智慧醫療背景下的我國健康醫療數據的管理與保護分析

孫希奕

江蘇省昆山市第一人民醫院信息處，江蘇昆山 215300

隨著大數據時代的來臨，我國各個行業的數據存儲規模飛速增大，數據種類也在不斷地完善，在高效利用和管理數據的同時，這種新的信息處理方式也反過來對人們的工作、生活乃至思維模式都產生了深刻的影響，數據的價值也在不斷被深入挖掘，目前我國大多數機構和相關產業都已形成共識，即與技術、管理、經營和用戶的大量數據已經成為了決定企業生存和發展的重要資產。

智慧醫療圍繞患者為中心，以優化配置醫療資源并提供高水平醫療健康服務為目標，結合了傳感網、云技術、大數據和人工智能等多個領域內的前沿成果，實現了患者和各個級別的醫療機構、醫護人員甚至醫療設備的實時通信，并以此為基礎，構建了一個高度整合的，醫療資源配置合理的、貼合性強的個人醫療健康服務體系[1]。

智慧醫療在顯著提高醫療服務質量的同時，也為醫療數據的管理和安全隱私保護工作提出了新的挑戰。在智慧醫療的運行過程中，基于高速通信技術的各種醫療單位均會實時傳輸大量的醫療健康數據，而這些數據往往是以開放的、共享的互聯網為媒介完成通信的，無論是從數據源的復雜性來看，還是從數據傳輸過程的透明性來看，發生數據錯誤、泄露和被篡改的風險都大大增加[2-3]。因此，在充分發揮信息時代的技術優勢，提升公眾醫療服務水平的同時，保護民眾個人信息不受侵犯，保障醫療衛生產業健康有序發展，成為了整個社會關注的熱點。

1 健康醫療數據的分類

在討論如何提高健康醫療數據的管理和保護水平之前，應首先對健康醫療數據所包括的主要對象進行分類分析。目前已有不少研究人員推出了不同的分類方法，如以醫療過程為主線、以患者為主體、以數據來源類型進行劃分的方法等[4]。本文結合健康醫療領域的服務類型以及數據內容的不同，將智慧醫療背景下的健康數據劃分為5 個主要類型，具體如下。

1.1 基本健康數據

包括個人健康檔案、歷年體檢報告記錄的個人健康基本信息，如身高、體質量、視力、聽力、血常規、尿常規檢驗結果等。此外，對于穿戴了連續性采集信息的醫學設備的用戶而言，此類數據還應包括呼吸頻率、血壓、心率等監測數據。

1.2 臨床醫療數據

臨床數據多數來源于患者于醫院或在線醫療平臺就診的過程中，前者產生的數據主要包括病歷信息、醫學影像檢查信息、用藥記錄、臨床治療記錄、付費記錄等[5]；后者產生的數據主要包括在線醫療平臺信息、在線預約與就診信息、醫囑信息、在線支付記錄等。

1.3 身份識別數據

患者在線就診的過程中，為確保網絡身份與實際身份的統一，避免被冒用身份就診，或因疏漏而導致身份對應關系錯亂，繼而帶來病案資料和其他一系列信息的不吻合問題，因此需要對個人身份信息進行審核與識別，主要包括基本信息與生物特征信息兩類，前者主要有姓名、聯系方式、證件編號等，后者主要有面部圖像數據、聲紋和指紋數據以及虹膜數據等[6]。

1.4 生物醫學研究數據

該類數據主要包括人口統計信息和生物研究信息兩類，前者主要有一定規模人群的性別、年齡、婚姻/生育狀態、工作崗位等數據，主要由政府主管的公共管理部門收集并統計；后者主要有基因組學、轉錄組學、蛋白質組學、代謝組學等數據[7]，一般由各類生物醫學研究機構進行收集和統計。

1.5 日常作息數據

隨著各類健康APP 和公共社交平臺的大規模應用，各種日常作息過程中產生的信息也被有效地整合起來，例如飲食記錄、作息時間、情緒波動、運動記錄等信息。這類數據隨著個體用戶的不斷積累，其價值也在不斷提升。

2 我國健康醫療數據保護機制存在的問題

2.1 健康醫療數據保護立法相對滯后

基于保護個人隱私數據的實際需求，我國于2021年9 月和11 月分別推出了《數據安全法》和《個人信息保護法》，彰顯了政府站在民眾的立場上，堅決捍衛和保護個人數據安全的決心[8]，同時在多部法律法規中，也包括了不得泄漏患者隱私的條文，但針對健康醫療數據的保護問題，尤其是互聯網醫療和智慧醫療產生的數據安全問題，并未單獨立法管理[9]。因此，在這一日益擴大的衛生產業領域內，目前仍舊存在一定程度的立法滯后性問題。

另一方面，在患者對個人資料的各類權限上，目前也存在一定的管理混亂問題。例如在多部法律規章中，都明文標注了患者擁有對個人醫療信息的查閱、復制等權限，但并未標注患者同樣擁有對這些信息的知情同意權和決定權[10-11]。當其他醫療研究機構從患者就診醫院檔案管理部門獲取大量患者資料時，是否能夠確保患者的全數知情并同意，這一環節往往缺乏法規的監管。《個人信息保護法》出臺后，雖然一定程度上增強了法律賦予公民個人的健康信息管理權限，但與西方發達國家相比仍舊不夠完善[12]。

2.2 健康醫療數據的保護意識不足

雖然近年來群眾的人隱私保護意識不斷地增強，但受傳統觀念的影響，總體上仍舊處于偏低水平上，多數群眾并不了解個人健康數據的真正價值，同時也不熟悉保護人隱私信息的相關法律法規和具體的執行方法，而在互聯網醫療平臺飛速發展的當下，很多用戶更加缺乏知情的渠道，導致對其個人健康信息是否被使用，使用方是誰，被使用多少次等情況無法了解，因此自然而然地逐漸減少了對這方面的關注程度[13-15]。另一方面，相關機構在負責管理用戶健康數據時，往往更將其視為本機構的數字資產，而對用戶本身的所有權、知情權等并未給予充分的尊重。

2.3 監管與追責懲處機制不健全

目前包括信息安全法在內的多部法律均規定了個人信息管理者需保護用戶數據的安全與準確，而對健康醫療數據的違規使用行為對應的懲處措施規定地并不明確，如在傳統醫療領域內的《執醫師法》和《護士條例》[16]，規定患者的個人信息和醫療檢驗數據均應予以保密，但都沒有明確制定出對于違法泄漏信息者的懲處方法，由此可見，我國目前對健康醫療數據保護設立的規章律法均不夠硬性與嚴格，某些條款的描述更加接近于道德約束，并無實質的法律懲處約束效果[17]。因此，在多數情況下，是否能夠嚴謹地按照相關的規章制度保護用戶隱私信息，更多的是依賴醫護和管理人員的職業道德與從業素養。對于違法違規行為，往往僅施行責令改正和警告等處分，對于情節確實嚴重者，其罰款數額也遠遠小于歐美等國。

3 健全健康醫療數據保護制度體系的建議與措施

3.1 盡快完善醫療領域內的數據保護立法工作

目前在智慧醫療領域內的數據安全問題很大程度上都集中在政策法規和相關標準建立相對滯后方面。在智慧醫療與互聯網醫療平臺大發展的時期內，健康醫療數據的規模與多樣性都在日新月異的增長變化中，且與相關衛生醫療產業以及百姓的生活深度結合，這就更需要有關部門結合國外先進經驗，及時地完善相關法律法規，引導這一新興產業健康有序發展。

①針對健康醫療數據應單獨設立法律法規予以針對性的保護，尤其圍繞互聯網醫療數據的產生、傳輸、匯總和引用等各個環節上的數據安全進行有效的行為規范。

②明確責任和相關的懲處條例，增強懲罰措施的可操作性，使得各類機構在使用公眾健康醫療數據時能夠主動提高警惕性，杜絕各個環節可能出現的泄露和過度披露等情況。對于違法違規采集和使用數據的個人或機構，責令其對失責行為公開道歉等民事處罰，以及罰款、警告、暫停經營、吊銷執照和許可證等行政處罰，還可以降低該機構的信用級別，增加對醫療機構的威懾。

3.2 完善健康醫療數據保護監管體系

我國有很多醫療、健康產業領域的行業協會，如中國醫院協會、中國信息協會醫療衛生和健康產業分會等，可充分利用這些行業組織的能效和相關的平臺與渠道，進一步發揮行業協會在保護健康醫療數據方面的主動性。①可在推動相關立法、完善數據保護制度和建立行業標準等方面借助這些行業協會的專業知識，收取到事半功倍的效果；②可在行業監管方面，充分引入行業協會的力量，對醫療機構的數據管理工作進行及時的監控與評估，及早發現隱患，保障數據安全。

3.3 增強醫療數據隱私保護意識，提高從業者自律性

醫療數據的采集與管理機構是承擔健康醫療數據安全的關鍵主體，在智慧醫療背景下，除了實體醫院和公共衛生部門外，這一主體還應當包括各種互聯網醫療軟件平臺、健康數據存儲平臺、健康數據傳輸媒介、醫學科研機構、數據分析平臺等。這些主體單位的執行人員必須加強數據安全管理意識和個人隱私保護意識，提高職業道德與責任感，自覺保護公民健康信息，避免泄露，并將制度貫穿于數據收集、儲存、使用、轉讓、共享全過程。

3.4 技術安全措施

對于健康醫療機構而言，大規模的數據泄露大多是通過入侵信息系統，而可靠的技術手段是保證健康醫療數據完整、保密、安全、可控的關鍵。①在關鍵的數據存儲節點上，應設立網關和防火墻，并充分利用安全云技術對來訪者行為進行實時評估，發現危險操作或數據后應立刻介入管控，必要時可以設置對內和對外兩道防火墻，前者負責對內部網絡的數據監控與過濾，以及對用戶身份進行有效識別，后者則用以防范外部的入侵行為，從而有效防止健康醫療數據在傳輸和使用的過程中被竊取、惡意篡改或刪除；②應定期對智慧醫療系統進行病毒查殺，對數據庫的數據進行及時的維護與備份，從而提高健康醫療數據的安全性；③在數據傳輸的過程中，為了增加竊取數據者的破解難度，從而降低數據泄漏風險，可采取對健康醫療數據進行加密等方式，并在未來可進一步探索區塊鏈技術在醫療健康數據保護中的應用。

4 結語

在大數據時代下，互聯網技術和人工智能技術的結合在醫療領域內得到了良好的應用，智慧醫療模式的誕生，給民眾提供了一種新型、高效、便捷、精準的健康醫療服務，但同時也帶來了用戶隱私泄漏、數據被違規采集與使用等問題。為了提高民眾健康數據的保護水平，首先就需要政府立法及完善相關制度為引導，其次從強化行業內部的規范性和自律性入手，加強監管和懲罰力度，最后再引入信息安全技術做有力支撐，從而更加有力地促進智慧醫療產業的發展，為我國民眾提供更高水平的醫療服務。