醫院數據安全合規利用分析

文/王哲 鄧勇

大數據時代，醫院開展相關數據業務要采取合規措施，規避數據利用過程中的法律風險。

健康醫療數據，是人們在疾病防治、健康管理的過程中所產生的與健康醫療有關的數據。信息時代，隨著健康監測設備、線上診療平臺、電子病歷等技術的推廣應用，健康醫療數據內涵也得以大大延伸。同時，伴隨以“大數據”為代表的信息處理技術更加廣泛地應用于疫情防控、健康管理、診療服務等健康醫療場景，健康醫療數據的社會價值與經濟價值不斷提高。

2016年國務院在《關于促進和規范健康醫療大數據應用發展的指導意見》中指出，健康醫療大數據是國家重要的基礎性戰略資源，醫療大數據的開放共享、深度應用也被納入《“健康中國2030”規劃綱要》以及《“十三五”衛生與健康發展規劃》當中。以《人口健康信息管理辦法（試行）》《關于促進和規范健康醫療大數據應用發展的指導意見》為代表的法律規范、政策文件方面的探索也體現著黨和政府對健康醫療數據的高度重視。

數據被稱作信息時代的石油，一方面是健康醫療數據所蘊含的巨大現實價值，一方面又是不斷出臺的規范文件，這無疑使醫院在健康醫療數據的相關服務上陷入兩難的境地。醫院對健康醫療數據的合規利用、合法開發就顯得尤為重要。《中華人民共和國數據安全法》作為數據安全領域最新出臺的一般法，所提出的規制要求對數據利用業務的開展具有極強的指導意義，結合健康醫療領域的具體規范性文件及政策要求，可以為醫院的相關數據業務開展提供更明確的合規措施，規避數據利用過程中的法律風險。

暗流涌動：醫院數據安全風險現狀

實踐中，大部分醫院的網絡安全建設幾乎是空白，高度依賴提供系統的合作單位，數據安全意識薄弱，保護措施不足。中國醫院協會信息管理專業委員會（CHIMA）發布的《2017—2018年度中國醫院信息化調查報告》顯示：調查的484家醫院中，僅有36.16%通過了等級保護測評，《2018—2019年度中國醫院信息化調查報告》顯示：參與調查的839家醫院中僅有43.95%通過了等級保護測評，兩次數據均明顯低于金融、電信、能源等領域，且其中三級醫院比例明顯大于三級以下醫院，三級以下醫院75%未開展過等級保護測評(圖1)。2019年，中國信息通信研究院聯合騰訊等機構對15339家醫療行業單位進行觀測，撰寫《2019健康醫療行業觀測報告》，數據顯示：通過對15339家醫療行業相關單位的觀測，存在僵尸、木馬或蠕蟲等惡意程序的單位共計1029家，應用服務端口暴露在公共互聯網中的單位有6446家，4546家單位網站存在被篡改安全隱患，其中261家單位已發生網站被篡改情況，行業總體處于“較大風險”級別(圖2)。

圖1 《2018—2019 年度中國醫院信息化調查報告》數據

圖2 《2019 健康醫療行業觀測報告》數據

醫療數據

信息時代，隨著健康監測設備、線上診療平臺、電子病歷等技術的推廣應用，健康醫療數據內涵也得以大大延伸。

從醫院建設的角度來看，CHIMA《2018—2019年度中國醫院信息化狀況調查報告》顯示，現階段絕大多數醫院僅采用防火墻保障網絡安全，醫院對網閘、防入侵、防毒墻等設備的采用率均小于50%。大部分醫院都缺乏必要的網絡防護設備。

中國評測網安中心分析了35家開展網絡安全等級保護測評的醫療信息系統案例后發現，部署網絡準入系統的有0家，而在數據保護方面38%的系統沒有數據庫審計，只有2%的單位具有災備服務器，大部分醫療信息系統沒有完善的數據保護機制。根據中國評測網安中心對73家醫療機構的信息系統進行網絡安全測評的結果來看，58%的醫療信息系統存在弱口令問題；59%醫療信息系統存在網絡防護架構不完善問題，包括網絡區域劃分不合理、網絡鏈路無冗余等問題。

這并非危言聳聽，據報道：2019年初，某省幾十家互聯互通醫院同時感染GlobeImposter3.0變種勒索病毒而被加密，GlobeImposter勒索病毒十分偏愛醫療行業，在眾多感染GlobeImposter勒索病毒的行業中，醫療行業占比約50%。

2019年，德國一家漏洞分析和管理公司發現，含有大量醫療放射圖像的服務器暴露在公共互聯網中，其中涉及中國14個服務器系統，包含近28萬條醫療數據，詳細記錄了患者個人信息及醫療情況，攻擊者利用這些數據在暗網中交易獲取巨額利潤。

據不完全統計，2021年光上半年就至少發生了1200多起勒索軟件攻擊事件，與2020年發生的已知公布的大約1420起勒索軟件攻擊事件已經十分接近，其中針對醫療系統和教育行業的攻擊增加了45%，平均贖金從2021年的40萬美元提高到2022年的80萬美元。

此外，還存在患者個人信息泄露的可能，早在2016年，我國30個省份275位艾滋病感染者稱接到了詐騙、羞辱電話，在新冠肺炎疫情期間，一些確診病例和密切接觸者的個人信息更是被暴露在網絡、社交媒體上，讓許多無辜的病例遭受網絡暴力……美國Ponemon研究院的一項調查顯示：超過一半的醫院表示，他們在過去兩年中曾發生過一次或多次由第三方系統供應商造成的數據泄露，平均每起事件的成本為290萬美元。

同樣，也有醫院為此而承擔行政責任。據報道，日照市中心醫院在網絡上直播婦科手術，被指暴露患者隱私，公開信息顯示，日照市中心醫院因“違反醫療信息安全制度、保障措施不健全，導致醫療信息泄露案”被處以警告、罰款人民幣5萬元。而據日照市東港區委宣傳部通報，已對涉事醫生厲某某刑事拘留，提請批捕，并依法依規注銷執業醫師資格證書、予以開除。日照東港區政府、日照東港區衛生健康局、涉事醫院負有領導責任和直接管理責任的11名相關人員被嚴肅追責問責。

可見，在大部分醫院的網絡安全建設不足的情況下，各種醫療健康數據都面臨著惡意攻擊事件、數據泄露的風險，醫療行業網絡安全形勢日益嚴峻。

2020 年全球數據泄露超過去15 年總和，數據安全問題已成為全球各國的關注重點，近期多個國家紛紛將數據安全上升至國家安全高度。

提綱挈領：數據安全合規的必要性梳理

健康醫療數據體量巨大且來源途徑多樣。因此，健康醫療數據所牽涉的利益主體也更加多元，公民個人、醫療機構、科研單位、醫藥企業甚至國家都處于其影響之下。

對于公民個人而言，健康醫療數據內涵豐富，涉及個人主體的身份、財產信息、健康狀況等情況，與公民個人密切相關，數據的不當利用或泄露將導致公民隱私權、財產權乃至人格尊嚴處于不利的風險之中。

對于醫療機構、醫藥企業等單位主體來說，數據是本單位取得競爭優勢的重要資源，目前，健康醫療數據在醫療保健服務、醫藥新產品研發、單位智能決策、提高行政效率等方面均發揮著重要作用，同時，數據的不正當利用或泄露一旦被曝光，對相關機構的名譽也會造成不可挽回的惡劣影響。

對于國家，健康醫療數據是政府制定相關政策、規范時的最重要依據，同時健康醫療數據又與國家的生物安全息息相關。2021年中國互聯網大會數據安全論壇中，中國信息通信研究院安全所信息安全部主任魏薇表示：“2020年全球數據泄露超過去15年總和，數據安全問題已成為全球各國的關注重點，近期多個國家紛紛將數據安全上升至國家安全高度”。在貫徹“總體國家安全觀”的背景下，應更加重視健康醫療數據的規范應用。

由于健康醫療數據早已滲透進醫療行業的各細分領域，所以健康醫療數據的市場經濟價值難以用數字具體衡量。以醫療軟件為例，據IDC《中國醫療軟件解決方案市場預測2022—2026》研究報告預測，2023年中國醫療行業IT支出市場規模約為648.44億元，同比增長約為14.3%；預計到2026年市場規模將達到920.70億元人民幣，其2021—2026年的年復合增長率為13.30%，由這一細分領域的市場增量也可對健康醫療數據的巨大經濟價值窺知一二。當下，健康醫療數據在醫療行業無論是傳統領域的創新發展還是新興領域的市場開拓都發揮著無可替代的作用，其所具有的經濟價值也隨著行業規模與技術的不斷發展而不斷提高。

由于健康醫療數據在國家戰略中所處的重要地位，為最大程度保障其能夠得到合理應用，立法主體在民事、行政、刑事各領域為健康醫療數據的不當應用創制了不同程度的法律責任。醫療機構、醫藥企業等責任單位及主管人員若未能做好健康醫療數據的合規利用，將會觸發相應的法律責任機制，承擔法律上的不利后果。

民事責任方面，作為被采集者，對其健康醫療數據享有包括知情權、控制權、處分權、保護權、修改權等權利。同時，健康醫療數據與被采集者的隱私權、財產權等重要權利息息相關。當隱私權、財產權等權利遭到侵害時，被采集者可通過法律途徑進行維權，侵權主體的責任承擔方式主要有停止侵害、賠禮道歉、賠償損失等。同時，相關行為也會導致侵權主體名譽不可挽回的損失。

行政責任方面，由于健康醫療數據關系重大，因此在健康醫療數據的采集、存儲、利用的過程中會受到衛生監督機構、衛生行政管理機構、市場監督管理機構、國家網信部門、國家安全部門、公安部門等其他有關機關的監管。當責任單位行為違反監管規定時，或將面臨警告、沒收違法所得、對直接負責的主管人員和其他直接責任人員罰款、責令暫停相關業務、停業整頓、關閉網站、吊銷相關業務許可證或者吊銷營業執照等處罰。另外，我國在健康醫療數據安全方面建立了相應的責任追究制度，對于違反相關規定的單位和個人，由主管部門視情節輕重予以約談、督導整改、誡勉、通報批評、處分或提出給予處分的建議，若構成刑事違法的，將依法追究其相應的法律責任。

刑事責任方面，由于健康醫療信息包含個人信息，不當的泄露或可構成侵犯公民個人信息罪。《刑法》規定違反國家有關規定向他人出售或者提供公民個人信息，情節嚴重的，處3年以下有期徒刑或者拘役，并處或者單處罰金；情節特別嚴重的，處3年以上7年以下有期徒刑，并處罰金。同時，健康醫療數據所包含的信息還可能構成國家秘密，若不當泄漏或將構成故意泄露國家秘密罪與過失泄露國家秘密罪，情節嚴重的，處3年以下有期徒刑或者拘役；情節特別嚴重的，處3年以上7年以下有期徒刑。該罪在主體上亦包括非國家機關工作人員。

未雨綢繆：大數據合規利用的要點

《中華人民共和國個人信息保護法》《中華人民共和國數據安全法》雖強調著數據行業的全方位監管，但同樣重視對數據經濟的支持，該法律絕對不是對健康醫療數據價值利用之禁止。醫院應當根據健康醫療數據的特點，結合《中華人民共和國數據安全法》《醫療行業合規管理規范》《人口健康信息管理辦法》等特別法律規范的規制要求密切關注自身行為的合規情況。在數據的采集、存儲、應用環節遵守法律規范的要求，規避潛在法律風險。

實踐中，大部分醫院的網絡安全建設幾乎是空白，高度依賴提供系統的合作單位，數據安全意識薄弱，保護措施不足。

數據的采集

健康醫療數據的采集，即獲取、存儲健康醫療數據的行為。采集是健康醫療數據應用的第一步，目前我國的健康數據采集工作主要由線下診療、體檢及線上健康監測兩大方面組成，構成醫院日常工作的重要部分。

對健康醫療數據的采集，應當遵循“知情同意”以及“一數一源，最少夠用”原則。醫院在進行健康醫療數據的采集或共享前應當確定作為數據源頭的被采集人是否獲得了全面、充分的告知，保證得到被采集人的合法有效授權，保留相關程序的證據，規范數據采集的前置程序。而在采集過程中，醫院應以業務真實需要為標準進行采集，避免數據的過度采集，遵循醫學倫理原則，保證信息安全，保護個人隱私。同時要保證被采集人在本單位的信息系統中的身份唯一，所關聯信息一致，防止重復采集，多頭采集。

由于健康醫療領域信息化程度的不斷提高，部分醫院開展線上醫療服務，因此針對線上醫療服務所進行的信息搜集，還應當關注《中華人民共和國網絡安全法》對網絡領域敏感信息采集的操作規范要求。醫院于線上醫療收集健康醫療數據的過程中依然要遵循“合法、正當、必要”的原則，不僅是針對一手數據，對于間接采集與可能的數據共享也應當證實其數據來源是否符合“合法、正當、必要”的要求，規避相關的法律隱患。在收集過程中，醫院應公開信息采集、使用的規則、目的、方式等，在利用網站、應用APP、小程序等方式采集的過程中應當制定規范、易懂的隱私政策并醒目設置，確保被采集人的“知情同意”。

數據的存儲

醫院在存儲醫療數據時，應當采取必要的安全措施保障己方所控制的健康醫療數據的安全，防止健康醫療數據泄露、毀損、丟失或者被篡改，更不得非法向他人提供。在數據存儲工作中醫院應遵循“安全儲存、責任明確、境內儲存”的原則，根據權威機構的統計信息，自查自檢解決隱患。

醫院應當建立內部的數據安全保護制度，構建健康醫療數據分級分類存儲體系，根據數據所涉隱私及重要程度劃分數據安全等級，落實數據的長期保存及歸檔管理，并通過數據備份、權限管理、局域網加密技術手段保障健康醫療數據的安全。與此同時，還應當注重建立可靠的數據容災備份工作機制，確保特殊情況下相關數據能夠及時、完整地恢復，提高自身數據系統的抗風險能力。

醫院應根據《國家健康醫療大數據標準、安全和服務管理辦法（試行）》之要求，建立健康醫療數據的安全管理制度、操作規程和技術規范，落實主管人員責任，通過電子實名、訪問級別限制等手段強化統籌管理和協調監督，保障健康醫療大數據安全。實踐中存在部分機構囿于自身實力限制，通過與第三方合作的方式來進行數據的儲存的情況，此時應當注意，根據《人口健康信息管理辦法（試行）》規定，“委托其他機構存儲、運維人口健康信息的，委托單位承擔人口健康信息的管理和安全責任”。

該管理和安全責任作為規范的強制性要求，無法通過合同的方式進行轉移，因此，醫院在選擇合作伙伴時應當格外謹慎，關注其資質、歷史業務表現等方面，通過合作前的盡職調查，針對合作方的行業資質與能力、歷史業績表現、業務可行性等內容進行審查，核實合作方在談判階段所述的合規情況的真實性，做好前置風險控制，及時對其在數據方面的問題進行處理，推動合作的合規開展。

數據的利用

健康醫療數據的利用不僅僅是數據的分析應用，還包括數據的交互共享等流通行為。在數據利用的過程中，醫院應遵循“去標識化”“可追溯化”的操作原則。

大數據時代的背景下，公民的隱私觀念逐漸緩和，但這也讓個人數據的脫敏處理變得更加困難，這一問題在健康醫療數據方面表現得更加突出，該類數據普遍涉及公民身份、財產、隱私等敏感內容，因此在分析應用的過程中進行去標識化處理不僅可以減少數據冗余，更能契合《數據安全法》保障安全與實現價值平衡的要求。同時也應當根據《人口健康信息管理辦法（試行）》要求，建立痕跡管理制度，任何建立、修改和訪問行為都應當實現可控制、可管理，行為主體，都應當是通過嚴格的授權及身份審核的工作人員。

由于健康醫療數據早已滲透進醫療行業的各細分領域，所以健康醫療數據的市場經濟價值難以用數字具體衡量。

健康醫療信息跨機構、跨地域的交互、共享過程場景下，除技術防范，醫院須確認對象的主體資質問題及使用目的，醫院可通過數據客體單獨存放、單獨訪問等方式避免非醫院方主體直接訪問整體數據庫，若確有需要，醫院應明確約定訪問范圍、方式等要素，在技術層面加強因訪問可能導致的數據泄露問題，建立相應的安全事件應急機制。另外，若醫院在數據采集環節并未向被采集人明確數據可能的交互共享情況，則醫院主體需要征得被采集人的知情同意，否則不應當冒可能的法律風險將相關數據納入交互共享的范圍。

數據的涉外

如前所述，《數據安全法》對于違規向境外提供數據的行為持嚴厲的否定態度，《人口健康信息管理辦法（試行）》等多部法律規范均規定不得將人口健康信息在境外的服務器中存儲，不得托管、租賃在境外的服務器。因此，醫院應保證所控制的健康醫療數據“不涉外”，確有需要向境外提供或與境外主體進行相關業務合作的，應當根據法律規范具體要求，報請各地主管機關同意后才可開展相應的工作。