陳心怡 吳 翔 洪紫映

(華中科技大學(xué)同濟(jì)醫(yī)學(xué)院醫(yī)藥衛(wèi)生管理學(xué)院 武漢430030)

1 引言

互聯(lián)網(wǎng)技術(shù)很大程度上能解決現(xiàn)有行業(yè)中存在的開放性、兼容性等問題，為多個(gè)行業(yè)的全面智能化提供助力。在醫(yī)療行業(yè)中“互聯(lián)網(wǎng)+醫(yī)療健康”正在成為新的發(fā)展方向。隨著互聯(lián)網(wǎng)科技產(chǎn)業(yè)及大數(shù)據(jù)技術(shù)的飛速發(fā)展，衛(wèi)生信息和衛(wèi)生保健服務(wù)的提供和接受方式正在改變。在“互聯(lián)網(wǎng)+”時(shí)代強(qiáng)有力的信息安全政策是保證醫(yī)療行業(yè)信息化服務(wù)平穩(wěn)有序開展的重要前提。網(wǎng)絡(luò)技術(shù)的發(fā)展使醫(yī)療行業(yè)能夠?yàn)閺臉I(yè)者和客戶提供更好的服務(wù)、更豐富的信息資源和更高的可用性。醫(yī)療保健是文檔密集型行業(yè)，為了順應(yīng)行業(yè)發(fā)展需求醫(yī)療行業(yè)正在逐步向無紙化、智能化轉(zhuǎn)變，與此同時(shí)面臨問題與機(jī)遇[1]。此外在醫(yī)療保健智能化全過程中，患者個(gè)人隱私等敏感數(shù)據(jù)會在衛(wèi)生保健組織之間流轉(zhuǎn)，需要高度重視數(shù)據(jù)完整性與安全性。解決醫(yī)療保健領(lǐng)域安全風(fēng)險(xiǎn)和隱私保護(hù)問題的前提是制定有力的信息安全政策，本文著重探討“互聯(lián)網(wǎng)+”背景下醫(yī)療行業(yè)所采取的信息安全策略。

2 醫(yī)療行業(yè)信息安全和隱私保護(hù)問題

2.1 概述

醫(yī)療信息是指在醫(yī)療過程中所產(chǎn)生的個(gè)人信息，包括患者身心健康、醫(yī)療狀況等信息[2]。對紙質(zhì)媒介而言，保存的信息只存在于一個(gè)物理空間內(nèi)且復(fù)制信息成本較高，信息保護(hù)較容易，即使發(fā)生信息泄漏其影響范圍相對較小。電子信息媒介的特點(diǎn)在于短時(shí)間批量信息處理效率較高、信息傳播速度較快、信息復(fù)制成本較低，在信息保護(hù)方面面臨較大風(fēng)險(xiǎn)和挑戰(zhàn)?！盎ヂ?lián)網(wǎng)+”背景下對于用戶面臨的醫(yī)療信息風(fēng)險(xiǎn)，一般可以從安全性和隱私性兩個(gè)角度考慮。

2.2 醫(yī)療行業(yè)安全性和隱私性

安全和隱私概念不同，為了全面考慮用戶信息安全問題必須對二者進(jìn)行區(qū)分。美國《健康保險(xiǎn)可攜帶與責(zé)任法案》(Health Insurance Portability and Accountability Act，HIPAA)定義了醫(yī)療行業(yè)安全問題和隱私問題。安全問題指醫(yī)療信息通過技術(shù)手段進(jìn)行存儲和傳輸過程中，保障信息保密性、完整性和可用性的相關(guān)問題。安全問題主要針對數(shù)據(jù)收集、保護(hù)和傳播過程。隱私問題是通過不同形式、由不同用戶對患者醫(yī)療信息進(jìn)行保護(hù)[1]。安全問題更多地關(guān)注組織安全，而隱私問題更為關(guān)注個(gè)體保護(hù)。

2.3 醫(yī)療行業(yè)安全問題

2.3.1 網(wǎng)絡(luò)安全 與一些大型企業(yè)相比，國內(nèi)醫(yī)院在網(wǎng)絡(luò)安全建設(shè)、運(yùn)營和保障方面存在不足，整體抵御威脅攻擊能力較弱，這是因?yàn)獒t(yī)院信息化建設(shè)歷程存在特殊性。在醫(yī)院信息化建設(shè)初期主要考慮內(nèi)部醫(yī)療業(yè)務(wù)需求，較少考慮為患者提供信息化醫(yī)療服務(wù)，此時(shí)網(wǎng)絡(luò)建設(shè)主要是為滿足院內(nèi)局域網(wǎng)使用需求，不需要與外部系統(tǒng)互聯(lián)互通[3]。隨著“互聯(lián)網(wǎng)+醫(yī)療”時(shí)代的來臨醫(yī)院信息化建設(shè)越來越多地考慮患者信息化服務(wù)需求，包括在線預(yù)約、掛號、診療、手續(xù)辦理、繳費(fèi)、查看檢查結(jié)果等。此外醫(yī)院還將從醫(yī)療、醫(yī)保、醫(yī)藥“三醫(yī)聯(lián)動(dòng)”角度推動(dòng)互聯(lián)網(wǎng)與醫(yī)療健康服務(wù)相融合并制訂、完善相關(guān)配套政策，加快實(shí)現(xiàn)醫(yī)療健康信息互通互享，提高醫(yī)院管理和便民服務(wù)水平[4]。推進(jìn)業(yè)務(wù)線上化需要打通醫(yī)院局域網(wǎng)和互聯(lián)網(wǎng)，實(shí)現(xiàn)數(shù)據(jù)傳遞與共享，醫(yī)院網(wǎng)絡(luò)開放程度提升，為網(wǎng)絡(luò)安全帶來巨大挑戰(zhàn)。雖然近年來醫(yī)療行業(yè)針對網(wǎng)絡(luò)開放性帶來的風(fēng)險(xiǎn)采取了相應(yīng)措施，醫(yī)院日益重視網(wǎng)絡(luò)安全，但我國醫(yī)院網(wǎng)絡(luò)安全依然存在一些問題。在硬件設(shè)備方面，許多醫(yī)院交換機(jī)等網(wǎng)絡(luò)核心設(shè)備老化，更新?lián)Q代不及時(shí)，難以匹配較為先進(jìn)的安全防護(hù)技術(shù)。在軟件方面，醫(yī)院信息系統(tǒng)底層技術(shù)架構(gòu)普遍較老舊，存在大量安全漏洞，無法充分防御網(wǎng)絡(luò)入侵。在管理方面，部分醫(yī)院網(wǎng)絡(luò)安全管理制度不規(guī)范、不健全，并未根據(jù)院內(nèi)實(shí)際情況制定網(wǎng)絡(luò)安全管理制度；部分醫(yī)院制定相關(guān)管理制度落實(shí)不到位。在人員方面，大部分醫(yī)院重視醫(yī)學(xué)人才引進(jìn)，對信息化特別是網(wǎng)絡(luò)安全人才重視不足，現(xiàn)有人才技術(shù)能力水平普遍偏低。醫(yī)院網(wǎng)絡(luò)安全建設(shè)落后于“互聯(lián)網(wǎng)+醫(yī)療”發(fā)展速度是導(dǎo)致醫(yī)院網(wǎng)絡(luò)安全問題的主要原因。

2.3.2 數(shù)據(jù)安全 除醫(yī)療信息外醫(yī)療行業(yè)數(shù)據(jù)還包括醫(yī)院財(cái)務(wù)、管理信息等，其中任何一種數(shù)據(jù)被破壞或泄露都會造成難以估量的后果[5]。在“互聯(lián)網(wǎng)+”背景下醫(yī)院信息化程度日益加深，醫(yī)院信息系統(tǒng)所產(chǎn)生數(shù)據(jù)如果得不到有效保護(hù)可能造成巨大損失。因此保障醫(yī)院信息系統(tǒng)數(shù)據(jù)保密性、完整性和可用性是信息化建設(shè)過程中需要解決的重要問題。在實(shí)際醫(yī)療情境中由于醫(yī)院信息系統(tǒng)間數(shù)據(jù)交互存在隱患，醫(yī)院信息化建設(shè)在數(shù)據(jù)安全方面仍有較大風(fēng)險(xiǎn)。醫(yī)院網(wǎng)絡(luò)開放帶來的數(shù)據(jù)交互共享存在于醫(yī)療機(jī)構(gòu)信息化流程中的各個(gè)環(huán)節(jié)?？v向來看，國家衛(wèi)生健康委員會、縣級醫(yī)院、村級衛(wèi)生院等不同層級單位信息終端點(diǎn)多面廣，安全防護(hù)能力參差不齊，數(shù)據(jù)泄露出口眾多。橫向來看，醫(yī)保系統(tǒng)需要與醫(yī)院系統(tǒng)、有關(guān)主管部門和醫(yī)保定點(diǎn)藥店對接，數(shù)據(jù)傳輸需經(jīng)過銀行、運(yùn)營商等行業(yè)外部機(jī)構(gòu)，進(jìn)一步增大了數(shù)據(jù)安全風(fēng)險(xiǎn)[6]。

2.4 醫(yī)療行業(yè)中的隱私問題

2.4.1 概述 醫(yī)療行業(yè)中，用戶隱私是指在不對其他人以及社會造成利益影響的情況下，不愿意讓他人和社會了解的信息[7]。由于醫(yī)療行為的特殊性，隱私信息被不當(dāng)使用的風(fēng)險(xiǎn)較高，同時(shí)存在醫(yī)療信息隱私與醫(yī)方知情權(quán)之間的矛盾。

2.4.2 隱私不當(dāng)使用 醫(yī)療信息化使敏感隱私信息被不當(dāng)使用的風(fēng)險(xiǎn)提升。醫(yī)療保健服務(wù)提供者保存和共享、維護(hù)大量敏感醫(yī)療信息，用于診斷和治療、支付保健服務(wù)費(fèi)用、公共衛(wèi)生研究，甚至用于營銷和媒體宣傳。從管理角度來看，目前我國醫(yī)療領(lǐng)域關(guān)于隱私保護(hù)法律文件中存在薄弱點(diǎn)，部分領(lǐng)域存在空白，導(dǎo)致隱私不當(dāng)使用的成本較低。此外當(dāng)醫(yī)療機(jī)構(gòu)對從業(yè)人員進(jìn)行考評時(shí)較重視醫(yī)療質(zhì)量，較少將患者隱私保護(hù)納入評價(jià)體系內(nèi)，導(dǎo)致部分醫(yī)療行業(yè)從業(yè)者對患者隱私保護(hù)重視程度不足。從技術(shù)角度來看，雖然傳統(tǒng)基于紙質(zhì)媒介的信息系統(tǒng)存在缺陷，但其限制了信息收集者共享和傳播信息的行為，在一定程度上避免隱私信息不當(dāng)傳播。隨著醫(yī)療保健行業(yè)數(shù)據(jù)收集、存儲和傳輸信息化程度日益加深，醫(yī)療信息可以輕松被定位、收集和傳輸，如果不對信息技術(shù)使用加以規(guī)范，將會大幅提升敏感隱私信息被不當(dāng)使用的風(fēng)險(xiǎn)。

2.4.3 隱私權(quán)與醫(yī)方知情權(quán)之間存在矛盾 在許多醫(yī)療場景下患者隱私權(quán)與醫(yī)方知情權(quán)之間存在矛盾。醫(yī)方知情權(quán)是指醫(yī)方在使患者恢復(fù)健康過程中，知曉患者本次病情中所有相關(guān)醫(yī)療信息的權(quán)利。醫(yī)療過程中醫(yī)方知情權(quán)與患者隱私權(quán)之間存在一定沖突。為了使患者恢復(fù)健康，醫(yī)方只有得到足夠的醫(yī)療信息才可以對病情做出正確診斷，難免會觸碰到患者醫(yī)療隱私[8]。由于“互聯(lián)網(wǎng)+”背景下信息化技術(shù)在醫(yī)療領(lǐng)域廣泛應(yīng)用帶來信息安全風(fēng)險(xiǎn)，患者擔(dān)心健康信息被不當(dāng)使用或泄露進(jìn)而造成危害和損失，有時(shí)會采取極端措施來保護(hù)個(gè)人健康信息隱私。有調(diào)查顯示近1/6的美國成年人采取極端措施保護(hù)個(gè)人醫(yī)療信息隱私，例如向醫(yī)生隱瞞信息或提供不準(zhǔn)確、不完整信息，導(dǎo)致醫(yī)生無法給予最佳診斷和治療。同時(shí)不準(zhǔn)確的健康信息影響下游用戶信息利用，醫(yī)療保健體系可能遭到破壞[1]。在保證患者恢復(fù)健康的同時(shí)如何最大程度減少對患者醫(yī)療隱私的侵犯是醫(yī)療從業(yè)者必須思考的問題。

3 我國醫(yī)療行業(yè)信息安全政策分析

3.1 有關(guān)政策

3.1.1 2011-2015年 2011年原衛(wèi)生部發(fā)布《衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見》和《關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級保護(hù)工作的通知》，提出通過等級保護(hù)方式保障醫(yī)療行業(yè)信息安全。2015年3月國務(wù)院辦公廳發(fā)布《全國醫(yī)療衛(wèi)生服務(wù)體系規(guī)劃綱要(2015-2020年)》，提出要依托國家電子政務(wù)網(wǎng)構(gòu)建與互聯(lián)網(wǎng)安全隔離，聯(lián)通各級平臺和各級各類衛(wèi)生計(jì)生機(jī)構(gòu)，高效、安全、穩(wěn)定的信息網(wǎng)絡(luò)[9]。同年5月國務(wù)院辦公廳發(fā)布《關(guān)于城市公立醫(yī)院綜合改革試點(diǎn)的指導(dǎo)意見》，提出加強(qiáng)區(qū)域醫(yī)療衛(wèi)生信息平臺建設(shè)，完善技術(shù)標(biāo)準(zhǔn)和安全防護(hù)體系，強(qiáng)化信息技術(shù)標(biāo)準(zhǔn)應(yīng)用和數(shù)據(jù)安全管理。

3.1.2 2016-2018年 2016年國務(wù)院辦公廳發(fā)布《關(guān)于促進(jìn)和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見》，提出加強(qiáng)健康醫(yī)療大數(shù)據(jù)保障體系建設(shè)策略，要求加強(qiáng)對涉及國家利益、公共安全、患者隱私、商業(yè)秘密等重要信息的保護(hù)，加強(qiáng)醫(yī)學(xué)院、科研機(jī)構(gòu)等方面的安全防范[10]。同年《網(wǎng)絡(luò)安全法(草案)》對外征求意見，針對保障網(wǎng)絡(luò)空間主權(quán)安全、產(chǎn)品應(yīng)用和服務(wù)網(wǎng)絡(luò)安全、網(wǎng)絡(luò)數(shù)據(jù)信息安全、網(wǎng)絡(luò)安全監(jiān)測預(yù)警以及突發(fā)事件應(yīng)急處置預(yù)案等內(nèi)容進(jìn)行規(guī)定。2017年《網(wǎng)絡(luò)安全法》實(shí)施，將網(wǎng)絡(luò)安全領(lǐng)域相關(guān)要求上升至國家法律層面。2018年4月國務(wù)院辦公廳發(fā)布《關(guān)于促進(jìn)“互聯(lián)網(wǎng)+健康醫(yī)療”發(fā)展的意見》，提出“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展需要加強(qiáng)行業(yè)監(jiān)管和安全保障，即強(qiáng)化質(zhì)量監(jiān)管和保障數(shù)據(jù)信息安全；同時(shí)要求研究制定健康醫(yī)療大數(shù)據(jù)確權(quán)、開放、流通、交易和產(chǎn)權(quán)保護(hù)法規(guī)，嚴(yán)格執(zhí)行信息安全和健康醫(yī)療數(shù)據(jù)保密規(guī)定，建立完善個(gè)人隱私信息保護(hù)制度。同年7月國家衛(wèi)生健康委員會發(fā)布《國家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法(試行)》，其進(jìn)一步明確了各級衛(wèi)生健康行政部門、各級各類醫(yī)療衛(wèi)生機(jī)構(gòu)、相關(guān)應(yīng)用單位及個(gè)人在健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)管理、安全管理、服務(wù)管理中的責(zé)、權(quán)、利，對于統(tǒng)籌標(biāo)準(zhǔn)管理、落實(shí)安全責(zé)任、規(guī)范數(shù)據(jù)服務(wù)管理具有重要意義[11]。

3.1.3 2019-2021年 2019年9月國家發(fā)展改革委發(fā)布《促進(jìn)健康產(chǎn)業(yè)高質(zhì)量發(fā)展行動(dòng)綱要(2019-2022年)》，提出建立健全健康醫(yī)療大數(shù)據(jù)的信息共享、數(shù)據(jù)安全、隱私保護(hù)政策和應(yīng)急保障機(jī)制；推進(jìn)健康醫(yī)療大數(shù)據(jù)的安全共享，深化健康醫(yī)療大數(shù)據(jù)在醫(yī)學(xué)科研、教育培訓(xùn)、臨床診療、產(chǎn)品研發(fā)、行業(yè)治理、醫(yī)保支付等方面應(yīng)用。同年12月我國頒布衛(wèi)生健康領(lǐng)域第1部基礎(chǔ)性、綜合性法律《中華人民共和國基本醫(yī)療衛(wèi)生與健康促進(jìn)法》，明確規(guī)定國家應(yīng)采取措施推進(jìn)醫(yī)療衛(wèi)生機(jī)構(gòu)建立健全信息安全制度，保護(hù)公民個(gè)人健康信息安全，對醫(yī)療信息安全制度、保障措施不健全，導(dǎo)致醫(yī)療信息泄露和非法損害公民個(gè)人健康信息的行為進(jìn)行處罰[12]。2020年10月工信部和國家衛(wèi)健委聯(lián)合發(fā)布《關(guān)于進(jìn)一步加強(qiáng)遠(yuǎn)程醫(yī)療網(wǎng)絡(luò)能力建設(shè)的通知》，提出進(jìn)一步加強(qiáng)遠(yuǎn)程醫(yī)療網(wǎng)絡(luò)能力建設(shè)需要加強(qiáng)組織保障，建立協(xié)同工作機(jī)制，完善“互聯(lián)網(wǎng)+醫(yī)療健康”網(wǎng)絡(luò)標(biāo)準(zhǔn)體系，重點(diǎn)推進(jìn)包括網(wǎng)絡(luò)安全在內(nèi)的總體性標(biāo)準(zhǔn)，加強(qiáng)遠(yuǎn)程醫(yī)療網(wǎng)絡(luò)質(zhì)量監(jiān)測管理。2021年6月10日，第十三屆全國人民代表大會常務(wù)委員會第二十九次會議通過《中華人民共和國數(shù)據(jù)安全法》，該法對行業(yè)數(shù)據(jù)安全管理、個(gè)人數(shù)據(jù)隱私保護(hù)等方面進(jìn)行明確規(guī)定，成為我國數(shù)據(jù)安全治理體系的重要基礎(chǔ)[13]。同年8月十三屆全國人大常委會第三十次會議表決通過《中華人民共和國個(gè)人信息保護(hù)法》，該法明確要求處理生物識別、醫(yī)療健康、金融賬戶、行蹤軌跡等敏感個(gè)人信息應(yīng)取得個(gè)人單獨(dú)同意。

3.2 存在的不足

3.2.1 安全法規(guī)體系不健全 我國醫(yī)療行業(yè)現(xiàn)行的信息安全政策主要聚焦安全性問題，對隱私性問題關(guān)注不足。首先，醫(yī)療行業(yè)隱私性問題立法較晚。自2011年首次在醫(yī)療衛(wèi)生行業(yè)發(fā)布相關(guān)政策以來，我國通過等級保護(hù)在技術(shù)層面對醫(yī)療行業(yè)的信息安全問題進(jìn)行保障并通過一系列政策規(guī)范安全性層面的管理問題。2016年首次從國家層面對醫(yī)療行業(yè)的隱私保護(hù)問題提出要求。其次，對醫(yī)療行業(yè)隱私問題的全流程管控不全面。雖然已從國家層面頒布針對個(gè)人信息保護(hù)的有關(guān)法律，但缺乏針對醫(yī)療行業(yè)的隱私保護(hù)法規(guī)體系?，F(xiàn)有對醫(yī)療行業(yè)隱私保護(hù)的要求和規(guī)定散落在不同法規(guī)中，缺乏從醫(yī)療行業(yè)隱私信息的產(chǎn)生、流轉(zhuǎn)、保存、消亡的全流程建立完整的法律制度和管控體系。最后，對患者隱私權(quán)和醫(yī)方知情權(quán)的矛盾缺少法律規(guī)范，沒有定義醫(yī)療行為過程中患者與醫(yī)方在隱私保護(hù)領(lǐng)域的權(quán)利范圍，權(quán)責(zé)劃分不清晰。

3.2.2 政策對行業(yè)信息安全管理支撐不足 我國醫(yī)療行業(yè)信息安全立法滯后于行業(yè)信息化建設(shè)進(jìn)度，難以為行業(yè)信息安全管理提供支持。我國醫(yī)療行業(yè)信息安全立法開始于“十二五”時(shí)期，在立法初期相關(guān)法規(guī)較不完善，大量領(lǐng)域存在空白。進(jìn)入“互聯(lián)網(wǎng)+”時(shí)代后，雖然我國加快了醫(yī)療行業(yè)信息安全立法速度，但總體進(jìn)度仍然滯后于信息化發(fā)展速度，難以滿足信息化、數(shù)字化、智能化建設(shè)過程中對網(wǎng)絡(luò)及信息安全的管理需求。

3.2.3 政策可落地性不足 目前我國相關(guān)政策和法律法規(guī)條文對于具體權(quán)利、義務(wù)和責(zé)任劃分有待進(jìn)一步明確，實(shí)際操作中存在一定困難，也影響醫(yī)療行業(yè)政策落實(shí)效果。例如《網(wǎng)絡(luò)安全法》中規(guī)定網(wǎng)絡(luò)運(yùn)營者不得泄露、篡改、損毀其收集的個(gè)人信息，但對于違規(guī)行為將處以何種形式的懲罰并沒有進(jìn)行明確規(guī)定。在醫(yī)療信息隱私保護(hù)方面，對于醫(yī)療信息中的敏感信息和隱私信息也沒有專門制定統(tǒng)一的定義和標(biāo)準(zhǔn)[14]。

4 美國醫(yī)療行業(yè)信息安全法律體系借鑒

4.1 HIPAA法案

美國醫(yī)療健康信息安全立法多以隱私權(quán)保護(hù)作為基礎(chǔ)，HIPAA法案是美國健康醫(yī)療信息安全保護(hù)體系的核心。經(jīng)過20多年的修訂與完善HIPAA及其補(bǔ)充法案已成為一套相對完善、系統(tǒng)并具備較強(qiáng)可操作性的健康醫(yī)療信息保護(hù)專門法。其要求采用健康信息和患者信息電子傳輸?shù)膰医y(tǒng)一標(biāo)準(zhǔn)，規(guī)定在記錄和傳輸醫(yī)療信息的過程中最基本的信息安全要求。HIPAA安全要求涉及對象廣泛，包括生成或以其他方式處理電子病歷和醫(yī)療數(shù)據(jù)的任何組織。

4.2 其他法律

2009年美國頒布《經(jīng)濟(jì)和臨床健康信息科技法案》(Health Information Technology for Economic and Clinical Health Act, HITECH)，該法案是對HIPAA的進(jìn)一步擴(kuò)展，增加對違反HIPAA的處罰規(guī)定[15]。隨著互聯(lián)網(wǎng)覆蓋范圍不斷擴(kuò)展，醫(yī)療行業(yè)健康類APP的廣泛使用帶來嚴(yán)重的信息安全問題。對此美國國會提出《停止銷售和披露可穿戴設(shè)備、追蹤器中消費(fèi)者健康數(shù)據(jù)法案》《信息透明于個(gè)人數(shù)據(jù)控制法案》《保護(hù)個(gè)人健康數(shù)據(jù)法案》等多項(xiàng)關(guān)于公民健康信息安全的綜合性立法建議，以構(gòu)建醫(yī)療信息傳輸、出售、共享的監(jiān)管框架[16]。

4.3 行業(yè)監(jiān)管

美國通過一系列立法加強(qiáng)和促進(jìn)醫(yī)療行業(yè)信息安全政策的實(shí)施和落地。美國衛(wèi)生與公共服務(wù)部(United States Department of Health and Human Services，HHS)修訂《個(gè)人信息隱私保護(hù)標(biāo)準(zhǔn)和實(shí)施指南》，從國家層面制定法規(guī)保護(hù)醫(yī)療信息的完整性、機(jī)密性和可用性。2016年美國聯(lián)邦貿(mào)易委員會(Federal Trade Commission，F(xiàn)TC)發(fā)布《FTC針對移動(dòng)健康應(yīng)用程序開發(fā)人員的最佳實(shí)踐指南》，對移動(dòng)健康應(yīng)用程序能獲取的用戶數(shù)據(jù)和權(quán)限進(jìn)行規(guī)定。2018年美國食品藥品管理局(Food and Drug Administration，F(xiàn)DA)發(fā)布《醫(yī)療器械網(wǎng)絡(luò)安全管理上市前提交內(nèi)容指南草案》，通過加強(qiáng)醫(yī)療行業(yè)網(wǎng)絡(luò)與信息安全管理，在網(wǎng)絡(luò)安全攻擊事件中保障患者免遭延遲治療的傷害[16]。

5 我國醫(yī)療行業(yè)信息安全發(fā)展建議

5.1 完善醫(yī)療行業(yè)信息安全立法保障

我國尚缺乏關(guān)于醫(yī)療行業(yè)信息安全和隱私性問題的相關(guān)法律法規(guī)，亟待建立醫(yī)療行業(yè)信息安全保障的專門性、常態(tài)性法規(guī)體系。現(xiàn)行法律文件中雖然規(guī)定了醫(yī)療行業(yè)機(jī)構(gòu)必須保障患者健康信息安全，但處罰機(jī)制尚不明確，醫(yī)療信息不當(dāng)使用的成本較低，政策及法律震懾性不足。對于責(zé)任主體，不僅要規(guī)范醫(yī)療行業(yè)從業(yè)人員行為，還需對健康信息化平臺信息收集、使用、存儲、傳輸?shù)刃袨檫M(jìn)行規(guī)范，對從業(yè)人員和患者責(zé)任范圍進(jìn)行明確劃分。同時(shí)應(yīng)加快我國醫(yī)療行業(yè)立法相關(guān)進(jìn)程，緊跟時(shí)代特點(diǎn)，聚焦行業(yè)問題，實(shí)現(xiàn)對行業(yè)信息安全管理的有效支撐。

5.2 健全醫(yī)療行業(yè)信息安全監(jiān)管政策

我國醫(yī)療行業(yè)監(jiān)管為上級監(jiān)管部門對醫(yī)療機(jī)構(gòu)信息安全的管理提供一定指導(dǎo)，目前尚缺少針對醫(yī)療行業(yè)信息安全政策實(shí)際落地的監(jiān)管機(jī)制。首先，應(yīng)完善并明確現(xiàn)有政策及法規(guī)中部分權(quán)利和責(zé)任劃分、界定，使落實(shí)行業(yè)監(jiān)管工作有據(jù)可依。其次，應(yīng)在現(xiàn)有政策及法規(guī)基礎(chǔ)上制定細(xì)化、專門化的指導(dǎo)性實(shí)施細(xì)則并指定相關(guān)風(fēng)險(xiǎn)評判工具，使醫(yī)療行業(yè)信息安全管理工作真正落到實(shí)處。

5.3 加強(qiáng)組織管理和文化建設(shè)

良好的組織和安全文化是使信息技術(shù)發(fā)揮其潛力的重要因素。目前醫(yī)療衛(wèi)生行業(yè)從業(yè)人員更多關(guān)注的是醫(yī)療信息使用，而對醫(yī)療信息安全管理重視不足。行業(yè)信息安全措施能否真正有效落地取決于醫(yī)療從業(yè)人員信息安全意識水平。增強(qiáng)醫(yī)療行業(yè)全員信息安全意識，需要在行業(yè)內(nèi)形成安全和保密文化，持續(xù)開展信息安全培訓(xùn)和意識宣貫，醫(yī)療行業(yè)管理組織需通過持續(xù)教育、獎(jiǎng)勵(lì)等手段加強(qiáng)相關(guān)人員的信息安全意識。

5.4 優(yōu)化醫(yī)療行業(yè)信息安全技術(shù)手段

目前我國絕大部分醫(yī)院僅靠網(wǎng)絡(luò)防火墻保障醫(yī)療信息安全，新一代網(wǎng)絡(luò)安全設(shè)備及技術(shù)應(yīng)用率低于50%[17]。提升醫(yī)療行業(yè)信息安全防護(hù)整體水平是“互聯(lián)網(wǎng)+”背景下信息化、數(shù)字化、智能化建設(shè)中的重要一環(huán)。醫(yī)療行業(yè)應(yīng)按照等級保護(hù)2.0要求持續(xù)開展等級保護(hù)工作，針對不同信息系統(tǒng)制定科學(xué)保護(hù)措施。同時(shí)廣泛推廣網(wǎng)閘、防入侵系統(tǒng)、防毒墻、上網(wǎng)行為管理等設(shè)備和系統(tǒng)，從網(wǎng)絡(luò)層面增強(qiáng)網(wǎng)絡(luò)及信息安全保護(hù)能力。此外在數(shù)據(jù)方面要實(shí)現(xiàn)醫(yī)療信息轉(zhuǎn)碼和加密并隱匿個(gè)人基本信息。

6 結(jié)語

自“十二五”以來我國醫(yī)療行業(yè)信息安全管理體系建設(shè)取得了一定成效，但相對于發(fā)達(dá)國家而言仍存在一定差距。在“互聯(lián)網(wǎng)+”時(shí)代背景下，分析我國醫(yī)療行業(yè)存在的信息安全與隱私性問題以及有關(guān)政策現(xiàn)狀，借鑒美國醫(yī)療行業(yè)信息安全法規(guī)體系建設(shè)經(jīng)驗(yàn)，以期為我國醫(yī)療行業(yè)信息安全管理未來發(fā)展提供有益參考。