保护患者医疗数据安全,降低隐私泄漏风险,是当前健康医疗大数据应用发展中普遍关注的热点问题。在传统医疗向数字化、网络化快速推进的过程中,健康医疗大数据的共享融合与数据安全应用之间急需一种平衡发展策略。首先,分析了患者隐私保护的必要性、健康医疗大数据应用中面临的数据安全问题。然后,从大数据应用层面探讨患者隐私保护的对策与建议,在国家法律法规的制度规范和政策文件的普遍约束下,加快可追溯的健康医疗数据治理,加强用户访问的授权管理,提高患者隐私权保护意识,为促进健康医疗大数据的规范使用和患者隐私保护的可行性提出了建议。
“互联网+医疗健康”服务模式实现了个体健康维护的全过程覆盖,成为一种新业态的医疗健康服务体系。随着医疗模式的变化,健康医疗大数据的应用突破了诊疗过程,与整个健康维护的服务体系密切相关,数据跨部门、跨系统流通的需求日益突出,区域健康医疗大数据的共享应用价值也得到了普遍关注。包含患者临床试验数据、疾病诊断数据以及居民行为健康数据等信息的健康医疗大数据将广泛应用于远程诊疗、用药分析、疾病监测和预防、风险评估与健康管理、医保对接和决策分析等场景[1]。同时,各类新业务、新应用的不断拓展使得健康医疗数据在全生命周期的各个阶段面临着越来越多的安全挑战,数据安全和隐私保护已成为制约健康医疗大数据应用发展的关键因素。因此,在国家法律和政策保障体系下,加快健康医疗大数据的治理,规范其应用,加强用户访问的授权管理,提高患者隐私保护的法律意识和维权意识,使患者对其健康隐私具有一定的控制权,用制度与技术的优势实现健康医疗大数据多维应用中的融合共享与数据安全之间的平衡发展。
一、医疗大数据应用中加强患者隐私保护的必要性
在健康医疗服务加速数字化、网络化的背景下,健康医疗大数据在流动中的价值与重要性愈发受到重视。健康医疗大数据被源源不断采集,个人隐私信息即使进行了匿名化和脱敏处理,各类服务平台及信息系统关联后,仍然可以通过数据挖掘的方式辨别有关患者信息。患者的健康隐私信息被泄露,可能造成一系列困扰,比如骚扰、歧视、不公平对待、药品及医疗服务精准推介、敲诈勒索等,给本人及家庭造成严重的身心伤害,影响居民的幸福感和社会的和谐稳定[3]。医疗数据一旦被篡改、破坏和泄露,势必对医疗机构的声誉、医患双方的信任、患者的隐私及健康安全构成严重威胁。患者健康信息在储存、使用和共享等过程中的安全风险,数据安全和隐私保护的突出问题等迫切需要建立制度保障体系,包括法律法规及政策约束的指导和规制措施,服务管理能力和技术支持的强化,数据治理的开发和管理,以及患者隐私安全保护意识和维权意识的提升等。医疗信息的泄露不仅暴露出行业数据安全问题,也折射出医护人员存在的深层次问题。因此,满足人民群众日益增长的多层次、多样化健康需求服务中,促进健康医疗大数据应用的安全技术与管理服务是非常必要的。
二、健康医疗大数据应用中的数据安全问题
2.1 共享应用中面临的数据安全问题
健康医疗大数据的融合共享和开放应用,为现代医疗服务及产业发展带来前所未有的机遇,也引发了一系列数据安全及隐私伦理问题。新冠疫情以来,医疗健康数据的价值进一步凸显,使得黑客攻击,数据泄露的安全事件持续高频发生,医疗健康相关服务面临资产与声誉的重大损失,居民深受隐私曝光和骚扰诈骗的困扰。2020年规模最大的医疗保健数据泄露事件,是针对云服务供应商Blackbaud的勒索攻击。美国所有医疗保健机构的数据泄露事件达642起以上。德国漏洞分析和管理公司GreenboneNetworks发现,600个未受保护的服务器(超过7.37亿个放射图像,涉及2000多万人,影响到52个国家的患者)暴露于互联网。中国有14个未受保护的PACS(其中患者数据记录大多包括个体身份基本信息和医疗细节)泄露了279000个数据记录。攻击者可以利用这些信息部署、实施更有效的社交工程和网络钓鱼攻击,从而获得高额回报。随着数据安全风险的加剧,医疗数据在不同场景下的使用风险,也扩大了患者健康信息泄露的渠道。2018年,《医疗互联网服务敏感数据泄漏风险调查报告》显示,线上医疗服务系统普遍存有业务漏洞(包括绕过登录、未授权访问、平行越权等)、敏感端口开放等安全问题,给未授权访问和不法黑客入侵、渗透带来极大的便利。同时,由于服务商对数据安全的重视程度不够、各方面技术条件的限制以及制度保障体系的不完善,第三方医疗服务平台发生信息泄露的风险大幅提升。
2.2 信息系统中面临的安全问题
“健康所系,性命相托”,健康医疗信息系统承载着人民健康安全的重要任务。各类信息系统中数据泄露的风险极大(如图1),最明显的是针对性攻击、敲诈勒索,甚至是通过医疗身份盗窃来实施医疗或健康保险欺诈。系统运行的稳定性和患者隐私信息的安全性,是健康与医疗服务信息化运营的首要目标。健康医疗信息系统面临的主要安全问题来自设备、网络、数据管理、访问行为、法律意识等。医疗服务机构在融合共享的过程中,涉及基础设施、网络服务、防护技术的设备大量依赖于第三方服务,是影响医疗数据完整性、保密性和可控性的主要技术问题,成为不可控的安全隐患。网络安全能力的脆弱性,使得医疗健康数据频繁被黑客攻击,已经严重影响了全球公民健康数据的个人隐私,威胁着医患关系的和谐与医疗服务的价值提升。2020年4月,医疗卫生行业首次成为全球APT(黑客为窃取核心资料所发动的针对客户的网络攻击和侵袭行为)活动关注的首要目标。疫情期间,我国的卫生医疗系统、疫苗研究机构、科研院所等也曾频繁遭遇网络入侵攻击。技术、网络及管理方面的漏洞是对内网业务影响最为严重的安全问题,对网络异常行为的检测,系统漏洞的实时监测与修复还不足以保障患者医疗服务的安全性和持续性。终端访问的安全意识和法律意识,决定了信息系统的安全状况。从信息安全层面的建设,到信息系统的安全防范、操作、鉴别以及补救等意识的建立,是信息安全保障和管理中存在的主要问题。医护人员的信息安全意识和职业活动中的安全行为,是患者隐私保密的重要保障。工作人员利用职业特殊性,将患者隐私信息发朋友圈、微信群或微博的行为,既反映出对患者隐私保护意识的淡薄,也发映出职业要求和道德责任的漠视,其行为已涉嫌严重违法。风险管控措施的不完善和信息安全监督制度的不严格,使得对核心数据库、终端安全应用的保护能力较弱,数据的安全性受到了极大的挑战。
三、患者隐私权保护的对策与建议
医疗健康大数据面临法律保障体系不完善、数据泄露问题严重、数据安全防护意识薄弱、数据安全维护困难等一系列安全问题,严重威胁着个人生命财产和国家安全。在促进和规范健康医疗大数据的应用发展中,如何在法律和制度保障体系下,进一步完善医疗大数据的治理,加强数据应用的服务管理,规范各类用户的访问授权,提高患者隐私保护意识和维权意识,已经成为亟待解决的问题。
3.1 进一步健全相关法律法规及政策制度,促进和规范健康医疗大数据的应用
建立针对个人健康信息的隐私安全法律保护体系,完善规范性操作的政策和制度约束,是各国在保护患者健康医疗隐私信息中普遍使用的治理手段。美国通过一系列立法措施,已逐步形成比较完善的针对个人健康信息的隐私安全法律保护体系(见表 1)。英国、韩国、日本等也相继通过立法对个人隐私信息加强保护,以此遏制日益频繁的隐私侵权和个人信息泄露问题。欧盟的《一般数据保护条例》(General Data Protection Regulation,GDPR)对信息治理和数据隐私保护的规定更为明确、严格,对个人信息的保护及监管达到了前所未有的高度,严格要求个人数据的使用方式,对数据处理过程构建法律保护体系,建立了更为健康的市场环境。
………………
健康医疗大数据应用中患者隐私保护及对策研究 PDF 完整版下载(文字可复制):
https://www.aliyundrive.com/s/pXz9UusKmsX 提取码: 0er0