近日，中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟數(shù)據(jù)安全治理專業(yè)委員會編著的《數(shù)據(jù)安全治理白皮書?。担啊氛桨l(fā)布，其中，《數(shù)據(jù)安全治理白皮書５．０——醫(yī)療數(shù)據(jù)安全治理實踐（醫(yī)院實踐篇）》分析了當(dāng)前醫(yī)療數(shù)據(jù)安全現(xiàn)狀及痛點，梳理了治理思路。

０１

經(jīng)過多年的信息化建設(shè)，醫(yī)療行業(yè)積累了大量的高敏感患者信息，如身份證號、家庭住址、家庭關(guān)系、醫(yī)?？ㄌ?、銀行卡號等個人信息，以及檢查、檢驗、病癥、處方等診療信息。這些數(shù)據(jù)風(fēng)險巨大，關(guān)系著公民的個人隱私，也關(guān)系著社會運行的安全、穩(wěn)定。與此同時，這些數(shù)據(jù)也蘊含著巨大商業(yè)價值，例如通過對海量病患信息的利用分析實現(xiàn)新的治療方案、新的藥物研究、人工智能診療等新的醫(yī)學(xué)實踐，從而改善治療的手段、醫(yī)藥的有效性、治療的效率等。醫(yī)療數(shù)據(jù)受到醫(yī)藥、保健、保險、廣告等商業(yè)機(jī)構(gòu)高度關(guān)注。

互聯(lián)網(wǎng)醫(yī)院、醫(yī)聯(lián)體建設(shè)、專科聯(lián)盟建設(shè)、聯(lián)合診療、醫(yī)療健康信息互聯(lián)互通、臨床醫(yī)學(xué)研究、可穿戴健康監(jiān)測、公共衛(wèi)生監(jiān)測等工作都與醫(yī)療數(shù)據(jù)的共享交換密不可分，醫(yī)療數(shù)據(jù)的共享、流動使用是必然趨勢，同時，醫(yī)療行業(yè)的數(shù)據(jù)泄露風(fēng)險必然加大，數(shù)據(jù)安全管理與防護(hù)工作將面臨更大的挑戰(zhàn)。

０２

過去的十多年，醫(yī)院在網(wǎng)絡(luò)安全建設(shè)上進(jìn)行了大量投入，取得了一定成果，但數(shù)據(jù)安全建設(shè)基礎(chǔ)仍然比較薄弱，尚處于起步階段。

國家對醫(yī)療健康行業(yè)數(shù)據(jù)安全的監(jiān)管也日趨嚴(yán)格，政策日趨完善，但尚有模糊地帶，例如智慧互聯(lián)與個人信息保護(hù)法之間就存在一些沖突，譬如醫(yī)院患者個人信息賦予第三方使用的監(jiān)管問題，有待進(jìn)一步規(guī)定?！稊?shù)據(jù)安全法》和《網(wǎng)絡(luò)數(shù)據(jù)安全管理條例》中都明確，要建立數(shù)據(jù)分類分級制度，但目前醫(yī)院數(shù)據(jù)的分類分級仍缺乏可落地的策略與方法。

《白皮書》建議國家衛(wèi)健委就一些行業(yè)默認(rèn)執(zhí)行的規(guī)則進(jìn)行顯性的行業(yè)規(guī)定下發(fā)，以減少醫(yī)院數(shù)據(jù)安全工作者在執(zhí)行落地中的法規(guī)困惑，歸納為以下幾點：

１、明確醫(yī)院在診療過程中收集的個人信息和診療信息可以用于醫(yī)院的診療過程中，不需要與患者另行簽署個人信息處理同意書。

２、明確醫(yī)院在診療過程中收集的個人信息和診療信息，出于醫(yī)療檔案留存需要，可以長久保存（如?。常啊∧辏挥米裱颊邉h除權(quán)。

３、明確醫(yī)院在診療過程中收集的個人信息和診療信息，在采用去標(biāo)識化手段后，可以進(jìn)行網(wǎng)上聯(lián)合診療。

４、明確醫(yī)院在診療過程中收集的個人信息和診療信息，在醫(yī)聯(lián)體中，不需要與患者另行簽署同意書。

５、明確醫(yī)院收集的診療信息在去除標(biāo)識化后，可以用于醫(yī)學(xué)研究中，不需要與個人另行簽署同意書。

６、明確醫(yī)院收集的個人信息和診療必要信息在進(jìn)行醫(yī)保申請時，可以傳遞給醫(yī)保機(jī)構(gòu)，不需要與個人另行簽署同意書。

７、明確醫(yī)院收集的個人信息和診療必要信息在上報給衛(wèi)健委備案時，不需要與個人另行簽署同意書。

８、面向商業(yè)保險查詢個人電子病歷信息時，需要出示紙質(zhì)或電子的個人同意書。

９、其余的未涉及的，遵循《個人信息保護(hù)法》中的一般要求。

０３

在此基礎(chǔ)上，《白皮書》提出醫(yī)院數(shù)據(jù)安全治理的整體思路，并繪制了醫(yī)院數(shù)據(jù)安全治理框架。

思路有二：

１．　以患者隱私數(shù)據(jù)安全管理和保護(hù)為目標(biāo)，以電子病歷數(shù)據(jù)分類分級保護(hù)為核心，面向醫(yī)院數(shù)據(jù)應(yīng)用場景，構(gòu)建醫(yī)院數(shù)據(jù)安全基礎(chǔ)能力；

２．　以平衡數(shù)據(jù)安全與開發(fā)利用、提升醫(yī)院數(shù)據(jù)應(yīng)用效率為目標(biāo)，完善醫(yī)院數(shù)據(jù)安全和檢查評估體系。

醫(yī)院數(shù)據(jù)安全治理框架整體示意如下圖所示，將以醫(yī)院電子病歷數(shù)據(jù)分級為基礎(chǔ)，建立患者數(shù)據(jù)生命周期安全防護(hù)體系，并通過完善數(shù)據(jù)安全組織建設(shè)、明確醫(yī)院數(shù)據(jù)各場景的數(shù)據(jù)安全需求、完善管理和技術(shù)體系建設(shè)，全面保障醫(yī)院數(shù)據(jù)安全。

醫(yī)院數(shù)據(jù)安全治理框架

患者數(shù)據(jù)生命周期和數(shù)據(jù)場景安全防護(hù)要求是數(shù)據(jù)生命周期安全框架的核心，針對不同級別的數(shù)據(jù)，明確其在數(shù)據(jù)生命周期各個環(huán)節(jié)的安全防護(hù)要求，是醫(yī)院開展數(shù)據(jù)安全防護(hù)工作的基本依據(jù)。結(jié)合患者數(shù)據(jù)使用場景及電子病歷數(shù)據(jù)的特點，建立覆蓋醫(yī)院數(shù)據(jù)生命周期和數(shù)據(jù)使用全場景安全防護(hù)機(jī)制，是保障醫(yī)院數(shù)據(jù)安全的必經(jīng)之路。此外，組織保障、管理體系也是醫(yī)院數(shù)據(jù)安全框架必不可少的組成部分。

結(jié)合前面的整體思路和安全框架，針對醫(yī)院目前普遍存在的數(shù)據(jù)安全建設(shè)痛點問題，《白皮書》提出，醫(yī)院醫(yī)療數(shù)據(jù)分類分級、醫(yī)院數(shù)據(jù)場景安全指南、醫(yī)院數(shù)據(jù)安全檢查評估、可落地的醫(yī)院數(shù)據(jù)安全綜合方案等四個方面，是醫(yī)院數(shù)據(jù)安全治理的重點方向。（內(nèi)容來源：中關(guān)村網(wǎng)絡(luò)安全與信息化產(chǎn)業(yè)聯(lián)盟數(shù)據(jù)安全治理專業(yè)委會編著《數(shù)據(jù)安全治理白皮書?。担啊罚?/p>

醫(yī)療行業(yè)數(shù)據(jù)安全建設(shè)涉及的范圍廣，難度大，建設(shè)基礎(chǔ)較弱。除醫(yī)院的患者診療數(shù)據(jù)外，還包括疾控數(shù)據(jù)、居民健康檔案數(shù)據(jù)、互聯(lián)網(wǎng)醫(yī)療平臺數(shù)據(jù)、醫(yī)藥平臺數(shù)據(jù)、衛(wèi)健委統(tǒng)計上報數(shù)據(jù)、人類遺傳數(shù)據(jù)等等，醫(yī)療行業(yè)數(shù)據(jù)安全建設(shè)和治理迫在眉睫，挑戰(zhàn)巨大，受到行業(yè)各方關(guān)注，同時也需要各方共同努力，探討治理思路。

注：文章來源于網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系刪除