7月16日,国家卫生计生委卫生发展研究中心在北京举办了旨在学习6月21日国务院下发的《关于促进和规范健康医疗大数据应用发展的指导意见》(下称《意见》)的专门研讨会。在研讨会上,数据安全、隐私成为关键词。参会的官员、专家、医疗从业人员一致认为发展健康医疗大数据应首先警惕数据安全,保护患者隐私,才能真正实现数据融合共享、开放应用。
巧的是,当天新京报首先报道了我国30省份至少有275位艾滋病感染者个人信息遭泄露的事件。犯罪分子在诈骗电话中能准确地描述出病患的个人信息,包括真实姓名、身份证号、联系方式、户籍信息、确诊时间、随访的医院或区县疾控等等,并谎称能为病患办理补助而需要收取不菲的手续费。
中国疾病预防控制中心相关负责人于7月17日表示,国家艾滋病感染者相关信息系统被列为国家网络信息重点安全保护对象,目前已经报案,将积极配合公安部门尽快破案。此事还引起了世界卫生组织驻华代表处和联合国艾滋病联合规划署驻华代表处的关注。7月18日,两家代表处联合发表声明,强调“加强现有系统以杜绝类似信息入侵事件再次发生,至关重要”。
国家对于健康医疗大数据的安全十分重视,据统计,《意见》中,“安全”这个字眼出现了33次。而此次疑似真实发生的医疗数据安全事件,成为“安全是核心基础”的最佳注脚。
他山之石,可以攻玉——英国健康医疗数据安全的审查和建议
不止我们,许多其他国家也发生了一系列事件,向全世界宣告了他们对健康医疗数据安全的关切,在英国国家医疗服务体系(National Health Service, NHS)于2016年7月6日做出停止care.data健康医疗大数据平台的决定(系列文章第一篇)中,“安全”即是重要原因之一。
在很大程度上,NHS决定关闭care.data,是基于7月6日发布的两份评估报告。第一份报告《安全的数据,安全的医疗》(“Safe Data, Safe Care”)由英国医疗质量委员会(Care Quality Commission,CQC)发布。医疗质量委员会是英格兰健康和社会医疗的独立监管机构,其职责是监控、检查和评价医疗服务,促进医疗服务符合标准规范以保证其质量和安全。作为独立第三方,CQC经常发布地区、国家级的健康和社会医疗质量报告。2015年9月,受英国卫生大臣委托,CQC对NHS处理病人敏感数据过程的安全现状进行审查,并提出改进数据安全的建议。
第二份报告《对数据安全、同意和选择退出的审查》(“Review of Data Security, Consentand Opt-Outs”)是由英国“国家健康和医疗数据守护者”(National Data Guardian for Healthand Care, NDG)发布。2015年9月,英国卫生大臣也委托其与CQC紧密合作,共同提出新的数据安全标准、测评数据安全合规的新方法,以及获取同意共享数据的新模式。在英国,NDG由卫生大臣任命,其主要职责是确保公众能够信任医疗健康系统将保护个人信息,以及个人信息将被用于提高健康医疗水平。
CQC和NDG在对533起数据安全事故调查后发现,大多数事故与纸质的医疗记录相关,且80%到90%的数据安全事故是因为工作人员的习惯无意之中引起的,比如点击了不安全的链接、丢失了存储数据的介质等。但是随着医疗信息系统的普及、数据的逐步集中化及对公众开放访问入口,如果不提升安全防护水平,更严重、更大规模数据泄露的风险将会增加。
综合CQC和NDG的报告,英国NHS数据安全工作中存在以下问题:首先,虽然很多机构都建立了数据安全方面的策略与规程,但并没有在日常工作中得到有效实施,很多机构只依赖策略和规程,而不是通过检测验证系统是否足够安全,也未要求其供应商也遵循同样的管理措施。
其次,NHS的绝大部分的工作人员认可数据安全的重要性,但是培训质量层次不齐,有些机构培训覆盖面不够,未涉及合同商、数据共享方、临时员工等,有些机构未将安全事故经验作为培训内容的重要参考。
再次,机构往往不清楚如何从目前存在的大量安全标准中选取合适的参考,许多机构很少去学习其他机构保护数据安全的做法,也很少请外部第三方机构做专业的安全测评。
针对上述问题,CQC和NDG提出的建议简要概括如下:第一,每个机构的领导应该明确数据安全的责任人和其职责,类似于组织医疗事务和财务的管理和问责制度,包括建立有效的内审机制,必要时进行外审以验证安全措施有效性,对恶意类数据安全事件进行严厉处罚等;
第二,所有的工作人员应该获得足够的资源,包括正确的信息、工具、培训等,以便于他们履行数据安全处理和共享的职责;
第三,IT系统和所有的安全协议都应该按照实际的病人治疗过程和一线工作人员的需求进行设计;
第四,应该按照新的数据标准要求设计自评估系统,并选取优秀的案例供其他机构进行同步学习;
第五,NHS应该修改通用财务合同模板,确保各机构能够落实数据安全标准,地方机构和供应商签署的合同也应有相应的条款,当供应商无法满足安全要求时不应与其续签合同。
虽然NHS以及care.data计划在数据安全管理方面受到诟病,但从以上审查结果中不难看出,英国作为健康和医疗大数据集中应用的先行者,已经在数据安全方面做了很多有价值的工作,比如配套的法律法规、标准规范,任命了专门的数据保护官员,建立了独立的监管和审计机构,建立了数据安全风险管理的信息系统等。
但是,由于健康和医疗数据的高度敏感性,对其进行集中存储和管理后,一方面会引起恶意人员的高度关注,另一方面一旦发生数据泄露其影响面非常广,对于每个病人来说后果很难挽回;因此,健康医疗数据的安全工作可谓难上加难,即便英国具备一定的基础,其数据安全治理也未在一开始取得理想的效果,但从近期频繁的安全审查中可以看出,英国政府建立的数据安全监督机构、数据保护官等正在发挥积极作用,正视已出现的问题并提出注重实效的解决方案,以重新赢回公众的信任。
善治病者,必医其受病之处——我国健康医疗数据安全形势严峻
早在2013年底,国家卫生和计划生育委员会就发布了《关于加快推进人口健康信息化建设的指导意见》,提出在“十三五”期间将大力推动全国人口健康信息大平台的建设。
从安全需求上来说,这个信息平台一是将承载全国十三亿公民的人口、健康、医疗等隐私信息,数据保密性要求高;二是将提供公民个人医疗保障、诊疗等信息化服务不能中断,业务连续性要求高;三是将为国家卫生计生行业未来发展提供决策依据,信息容错率要求高。
然而目前,我国在健康医疗数据安全保障方面现状堪忧,行业整体安全态势趋于严峻。主要问题包括:一是行业合并导致底数不清。卫生、计生行业合并时间并不算太长,业务层面的整合已初步实现,但数据层面的整合尚属起步阶段,在实际执行过程中易滋生死角盲区。从网上已公开的医疗行业信息安全事件中不难发现,绝大多数安全事件的第一步突破点来自于安全管控体系的“法外之地”。
二是行业信息安全人才与经费保障缺口较大。据不完全统计,医疗行业2015年整体信息化建设资金超过300亿,但信息安全投入不足6亿,占比不足2%,而对于有较高安全保障要求的行业,安全占比普遍超过10%;在人才队伍方面,专业信息安全从业人员严重缺失,许多机构甚至出现“身着白大褂的大夫在看病之余兼职管管安全”的状况。
三是缺乏具备行业特色的信息安全指导框架。健康医疗行业特殊性较高,目前行业虽然已推行国家信息安全等级保护要求,但尚未建设具备行业业务特点的信息安全保障体系,也没有专门的行业信息安全技术标准,不利于有针对性的开展安全防护工作。
四是行业网络涉及面广,不易管控。我国医疗卫生机构总数已超百万,以药品方面为例,我国有6000多家化学制药企业,药品经营流通企业17000多家,而作为世界制药大国的美国,才分别为200多家和50多家。超大规模、超复杂接入对构建安全的卫生计生网络来说,难度巨大。
五是不易树立行业信息安全标杆。全国医疗信息化及软件生产供应商达数百家。以行业龙头东软集团为例,其拥有的市场份额不足5%,离散化的分布导致安全的最佳实践无法快速复制推广,在现有保障能力下也很难做到“避轻就重”、“抓大放小”。
虽然安全形势和现状不容乐观,但这并不意味着我们要暂停或放慢健康医疗大数据方面的发展。习近平总书记在今年4月19号的全国网络安全和信息化工作座谈会上指出,网络安全和信息化是相辅相成的,安全是发展的前提,发展是安全的保障,安全和发展要同步推进。因此,我国仍然要坚持发展健康医疗大数据应用,但其安全保障工作应同步推进,一旦准备和配套不足,很有可能引发全局性安全风险,影响健康医疗大数据整体产业布局和发展。
借用一句医疗领域的常用语,“预防”远比“治疗”更重要也更有效,数据安全工作何尝不是如此。因此,迫切需要我们积极吸收国内外的优秀经验,深入调研分析,建立健全健康医疗数据安全体系和机制,做好信息安全风险评估,有效预防将来会出现的各类安全风险,为健康医疗大数据产业保驾护航。
注:本文发表于《中国经济周刊》2016年第30期,8月1日出版。
联系我们请点击:
数邦客
