医疗数据安全难掌控？可从医疗节点找突破口

发布时间：2022-01-18 16:14:23来源：健康报医生频道

在当前依法治国、加强数据安全监管的大背景下，卫生健康行业如何全面准确落实法律要求，在保障网络安全、数据安全、数据合规的前提下，不断提升医院诊疗服务能力和临床研究水平，还存在许多亟待解决的难题。

中日友好医院在学习和研究法律法规的基础上，全面梳理院内各项工作需要重点防范和化解的风险点，探索建立医疗数据全流程安全管理制度。

医疗数据处理面临三大风险

　　数据安全风险。大数据的实时处理和分析，提高了医疗服务能力和效率，也让医院面临违规处理各类数据的风险。若出现违反医疗数据风险监测、网络安全、核心数据管理的行为，向境外机构提供数据等，医院可能因此受到罚款、停业整顿以及追究刑事责任等处罚。

　　医疗服务与数据合规无法有效融合。例如，由于不能明确临床研究知情同意是否默认包含数据使用的知情同意，导致医疗数据无法流动，临床研究尤其是多中心研究受阻。目前，涉外医学研究等合作对个人敏感信息处理没有明确有效的合规方案，为避免法律风险，相关合作大多陷入停滞。在各项法规要求下，医院原有的业务操作流程及隐私协议等存在大量不符合数据安全、隐私保护的情况，医疗数据“孤岛化”、患者就诊效率低、医疗资源重复占用等问题尤为突出。

　　医疗数据合规难。一是医疗人员缺乏合规意识，对数据安全责任不清晰，存在医疗数据泄露风险。二是相关责任主体复杂，除了直接或间接提供医疗服务、保险服务、支付服务、药品销售服务的机构外，提供信息化平台、云服务的机构，作为相关主体，也会与健康医疗数据产生一定的交集。医疗健康数据处理流程复杂、链条长，附着在数据上的价值多元、复杂，与一般的个人信息相比，健康医疗数据价值风险还涉及伦理判断、人类遗传资源安全、生物安全等问题。三是管控方式复杂和系统改造困难。部分医疗机构信息系统老旧，其建设时没有考虑到安全等问题，利用隐私保护技术规范有效地对现有信息系统进行升级改造，以实现数据安全合规的目的，具有很高的技术难度。

依托典型场景梳理关键节点

　　在此背景下，中日友好医院积极开展医疗机构执行数据安全及个人信息保护措施的合法性研究，依托典型场景进行业务全流程梳理，找到与数据安全、个人信息保护相关的节点，发现常见的问题和风险点，制定有针对性的解决方案。

　　在常规诊疗中，患者到医疗机构就医，需要出示身份证、医保卡、就诊卡等，并登记个人信息；患者的姓名、性别、年龄、手机号和家庭住址会呈现在分诊台、护士工作站、医生工作站、病历书写等界面，这些环节都可能会发生隐私信息泄露。医生在问诊或查房过程中，会询问患者的个人偏好、生活习惯、前期治疗方案等隐私信息。患者在门诊或病区提供的检查样本会标识个人信息，在样本的储存、运输、检验、销毁过程中也可能发生个人信息的泄露。传统的信息载体，比如纸质的个人信息登记本、病历，其交接、誊抄、复印、借阅的过程也是数据安全的风险点。

　　在互联网医疗中，身份验证、电子处方和药物配送等环节涉及对医疗数据的安全进行管控。

　　在临床研究中，签署知情同意书或受试者补偿协议书、回顾性分析等环节，都有暴露患者治疗方案、检查数据、检验结果、疾病进程等个人信息的风险。

　　因此，医院需要按照法律条文的规定，规范每一步操作流程，对数据处理的各个环节进行风险把控，杜绝风险的发生。

从两个层面设计解决方案

　　法律解决方案。医院组织法律与技术专家讨论并给出解决方案，包括数据采集中的知情告知、各方身份确认、数据使用目的和处理流程、保密措施，以及业务流程的合规性调整、制定不同场景用户知情授权书范本等内容，并根据已选场景的业务模型试用新的解决方案，验证可行性。

　　技术解决方案。采用隐私计算等技术对信息系统的数据进行安全合规建设是必要的解决方案。隐私保护技术的多样性，如以数据脱敏技术、安全联邦学习为代表的隐私计算技术，在安全性、适配场景等方面存在多样化差异。因此，急需建立完善的医疗健康数据合规政策与技术规范体系，促进健康医疗数据的安全有序流转，解决健康医疗数据共享、出境、隐私保护、分级分类管理、开放等问题。

作者简介

左先波

生物信息学博士

中日友好医院

药物临床试验研究中心副主任、

临床医学研究所管委会副主任

编辑制作：胡彬

审核：方彤

近期好文

观点

说法

实践

感悟