７月１１日，世界生命科學(xué)大會暨健康醫(yī)療大數(shù)據(jù)創(chuàng)新論壇在北京成功舉行。會上，世界中醫(yī)藥學(xué)會聯(lián)合會知識產(chǎn)權(quán)保護(hù)工作委員會副秘書長、北京觀韜中茂律師事務(wù)所數(shù)字法律與網(wǎng)絡(luò)合規(guī)委員會秘書長楊旭律師從法律規(guī)范的角度分析了當(dāng)前電子病歷和患者個人隱私保護(hù)的現(xiàn)狀，總結(jié)了目前電子病歷系統(tǒng)建設(shè)中存在的問題，并給出了一系列合規(guī)建議。

以下文字根據(jù)楊旭演講內(nèi)容整理：

員在醫(yī)療活動過程中，使用信息系統(tǒng)生成的文字、符號、圖表、圖形、數(shù)字、影像等數(shù)字化信息，并能實(shí)現(xiàn)存儲、管理、傳輸和重現(xiàn)的醫(yī)療記錄。電子病歷是信息技術(shù)和網(wǎng)絡(luò)技術(shù)在醫(yī)療領(lǐng)域的必然產(chǎn)物，是醫(yī)院病歷現(xiàn)代化管理的必然趨勢。

楊旭介紹，醫(yī)療衛(wèi)生信息與管理系統(tǒng)協(xié)會（ＨＩＭＳＳ）將電子病歷的功能特征概括為八個方面：

１．當(dāng)醫(yī)療需要時，隨時隨地提供安全、可靠、實(shí)時地訪問病人健康記錄的能力；

２．采集和管理就診和長期的健康記錄信息；

３．起到醫(yī)療服務(wù)過程中醫(yī)生的主要信息源作用；

４．輔助為病人或病人組制訂診療計劃和提供循證醫(yī)療；

５．采集用于持續(xù)質(zhì)量改進(jìn)、利用率調(diào)查、風(fēng)險管理、資源計劃和業(yè)績管理的數(shù)據(jù)；

６．采集用于病案和醫(yī)療支付的病人健康相關(guān)信息；

７．提供縱向、適當(dāng)過濾的信息以支持醫(yī)療研究、公共衛(wèi)生報告和流行病學(xué)活動；

８．支持臨床試驗和循證研究。

電子病歷包括了臨床診療信息的全要素記錄，高度融合了患者在就診過程中所有的檢查、檢驗等有價值的臨床診療信息。其中的隱私內(nèi)容可以概括為兩個方面：

一是患者的個人信息。包括姓名、性別、年齡等基本身份信息，父母、配偶、子女等家庭生活與社會關(guān)系的信息，教育程度、職業(yè)、政治面貌等社會政治信息，家族史、病史、過敏史等基本健康信息，新農(nóng)合、商業(yè)保險、公費(fèi)等參保信息。

二是醫(yī)護(hù)人員記錄的診療信息。包括入院記錄、病程記錄、手術(shù)記錄、出院記錄、醫(yī)囑記錄、耗材記錄、生命征象記錄、會診記錄、相關(guān)的檢查資料與報告、醫(yī)生對患者的診斷結(jié)果以及治療的方案、知情告知書等方面的資料。

電子病歷涉及大量患者的個人信息，保護(hù)患者的隱私權(quán)尤為重要。

患者個人隱私保護(hù)存在隱患

當(dāng)前電子病歷和患者個人隱私保護(hù)的現(xiàn)狀呈現(xiàn)出以下幾個問題：

第一，法律規(guī)定不明晰。電子病歷的隱私保護(hù)建設(shè)最為關(guān)鍵的是要建立適用于本國的隱私權(quán)法，明確個人對病歷檔案的控制權(quán)和知情權(quán)，并對相關(guān)的條文作出具體詳細(xì)的說明，使法律的實(shí)施具有可操作性。

第二，標(biāo)準(zhǔn)缺失，無操作性，亟需確立電子病歷個人隱私保護(hù)標(biāo)準(zhǔn)規(guī)范。

第三，從業(yè)人員亟需培訓(xùn)。醫(yī)護(hù)人員是電子病歷檔案的首批接觸者，良好的執(zhí)業(yè)素養(yǎng)是做好電子病歷檔案隱私保護(hù)工作的首要條件。

第四，技術(shù)措施不完善。醫(yī)療機(jī)構(gòu)可以對患者的信息進(jìn)行加密儲存，這樣即便數(shù)據(jù)被不法分子截獲或下載了，他們得到的信息也無法正常打開閱讀，毫無利用價值。

第五，不能互聯(lián)互通。在電子病歷共享平臺完善后，電子病歷中不只是門急診信息和出院患者信息，還會加入住院患者病歷的信息，甚至放射影像信息等，單純以是否為接診醫(yī)生加以區(qū)分，不利于患者個人信息的保護(hù)。另一方面，電子病歷互聯(lián)互通建設(shè)處于初級階段，醫(yī)護(hù)人員缺乏對患者信息保護(hù)的關(guān)注度，個人識別賬號存在交叉互用的現(xiàn)象，也會給電子病歷中的個人信息安全帶來隱患。

電子病歷系統(tǒng)建設(shè)遇難題

目前國內(nèi)電子病歷系統(tǒng)的建設(shè)主要存在兩大問題：

一是醫(yī)療數(shù)據(jù)共享問題，在醫(yī)療大數(shù)據(jù)共享系統(tǒng)下，患者每次就診便自動將個人所有疾病信息共享給主治醫(yī)生，甚至是特殊敏感的疾病信息，如性病、艾滋病等。那么是否有必要如此共享？患者是否有權(quán)決定共享的范圍？某些醫(yī)院在給第三方機(jī)構(gòu)調(diào)取患者數(shù)據(jù)時，并沒有對患者個人的敏感信息進(jìn)行脫敏處理，這就違反了《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》等相關(guān)法律。

二是有關(guān)數(shù)據(jù)處理問題，醫(yī)院是患者個人信息處理的主要機(jī)構(gòu)。當(dāng)前，醫(yī)院尚未形成體系性的個人信息保護(hù)的管理制度，個人隱私保護(hù)措施主要體現(xiàn)在各個具體的信息系統(tǒng)管理制度中。患者電子病例數(shù)據(jù)的保存、利用、共享、刪除、保密機(jī)制是否完善，這是一個全生命周期數(shù)據(jù)合規(guī)體系的搭建問題。是否對數(shù)據(jù)安全、數(shù)據(jù)出境進(jìn)行評估，以及患者的個人信息安全如何影響評估機(jī)制，醫(yī)院是否對防火墻機(jī)制進(jìn)行了評估等，從這些角度來看，目前仍有所缺乏。

國內(nèi)亟需依法對患者隱私信息進(jìn)行嚴(yán)格管控保護(hù)，設(shè)立脫敏、去標(biāo)識化的具體標(biāo)準(zhǔn)和規(guī)定，這樣才能在促進(jìn)健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展過程中保護(hù)個人隱私和維護(hù)信息安全。

搭建數(shù)據(jù)合規(guī)管理體系

實(shí)現(xiàn)數(shù)據(jù)的全生命周期管理

針對電子病歷與患者個人隱私保護(hù)之間涌現(xiàn)的問題，楊旭給出了一系列合規(guī)建議。

首先，醫(yī)院或醫(yī)生在使用數(shù)據(jù)系統(tǒng)里的電子病歷信息時，自己應(yīng)當(dāng)注意不要泄露患者的個人信息。

對于不同的健康醫(yī)療機(jī)構(gòu)而言，其所遵循的合規(guī)義務(wù)可能因其主體身份、業(yè)務(wù)或所收集數(shù)據(jù)的類型而異。在我國目前的監(jiān)管框架下，健康醫(yī)療行業(yè)所處理數(shù)據(jù)不僅涉及到《個人信息保護(hù)法》中的個人信息和敏感信息，還可能涉及與健康醫(yī)療有關(guān)的其他數(shù)據(jù)類型，在處理這些數(shù)據(jù)時應(yīng)當(dāng)在遵循《個人信息保護(hù)法》的同時參照原有要求對健康醫(yī)療數(shù)據(jù)進(jìn)行全生命周期的合規(guī)處理，可能涉及對健康數(shù)據(jù)的收集、存儲、加工、使用和傳輸?shù)拳h(huán)節(jié)。

其次，對于醫(yī)療機(jī)構(gòu)而言，質(zhì)量控制是十分重要的，電子病歷是質(zhì)量安全控制的重要內(nèi)容和環(huán)節(jié)。建立“事前預(yù)防，事中控制和事后評價”三位一體的數(shù)據(jù)合規(guī)管理體系，醫(yī)療機(jī)構(gòu)需要在整個過程中的每一個環(huán)節(jié)都加強(qiáng)質(zhì)量控制。

最重要的是，醫(yī)院需要搭建的數(shù)據(jù)合規(guī)管理體系，進(jìn)行醫(yī)療健康數(shù)據(jù)全生命周期的管理，才能避免信息泄露等安全問題。目前，數(shù)據(jù)合規(guī)管理體系已經(jīng)有了國際化的認(rèn)證，包括ＩＳＯ３７３０１：２０２１《合規(guī)管理體系　要求及使用指南》及《ＧＢ／Ｔ３５７７０－２０２２　合規(guī)管理體系要求及使用指南》，這兩個標(biāo)準(zhǔn)體系要求任何組織、任何機(jī)構(gòu)都要搭建自己的合規(guī)管理體系，通過合規(guī)管理體系，醫(yī)院就能規(guī)避信息安全方面的問題，保障好數(shù)據(jù)全生命周期的重點(diǎn)領(lǐng)域、重點(diǎn)環(huán)節(jié)，以保護(hù)患者的隱私安全。

展望未來

未來，健康醫(yī)療大數(shù)據(jù)的會朝著互通、互享、共治、共享的方向發(fā)展，數(shù)據(jù)流通會更加順暢，防止數(shù)據(jù)泄露也是很重要的議題。

因此，醫(yī)院醫(yī)生尤其注意對醫(yī)療健康數(shù)據(jù)的處理，建立全生命周期的數(shù)據(jù)合規(guī)管理體系，并進(jìn)行認(rèn)證，才能更好地規(guī)避信息安全的問題。

注：文章來源于網(wǎng)絡(luò)，如有侵權(quán)，請聯(lián)系刪除