您所在的位置: 首頁(yè) >
新聞資訊 >
行業(yè)資訊 >
洞察:2022年醫(yī)療行業(yè)數(shù)據(jù)安全回顧及2023年展望
過(guò)去的2022年,統(tǒng)籌安全與發(fā)展,在醫(yī)療信息化發(fā)展道路中,數(shù)據(jù)安全已不可或缺。
這一年,實(shí)施五年多的《網(wǎng)絡(luò)安全法》迎來(lái)首次修改,《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》由立而行一周年,配套的《數(shù)據(jù)出境安全評(píng)估辦法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見(jiàn)稿)》等政策法規(guī)和標(biāo)準(zhǔn)規(guī)范接連發(fā)布,在醫(yī)療行業(yè),數(shù)據(jù)安全成為《“十四五”全民健康信息化規(guī)劃》部署的關(guān)鍵領(lǐng)域,作為主要任務(wù)和優(yōu)先行動(dòng)持續(xù)推進(jìn),首個(gè)關(guān)于網(wǎng)絡(luò)安全的管理辦法《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》重磅出臺(tái),為醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理,送上了一份開(kāi)卷答案。
轉(zhuǎn)眼來(lái)到2023年,站在嶄新的年份,醫(yī)療行業(yè)數(shù)據(jù)安全現(xiàn)狀如何?面臨哪些挑戰(zhàn)?醫(yī)療機(jī)構(gòu)又如何開(kāi)展新一年的安全建設(shè)?
“解讀2022,展望2023。”日前,CHIMA大講堂醫(yī)療行業(yè)網(wǎng)絡(luò)安全與數(shù)據(jù)安全回顧與前瞻研討會(huì)邀請(qǐng)《中國(guó)醫(yī)院》雜志社社長(zhǎng)、CHIMA主任委員王才有,解放軍總醫(yī)院醫(yī)學(xué)大數(shù)據(jù)研究中心原主任薛萬(wàn)國(guó),美創(chuàng)科技醫(yī)療行業(yè)專(zhuān)家田平,數(shù)說(shuō)安全分析師史高平,一同探討醫(yī)療數(shù)據(jù)安全建設(shè)的現(xiàn)在與未來(lái)、困境與破局之道。
現(xiàn)狀如何?
數(shù)說(shuō)安全分析師 史高平
從市場(chǎng)來(lái)看,2022年醫(yī)療行業(yè)市場(chǎng)空間為48.22億元,受疫情等因素影響,相較于 2021年同比下滑3.7%。醫(yī)療行業(yè)仍重點(diǎn)圍繞等級(jí)保護(hù)進(jìn)行建設(shè)為主,防火墻、殺毒軟件、上網(wǎng)行為管理等傳統(tǒng)產(chǎn)品仍是主流采購(gòu)項(xiàng)目,安全服務(wù)和安全運(yùn)營(yíng)增幅明顯,此外,勒索病毒頻發(fā)也提升了相關(guān)安全產(chǎn)品采購(gòu)需求。
數(shù)說(shuō)安全《2022醫(yī)療行業(yè)網(wǎng)絡(luò)安全報(bào)告》
在數(shù)據(jù)安全方面,2021年以來(lái),《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等法律法規(guī)的落地,醫(yī)療行業(yè)對(duì)數(shù)據(jù)安全的關(guān)注度空間提升,數(shù)據(jù)安全類(lèi)產(chǎn)品的需求保持了較高的增長(zhǎng)。2022年,數(shù)說(shuō)安全發(fā)布的《數(shù)據(jù)安全市場(chǎng)研究報(bào)告》顯示:2021年,醫(yī)療數(shù)據(jù)安全采購(gòu)項(xiàng)目數(shù)量是3700個(gè),同比增長(zhǎng)了28.5%,其中專(zhuān)項(xiàng)采購(gòu)469個(gè),同比增長(zhǎng)29%。
數(shù)說(shuō)安全《2022數(shù)據(jù)安全市場(chǎng)研究報(bào)告》
但總體而言,相較于醫(yī)療信息化的蓬勃發(fā)展,受主觀、客觀條件的限制,醫(yī)療數(shù)據(jù)安全建設(shè)依然相對(duì)滯后,目前,醫(yī)療行業(yè)主要采購(gòu)數(shù)據(jù)庫(kù)審計(jì)、數(shù)據(jù)泄露防護(hù)等單項(xiàng)產(chǎn)品。不過(guò),整個(gè)行業(yè)關(guān)于數(shù)據(jù)安全的理念正在發(fā)生改變,逐步認(rèn)識(shí)到數(shù)據(jù)分類(lèi)分級(jí)對(duì)于數(shù)據(jù)安全保障的重要性,不再局限于單點(diǎn)防護(hù)的安全理念,更加關(guān)注數(shù)據(jù)全生命周期的安全防護(hù),一些發(fā)達(dá)地區(qū)大型三甲醫(yī)院已開(kāi)始從單一的產(chǎn)品采購(gòu)轉(zhuǎn)向數(shù)據(jù)安全治理、數(shù)據(jù)分類(lèi)分級(jí)等安全服務(wù)的采購(gòu)。
解放軍總醫(yī)院醫(yī)學(xué)大數(shù)據(jù)研究中心原主任 薛萬(wàn)國(guó)
從宏觀層面可以看到,法律與監(jiān)管、數(shù)字經(jīng)濟(jì)與數(shù)據(jù)要素地位的確立對(duì)數(shù)據(jù)安全保護(hù)的要求更加迫切,隨著醫(yī)院、患者、管理者、公衛(wèi)以及科研人員等各方對(duì)數(shù)據(jù)利用和共享的需求日益強(qiáng)烈,也催生著大量的數(shù)據(jù)安全防護(hù)需求。同時(shí),當(dāng)前醫(yī)療行業(yè)數(shù)據(jù)安全落地實(shí)施還存在一些問(wèn)題:
一方面,醫(yī)院數(shù)據(jù)安全在基礎(chǔ)防護(hù)上尚存在不足。比如數(shù)據(jù)備份能力是數(shù)據(jù)安全防護(hù)基礎(chǔ),但根據(jù)CHIMA《2021-2022中國(guó)醫(yī)院信息化狀況調(diào)查報(bào)告(征求意見(jiàn)稿)》顯示,僅有四分之一的受調(diào)研醫(yī)院實(shí)現(xiàn)了全部系統(tǒng)數(shù)據(jù)備份,大多數(shù)醫(yī)院只能做到核心系統(tǒng)和重點(diǎn)業(yè)務(wù)系統(tǒng)數(shù)據(jù)備份,其他系統(tǒng)的數(shù)據(jù)沒(méi)有做到備份,這些數(shù)據(jù)一旦發(fā)生數(shù)據(jù)的破壞或泄露,如勒索病毒,將對(duì)醫(yī)院的正常運(yùn)行以及患者的隱私安全造成損失。而在數(shù)據(jù)恢復(fù)能力上,僅有十分之一的醫(yī)院能夠?qū)崿F(xiàn)全部系統(tǒng)數(shù)據(jù)能恢復(fù)到任意時(shí)間點(diǎn),有22.32%的醫(yī)院僅核心系統(tǒng)數(shù)據(jù)能恢復(fù)到任意時(shí)間點(diǎn)。
CHIMA《2021-2022中國(guó)醫(yī)院信息化狀況調(diào)查報(bào)告(征求意見(jiàn)稿)》
CHIMA《2021-2022中國(guó)醫(yī)院信息化狀況調(diào)查報(bào)告(征求意見(jiàn)稿)》
此外,在醫(yī)院服務(wù)器和數(shù)據(jù)庫(kù)防護(hù)措施上,數(shù)據(jù)庫(kù)審計(jì)、運(yùn)維堡壘機(jī)、防統(tǒng)方作為典型的安全防護(hù)產(chǎn)品,僅有60-70%左右的使用比例。
CHIMA《2021-2022中國(guó)醫(yī)院信息化狀況調(diào)查報(bào)告(征求意見(jiàn)稿)》
另一方面,醫(yī)院數(shù)據(jù)安全保護(hù)工作存在一定困擾和問(wèn)題。醫(yī)院信息化業(yè)務(wù)、系統(tǒng)、軟硬件數(shù)量非常龐大,遠(yuǎn)超其他行業(yè),但技術(shù)人員較少,尤其專(zhuān)職的安全人員以及數(shù)據(jù)安全管理運(yùn)營(yíng)人員更為稀缺,數(shù)據(jù)安全怎么建,如何建,大部分醫(yī)院并不知道適合自己的答案,造成建設(shè)過(guò)程中的“迷茫期”。也因此,70%以上的調(diào)查者希望有全面的數(shù)據(jù)安全咨詢服務(wù)、安全意識(shí)培訓(xùn)服務(wù)以及數(shù)據(jù)資產(chǎn)的盤(pán)點(diǎn)和分類(lèi)分級(jí)服務(wù)等。
行業(yè)專(zhuān)家 田平
2021年,被稱為數(shù)據(jù)安全元年,9月1日《數(shù)據(jù)安全法》正式實(shí)施落地,同年,國(guó)標(biāo)委發(fā)布首部完全針對(duì)健康醫(yī)療數(shù)據(jù)安全的標(biāo)準(zhǔn)—《信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南》。2022年8月,國(guó)家衛(wèi)生健康委發(fā)布《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》。10月,國(guó)家衛(wèi)生健康委規(guī)劃司發(fā)布《衛(wèi)生健康行業(yè)數(shù)據(jù)分類(lèi)分級(jí)指南》(征求意見(jiàn)稿),隨著征求意見(jiàn)稿的落地,未來(lái)醫(yī)療行業(yè)將開(kāi)啟以數(shù)據(jù)分類(lèi)分級(jí)為起點(diǎn)的數(shù)據(jù)安全建設(shè)。
醫(yī)療數(shù)據(jù)安全建設(shè)政策背景
目前,合規(guī)升級(jí)、監(jiān)管趨嚴(yán)已成為主旋律,國(guó)家及相關(guān)部門(mén)正在通過(guò)立法、加強(qiáng)監(jiān)管、完善標(biāo)準(zhǔn)等多維度方式提升醫(yī)療健康數(shù)據(jù)的整體安全水平,2022年國(guó)家衛(wèi)生健康委、國(guó)家中醫(yī)藥局、國(guó)家疾控局推出了醫(yī)療行業(yè)首個(gè)關(guān)于網(wǎng)絡(luò)安全的管理辦法——《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》(簡(jiǎn)稱:《辦法》),并對(duì)數(shù)據(jù)安全管理單獨(dú)成篇,做出規(guī)制,疊加醫(yī)院數(shù)字化轉(zhuǎn)型、數(shù)據(jù)互聯(lián)互通催生的安全需求,如何保障數(shù)據(jù)安全與患者隱私將持續(xù)成為醫(yī)療行業(yè)的重要議題和焦點(diǎn)需求。
有何難點(diǎn)?
數(shù)說(shuō)安全分析師 史高平
醫(yī)療行業(yè)數(shù)據(jù)安全建設(shè)從實(shí)際成效和結(jié)果看,之所以尚未呈現(xiàn)人氣與市場(chǎng)交替上升局面,一方面在現(xiàn)行已頒布的法律法規(guī)及標(biāo)準(zhǔn)體系下,健康醫(yī)療數(shù)據(jù)安全的頂層設(shè)計(jì)仍然還存在著交叉和空白,配套制度的細(xì)則不夠完善,行業(yè)數(shù)據(jù)分類(lèi)分級(jí)管理、重要數(shù)據(jù)目錄制定等相關(guān)工作還在研制。同時(shí),供需兩端在需求和能力適配方面存在一些短板和問(wèn)題。
數(shù)說(shuō)安全《2022醫(yī)療行業(yè)網(wǎng)絡(luò)安全報(bào)告》
一方面,需求側(cè)醫(yī)療機(jī)構(gòu)安全基礎(chǔ)普遍薄弱,各級(jí)醫(yī)療機(jī)構(gòu)在數(shù)據(jù)安全方面還處于起步階段,產(chǎn)品采購(gòu)主要集中在數(shù)據(jù)庫(kù)防護(hù)和防泄漏等傳統(tǒng)產(chǎn)品,受限于安全統(tǒng)籌規(guī)劃能力弱、專(zhuān)業(yè)數(shù)據(jù)安全人才匱乏、資源投入不足、安全管理制度不統(tǒng)一等因素。
另一方面,在供給側(cè),目前供應(yīng)商提供的醫(yī)療數(shù)據(jù)安全解決方案和服務(wù)的成熟度尚不夠高,需要累積案例經(jīng)驗(yàn),不斷提高數(shù)據(jù)安全的解決方案成熟度。在醫(yī)療數(shù)據(jù)互聯(lián)互通建設(shè)的信息化趨勢(shì)下,數(shù)據(jù)安全與業(yè)務(wù)高度融合,數(shù)據(jù)安全的基礎(chǔ)是數(shù)據(jù)的分類(lèi)分級(jí),這部分和傳統(tǒng)網(wǎng)絡(luò)安全有很大不同,這要求從數(shù)據(jù)分類(lèi)分級(jí)到相應(yīng)的數(shù)據(jù)安全策略的匹配都需要安全廠商對(duì)醫(yī)療業(yè)務(wù)有深刻的理解,同時(shí)也要求供應(yīng)商提供適配醫(yī)療系統(tǒng)的解決方案和產(chǎn)品。
解放軍總醫(yī)院醫(yī)學(xué)大數(shù)據(jù)研究中心原主任 薛萬(wàn)國(guó)
難點(diǎn)一:大數(shù)據(jù)環(huán)境下,裸數(shù)據(jù)利用需求增多,數(shù)據(jù)保護(hù)難度增大。在傳統(tǒng)模式下,數(shù)據(jù)通過(guò)應(yīng)用系統(tǒng)訪問(wèn),訪問(wèn)權(quán)限可通過(guò)應(yīng)用系統(tǒng)控制。而在大數(shù)據(jù)分析模式下,數(shù)據(jù)利用隨機(jī)性大,研究人員基于裸數(shù)據(jù)進(jìn)行處理和分析建模,裸數(shù)據(jù)的授權(quán)管理及保護(hù)更為困難。
難點(diǎn)二:隨著AI產(chǎn)品研發(fā)和合作研究增多,外部數(shù)據(jù)利用需求增加,需要特殊技術(shù)對(duì)數(shù)據(jù)進(jìn)行保護(hù)。比如:醫(yī)療機(jī)構(gòu)在對(duì)外提供數(shù)據(jù)時(shí),往往通過(guò)數(shù)據(jù)脫敏和匿名化手段,但當(dāng)前醫(yī)療數(shù)據(jù)內(nèi)容及類(lèi)型多樣、結(jié)構(gòu)復(fù)雜,有文本數(shù)據(jù)、醫(yī)療影像等非結(jié)構(gòu)化數(shù)據(jù),數(shù)據(jù)脫敏和匿名化存在技術(shù)難點(diǎn);僅依靠約定進(jìn)行數(shù)據(jù)用途限定和數(shù)據(jù)保護(hù)力度不夠,數(shù)據(jù)一旦泄露,從技術(shù)上數(shù)據(jù)溯源難;數(shù)據(jù)資源不出院、“數(shù)據(jù)可用不可見(jiàn)”,存在數(shù)據(jù)標(biāo)準(zhǔn)化工程量大、數(shù)據(jù)分析方法設(shè)計(jì)難點(diǎn)。
難點(diǎn)三:應(yīng)用系統(tǒng)和數(shù)據(jù)開(kāi)發(fā)平臺(tái)的技術(shù)架構(gòu)多樣化,給統(tǒng)一的數(shù)據(jù)監(jiān)管審計(jì)造成困難。當(dāng)前,醫(yī)療機(jī)構(gòu)正面臨多樣化的數(shù)據(jù)技術(shù)環(huán)境,既有傳統(tǒng)關(guān)系型數(shù)據(jù)庫(kù)、也有MongoDB、Hbase等NoSQL數(shù)據(jù)庫(kù),這要求數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)必須有強(qiáng)大的協(xié)議支持能力。
難點(diǎn)四:缺乏落實(shí)法規(guī)的具體遵循?!稊?shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》作為上位法,對(duì)醫(yī)療行業(yè)安全保障工作提出了基本規(guī)范和要求,但在醫(yī)療機(jī)構(gòu)落地實(shí)施,還需要制定具體的細(xì)則,如對(duì)于醫(yī)療行業(yè)數(shù)據(jù)如何分類(lèi)分級(jí),哪些數(shù)據(jù)是重要數(shù)據(jù)?《個(gè)人信息保護(hù)法》中知情同意原則如何在醫(yī)療行業(yè)實(shí)施,特別是對(duì)于醫(yī)療活動(dòng)之外的數(shù)據(jù)共享利用(科研、單病種上報(bào)、管理部門(mén)數(shù)據(jù)采集等)、對(duì)于以患者醫(yī)療為目的的電子病歷共享。
探索實(shí)踐
行業(yè)專(zhuān)家 田平
數(shù)據(jù)安全分類(lèi)分級(jí)是數(shù)據(jù)安全管理和防護(hù)體系建設(shè)的基礎(chǔ),是數(shù)據(jù)流動(dòng)過(guò)程中安全態(tài)勢(shì)保護(hù)的底層,識(shí)別核心數(shù)據(jù)、重要數(shù)據(jù)資產(chǎn),并針對(duì)性的設(shè)計(jì)安全管理機(jī)制,是安全建設(shè)的必由之路。
針對(duì)醫(yī)療行業(yè)存在的“無(wú)標(biāo)準(zhǔn)落地難、數(shù)據(jù)復(fù)雜難梳理、數(shù)據(jù)安全管理粗放、長(zhǎng)效性難保證”等普遍問(wèn)題和安全建設(shè)的實(shí)際需求,美創(chuàng)科技基于對(duì)醫(yī)療行業(yè)的深入理解和在數(shù)據(jù)分類(lèi)分級(jí)領(lǐng)域的研究,對(duì)標(biāo)參考法律法規(guī)、國(guó)家行業(yè)標(biāo)準(zhǔn),如《數(shù)據(jù)安全法》、《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》、《國(guó)家衛(wèi)生健康委規(guī)劃司衛(wèi)生健康行業(yè)數(shù)據(jù)分類(lèi)分級(jí)指南(征求意見(jiàn)稿)》、《GB/T 39725-2020 信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南》及其他行業(yè)地方標(biāo)準(zhǔn)等,形成切實(shí)可行的核心數(shù)據(jù)、重要數(shù)據(jù)識(shí)別模型,形成基于分類(lèi)分級(jí)的醫(yī)療健康行業(yè)臨床數(shù)據(jù)合規(guī)共享與安全防護(hù)建設(shè)實(shí)踐方案。
1.基于自研的數(shù)據(jù)支撐平臺(tái),實(shí)時(shí)、準(zhǔn)確的將結(jié)構(gòu)化數(shù)據(jù),半結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)采集抽取至ODS數(shù)據(jù)湖、以及半結(jié)構(gòu)化、非結(jié)構(gòu)化文件庫(kù)中,數(shù)據(jù)支撐平臺(tái)采用基于數(shù)據(jù)庫(kù)日志文件的無(wú)侵入式增量采集技術(shù),采集過(guò)程不影響生產(chǎn)系統(tǒng)的穩(wěn)定運(yùn)行,并保證數(shù)據(jù)的一致性。
2.通過(guò)暗數(shù)據(jù)發(fā)現(xiàn)與分類(lèi)分級(jí)系統(tǒng)進(jìn)行數(shù)據(jù)的自動(dòng)化發(fā)現(xiàn)和分類(lèi)分級(jí),建立數(shù)據(jù)目錄,并提供豐富的API接口,實(shí)現(xiàn)與資產(chǎn)管理平臺(tái)、數(shù)據(jù)安全管控平臺(tái)、第三方數(shù)據(jù)安全產(chǎn)品對(duì)接,為后續(xù)數(shù)據(jù)資產(chǎn)合規(guī)管理、數(shù)據(jù)安全防護(hù)提供基礎(chǔ)支撐。
3.最終,整體方案基于數(shù)據(jù)分類(lèi)分級(jí)結(jié)果進(jìn)行數(shù)據(jù)合規(guī)共享(臨床業(yè)務(wù))、敏感資產(chǎn)安全防護(hù)(內(nèi)部管理)。
● 在臨床數(shù)據(jù)合規(guī)共享場(chǎng)景中,幫助用戶在醫(yī)生畫(huà)像、數(shù)據(jù)合規(guī)性檢查、臨床數(shù)據(jù)共享、政府?dāng)?shù)據(jù)上報(bào)等維度實(shí)現(xiàn)數(shù)據(jù)的合規(guī)性應(yīng)用。
● 在敏感資產(chǎn)安全防護(hù)(內(nèi)部管理)中,依據(jù)數(shù)據(jù)分類(lèi)分級(jí)結(jié)果,建立相適應(yīng)的安全管控策略。如在醫(yī)療運(yùn)維側(cè),通過(guò)分類(lèi)分級(jí)結(jié)果有效管控運(yùn)維側(cè)工作人員對(duì)核心數(shù)據(jù)、重要數(shù)據(jù)的訪問(wèn)權(quán)限,對(duì)于一般數(shù)據(jù)中的敏感個(gè)人信息與特殊病種在訪問(wèn)時(shí)可以進(jìn)行差異化訪問(wèn)控制。在醫(yī)療審計(jì)側(cè),原有數(shù)據(jù)審計(jì)只能審計(jì)到表、字段、數(shù)據(jù)與時(shí)間,基于數(shù)據(jù)分類(lèi)分級(jí)結(jié)果后,除了能滿足原有的審計(jì)對(duì)象外,還能審計(jì)數(shù)據(jù)的敏感度,對(duì)于核心數(shù)據(jù)、重要數(shù)據(jù)、敏感個(gè)人數(shù)據(jù)與特殊病種數(shù)據(jù)能實(shí)現(xiàn)更加精確化審計(jì)并告警。
數(shù)據(jù)分類(lèi)分級(jí)結(jié)果在臨床科研與醫(yī)學(xué)論文應(yīng)用場(chǎng)景
醫(yī)療數(shù)據(jù)天然帶有業(yè)務(wù)屬性,做好數(shù)據(jù)安全分類(lèi)分級(jí)工作,首先必須是數(shù)據(jù)安全專(zhuān)家其次也需要是醫(yī)療行業(yè)的業(yè)務(wù)專(zhuān)家,美創(chuàng)科技已在人社、大數(shù)據(jù)局、公安、醫(yī)療、金融等行業(yè)積累了成功的數(shù)據(jù)分類(lèi)分級(jí)項(xiàng)目落地經(jīng)驗(yàn),形成專(zhuān)業(yè)咨詢團(tuán)隊(duì)和自動(dòng)化工具支撐。
趨勢(shì)展望
《中國(guó)醫(yī)院》雜志社社長(zhǎng)、CHIMA主任委員王才有
2022年12月19日,中共中央國(guó)務(wù)院發(fā)布《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見(jiàn)》(即:“數(shù)據(jù)二十條”)。作為關(guān)于數(shù)據(jù)要素資源的基礎(chǔ)制度,盤(pán)活數(shù)字經(jīng)濟(jì)、推動(dòng)數(shù)據(jù)要素市場(chǎng)化創(chuàng)新發(fā)展的基礎(chǔ)性文件,開(kāi)啟了我們國(guó)家數(shù)據(jù)資源開(kāi)放和流通的閘門(mén)。
基礎(chǔ)制度的建立,也為破解醫(yī)療健康數(shù)據(jù)開(kāi)放與保護(hù)的“兩難困境”帶來(lái)期望,對(duì)促進(jìn)數(shù)據(jù)的流通和交易活動(dòng)開(kāi)展帶來(lái)動(dòng)力,對(duì)數(shù)據(jù)提供者和開(kāi)發(fā)者提供了新的動(dòng)能,隨著我國(guó)數(shù)據(jù)基礎(chǔ)制度的建立,醫(yī)療健康行業(yè)部門(mén)也必然會(huì)根據(jù)這個(gè)基本制度的要求,細(xì)化和規(guī)范醫(yī)療健康數(shù)據(jù)的制度體系,但同時(shí),這也對(duì)醫(yī)療行業(yè)數(shù)據(jù)安全提出新的挑戰(zhàn)和新的要求。
當(dāng)數(shù)據(jù)由靜止轉(zhuǎn)向動(dòng)態(tài)流動(dòng),數(shù)據(jù)安全場(chǎng)景發(fā)生了改變,保護(hù)對(duì)象在發(fā)生變化,數(shù)據(jù)安全不再僅僅是要保護(hù)數(shù)據(jù)實(shí)體,還要在數(shù)據(jù)流轉(zhuǎn)基礎(chǔ)之上做動(dòng)態(tài)的防護(hù),加工后的數(shù)據(jù)以及數(shù)據(jù)衍生品,包括數(shù)據(jù)模型、數(shù)據(jù)核驗(yàn)產(chǎn)品等都需進(jìn)行切實(shí)有效的保護(hù),為此這需要醫(yī)療行業(yè)采取新的防御措施和手段,做好數(shù)據(jù)安全防護(hù)工作,使這些數(shù)據(jù)發(fā)揮出它應(yīng)有的價(jià)值。
解放軍總醫(yī)院醫(yī)學(xué)大數(shù)據(jù)研究中心原主任 薛萬(wàn)國(guó)
1.在政策法規(guī)方面:期待醫(yī)療行業(yè)管理部門(mén)在國(guó)家相關(guān)法律和機(jī)制框架下,加速制定醫(yī)療行業(yè)數(shù)據(jù)安全法規(guī)實(shí)施細(xì)則,更好地承接《數(shù)據(jù)安全法》在行業(yè)的實(shí)施落地。如:對(duì)醫(yī)療行業(yè)數(shù)據(jù)明確分類(lèi)分級(jí),制定重要數(shù)據(jù)目錄,提出具體的保護(hù)技術(shù)和管理要求;對(duì)醫(yī)療數(shù)據(jù)采集和使用中的個(gè)人知情同意方式進(jìn)行明確;對(duì)于醫(yī)療數(shù)據(jù)流通中的數(shù)據(jù)匿名化、去標(biāo)識(shí)化要求進(jìn)一步明確;明確醫(yī)療行業(yè)數(shù)據(jù)交易規(guī)則等。
2.在數(shù)據(jù)安全技術(shù)方面:針對(duì)醫(yī)療行業(yè)典型業(yè)務(wù)信息系統(tǒng)和數(shù)據(jù)利用場(chǎng)景,在數(shù)據(jù)防損壞(如勒索病毒)、防流失、防不正當(dāng)使用、訪問(wèn)追溯等方面,期望開(kāi)發(fā)出示范性解決方案;大力發(fā)展和推廣應(yīng)用標(biāo)準(zhǔn)化醫(yī)療數(shù)據(jù)模型和術(shù)語(yǔ),為分布式數(shù)據(jù)研究提供基礎(chǔ),開(kāi)發(fā)分布式數(shù)據(jù)統(tǒng)計(jì)、建模方法與算法,支持“數(shù)據(jù)可用不可見(jiàn)”的共享利用模式。
3.系統(tǒng)應(yīng)用與建設(shè)方面:面對(duì)數(shù)據(jù)安全法規(guī)和行業(yè)規(guī)范,越來(lái)越多的醫(yī)療單位會(huì)通過(guò)改造既有系統(tǒng)強(qiáng)化患者信息保護(hù),同時(shí)加強(qiáng)系統(tǒng)性技術(shù)防護(hù),強(qiáng)固安全基礎(chǔ),實(shí)施系統(tǒng)性數(shù)據(jù)安全保護(hù)方案,完善防勒索病毒破壞的數(shù)據(jù)備份機(jī)制,建立數(shù)據(jù)訪問(wèn)審計(jì)、運(yùn)維監(jiān)控審計(jì)等系統(tǒng)。
4.數(shù)據(jù)產(chǎn)品化方面:隨著國(guó)家、地方就醫(yī)療數(shù)據(jù)要素市場(chǎng)化陸續(xù)出臺(tái)相應(yīng)的布局規(guī)劃并逐步落實(shí),在明確了數(shù)據(jù)安全和個(gè)人信息保護(hù)要求前提下,將進(jìn)一步調(diào)動(dòng)醫(yī)療數(shù)據(jù)加工利用的積極性,醫(yī)療數(shù)據(jù)市場(chǎng)有望逐漸形成,數(shù)據(jù)價(jià)值將由隱形向顯性轉(zhuǎn)變。
田平
《數(shù)據(jù)安全法》的正式實(shí)施,數(shù)據(jù)安全建設(shè)路徑就發(fā)生了很大變化。原來(lái)是以網(wǎng)絡(luò)安全法與等保條例作為數(shù)據(jù)安全建設(shè)的法規(guī)條律,主要以邊界防護(hù)與全面防護(hù)為主,通俗一點(diǎn)講就是“寧可錯(cuò)殺一千絕不放過(guò)一個(gè)”,一條數(shù)據(jù)中發(fā)現(xiàn)有敏感數(shù)據(jù)原來(lái)的方式就是直接把這條數(shù)據(jù)進(jìn)行阻斷,但從結(jié)果上來(lái)說(shuō)屬于阻住數(shù)據(jù)流動(dòng),在《數(shù)據(jù)安全法》實(shí)施后,數(shù)據(jù)作為第五生產(chǎn)要素,讓數(shù)據(jù)依法、有序流動(dòng)勢(shì)不可擋。
因此,對(duì)于數(shù)據(jù)安全建設(shè),醫(yī)療機(jī)構(gòu)應(yīng)基于法律要求,開(kāi)展數(shù)據(jù)分類(lèi)分級(jí),對(duì)級(jí)別較高,類(lèi)別較敏感的數(shù)據(jù),進(jìn)行分級(jí)防護(hù)。同時(shí),數(shù)據(jù)安全建設(shè)應(yīng)圍繞應(yīng)用場(chǎng)景進(jìn)行開(kāi)展,同一份數(shù)據(jù)在不同的應(yīng)用場(chǎng)景進(jìn)行不同顆粒度的安全防護(hù)措施。如:醫(yī)療數(shù)據(jù)出境與醫(yī)療數(shù)據(jù)應(yīng)用于科研屬于兩種不同的應(yīng)用場(chǎng)景,采用的安全防護(hù)也應(yīng)有所差異,數(shù)據(jù)出境累計(jì)到一定量后需要向網(wǎng)信辦申報(bào),但當(dāng)數(shù)據(jù)用于醫(yī)療科研,就沒(méi)有數(shù)據(jù)量的要求,反而應(yīng)側(cè)重病人個(gè)人隱私的保護(hù)。
未來(lái),在整體行業(yè)的倡導(dǎo)下和數(shù)字化轉(zhuǎn)型的大方向下,數(shù)據(jù)分類(lèi)分級(jí),包括數(shù)據(jù)安全,數(shù)據(jù)安全治理、數(shù)據(jù)治理等工作,一定會(huì)在各醫(yī)療機(jī)構(gòu)逐漸地展開(kāi),數(shù)據(jù)分類(lèi)分級(jí)是目前也是未來(lái)醫(yī)療機(jī)構(gòu)開(kāi)展數(shù)據(jù)安全工作的基礎(chǔ)工程。
原文來(lái)源:CHIMA