“互聯網+”視域下美國健康醫療信息安全管理對我國的啟示*

徐文軒，劉博言，張 雪

(哈爾濱醫科大學人文社會科學學院，黑龍江 哈爾濱 150081，moonbear119@163.com)

在互聯網科技產業及大數據技術迅猛發展的背景下，互聯網企業利用手機、可穿戴設備和健康設備等通過互聯網連接，可方便迅速地獲取公眾個人健康醫療信息。因此，現代化健康醫療信息安全管理并不僅限于對患者病例的安全保護，而應當是對能夠識別、反映特定自然人生理或心理健康相關信息進行保護，包括個人身份信息，診療標識號碼，檢查、檢驗結果，可穿戴設備信息，接受的健康醫療服務信息，提供健康醫療服務者身份信息，個人支付或醫保信息等[1]。有鑒于此，美國等發達國家和地區開始不斷完善對于健康醫療信息安全的管理與保護。

1 我國“互聯網+”視域下健康醫療信息安全管理的困境

1.1 健康醫療信息價值與法律保護不對等

據統計，美國每年由于健康醫療信息的丟失或被盜，會造成醫療保健行業每年高達70億美元的損失[2]。在中國，媒體暗訪發現，一萬條個人信息售價約800～1000元，卻可能創造出數十倍的利潤價值[3]。據報道，福州多家三甲醫院被黑客竊取了醫院的“統方”(醫生或部門一定時期內臨床用藥量信息統計)數據，被形成1325份藥品銷量報告，而后被高價盜賣[4]。然而更多地被盜竊健康信息并不僅限于獲得醫療服務或藥物，更涉及勒索、詐騙等惡性刑事案件。我國個人信息泄露之所以嚴重，是因為與發達國家相比，我國對健康醫療信息隱私保護政策法規的制定略顯滯后，目前我國《中華人民共和國刑法》中雖然規定了侵害公眾個人信息罪，但由于盜取健康醫療信息非法利潤高、違法成本低，健康醫療信息價值與保護不對等的現狀，讓盜取者心存僥幸。

1.2 公民個人保護意識缺失與信息收集監管缺位

根據中國消費者協會關于APP個人信息泄露問題的調查，超八成受訪者曾遭遇個人信息泄露問題，約86.5%的受訪者曾收到推銷電話或短信的騷擾，約75.0%的受訪者接到詐騙電話[5]。一方面是由于公眾個人信息保護意識薄弱，信息安全思維欠缺導致；另一方面是由于移動互聯網應用程序毫無底線地收集和使用用戶個人信息，并在隱私條款中制造法律漏洞所致。在公眾健康觀念逐漸提升和政府支持力度不斷增強的時代背景下，一系列互聯網健康管理平臺，互聯網健康咨詢平臺，甚至互聯網醫療平臺應運而生，手機和電腦成為記錄健康狀況、填寫電子病歷、進行遠程互聯網醫療最主要的設備。近年來，互聯網軟件行業發展勢頭迅猛，但與此同時，國內第三方應用市場缺乏監管，特別是Android應用開發、部署模式及權限管控相對粗放，導致隱私泄露、惡意軟件等安全問題難以管控和遏制[6]，使得用戶的個人信息在端口、傳播途中、接口等處都有可能被收集，收集信息的除了有合法企業，還有非法組織，信息收集的無門檻導致了收集主體的隨意性[7]。而大多數用戶在安裝健康醫療APP時并不會閱讀隱私條款，盲目接受各種附加條件，甚至有部分人為了互聯網平臺給予的優惠，寧愿選擇披露更多的個人信息。由于APP個人信息收集的監管不到位及公眾不重視對個人健康醫療信息的保護，也是造成健康醫療信息泄露的重要原因。

1.3 醫護人員信息安全意識不深刻

“互聯網+”醫療服務的興起，讓健康醫療服務逐步向“患者·互聯網·醫院(醫生)”[8]的數字化模式發展，與此同時，個別醫務人員淡薄的信息安全意識也必然會導致患者健康信息泄露風險。研究表明，24.0%的數據丟失事件是由醫院內部員工引起的，而絕大部分信息泄露的根本原因是醫院內部員工行為不當[9]。據統計，1/5的醫護人員仍在紙上寫下電子病歷系統等互聯網軟件的用戶名和密碼[10]，醫護人員共用電子病歷系統的現象也極為常見。在一項對湖北省某三甲醫院的調研中，僅有27.6%的醫護人員具有較強的健康醫療信息安全意識，大多數醫護人員在使用新技術手段時對潛在的風險認識不足[11]。健康醫療信息數據的泄露將可能引發嚴重的醫患沖突。

1.4 醫療機構對互聯網接入風險防范不牢固

2019年7月，國家互聯網應急中心發布《2018年中國互聯網網絡安全報告》，報告中指出，醫療衛生行業作為國家的基礎保障性行業[12]，已逐漸成為互聯網勒索軟件攻擊的重點目標之一。同年9月，Security affairs紕漏，漏洞分析和管理公司Greenbone Networks的專家發現，全球約有600個未受保護的服務器暴露于互聯網中，這些服務器包含大量醫療影像。泄露醫療影像超過7.37億個，涉及2000多萬人，影響52個國家和地區的患者，其中也包括數十萬條中國患者的醫療影像數據記錄[13]。與國防、政府、金融等傳統易受黑客攻擊的領域相比，醫療領域作為國家基礎保障性行業，其數據庫建立較為落后，“互聯網+”醫療服務系統仍缺乏統一的安全標準。而大多數健康醫療信息數據庫不對存儲數據進行加密，也是讓黑客有可乘之機的重要原因之一，因此，目前我國健康醫療行業難以對用戶數據實施比較有效的保護。

2 美國“互聯網+”視域下健康醫療信息安全管理經驗

2.1 提供健康醫療信息安全立法保障

美國作為隱私權及互聯網健康醫療信息安全保護立法方面起步較早的國家，近年來相繼頒布幾十部互聯網安全相關的聯邦法律。但由于公眾健康醫療信息的特殊性與復雜性，需要專門性法律保護互聯網健康信息的安全，因此1996年頒布HIPAA法案，用以保障相關健康醫療信息網絡交換中的標準性和安全性。經多次修改完善，HIPAA法案至今仍然是美國互聯網健康醫療信息安全方面最重要的法案。雖然HIPAA法案是美國頒布的第一個系統性保障公眾健康醫療信息安全的聯邦法規，但該法案所規定的健康醫療信息保護僅為最低程度的安全保障[14]，遠遠不能應對健康醫療信息技術的廣泛普及，因此美國先后在《HITECH》法案[15-16]、《美國聯邦法規》[17]中，增加侵權的強制措施及賠償的金額，以求更好地規范公眾健康醫療信息管理，保證公眾健康信息安全。近些年，互聯網幾乎全方位滲透到我們的個人和經濟生活中，而健康類APP卻嚴重侵犯使用者個人信息權。美國國會已提出了包括《停止銷售和披露可穿戴設備、追蹤器中消費者健康數據法案》[18]《信息透明與個人數據控制法案》[19]《保護個人健康數據法案》[20]等多項關于公民個人健康信息安全的綜合性立法建議，以構建健康信息傳輸、出售、共享的監管框架。據統計僅2019年，美國至少有31個州頒布或通過了80多項與網絡安全相關的法案[21]。而伴隨美國商業化征信巨頭Equifax公司的大規模數據泄露事件，美國各州立法者試圖進一步加強對消費者個人信息安全的保護。至亞拉巴馬州《數據泄露通知法》(SB318)的通過，美國51個州頒布相繼法律，要求企業、醫療機構在發現數據泄露的48小時至60日內將所泄露信息的內容通知到主管部門及公眾本人[22-23]，用于迅速應對信息泄露所帶來的風險。目前，美國互聯網健康醫療信息安全已形成了一整套較為完善的法律法規體系，為互聯網健康醫療信息安全管理的改革奠定了堅實的基礎。

2.2 推進健康醫療信息安全行業監管政策指導

美國的互聯網健康醫療信息安全管理是一項系統工程，雖然內容復雜，但條理十分清晰。美國政府在不斷完善立法的同時推進行業監管政策指南的制定，用以促進信息安全管理的實施。美國衛生與公共服務部(HHS)修訂《個人健康信息隱私保護標準和實施指南》《安全規則指南》，為保護受保護的互聯網健康醫療信息的機密性、完整性和可用性制定國家標準[24]。2015年美國公民權利辦公室(OCR)發布《關于根據健康保險攜帶性和責任法案(HIPAA)隱私規則取消識別受保護健康信息方法的指南》，規定取消個人受保護健康信息識別標志以保護公眾健康醫療信息安全[25]。2016年美國聯邦貿易委員會(FTC)發布《FTC針對移動健康應用程序開發人員的最佳實踐指南》，規定應用程序僅能獲取必要的最小化數據、限制權限，采取多手段保護消費者個人健康醫療信息[26]。美國食品藥物管理局器械與放射衛生中心于2018年發布《醫療器械網絡安全管理上市前提交內容指南草案》，旨在通過健康醫療信息安全管理規避網絡安全事件中攻擊造成的延遲診療，避免導致患者受傷[27]。由此，美國從醫藥、信息等方面多角度對公眾健康信息安全進行監督。作為當今世界保護公眾健康醫療信息管理比較完善的國家，美國行業監管政策指南與美國政府的立法統籌兼顧，為政府對患者隱私權的保護提供了具有強有力的可操作性依據。通過政策指南的指引，互聯網健康信息安全法律規則才能真正得以實施。

2.3 注重健康醫療信息安全意識培養

隱私權保護意識起源于美國，1787年美國便將隱私權保護寫入憲法中。1890年“隱私權”在美國正式成為明確的法律概念[14]。隱私權保護在美國深入人心，作為專業化程度較高的健康醫療行業，其信息安全至關重要。為了防止因健康醫療信息泄露而造成的醫患矛盾，HIPAA要求醫療服務提供者應當根據其醫院員工有關患者隱私知識儲備、安全策略及程序知識情況制定每年不少于一次的健康醫療信息安全培訓計劃[28]。2019年，由美國國家衛生信息技術協調員辦公室(ONC)、衛生部和人類服務部(HHS)、民權辦公室(OCR)等機構組織聯合發布《健康醫療供應商IT技術隱私和安全培訓資源》，通過試聽和游戲相結合的模式，為健康醫療供應商、醫護人員提供隱私和安全教育培訓[29]。經過實驗，游戲化培訓體系可以鍛煉員工對隱私侵入、網絡釣魚行為的敏感度反應，使員工更愿意參與健康醫療信息安全培訓[30]。此外，美國醫學行業協會也致力于醫生職業道德及信息安全意識的培養，《美國醫療協會規章守則》《美國醫院協會病人原理條例》[31]中都明確規定醫生負有保障患者健康醫療信息安全的義務。

2.4 強化健康醫療信息安全技術研發

近幾十年來，美國著名的科研機構與互聯網安全企業強強聯手，在互聯網通信、大數據、云計算及虛擬現實等多個核心領域處于主導地位。美國政府大力推動互聯網核心技術發展，鼓勵自主研發與應用研發，特別鼓勵互聯網健康醫療信息安全技術開發，運用云儲存、云共享等多元手段，使得美國在健康醫療安全管理方面取得了重大成就。在各種政策法規的指引下，互聯網健康醫療信息安全新企業、新技術蓬勃發展，逐漸成為美國健康信息安全產業有力的保障力量。在互聯網安全人才隊伍建設方面，美國標準技術研究院推出了《國家網絡安全教育計劃》和《網絡空間安全人才隊伍框架(草案)》，加快互聯網健康醫療信息安全人才培養，各醫院也開始配備專業人才管理健康醫療信息。

3 完善我國“互聯網+”視域下健康醫療信息安全管理的對策

健康醫療信息安全管理的構建與運行需要有完備的互聯網監管體系支撐。雖然近年來我國信息產業發展迅猛，建立起世界第二大立體通信網，但與發達國家相比我國健康醫療信息安全管理能力仍然薄弱。在現今形勢下,將我國的發展實際與美國信息安全管理經驗相結合，將對我國健康醫療信息安全管理整治工作起到推動作用。

3.1 完善健康醫療信息安全立法保障

一直以來，《中華人民共和國侵權責任法》《刑法》等法律中，將公眾個人信息安全納入公民隱私權范圍內進行調整。直至2017年實施的《中華人民共和國網絡安全法》才將隱私權與公眾個人信息安全分開。目前，《中華人民共和國基本醫療衛生與健康促進法》《關于促進“互聯網+醫療健康”發展的意見》《關于做好個人信息保護利用大數據支撐聯防聯控工作的通知》等相關法律文件中，雖然明確規定醫療機構必須保障患者健康醫療信息安全，但仍然未建立明確的處罰機制。目前我國法律法規中僅針對非法獲取、出售公民個人信息作出了相應的規定，但針對國家機關和金融、電信、交通、教育、醫療等單位的工作人員收集、泄露個人健康醫療信息的犯罪成本依然很低，法律震懾力不足[21，32]。在泄露通知方面，我國雖然在《網絡安全法》等相關法律中確立了“數據泄露通知制度”，但對于通知的時間、對象、程序及內容等實施規定尚不明確。鑒于個人健康信息的特殊性質與內在價值，我國仍然亟待完善健康醫療信息安全保障的專門性、常態性立法，除規范實體醫療機構和醫護人員行為外，還要規范互聯網健康平臺上個人醫療健康信息的收集、使用和存儲、共享及信息泄露通知等。同時，提高健康醫療安全及通知制度法律的效力，明確信息泄露處罰，為保障醫療健康隱私提供良好的法律環境基礎。

3.2 健全健康醫療信息安全監管政策

與美國行業監管政策不同，我國行業監管政策指南雖不具有法律強制性，但其能夠為政府進行公眾健康醫療信息安全管理工作提供精準指導，為國家制定健康醫療信息保護立法提供決策依據。中國國家市場監督管理總局和國家標準化管理委員會于2020年3月6日發布新版《信息安全技術個人信息安全規范》國家標準，對個人信息收集、儲存、使用作出了明確規定。作為行業監管的指導依據，該技術規范中仍然需要完善專門化的指導性實施細則并制定相關風險評判工具。在此基礎上，我國應當構建覆蓋全流程的數據泄露通知制度立法，以形成多方參與、及時處置的保障機制。借鑒美國HIPAA法案中安全規則指南部分內容，將健康醫療信息的收集、保存、使用、公開、再循環等各個階段分別管控，特別是針對健康醫療信息收集進行嚴格限制，制定統一標準，采取選擇加入模式代替現有選擇退出模式，用以加強互聯網健康醫療信息安全的管理。

3.3 培養醫務人員及公眾個人健康醫療信息安全保護意識

自2019年中央電視臺“3·15晚會”將個人隱私信息數據泄露產業推入公眾視線，我國公眾個人信息隱私意識逐漸加強。近幾年，公眾對于個人健康醫療信息安全保護意識也在逐步提升。因此，為防止因患者隱私泄露而產生的醫患糾紛，醫護人員更須以尊重患者健康醫療信息隱私為前提，醫療機構內部應當定期開展信息系統應用安全理論和健康醫療信息安全常態化應急技能培訓，并將其納入醫護人員繼續教育課程中，教授醫護人員使用和維護健康醫療信息的方法，以此提高醫護人員信息安全防范意識；建立專門性互聯網健康醫療信息安全與隱私保護培訓網站。開發互動游戲，在培訓之余通過游戲化手段使患者隱私和信息安全深入醫護人員內心；邀請專業網絡信息安全管理公司配合，提高醫護人員的警惕性，使醫護人員養成重視安全管理的良好習慣。在加強移動互聯網應用程序個人信息收集使用監管的同時，開展公眾健康醫療信息安全普及教育，特別應當普及軟件安裝階段閱讀互聯網健康、醫療平臺隱私條款、拒絕附加條款的重要性，加強對APP用戶自身醫療健康隱私的保護與重視；并定期應用政府及醫療機構門戶網站、微信、短信等多種形式向公眾推送保障個人健康醫療信息安全的相關知識，促使公眾形成個人信息安全保護意識。

3.4 優化健康醫療信息安全技術手段

目前中國醫院網絡安全攻守失衡，絕大部分醫院仍然僅靠防火墻保障公眾健康信息安全，對網閘、放入侵、防毒墻等設備的應用率小于50.0%[33]。因此建立高校防護免疫系統，提升健康醫療信息化行業安全水平成為各醫療機構的首要任務。建立個人健康醫療信息轉碼儲存庫，將已轉碼后的個人基本信息與健康醫療信息相關聯，對個人基本信息進行隱匿，并對轉碼算法與轉換內容進行加密保護。對個人身份識別信息、敏感信息或者患者個人隱私等信息采用數據脫敏技術進行脫敏，以防止非法訪問篡改或者竊取醫療信息。針對健康醫療信息進行分級保護，制定科學的信息保護等級，針對不同等級信息采取不同防護措施。運用多種存儲方式，采用電子病歷與紙質病歷并行模式，與專業信息存儲軟件運營商合作，做好病歷的保存與加密工作。將醫療網絡與互聯網有機隔離，定期巡查，加強健康醫療信息保護，確保數據安全。