信息化时代医疗数据安全和隐私保护不容被忽略

2019-03-21 09:54 北国网

近日,针对两家医疗器械公司的专利侵权官司,北京市知识产权法院给出了3000万元赔偿的一审判决结果。值得关注的是,判决书显示,被告公司在其医疗器械产品安装有4G无线上网卡,而器械所在医院的相关负责人此前竟对此毫不知情。

  随着网络技术特别是大数据的应用发展,越来越多的医学装备具备网络连接功能,进行数据交换或远程控制,在提高医疗服务质量与效率的同时也面临着网络攻击以及患者隐私泄露的风险。因此,加强对敏感数据和患者隐私数据的保护,这是信息化建设过程中不可忽视的环节,也是对医院、对患者、对社会的一种责任。

  医疗数据安全存在漏洞

  医疗器械的网络安全不仅是医疗个人数据保护的重要环节,也是保护医疗系统可靠运行和医疗机构数据资产安全的重要手段。国内外现有的方法都是基于医疗机构风险评估和医疗器械厂商安全能力自声明的方式。

  在上述案例中,医疗器械厂商未履行告知义务,导致医院在医疗实践中也无法对相关设备进行网络安全监督管理。由于病人的健康医疗数据具有高度敏感性,必须对其进行加密存储、管理和使用,否则一旦发生数据泄露,后果难以挽回。更重要的是,信息时代中大数据的边界越来越模糊、越来越开放,导致各类网络黑客攻击的手段越来越先进,呈现出较强的功利性和隐蔽性。

  在国务院审议通过的《关于促进“互联网+医疗健康”发展的意见》中,明确提出“创新监管方式,切实防范风险”,并规定“严格执行信息安全和健康医疗数据保密规定,建立完善个人隐私信息保护制度,严格管理患者信息、用户资料、基因数据等,对非法买卖、泄露信息行为依法依规予以惩处。”目前,加强健康医疗信息的安全防护与规范管理,以及专门的信息安全技术指标,刻不容缓。

  国外的实践与经验

  医疗信息化发展较早的美国,1996年颁布了《医疗保险携带与责任法》,即业内熟知的HIPAA法案,也是美国隐私和医疗身份安全的核心法律机制。HIPAA法案对多种医疗健康行业的活动都进行了规范,包括交易规则、医疗机构识别、从业人员识别、患者识别、医疗信息安全、患者医疗隐私、第一伤病报告等。对于违反法案的行为,将处以最高150万美元的罚款、最长10年的监禁。

  2018年5月,被称为“史上最严”的欧盟通用数据保护规范GDPR正式生效,如果你违反了规则,可能会被处以高达全球年营业额4%的高额罚款或2000万欧元。这是对最严重违规行为的最高额度罚款。例如,未经个人充分同意处理其数据或故意侵犯GDPR的隐私。

  在国内,2018年6月1日起网络安全法正式实施,从法规层面对网络安全都提出了一系列要求,建立了相应的制度,如网络安全等级保护制度、关键信息基础设置保护制度、网络产品与服务安全审查制度、网络关键设备与网络安全专用产品管理制度等。但是,在医疗领域,尚缺少针对行业的具体落实细则。

  守好安全底线需多方共同努力

  国内的法律基础和社会环境双重薄弱,但是互联网医疗时代下,各相关方的需求却日益凸显:患者需要便捷就医、健康管理、享受个性化诊疗服务,医生需要提高诊疗质量和效率,而医院则需要保障安全、缓解医患矛盾。

  正如在全国部分地区兴起的云胶片服务,患者通过手机扫描二维码,即可得到储存在云端的医疗影像,包含图文报告、原始影像等信息。在给医院、患者带来便利化的同时,不能忽视的就是数据安全问题。云胶片及云报告的所有权是患者与生成影像及报告的医院,在使用过程中,如何保证这些私有信息不被非法访问与分析?如何保证数据不被篡改?如何防止隐私数据泄露?由此产生的法律后果应该由谁承担?这些目前还都是空白。

  对于医疗来说,安全和质量是最重要的。健康医疗数据是国家重要基础性的战略资源,事关人民群众的生命安全、个人隐私。在云胶片推广应用中,缺乏行业标准与自我规范。如果发生信息泄露等安全问题,不但给个人造成很大的困扰,同时也会造成无法挽回的医疗后果与经济损失。

  在医疗信息化高度发展的今天,数据安全与隐私保护的难度不断加大。2017年,亚马逊服务器上一家医疗机构大约47GB的医疗数据意外泄露,涉及约15万病人,流出的信息包括验血结果等高度敏感个人信息。那么谁来为此类安全事件买单?如何才能守好医疗安全的底线?加强监管,制定与完善行业标准规范,对行业中的企业产品市场准入审查中加入安全隐私的保护内容;多方协作,医疗机构和厂商将医疗信息技术安全纳入患者安全项目,将患者隐私的可靠安全放在首位。