī)院間聯合體及醫(yī)療第三方服務機構人員在對相關系統(tǒng)文件����、數據庫資料等敏感數據進行訪問瀏覽,以及通過內部信息共享交換系統(tǒng)進行文件數據傳輸��、存儲等操作時��,均可能導致醫(yī)患隱私等重要信息面臨泄露風險��。
場景二:遠程醫(yī)療數據安全
一方醫(yī)療機構為邀請其他醫(yī)療機構對其診療患者提供技術支持等醫(yī)療活動時���,涉及近端/遠端醫(yī)院��、患者�����、遠程診療設備提供者�、設備維護管理者���、遠程診療信息發(fā)布平臺服務提供商�����、網絡運營商等第三方。
在此場景下����,近端醫(yī)院需向遠端醫(yī)院出示患者的檢驗報告�、診斷結果�����、用藥信息�、既往病史、家族病史�、傳染病史等涉及患者隱私的個人健康醫(yī)療信息。如果遠程診療網絡相關服務器和終端被非法人員使用�����,則數據在遠程診療過程中將面臨敏感數據被非法訪問���、竊取篡改�����、惡意上傳等風險����。
場景三:匯聚中心數據安全
匯聚中心是指區(qū)域衛(wèi)生信息平臺�、健康醫(yī)療大數據中心�、學會數據中心、醫(yī)院內部數據中心等為醫(yī)生���、患者����、第三方研究機構的“診療參考��、健康管理��、分析利用”等需求提供數據應用支撐的平臺機構�����。
在此場景下,匯聚中心涉及跨機構數據匯聚�����,集中存儲著包括基本人口學數據����、病歷數據、健康檔案數據等大量數據信息�����。例如���,A醫(yī)院醫(yī)生會通過匯聚中心調閱某患者在B醫(yī)院就診時的健康醫(yī)療信息�����,如果沒有建立對中心數據分級標注以及顆粒度匹配等機制����,將面臨非法登錄�����、越權訪問、異常調閱��、冒名查詢���、批量竊取、明文泄露等數據安全風險�����。
場景四:臨床研究數據安全
臨床研究數據通常指由醫(yī)院��、學術研究機構和醫(yī)療企業(yè)發(fā)起的���,以確認藥物���、醫(yī)療器械、醫(yī)療信息系統(tǒng)���、診斷和治療的安全性和有效性為目的的研究中���,所涉及的基本人口學資料、檢查信息����、檢驗信息��、藥品醫(yī)囑���、診斷信息、病例及患者報告等信息���。
在此場景下�����,參與臨床研究的醫(yī)患及有關信息���,被臨床試驗電子系統(tǒng)的用戶進行訪問或被交由醫(yī)療機構進行使用等過程中面臨諸多數據安全合規(guī)風險。
場景五:商保對接數據安全
商業(yè)保險公司通過與醫(yī)療機構建立連接的醫(yī)療信息系統(tǒng)����,及時掌握個人健康醫(yī)療信息主體的診療情況及發(fā)生的相關費用信息。例如�����,個人屬性信息��、健康狀況信息、醫(yī)療應用信息��、醫(yī)療資金與支付信息����、衛(wèi)生資源信息等數據�,從而根據商業(yè)保險機構的核賠規(guī)則自動進行支付結算等理賠業(yè)務。
在此場景下��,投保用戶的健康醫(yī)療信息將由醫(yī)療機構向商業(yè)保險機構進行披露�,因而在系統(tǒng)對接、數據傳輸����、數據使用、數據存儲�、數據銷毀等環(huán)節(jié)存在數據泄露的風險。
場景六:器械維護數據安全
醫(yī)療器械維護的目標是確保器械安全�����、有效和功能正常��。不同的醫(yī)療器械可能涉及不同的數據�����,影像系統(tǒng)可能涉及病人的影像及其診斷報告,檢驗系統(tǒng)可能涉及病人的檢驗�、檢查報告及檢驗結果等信息。
在此場景下�,醫(yī)療器械廠商在進行遠程維護時,可能讀取醫(yī)療器械產生的數據���,用以分析應用的安全性和有效性�����。在以上流程中���,數據將面臨非授權訪問、不安全鏈接���、隱私數據泄露����、維護記錄保存不當等安全風險�。
綜上所述,醫(yī)療數據在不同場景下面臨的大量數據“合法利用”的安全風險,需要制定切實有效的管控機制����,構建數據安全治理體系。
2021年6月10日���,十三屆全國人大常委會第二十九次會議表決通過《中華人民共和國數據安全法》���,并將于9月1日施行?�!稊祿踩ā肥抢^《網絡安全法》之后���,國家在信息安全領域頒布的又一部重要法律,進一步完善和增強了數據安全領域的法律法規(guī)�。
《數據安全法》從數據安全制度、安全義務等方面��,對企業(yè)建設數據安全保護體系提出了明確要求:
1
建立并執(zhí)行數據分級��、分類制度���,對列入分級分類目錄的重要數據實施重點保護——《數據安全法》第二十一條���。
2
建立并執(zhí)行數據安全風險評估���,預警、監(jiān)測��,審計��、追溯����,應急響應體系——《數據安全法》第二十二條、第二十三條��。
3
要求建立與數據安全相應的覆蓋安全管理���,教育培訓��,技術手段等方面的數據安全保護體系——《數據安全法》第二十七條�����。
4
要求履行數據安全風險評估���,預警����、監(jiān)測��,審計��、追溯���,數據安全風險和事件報告等安全義務——《數據安全法》第二十九條�����、第三十條���。
5
