引 言

在數(shù)字化時代，健康醫(yī)療數(shù)據(jù)的安全性和隱私保護已成為醫(yī)療行業(yè)的核心議題。隨著“互聯(lián)網(wǎng)+醫(yī)療健康”和智慧醫(yī)療的快速發(fā)展，新業(yè)務、新應用層出不窮，健康醫(yī)療數(shù)據(jù)在全鏈路的各個階段都面臨著前所未有的安全挑戰(zhàn)，如數(shù)據(jù)采集階段可能存在數(shù)據(jù)泄露風險，存儲階段可能會被內部的工作人員、第三方合作伙伴甚至黑客竊取敏感數(shù)據(jù)信息，數(shù)據(jù)共享階段可能由于范圍選擇不當?shù)仍蛐孤睹舾行畔⒌纫幌盗邪踩魬?zhàn)，需要采取相應的安全措施來應對。個保法針對個人信息安全提出了明確的要求，國家標準GB/T 35273-2020《信息安全技術 個人信息安全規(guī)范》圍繞個人信息安全針對個人信息控制者提出了更為詳盡的要求。針對健康醫(yī)療行業(yè)特點，尤其是健康醫(yī)療信息的高敏感性、高價值性和生命相關性以及一些常見業(yè)務場景，GB/T 39725-2020《信息安全技術 健康醫(yī)療數(shù)據(jù)安全指南》（下文稱“指南”）給出了具體的安全指南，為醫(yī)療行業(yè)提供了數(shù)據(jù)保護的指導和參考。本文旨在探討醫(yī)療行業(yè)如何踐行這一指南，確保數(shù)據(jù)安全的同時促進醫(yī)療服務的高質量發(fā)展。

一、安全措施解析

為確保健康醫(yī)療數(shù)據(jù)的安全性、保密性和可用性，規(guī)范和推動健康醫(yī)療數(shù)據(jù)的融合共享、開放應用，促進健康醫(yī)療事業(yè)發(fā)展，同時保護個人信息安全和國家安全，《指南》在安全措施方面，明確了具體要求。

在數(shù)據(jù)安全領域，數(shù)據(jù)分類分級與安全措施的實施是確保數(shù)據(jù)安全的基礎。針對醫(yī)療行業(yè)的數(shù)據(jù)，根據(jù)數(shù)據(jù)的敏感性和個人信息安全風險，數(shù)據(jù)可分為五個級別，每個級別都有其特定的業(yè)務要求和適用場合。例如，第1級數(shù)據(jù)可以公開發(fā)布，而第5級數(shù)據(jù)則涉及特殊疾病診療所必須的敏感信息（如圖1所示）。安全措施包括去標識化處理、身份鑒別、訪問控制管理等，以確保數(shù)據(jù)的完整性和真實性。在數(shù)據(jù)流通使用場景中，不同角色如醫(yī)療機構、科研機構、醫(yī)保機構等，根據(jù)其在數(shù)據(jù)生命周期中的角色和責任，需滿足不同的安全控制要求，這些要求涵蓋數(shù)據(jù)采集、傳輸、存儲和使用的各個環(huán)節(jié)，包括知情同意、加密、去標識化、權限管理等。對于數(shù)據(jù)開放，無論是通過網(wǎng)站公開、文件共享、API接入、在線查詢還是數(shù)據(jù)分析平臺，都應遵循“最少必要原則”，并確保數(shù)據(jù)開放的目的、內容、使用方等經(jīng)過相應的審批，以符合合法性、正當性和必要性的要求。此外，還需盡可能地去標識化，明確數(shù)據(jù)開發(fā)和使用目的、使用方需要承擔的安全責任，并簽署相應的協(xié)議。對于涉及出境的數(shù)據(jù)，應依規(guī)進行安全評估，涉及重要數(shù)據(jù)的則需依規(guī)進行評估審批。這些綜合措施共同構建了一個多層次、全方位的數(shù)據(jù)保護體系，旨在保護個人信息安全，同時促進醫(yī)療數(shù)據(jù)的合理利用。

圖1 從個人信息安全風險出發(fā)的數(shù)據(jù)分級與安全措施要點

二、安全措施實踐

（一）分類分級

醫(yī)療機構需根據(jù)國家標準和業(yè)務需求，對數(shù)據(jù)進行分類分級管理。這不僅涉及到對數(shù)據(jù)的敏感性評估，還包括對數(shù)據(jù)的存儲、處理和傳輸過程中的動態(tài)分類分級。

依據(jù)GB/T 39725-2020《信息安全技術 健康醫(yī)療數(shù)據(jù)安全指南》，數(shù)據(jù)分類分級模型需覆蓋全類型全格式數(shù)據(jù)，包括結構化、非結構化信息中的敏感數(shù)據(jù)識別。模型應支持多維度數(shù)據(jù)分類，還應根據(jù)數(shù)據(jù)的來源、類型、內容和格式進行細分。此外，模型應遵循合法合規(guī)性原則、綜合性原則、規(guī)范性原則等，確保數(shù)據(jù)分類分級的準確性和有效性。醫(yī)療機構依據(jù)該指南，結合自身業(yè)務情況，可制定符合醫(yī)院的數(shù)據(jù)分類分級標準，確保數(shù)據(jù)識別模型的全面性和細致性。通過建立數(shù)據(jù)分類分級模型，醫(yī)療機構能夠快速自動地實現(xiàn)數(shù)據(jù)的分類分級工作，為確保不同級別的數(shù)據(jù)得到相應級別的保護奠定基礎。

基于數(shù)據(jù)分類分級模型，對醫(yī)療機構的所有數(shù)據(jù)資產(chǎn)進行盤點和識別，避免遺漏或誤判。通過配置的醫(yī)療信息系統(tǒng)信息，進行自動化的數(shù)據(jù)資產(chǎn)掃描，獲取非結構化文檔、數(shù)據(jù)庫、數(shù)據(jù)表、視圖、數(shù)據(jù)表字段等信息，并生成數(shù)據(jù)資產(chǎn)目錄。同時，配合人工審核和驗證，與各業(yè)務科室、信息部門、技術部門溝通核驗數(shù)據(jù)資源目錄的準確性和完整性。借助自動化的數(shù)據(jù)分類分級工具，利用智能化算法，如自然語言處理和機器學習，提高識別率和流程效率，幫助醫(yī)療機構快速定位數(shù)據(jù)，清晰了解數(shù)據(jù)資產(chǎn)的類型、分布、權限和敏感數(shù)據(jù)的流轉使用情況，為數(shù)據(jù)安全防護策略的制定提供依據(jù)。

醫(yī)療行業(yè)的數(shù)據(jù)資產(chǎn)并非一直保持靜態(tài)存儲狀態(tài)，在整個采集、交換、使用等的過程中，需進行動態(tài)的數(shù)據(jù)分類分級。這包括對增量數(shù)據(jù)的持續(xù)性分類分級，持續(xù)梳理新產(chǎn)生變化的部分。同時，對于同樣一份數(shù)據(jù)在其流轉過程中，應能識別加密壓縮、格式轉化、隱寫變形等操作下的數(shù)據(jù)內容，以保證數(shù)據(jù)流轉的可控性。醫(yī)療機構的分類分級需支持對各種格式壓縮包進行多層嵌套識別，支持加密文件識別，支持不同編碼格式，支持基于文件指紋、文件DNA等文件生物特征檢測，以及隱寫數(shù)據(jù)、加密數(shù)據(jù)等包含敏感信息的不可解析數(shù)據(jù)識別標注，這有助于實現(xiàn)敏感數(shù)據(jù)全鏈路智能聚合及溯源，確保數(shù)據(jù)安全和合規(guī)性。

（二）基于數(shù)據(jù)分類分級的數(shù)據(jù)安全防護措施

醫(yī)療行業(yè)需基于分級分類加強數(shù)據(jù)安全防護。通過數(shù)據(jù)安全平臺，對醫(yī)療數(shù)據(jù)采取適宜的安全措施，涵蓋身份鑒別與訪問控制、細粒度權限管理、個人信息去標識化、數(shù)據(jù)加密、介質管控、審批授權、審計追溯等技術手段，確保數(shù)據(jù)在產(chǎn)生、傳輸、存儲、使用、共享等全鏈路的安全。

在醫(yī)療行業(yè)中，身份鑒別與訪問控制是確保數(shù)據(jù)安全的基礎。為有效的實施安全措施，可根據(jù)數(shù)據(jù)的分類分級來實施更精細的安全控制。對于分級級別高的數(shù)據(jù)，可采用多因素身份認證和細粒度訪問控制機制；對于一般級別的數(shù)據(jù)，可配置基本的身份認證和訪問控制機制。通過分類分級采取安全措施有助于優(yōu)化資源分配，提高業(yè)務效率的同時，滿足合規(guī)性要求。

醫(yī)療信息系統(tǒng)的用戶權限管理是確保醫(yī)療機構數(shù)據(jù)安全的重要組成部分。實施角色和權限分配時，可根據(jù)數(shù)據(jù)的分類分級，確保相應角色的用戶訪問其職責范圍內的數(shù)據(jù)。權限管理通過將用戶分配到不同角色，并為每個角色配置相應權限來限制用戶對數(shù)據(jù)的訪問和操作范圍，確保數(shù)據(jù)安全和隱私保護。根據(jù)員工的職責和需求，將醫(yī)療信息系統(tǒng)的權限分配到如醫(yī)生、護士、行政人員等不同的角色，每個角色都有明確的權限集合。同時，權限分配遵循最小化權限原則，即用戶只獲得完成其工作所必須的最低權限，以減少潛在安全風險，通過合理的權限分配避免非授權用戶對系統(tǒng)進行惡意操作，保護患者隱私和醫(yī)療機構的安全。

醫(yī)療機構的數(shù)據(jù)中含有大量的個人信息，包括患者的姓名、地址、電話號碼、病歷、藥物處方等敏感信息。這些信息一旦泄露或被盜用，可能會對患者造成嚴重的身體和心理傷害，同時也侵犯了患者的隱私權。保護這些個人信息不僅是醫(yī)療機構的法律責任，也是維護患者信任和機構聲譽的重要措施。去標識化旨在依據(jù)個人信息能多大程度上標識個人身份（即標識度）進行分級，用于評估去標識化活動的效果，以此形成的個人信息標識度分級，需依據(jù)國家標準《信息安全技術 個人信息去標識化效果評估指南》（GB/T 42460-2023）進行評估。去標識化作為重要的個人信息保護技術，能夠降低數(shù)據(jù)與特定個人關聯(lián)的風險。醫(yī)療數(shù)據(jù)在使用中，可基于數(shù)據(jù)分類分級措施，明確數(shù)據(jù)的不同級別或類型，使用去標識化技術，幫助醫(yī)療機構在不泄露患者隱私的前提下，對數(shù)據(jù)進行處理和分析。在臨床研究中，去標識化可以用于保護患者數(shù)據(jù)，以便在不違反隱私法規(guī)的情況下，進行研究和分析。在進行流行病學研究或疾病模式分析時，可以在保護患者隱私的同時，對醫(yī)療數(shù)據(jù)進行統(tǒng)計和分析。在醫(yī)療數(shù)據(jù)需要共享的情況下，如醫(yī)療合作研究，去標識化可以降低數(shù)據(jù)泄露個人隱私的風險，使得數(shù)據(jù)可以在保護隱私的前提下共享和利用。

數(shù)據(jù)加密是醫(yī)療信息系統(tǒng)中保護患者隱私和數(shù)據(jù)不被非法訪問、泄露或篡改的主要技術之一。在數(shù)據(jù)傳輸過程中，可采用安全的通信協(xié)議或安全的通道對數(shù)據(jù)進行加密傳輸，確保數(shù)據(jù)在傳輸過程中的安全性。同時，醫(yī)療機構還可通過接口安全控制，確保通過接口傳輸時的安全性，防止數(shù)據(jù)被竊取。在數(shù)據(jù)存儲中，可通過數(shù)據(jù)庫加密技術、文檔加密技術，確保數(shù)據(jù)在存儲中的安全。為了更有效的實施數(shù)據(jù)加密，可以根據(jù)數(shù)據(jù)的敏感性和重要性進行分類分級，對不同敏感程度、不同級別的數(shù)據(jù)采取適宜的安全措施。通過數(shù)據(jù)加密措施，醫(yī)療機構能夠保障數(shù)據(jù)在傳輸、存儲過程中的安全。

介質管控涉及對存儲介質的嚴格管理，包括對數(shù)據(jù)存儲設備如硬盤、U盤、光盤等的授權管理、訪問控制、數(shù)據(jù)保護、備份恢復以及銷毀安全。醫(yī)療機構可以基于數(shù)據(jù)分類分級的管理要求，通過介質管控的自動化工具對介質進行登記、控制和定期審計，確保只有授權人員才能訪問和使用這些介質。在數(shù)據(jù)通過存儲介質傳輸過程中，介質管控可結合數(shù)據(jù)泄露防護技術，保障數(shù)據(jù)轉移到U盤、光盤等移動存儲介質中的安全，以防止數(shù)據(jù)被竊取。介質管控還包含對數(shù)據(jù)的備份和恢復策略的管理，以防止數(shù)據(jù)丟失或損壞。通過以上措施，醫(yī)療機構能夠確保醫(yī)療數(shù)據(jù)的安全性，防止未經(jīng)授權的訪問和泄露，滿足合規(guī)性要求。

審批授權是醫(yī)療機構確保數(shù)據(jù)安全的重要環(huán)節(jié)之一，醫(yī)療機構在將數(shù)據(jù)用于不同的使用場景時，可基于數(shù)據(jù)分類分級進行審批和授權。如不能標識個人身份的數(shù)據(jù)，各科室醫(yī)生經(jīng)過申請審批可以用于研究分析；因為學術研討需要，需要向境外提供相應數(shù)據(jù)的，在進行必要的去標識化處理后，需經(jīng)過討論審批同意后方可授權使用。嚴格執(zhí)行數(shù)據(jù)處理和使用的審批流程，明確各級權限，對不同角色設置不同的數(shù)據(jù)使用權限，按照“知所必須，最小授權”的原則進行細粒度訪問權限的授權，控制數(shù)據(jù)權限，如授權特定的人員可使用數(shù)據(jù)、授權特定的人員對數(shù)據(jù)具有只讀、可寫、是否可打印等權限，以防范數(shù)據(jù)丟失、泄露、未授權訪問等安全風險。對于數(shù)據(jù)共享（含交換、導出、開放）環(huán)節(jié)的安全管控，防止不經(jīng)審批、不受控制的數(shù)據(jù)共享行為，確保只有授權人員才能訪問已審批授權的敏感數(shù)據(jù)，從而減少數(shù)據(jù)泄露的風險。

審計追溯通過記錄和監(jiān)控用戶對醫(yī)療數(shù)據(jù)的訪問、查詢、修改和導出等操作，有助于追溯數(shù)據(jù)的使用，或作為法律證據(jù)，保護患者隱私，防止不當?shù)男畔⒃L問和濫用。而醫(yī)療行業(yè)的審計追溯可與數(shù)據(jù)分類分級結果進行關聯(lián)分析，如數(shù)據(jù)的重要性、敏感程度以及篡改、破壞、泄露或非法獲取、非法利用造成的危害程度等，追蹤和檢測數(shù)據(jù)使用操作行為是否符合合規(guī)性和內部安全制度，及時發(fā)現(xiàn)潛在的數(shù)據(jù)安全風險和異常行為。通過審計日志，醫(yī)療機構能夠監(jiān)測系統(tǒng)安全事件，及時發(fā)現(xiàn)并阻止不當行為，為合規(guī)性審計和證據(jù)收集提供支持。綜上，審計追溯是確保醫(yī)療大數(shù)據(jù)安全性和合規(guī)性的關鍵措施，強化日志留存和管理，有助于確保數(shù)據(jù)的可追溯性，增強數(shù)據(jù)使用的透明度和責任追究能力。

三、總 結

《健康醫(yī)療數(shù)據(jù)安全指南》給出了健康醫(yī)療信息安全的措施建議，并提出了一些特定場景下的具體指導，可指導健康醫(yī)療信息控制者開展健康醫(yī)療數(shù)據(jù)安全工作。醫(yī)療機構通過踐行該指南，不僅能夠保護患者隱私和數(shù)據(jù)安全，還能提升醫(yī)療服務的質量，促進醫(yī)療行業(yè)的健康發(fā)展。通過自動化的數(shù)據(jù)安全平臺實施安全措施，有助于醫(yī)療行業(yè)構建起一個全面的數(shù)據(jù)安全防護體系，保護醫(yī)療數(shù)據(jù)不被非法訪問、泄露或濫用，提升醫(yī)療服務的安全性和合規(guī)性。

（本文作者：北京數(shù)安行科技有限公司 郭靈）

聲明：本文來自CCIA數(shù)據(jù)安全工作委員會，版權歸作者所有。文章內容僅代表作者獨立觀點，不代表安全內參立場，轉載目的在于傳遞更多信息。如有侵權，請聯(lián)系 anquanneican@163.com。

相關知識

健康醫(yī)療數(shù)據(jù)安全的實現(xiàn)新工具《健康醫(yī)療數(shù)據(jù)安全指南》解讀
《信息安全技術 健康醫(yī)療數(shù)據(jù)安全指南》之解讀
《健康醫(yī)療數(shù)據(jù)安全指南》亮點解讀
政策：《信息安全技術 健康醫(yī)療數(shù)據(jù)安全指南》
《信息安全技術健康醫(yī)療數(shù)據(jù)安全指南》解讀（一）
《廣東省醫(yī)療健康數(shù)據(jù)安全分類分級管理技術規(guī)范》團體標準發(fā)布實施 保障醫(yī)療健康數(shù)據(jù)安全
美國健康醫(yī)療大數(shù)據(jù)應用與隱私安全實踐
5大醫(yī)療保健數(shù)據(jù)安全挑戰(zhàn)和數(shù)據(jù)保護技巧
數(shù)字經(jīng)濟時代下的個人健康醫(yī)療數(shù)據(jù)安全問題
健康數(shù)據(jù)隱私和數(shù)字醫(yī)療記錄的安全性問題是什么？

網(wǎng)址: 《健康醫(yī)療數(shù)據(jù)安全指南》數(shù)據(jù)安全措施實踐 http://www.u1s5d6.cn/newsview896034.html