堵住健康醫療大數據的安全“漏洞”

當前，健康醫療大數據已成為國家重要的基礎性戰略資源，其應用發展將帶來健康醫療模式的深刻變化。同時，我國健康醫療大數據安全也面臨前所未有的挑戰，必須找準關鍵、深入剖析，提出有針對性的對策建議，切實維護好健康醫療大數據的安全。當前，數據安全隱患主要表現在以下幾個方面：

一是數據安全意識較弱。不少醫療機構或有關企業的數據安全意識和保護措施還很薄弱，對于數據更是無任何保護措施，可以說，很多數據正在“裸奔”。這容易導致設備的失竊或者數據丟失，泄露個人健康信息。

二是數據系統漏洞易招致黑客入侵。目前，個人醫療信息主要從以下三大類機構中泄露：醫療保險商、醫療機構和商業合作公司。其中，大部分機構并沒有把敏感數據和非敏感數據分開，也沒有定期檢查基礎設施是否含有漏洞。出現的漏洞也越來越多，極易被黑客利用。

三是醫療機構內部人員出現技術性失誤。由于醫療機構內部缺少有效的管理控制手段，工作人員未將信息保護工作做到位或技術性失誤，導致信息接受者錯誤、電子信息未加密等情況發生，會泄露個人健康信息。

四是缺乏具備健康醫療行業特色的信息安全技術標準。健康醫療行業的復雜性、特殊性較高，雖然目前已按照國家信息安全等級保護的要求，加強健康醫療信息的安全防護與規范管理，但尚未建設具備其業務特點的信息安全保障體系，以及專門的信息安全技術標準，不利于有針對性地開展安全保護工作。

五是數據安全人才與經費保障缺口較大。在數據安全人才隊伍方面，具備較強實戰對抗能力的專業數據安全人員嚴重缺失，許多醫療機構甚至出現“大夫在看病之余兼管數據安全”的狀況。

在發展健康醫療大數據的同時，應確保安全保障工作同步推進：

一是加強健康醫療大數據安全風險評估和防范。比如，建立大數據安全治理組織結構，包括治理委員會、管理委員會、業務組、技術組、評估組，以及相應的組成人員；實施健康醫療大數據及網絡安全人才隊伍建設工程，研究設立網絡空間安全一級學科，完善相關政策，培養和引進網絡安全專業人才；定期組織人員參與信息安全培訓，提高安全防控意識及權責意識，做好信息安全風險評估，有效預防可能出現的安全風險。

二是對個人健康醫療信息保護進行立法。隨著公民個人信息權利意識的提高，立法機關應加快制定和出臺個人信息保護單行法的進程，明確法律要保護的公民個人信息的范圍、類型、責任與義務，尤其要加強對未成年人的個人信息保護。

三是從源頭上加強對健康醫療大數據的保護。大力推動構建可信的信息安全體系，建立起統一權威、互聯互通的人口健康信息平臺，將數據源牢牢把控并回歸到國家層面，保證健康醫療行業的信息安全可控；運用DES、3DES、RSA、AES等常用的加密算法的源代碼，對敏感的數據信息進行加密保護，使經過加密處理的隱私信息只有獲得權限后才能進行安全瀏覽；醫療設備供應商要不斷檢測物聯網設備和應用程序的安全快速響應修復漏洞。

四是制定統一的健康醫療大數據安全標準。有效保證各業務部門、系統間數據的規范性、融合性、流通性、共享性、安全性。

五是加強健康醫療大數據的全生命周期管理。建議從關鍵系統入手，為健康醫療大數據的全生命周期安全保駕護航。