淺論醫療數據及其安全防護

周 彬 沈 黎 吳 檠 劉 煒 趙雪飛

華中科技大學同濟醫學院附屬協和醫院，武漢，430022

醫療數據，主要由患者個人信息結合其接受醫療服務過程中產生的數據組成。隨著醫療機構業務的長期發展，醫療數據不斷產生，并持續積累。近年來，國家健康行政部門推出了200多項衛生信息標準，并利用互聯互通標準化成熟度測評、電子病歷系統功能應用水平分級評價等手段，推動醫院數據質量治理。目前，醫療數據的可用度較高，應用范圍較廣，在物聯網、大數據、人工智能等信息技術推動下，已經成為惠民便民服務、臨床研究、運營決策、醫療行為監管、衛生政策制定的重要基礎。

醫療數據的安全性、可靠性是增強用戶黏度、提升潛在用戶的重要指標[1]。在數字經濟時代，醫療數據因其價值巨大而被不法分子所覬覦。目前涉及醫院的網絡安全事件頻發，不僅竊取、出售或提供患者信息的違法犯罪行為時有耳聞，甚至還出現了醫院核心數據庫遭黑客接管后加鎖、致使醫院運營停頓而被勒索的案件。這些都給醫院的正常運轉與患者的合法權益造成損失，影響非常惡劣。目前醫院在信息安全建設方面的投入遠低于醫療業務方面信息系統建設的投入。筆者認為，醫院現在應該轉換思想，在《中華人民共和國網絡安全法》的指引下，落實信息系統安全等級保護制度，結合衛生行業隱私保護與信息安全規范，采取強有力的措施，保護醫療數據與患者信息安全。以下試詳述之。

1 醫療數據與患者信息

1.1 醫療數據

數據和信息是緊密結合、不可分離的。數據是信息的表現形式和載體，而信息是數據的內涵。信息加載于數據之上，對數據作有意義的解釋[2]。對同一數據的不同解釋，可以傳遞不同的信息，影響信息接受者對客觀世界的判斷。

醫療機構所產生的醫療數據一般分為臨床服務類、管理類和運營類。臨床服務類數據以患者為核心展開，貫穿整個診療過程。它包括病程記錄、檢驗檢查結果、臨床診斷、醫囑、手術、治療、會診、出院小結等。醫療管理類數據主要是醫療機構服務于患者過程中的數據，包括患者基本信息、專家排班表、各類代碼字典、醫療服務及藥品耗材價目表、費用明細表、各類推送與提醒信息等。運營類數據主要是醫療機構運行過程中產生的數據，包括機構基本信息、組織架構與人員信息、房屋土地與固定資產信息、供應鏈與各類采購進銷存信息、財務與后勤保障信息等。這些信息與數據交叉融合，互為依賴，且不同的排列組合表達不同的含義。

1.2 患者信息

在醫療數據中，患者信息占據著重要的地位。患者信息是指以電子或者其他方式記錄的、能夠單獨或者與其他信息結合，可識別特定自然人身份或者反映特定自然人活動情況的各種信息，包括姓名、身份證件號碼、通訊聯系方式、住址、賬號密碼、財產狀況、活動軌跡等。

醫療機構所需的患者信息是所有行業中最全的，除了身份識別信息，還包括指紋、虹膜、人臉等生物識別信息，甚至還有保險、金融等支付信息、精準醫療所需的基因信息等。

患者在醫療機構接受醫療服務所產生的數據，與其基本信息相結合，以其居民健康卡號為唯一主索引，構成留存于醫療機構的患者信息。患者健康信息是醫療數據最重要組成部分，也是數字經濟時代醫院的核心資產之一。

1.3 醫療數據的生產

患者到醫療機構就醫，接受診療護理，需要醫院多個學科、多種醫療設備、多類人員提供各種服務。整個過程需要不同的信息系統支持，產生各種各類數據。醫務人員將患者疾病的描述、查體的結果、臨床診斷、治療意見等全過程記錄到信息系統。醫療輔助人員、自助設備、互聯網相關程序等，圍繞醫療過程，逐筆或批量在信息系統中生產數據。患者在醫療儀器與設備上接受醫學檢驗、檢查所產生的文字、數字、影像等數據，也會自動采集到信息系統中來。

1.4 醫療數據的存儲

醫療機構的信息系統根據業務特點來設計與組織數據的儲存。能夠用二維表邏輯表達的數據，如病歷首頁中的信息等，可儲存到數據庫中，則為結構化數據。反之，不能被計算機直接解析的非結構化數據，如術前談話的聲音、圖像等，則以計算機文件形式儲存。不管是數據庫，還是計算機文件，都會存放到由磁盤陳列構成的計算機存儲設備中。

1.5 數據資產的價值

醫療數據的生命周期主要是采集、傳輸、存儲、加工處理、應用展現、歸檔研究。只有對醫療數據加以組織與管理，才能成為醫療機構的數據資產。在人工智能、大數據等技術支撐下，健康醫療模式正在發生深刻的變化，醫療數據資產的價值越來越大，它有利于提升健康醫療服務效率和質量，持續滿足人民群眾多層次、多樣化的健康需求[3]。其具體價值不僅體現在臨床的診斷治療、科學研究、新藥研制、疾病篩查、流行病預警、居家監測、健康管理等眾多方面，也是國家醫療衛生政策制定與基本醫療保險制度完善的重要依據。

1.6 醫療數據的權屬與使用

患者至醫療機構就醫，即與之形成一種契約關系，后者有權依法使用、管理患者的基本信息與醫療信息，也應依法保護患者的信息安全。患者當然有權知曉與使用自己的醫療信息，但醫務人員在醫療行為中記錄的數據、通過儀器設備采集的患者信息等，則凝聚了其多年學習積累而成的醫學知識、經驗，也投入了可觀的工作時間，因此醫療機構對這些數據擁有知識產權。醫療機構接受健康行政等部門的監管，有義務根據相關法律和政策規定向后者提交監管所需的醫療數據。醫院與第三方機構合作，開展科學研究，則應提供脫敏后的數據。患者在醫院就醫結算，需要保險基金、銀行等第三方機構支付時，醫療機構應與相關機構交換數據。總之，醫療數據是國家重要的基礎性戰略資源，應該合法收集、限制使用、安全儲存。

2 頻發的醫療數據安全事件

盡管醫療數據如此重要，但近年來醫療數據安全事件頻繁發生，具體有如下種類。

2.1 違規統方

藥品和醫用耗材每個月的使用量，以及在醫務人員中的分布量，是一些藥品、醫用耗材等供應商所關注的數據。他們根據相關數據，按一定的銷售比例，給醫務人員發放紅包或提供回扣，以利誘少數醫務人員超量使用相關藥品材料，加重患者負擔。這些數據的統計，有些是醫務人員、管理人員從業務系統中手工記錄、加工獲得，有些則是醫療機構信息部門工作人員、第三方駐場工程師或非法入侵者，利用技術手段而取得的。

2.2 隱私泄露

患者的健康狀況屬于自身的隱私，只有在其知情同意的情況下，才能在一定范圍內依法使用，否則很可能使患者遭受不公正待遇，嚴重影響其工作和日常生活，特別是一些患有傳染性或特殊類疾病，如肝炎、性病、艾滋病等疾病的患者。然而，有些醫療機構的信息系統缺乏安全保護設計，普通工作人員可以隨意檢索，獲取隱私信息。

2.3 信息倒賣

一些不法分子千方百計從醫療機構或與醫療機構合作的第三方互聯網醫療平臺中，通過短信截取、非法入侵等手段，獲取患者信息，如姓名、性別、住址、聯系方式等，并在互聯網上公開叫賣，牟取利益。一些嬰兒用品、保健品、陪護、康復器械商販不斷地向信息被泄露的患者推銷其產品，使人不勝其煩。詐騙分子利用這些信息實施詐騙犯罪，使患者及其家屬遭受經濟損失。還有些不法分子，利用這些信息制作虛假證照、冒用身份，從事套取信用資金等不法活動。

2.4 病毒勒索

計算機病毒種類繁多、影響各異，但目前破壞力最大的病毒當屬勒索病毒。該病毒加密醫院的核心數據庫，導致信息系統因無法讀寫數據而癱瘓，從而使醫院的各項業務停頓，不得不轉為手工模式應急，社會影響極壞。目前還沒有破解該病毒的技術，只能交付不菲的勒索金，恢復業務。從2017年起，該病毒開始侵襲我國，衛生行業不幸成為重災區。目前國內不少醫院已經遭其勒索，并有蔓延的趨勢。

2.5 數據篡改

極少數的從業人員，利用職務之便，非法篡改實驗室數據或檢查報告結果，致使醫院提供虛假醫學診斷證明。也有不法人員鉆業務流程空子，內外勾結，以虛假退費等方式，騙取醫院資金。甚至還有內部人員直接修改或刪除費用信息，從而非法牟利。

2.6 數據脫離監管

越來越多的臨床專家們與第三方大數據公司合作，提供醫院的全量數據，開展專科病種的回顧性、前瞻性研究或機器閱片等人工智能診斷方面的研究。這些數據傳輸并存儲到第三方系統，脫離了醫院的監管，導致出現醫院數據與患者隱私泄露的現象。甚至還有部分人員違反國家有關規定，私自將數據傳輸到境外，結果由于嚴重危害國家安全受到處理。

3 醫療數據安全防護策略

醫療數據安全問題目前已經引起整個社會各界的關注。各種防護措施也紛紛出臺。經研究，我們認為醫療數據安全防護策略可從以下幾個方面出發。

3.1 法律與行業規范

醫療數據安全防護最重要的法律依據為《中華人民共和國國家網絡安全法》。該法第七十六條規定，網絡是指由計算機或者其他信息終端及相關設備組成的按照一定的規則和程序對信息進行收集、存儲、傳輸、交換、處理的系統。網絡安全是指通過采取必要措施，防范對網絡的攻擊、侵入、干擾、破壞和非法使用以及意外事故，使網絡處于穩定可靠運行的狀態，以及保障網絡數據的完整性、保密性、可用性的能力。根據該法，網信部門、公安部門均加強了對醫院網絡安全工作的督導與檢查。國務院辦公廳、國家衛生健康委近年來在其出臺的各類政策文件和行業規范中，都對網絡安全提出了指導性意見，并明確各單位黨政一把手為本單位網絡安全第一責任人。同時，也對網絡安全工作的組織架構、工作分工、責任劃分、防范措施、技術支持、責任追究等作出了要求。在出現網絡安全事故時，相關責任人會被認定違紀違規，甚至需要承擔法律責任。

3.2 信息安全等級保護

不同安全等級的信息系統應具有不同的安全保護能力。依據公安部等四部委2007年下發的《信息安全等級保護管理辦法》，三級甲等醫院的核心業務信息系統安全保護等級原則上不能低于三級[4]。根據衛生部2011年頒發的《衛生行業信息安全等級保護工作的指導意見》(衛辦發〔2011〕85號)，通過定級備案、建設整改和等級測評等工作，可以促進醫院明確網絡安全責任，建立長效工作機制，運用網絡安全技術和設備，保障醫院網絡信息與數據安全。

3.3 醫院制度與管理規定

醫院根據國家法律法規與行業規范，建立網絡安全領導小組，明確醫院各部門及相關人員的分工與職責。制定信息系統建設、管理、使用、維護、應急等方面的制度與規定，定期開展網絡安全檢查與整改，定期開展網絡災害脆弱性評估以及應急演練，力求做到預防為主、事中可控、事后溯源，將危害降到最低。

3.4 從業人員的信息安全意識

加強網絡安全知識與法規的宣傳、學習、培訓，及時通報各類網絡安全事件，提高醫務人員網絡安全防范意識。在提供醫療服務的各個環節，時刻謹記保護患者的數據和隱私[5],不用個人途徑傳輸信息，亦不在不合適的場合及平臺發布或共享包含患者在院信息的卡片、文件、圖片、檢測報告等，不隨意談論或回復未經允許的各類有關患者醫療情況的采訪或咨詢等。

3.5 保密協議

醫院在采購信息系統、計算機網絡與核心基礎設備時，應隨合同與供貨方簽署保密協議，嚴格要求對方在遵守國家法律法規的前提下提供信息服務。信息部門的從業人員也應與醫院簽署保密協議，依法依規嚴格約束自己的行為，恪守職業道德。

3.6 信息技術保障

3.6.1 數字認證與分級授權。醫務人員使用數字證書，登錄信息系統，根據自己的身份，在授權范圍內使用系統功能。個人在系統中的行為應能被追溯和問責。

3.6.2 核心設備與數據庫防護。采用數據庫審計系統與防統方軟件，對醫院核心數據庫實時監控，通過分析進出數據庫的各種操作語句，預警異常操作行為，并可追蹤與定位異常操作者的網絡位置與操作身份。經常升級操作系統與數據庫系統軟件補丁，服務器端采用強密碼，加強賬號密碼管理，安裝服務器殺毒軟件，關閉不必要或有風險的系統端口，建立容災與應急、數據庫備份與分離備份機制等。

3.6.3 網絡與終端設備防護。安裝網絡終端殺毒軟件、桌面管理或云桌面系統管控終端設備。在內外網非物理隔離的網絡中，配置高性能防火墻等安全設備，加強邏輯隔離。使用云盤監管內外網個人數據的傳輸，禁止U盤混用行為。運用漏洞掃描、態勢感知等設備嚴密監控網絡流量，及時發現病毒影蹤，盡快處置網絡攻擊事件。在網管軟件中，綁定MAC、IP地址與交換機端口，嚴防非法接入與入侵。

3.6.4 駐場工程師與遠程維護監管。給駐場工程師的筆記本安裝云桌面，接入醫院網絡，只能使用云桌面中規定的開發環境所需軟件，調試過程中的臨時文件或所有下載數據均存在醫院云端。采用VPN結合堡壘機，監管公司人員對醫院系統的遠程維護，防止異常指令和竊取數據的操作，且能溯源。

3.6.5 外聯的安全通道。建立外聯的安全通道，使用多鏈路出口網關，連接互聯網鏈路或各類專線，在其后端根據需要，綜合配置各類防火墻、負載均衡、隔離網閘、入侵檢測等安全設備，統一醫院所提供的互聯網以及外部交互服務的途徑。

總之，就醫療數據安全防護而言，信息技術的發展將不斷增強數據防護的能力，其中，數據的加密使用非常值得期待。

4 結論

醫院信息化建設已完成數字化轉型，目前正向智慧化方向發展。在信息惠民便民與智慧醫院建設這一背景下，醫院信息化越發達，所面臨的信息安全形勢越復雜。方便與安全本身就是一對永恒的矛盾。在信息化過程中一直存在著重建設、輕安全，重應用、輕服務的思想。因此，只有更新思想觀念，在信息安全防護中加大建設投入，加快人才隊伍培養，建立長效工作機制，合理運用安全技術與設施，才能扎緊立體化的網絡防護籬笆，確保醫療數據與患者信息安全，保障醫療事業持續發展。