首頁資訊互聯(lián)網(wǎng)醫(yī)療時(shí)代，如何為個(gè)人醫(yī)療信息及隱私“保駕護(hù)航”？

互聯(lián)網(wǎng)醫(yī)療時(shí)代，如何為個(gè)人醫(yī)療信息及隱私“保駕護(hù)航”？

來源：泰然健康網(wǎng) 時(shí)間：2024年12月14日 10:43

當(dāng)前，互聯(lián)網(wǎng)醫(yī)療在中國正成為一個(gè)方興未艾的熱點(diǎn)領(lǐng)域。近年來，這種依托互聯(lián)網(wǎng)作為載體和手段的健康醫(yī)療服務(wù)模式不僅得到了來自政策的肯定和引導(dǎo)，今年防疫抗疫的特殊形勢更是在客觀上推動(dòng)了它的發(fā)展。

例如，疫情期間或更早時(shí)期，很多醫(yī)院和互聯(lián)網(wǎng)健康平臺(tái)已經(jīng)推出或加強(qiáng)了在線的醫(yī)療服務(wù)能力。人們足不出戶，就能夠享有就診預(yù)約、在線疾病咨詢、電子健康檔案、電子處方及檢驗(yàn)報(bào)告查詢、遠(yuǎn)程會(huì)診等服務(wù)。

互聯(lián)網(wǎng)醫(yī)療機(jī)遇蓬勃，伴生信息安全和隱私挑戰(zhàn)

互聯(lián)網(wǎng)醫(yī)療的發(fā)展，無疑給人們的保健、就診帶來了便利。但無疑也讓另一個(gè)問題逐漸浮出水面，這就是公民個(gè)人醫(yī)療、健康信息的安全和隱私保護(hù)問題。

其實(shí)，患者的醫(yī)療健康信息和隱私泄露并不是一個(gè)新問題。例如，在傳統(tǒng)醫(yī)療模式下，就會(huì)有很多患者由于就醫(yī)、保健等信息泄露而飽受醫(yī)托、推銷之苦；很多新生兒家庭，孕婦生產(chǎn)完還未出院，各種和新生兒有關(guān)的產(chǎn)品、服務(wù)廣告已經(jīng)被“精準(zhǔn)”投放到了手機(jī)和郵箱里。更可怕的是，很多涉及到患者醫(yī)療健康狀況的敏感信息一旦被不法分子利用進(jìn)行詐騙甚至勒索，其危害比單純的商業(yè)推銷還要嚴(yán)重得多。

在互聯(lián)網(wǎng)醫(yī)療興起的今天，患者的醫(yī)療健康信息幾乎可以全程以電子化的途徑進(jìn)行采集、記錄、傳輸和存儲(chǔ)，在顯著提高效率的同時(shí)，也不可避免地增加了個(gè)人健康醫(yī)療信息被攔截和泄露的途徑和風(fēng)險(xiǎn)。而且，人們越來越多地在智能手機(jī)上使用醫(yī)院在線服務(wù)的應(yīng)用界面和各類醫(yī)療健康類APP，卻不一定具備足夠的隱私保護(hù)意識(shí)和技巧，也使得信息在不經(jīng)意間被泄露的可能性增大。

在去年，溫州就發(fā)生過不法人員破解及下載醫(yī)院信息系統(tǒng)數(shù)據(jù)并牟取暴利的案例。盡管醫(yī)院對(duì)相關(guān)數(shù)據(jù)已經(jīng)進(jìn)行了加密處理，但“數(shù)據(jù)竊賊”竟然利用午休時(shí)間潛入醫(yī)院診室，直接在診室電腦上通過“自編程序破解+U盤下載”的手段，竊取了多家醫(yī)院的“統(tǒng)方”等數(shù)據(jù)進(jìn)行轉(zhuǎn)賣，將患者的隱私和醫(yī)院的知識(shí)產(chǎn)權(quán)視同無物。

事實(shí)上，今天這種如“碟中諜”般實(shí)地操作的“數(shù)據(jù)竊賊”已頗屬于異類了，更多的“黑客”足不出戶，就可以對(duì)互聯(lián)網(wǎng)醫(yī)療數(shù)據(jù)系統(tǒng)進(jìn)行遠(yuǎn)程的攻擊和竊取，其“來無影去無蹤”的網(wǎng)絡(luò)身法讓人更加不寒而栗。

“立法+實(shí)踐”多管齊下，保障醫(yī)療信息安全

那么，如何防范互聯(lián)網(wǎng)醫(yī)療時(shí)代的醫(yī)療信息安全風(fēng)險(xiǎn)呢？

當(dāng)前，這一問題已經(jīng)得到了國內(nèi)管理機(jī)構(gòu)、醫(yī)療及其信息化行業(yè)及專家、學(xué)者的廣泛重視。首先在法律層面，今年剛剛生效的《衛(wèi)健法》明確規(guī)定：“國家保護(hù)公民個(gè)人健康信息，確保公民個(gè)人健康信息安全。任何組織或者個(gè)人不得非法收集、使用、加工、傳輸公民個(gè)人健康信息，不得非法買賣、提供或者公開公民個(gè)人健康信息?！?/p>

而早在此前，針對(duì)個(gè)人醫(yī)療健康信息的保護(hù)問題，國家也通過《網(wǎng)絡(luò)安全法》、《電子病歷應(yīng)用規(guī)范（試行）》、《國務(wù)院辦公廳關(guān)于促進(jìn)和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見》等法律和行政文件的形式作出了相關(guān)規(guī)定。再加上此次《衛(wèi)健法》明確規(guī)定了泄露個(gè)人健康信息的法律后果等，進(jìn)一步完善了管控這一風(fēng)險(xiǎn)的法律依據(jù)。

在實(shí)踐中，也有各界人士這一問題進(jìn)行過評(píng)述。有專家指出，保障個(gè)人醫(yī)療健康信息和隱私的安全，同時(shí)也是在保護(hù)醫(yī)院和醫(yī)務(wù)工作者的知識(shí)產(chǎn)權(quán)。要切實(shí)建立起可靠的保障，需要在以下幾個(gè)方面提高重視。

首先，在提供互聯(lián)網(wǎng)醫(yī)療服務(wù)或醫(yī)院線上服務(wù)的過程中，應(yīng)該共同提升醫(yī)療健康信息采集者、管理者、應(yīng)用者以及患者本人的信息安全意識(shí)和法律意識(shí)，建立并完善責(zé)任可追溯的信息安全管理制度，從理念和機(jī)制上加以重視。其次，互聯(lián)網(wǎng)醫(yī)療服務(wù)提供商、醫(yī)院以及醫(yī)療信息化系統(tǒng)的供應(yīng)商應(yīng)該從技術(shù)層面提升信息安全能力，不斷完善信息安全攻防、分級(jí)保護(hù)以及基于訪問控制的保護(hù)策略等技術(shù)手段，在相關(guān)合作方之間，也要通過合同協(xié)議等方式確立技術(shù)提供方的信息安全保障義務(wù)；最后，對(duì)醫(yī)療健康信息的保護(hù)和妥善利用并不相悖，針對(duì)醫(yī)學(xué)研究所需的大量數(shù)據(jù)，可以通過合理的機(jī)制進(jìn)行數(shù)據(jù)脫敏，促進(jìn)和規(guī)范對(duì)醫(yī)療健康數(shù)據(jù)的合理利用途徑。

他山之石：保障醫(yī)療健康信息安全的海外實(shí)踐

顯然，在數(shù)字化浪潮席卷全球的今天，在線醫(yī)療健康數(shù)據(jù)和患者隱私的安全問題并不僅僅是中國醫(yī)療界面臨的挑戰(zhàn)。在這方面，英國作為一個(gè)率先在全民范圍內(nèi)實(shí)踐數(shù)字化醫(yī)療的國家，其應(yīng)對(duì)這一問題的豐富經(jīng)驗(yàn)，完全可以為國內(nèi)業(yè)界提供有益的參考和啟示。

在英國，智慧醫(yī)療科技公司TPP與NHS（英國國家醫(yī)療服務(wù)體系）一直在數(shù)字領(lǐng)域保持著緊密的合作，TPP的智慧醫(yī)療系統(tǒng)儲(chǔ)存著英國2/3 以上人口的電子病歷，托管了5000萬名患者的健康檔案。而對(duì)于患者信息的安全隱私問題，從國家監(jiān)管層面到企業(yè)層面，都形成了相對(duì)完善的機(jī)制和經(jīng)驗(yàn)。

首先在監(jiān)管層面，英國實(shí)施沿襲自歐盟的GDPR（通用數(shù)據(jù)保護(hù)條例）和英國《數(shù)據(jù)保護(hù)法–2018》等嚴(yán)格的數(shù)據(jù)安全保護(hù)法規(guī)。包括TPP在內(nèi)的電子病歷供應(yīng)商，都需要確保符合一系列嚴(yán)格的國家標(biāo)準(zhǔn)，才能在英國提供信息技術(shù)服務(wù)。

根據(jù)GDPR和數(shù)據(jù)保護(hù)法，數(shù)據(jù)監(jiān)管機(jī)構(gòu)擁有極大的權(quán)力對(duì)相關(guān)公司進(jìn)行問責(zé)。英國信息專員辦公室可以對(duì)違反規(guī)定的公司施以高達(dá)年?duì)I業(yè)額4%的罰款，對(duì)最嚴(yán)重的數(shù)據(jù)違規(guī)的處罰可高達(dá)2000萬英鎊。如此嚴(yán)苛的條例，對(duì)于相關(guān)責(zé)任者具有極強(qiáng)的警示作用。

涉及到患者醫(yī)療信息的企業(yè)，同樣會(huì)采取一系列主動(dòng)措施來應(yīng)對(duì)這一風(fēng)險(xiǎn)。在行業(yè)及國家標(biāo)準(zhǔn)方面，TPP不僅達(dá)到了ISO 27001、ISO 20000、ISO 22301、網(wǎng)絡(luò)基礎(chǔ)設(shè)施增強(qiáng)認(rèn)證、NHS標(biāo)準(zhǔn) DCB0129等一系列標(biāo)準(zhǔn)，還提供了高于標(biāo)準(zhǔn)要求的NHS數(shù)據(jù)安全和保護(hù)措施。

而作為海量醫(yī)療數(shù)據(jù)的保管方，TPP同樣高度重視信息安全技術(shù)的持續(xù)更新與完善。TPP的技術(shù)團(tuán)隊(duì)每天都會(huì)審視新出現(xiàn)的威脅，確保不會(huì)因任何潛在問題而影響數(shù)據(jù)安全；工作人員還會(huì)定期進(jìn)行滲透測試，確保應(yīng)用程序和基礎(chǔ)架構(gòu)盡可能安全；此外，還要保持軟件和硬件的定期更新，避免系統(tǒng)暴露于潛在的安全缺陷下。

為應(yīng)對(duì)突發(fā)狀況，保持業(yè)務(wù)連續(xù)性和災(zāi)后數(shù)據(jù)恢復(fù)等程序也必須考慮在內(nèi)。例如，TPP技術(shù)人員會(huì)將數(shù)據(jù)備份到備用位置，并定期測試備用位置在災(zāi)難情況下可隨時(shí)啟用。

而在用戶端，TPP也主動(dòng)采取了一些設(shè)計(jì)，避免意外的數(shù)據(jù)泄露。比如在TPP面向個(gè)人的愛閱歷APP上，就采用了截屏警示的功能，在程序最小化時(shí)，程序還會(huì)用空白圖像代替，從這些細(xì)節(jié)上防止患者隱私被意外泄露。

TPP技術(shù)運(yùn)營總監(jiān)凱文·桑德森

對(duì)于中國業(yè)界各方如何更好地應(yīng)對(duì)患者醫(yī)療健康信息安全和隱私保護(hù)問題，TPP技術(shù)運(yùn)營總監(jiān)凱文·桑德森也提出了一些建議。他談到，數(shù)據(jù)安全是一項(xiàng)持續(xù)的活動(dòng)，也是當(dāng)今軟件公司面臨的最大挑戰(zhàn)之一。要獲得患者對(duì)其數(shù)據(jù)安全性的信任，服務(wù)于醫(yī)療領(lǐng)域的信息化及軟件公司可以對(duì)以下一些關(guān)鍵領(lǐng)域加強(qiáng)關(guān)注：

【機(jī)密性】-- 實(shí)施保障數(shù)據(jù)機(jī)密性和防止漏洞的安全系統(tǒng)。隨著越來越多的數(shù)據(jù)被收集，患者隱私問題也將隨之增加，這些問題必須得到解決。

【數(shù)據(jù)所有權(quán)】-- 各方應(yīng)達(dá)成共識(shí)，軟件供應(yīng)商不擁有患者數(shù)據(jù)，數(shù)據(jù)歸患者和醫(yī)護(hù)人員所有。

【加密】-- 無論數(shù)據(jù)處于靜止?fàn)顟B(tài)還是在傳輸過程中，都應(yīng)該在各個(gè)級(jí)別對(duì)其進(jìn)行加密。

【數(shù)據(jù)保存位置】-- 數(shù)據(jù)應(yīng)該在所在國家就地保存，禁止跨境復(fù)制，以確保遵守當(dāng)?shù)財(cái)?shù)據(jù)法規(guī)和法律。

【數(shù)據(jù)訪問和泄漏】-- 采取適當(dāng)?shù)?、?jīng)過測試的管控措施，以限制對(duì)數(shù)據(jù)的訪問。

【威脅和漏洞管理】-- 有效識(shí)別、評(píng)估和補(bǔ)救缺陷，降低潛在風(fēng)險(xiǎn)。

【滲透測試】-- 通過滲透測試，旨在發(fā)現(xiàn)攻擊者可能利用的安全漏洞。

互聯(lián)網(wǎng)醫(yī)療時(shí)代，新的機(jī)遇和挑戰(zhàn)不斷涌現(xiàn)。但無論技術(shù)和商業(yè)模式如何發(fā)展，患者的隱私和信息安全必須優(yōu)先得到保障，這也是全球醫(yī)療信息產(chǎn)業(yè)界的共識(shí)。為患者的隱私安全保駕護(hù)航，讓我們共同努力！

網(wǎng)址: 互聯(lián)網(wǎng)醫(yī)療時(shí)代，如何為個(gè)人醫(yī)療信息及隱私“保駕護(hù)航”？ http://www.u1s5d6.cn/newsview515515.html