首頁資訊互聯(lián)網(wǎng)醫(yī)療時代，如何為個人醫(yī)療信息及隱私“保駕護航”？

互聯(lián)網(wǎng)醫(yī)療時代，如何為個人醫(yī)療信息及隱私“保駕護航”？

來源：泰然健康網(wǎng) 時間：2024年12月14日 10:43

當前，互聯(lián)網(wǎng)醫(yī)療在中國正成為一個方興未艾的熱點領(lǐng)域。近年來，這種依托互聯(lián)網(wǎng)作為載體和手段的健康醫(yī)療服務(wù)模式不僅得到了來自政策的肯定和引導(dǎo)，今年防疫抗疫的特殊形勢更是在客觀上推動了它的發(fā)展。

例如，疫情期間或更早時期，很多醫(yī)院和互聯(lián)網(wǎng)健康平臺已經(jīng)推出或加強了在線的醫(yī)療服務(wù)能力。人們足不出戶，就能夠享有就診預(yù)約、在線疾病咨詢、電子健康檔案、電子處方及檢驗報告查詢、遠程會診等服務(wù)。

互聯(lián)網(wǎng)醫(yī)療機遇蓬勃，伴生信息安全和隱私挑戰(zhàn)

互聯(lián)網(wǎng)醫(yī)療的發(fā)展，無疑給人們的保健、就診帶來了便利。但無疑也讓另一個問題逐漸浮出水面，這就是公民個人醫(yī)療、健康信息的安全和隱私保護問題。

其實，患者的醫(yī)療健康信息和隱私泄露并不是一個新問題。例如，在傳統(tǒng)醫(yī)療模式下，就會有很多患者由于就醫(yī)、保健等信息泄露而飽受醫(yī)托、推銷之苦；很多新生兒家庭，孕婦生產(chǎn)完還未出院，各種和新生兒有關(guān)的產(chǎn)品、服務(wù)廣告已經(jīng)被“精準”投放到了手機和郵箱里。更可怕的是，很多涉及到患者醫(yī)療健康狀況的敏感信息一旦被不法分子利用進行詐騙甚至勒索，其危害比單純的商業(yè)推銷還要嚴重得多。

在互聯(lián)網(wǎng)醫(yī)療興起的今天，患者的醫(yī)療健康信息幾乎可以全程以電子化的途徑進行采集、記錄、傳輸和存儲，在顯著提高效率的同時，也不可避免地增加了個人健康醫(yī)療信息被攔截和泄露的途徑和風(fēng)險。而且，人們越來越多地在智能手機上使用醫(yī)院在線服務(wù)的應(yīng)用界面和各類醫(yī)療健康類APP，卻不一定具備足夠的隱私保護意識和技巧，也使得信息在不經(jīng)意間被泄露的可能性增大。

在去年，溫州就發(fā)生過不法人員破解及下載醫(yī)院信息系統(tǒng)數(shù)據(jù)并牟取暴利的案例。盡管醫(yī)院對相關(guān)數(shù)據(jù)已經(jīng)進行了加密處理，但“數(shù)據(jù)竊賊”竟然利用午休時間潛入醫(yī)院診室，直接在診室電腦上通過“自編程序破解+U盤下載”的手段，竊取了多家醫(yī)院的“統(tǒng)方”等數(shù)據(jù)進行轉(zhuǎn)賣，將患者的隱私和醫(yī)院的知識產(chǎn)權(quán)視同無物。

事實上，今天這種如“碟中諜”般實地操作的“數(shù)據(jù)竊賊”已頗屬于異類了，更多的“黑客”足不出戶，就可以對互聯(lián)網(wǎng)醫(yī)療數(shù)據(jù)系統(tǒng)進行遠程的攻擊和竊取，其“來無影去無蹤”的網(wǎng)絡(luò)身法讓人更加不寒而栗。

“立法+實踐”多管齊下，保障醫(yī)療信息安全

那么，如何防范互聯(lián)網(wǎng)醫(yī)療時代的醫(yī)療信息安全風(fēng)險呢？

當前，這一問題已經(jīng)得到了國內(nèi)管理機構(gòu)、醫(yī)療及其信息化行業(yè)及專家、學(xué)者的廣泛重視。首先在法律層面，今年剛剛生效的《衛(wèi)健法》明確規(guī)定：“國家保護公民個人健康信息，確保公民個人健康信息安全。任何組織或者個人不得非法收集、使用、加工、傳輸公民個人健康信息，不得非法買賣、提供或者公開公民個人健康信息?！?/p>

而早在此前，針對個人醫(yī)療健康信息的保護問題，國家也通過《網(wǎng)絡(luò)安全法》、《電子病歷應(yīng)用規(guī)范（試行）》、《國務(wù)院辦公廳關(guān)于促進和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見》等法律和行政文件的形式作出了相關(guān)規(guī)定。再加上此次《衛(wèi)健法》明確規(guī)定了泄露個人健康信息的法律后果等，進一步完善了管控這一風(fēng)險的法律依據(jù)。

在實踐中，也有各界人士這一問題進行過評述。有專家指出，保障個人醫(yī)療健康信息和隱私的安全，同時也是在保護醫(yī)院和醫(yī)務(wù)工作者的知識產(chǎn)權(quán)。要切實建立起可靠的保障，需要在以下幾個方面提高重視。

首先，在提供互聯(lián)網(wǎng)醫(yī)療服務(wù)或醫(yī)院線上服務(wù)的過程中，應(yīng)該共同提升醫(yī)療健康信息采集者、管理者、應(yīng)用者以及患者本人的信息安全意識和法律意識，建立并完善責任可追溯的信息安全管理制度，從理念和機制上加以重視。其次，互聯(lián)網(wǎng)醫(yī)療服務(wù)提供商、醫(yī)院以及醫(yī)療信息化系統(tǒng)的供應(yīng)商應(yīng)該從技術(shù)層面提升信息安全能力，不斷完善信息安全攻防、分級保護以及基于訪問控制的保護策略等技術(shù)手段，在相關(guān)合作方之間，也要通過合同協(xié)議等方式確立技術(shù)提供方的信息安全保障義務(wù)；最后，對醫(yī)療健康信息的保護和妥善利用并不相悖，針對醫(yī)學(xué)研究所需的大量數(shù)據(jù)，可以通過合理的機制進行數(shù)據(jù)脫敏，促進和規(guī)范對醫(yī)療健康數(shù)據(jù)的合理利用途徑。

他山之石：保障醫(yī)療健康信息安全的海外實踐

顯然，在數(shù)字化浪潮席卷全球的今天，在線醫(yī)療健康數(shù)據(jù)和患者隱私的安全問題并不僅僅是中國醫(yī)療界面臨的挑戰(zhàn)。在這方面，英國作為一個率先在全民范圍內(nèi)實踐數(shù)字化醫(yī)療的國家，其應(yīng)對這一問題的豐富經(jīng)驗，完全可以為國內(nèi)業(yè)界提供有益的參考和啟示。

在英國，智慧醫(yī)療科技公司TPP與NHS（英國國家醫(yī)療服務(wù)體系）一直在數(shù)字領(lǐng)域保持著緊密的合作，TPP的智慧醫(yī)療系統(tǒng)儲存著英國2/3 以上人口的電子病歷，托管了5000萬名患者的健康檔案。而對于患者信息的安全隱私問題，從國家監(jiān)管層面到企業(yè)層面，都形成了相對完善的機制和經(jīng)驗。

首先在監(jiān)管層面，英國實施沿襲自歐盟的GDPR（通用數(shù)據(jù)保護條例）和英國《數(shù)據(jù)保護法–2018》等嚴格的數(shù)據(jù)安全保護法規(guī)。包括TPP在內(nèi)的電子病歷供應(yīng)商，都需要確保符合一系列嚴格的國家標準，才能在英國提供信息技術(shù)服務(wù)。

根據(jù)GDPR和數(shù)據(jù)保護法，數(shù)據(jù)監(jiān)管機構(gòu)擁有極大的權(quán)力對相關(guān)公司進行問責。英國信息專員辦公室可以對違反規(guī)定的公司施以高達年營業(yè)額4%的罰款，對最嚴重的數(shù)據(jù)違規(guī)的處罰可高達2000萬英鎊。如此嚴苛的條例，對于相關(guān)責任者具有極強的警示作用。

涉及到患者醫(yī)療信息的企業(yè)，同樣會采取一系列主動措施來應(yīng)對這一風(fēng)險。在行業(yè)及國家標準方面，TPP不僅達到了ISO 27001、ISO 20000、ISO 22301、網(wǎng)絡(luò)基礎(chǔ)設(shè)施增強認證、NHS標準 DCB0129等一系列標準，還提供了高于標準要求的NHS數(shù)據(jù)安全和保護措施。

而作為海量醫(yī)療數(shù)據(jù)的保管方，TPP同樣高度重視信息安全技術(shù)的持續(xù)更新與完善。TPP的技術(shù)團隊每天都會審視新出現(xiàn)的威脅，確保不會因任何潛在問題而影響數(shù)據(jù)安全；工作人員還會定期進行滲透測試，確保應(yīng)用程序和基礎(chǔ)架構(gòu)盡可能安全；此外，還要保持軟件和硬件的定期更新，避免系統(tǒng)暴露于潛在的安全缺陷下。

為應(yīng)對突發(fā)狀況，保持業(yè)務(wù)連續(xù)性和災(zāi)后數(shù)據(jù)恢復(fù)等程序也必須考慮在內(nèi)。例如，TPP技術(shù)人員會將數(shù)據(jù)備份到備用位置，并定期測試備用位置在災(zāi)難情況下可隨時啟用。

而在用戶端，TPP也主動采取了一些設(shè)計，避免意外的數(shù)據(jù)泄露。比如在TPP面向個人的愛閱歷APP上，就采用了截屏警示的功能，在程序最小化時，程序還會用空白圖像代替，從這些細節(jié)上防止患者隱私被意外泄露。

TPP技術(shù)運營總監(jiān)凱文·桑德森

對于中國業(yè)界各方如何更好地應(yīng)對患者醫(yī)療健康信息安全和隱私保護問題，TPP技術(shù)運營總監(jiān)凱文·桑德森也提出了一些建議。他談到，數(shù)據(jù)安全是一項持續(xù)的活動，也是當今軟件公司面臨的最大挑戰(zhàn)之一。要獲得患者對其數(shù)據(jù)安全性的信任，服務(wù)于醫(yī)療領(lǐng)域的信息化及軟件公司可以對以下一些關(guān)鍵領(lǐng)域加強關(guān)注：

【機密性】-- 實施保障數(shù)據(jù)機密性和防止漏洞的安全系統(tǒng)。隨著越來越多的數(shù)據(jù)被收集，患者隱私問題也將隨之增加，這些問題必須得到解決。

【數(shù)據(jù)所有權(quán)】-- 各方應(yīng)達成共識，軟件供應(yīng)商不擁有患者數(shù)據(jù)，數(shù)據(jù)歸患者和醫(yī)護人員所有。

【加密】-- 無論數(shù)據(jù)處于靜止狀態(tài)還是在傳輸過程中，都應(yīng)該在各個級別對其進行加密。

【數(shù)據(jù)保存位置】-- 數(shù)據(jù)應(yīng)該在所在國家就地保存，禁止跨境復(fù)制，以確保遵守當?shù)財?shù)據(jù)法規(guī)和法律。

【數(shù)據(jù)訪問和泄漏】-- 采取適當?shù)摹⒔?jīng)過測試的管控措施，以限制對數(shù)據(jù)的訪問。

【威脅和漏洞管理】-- 有效識別、評估和補救缺陷，降低潛在風(fēng)險。

【滲透測試】-- 通過滲透測試，旨在發(fā)現(xiàn)攻擊者可能利用的安全漏洞。

互聯(lián)網(wǎng)醫(yī)療時代，新的機遇和挑戰(zhàn)不斷涌現(xiàn)。但無論技術(shù)和商業(yè)模式如何發(fā)展，患者的隱私和信息安全必須優(yōu)先得到保障，這也是全球醫(yī)療信息產(chǎn)業(yè)界的共識。為患者的隱私安全保駕護航，讓我們共同努力！

網(wǎng)址: 互聯(lián)網(wǎng)醫(yī)療時代，如何為個人醫(yī)療信息及隱私“保駕護航”？ http://www.u1s5d6.cn/newsview515515.html