尤丽珏 上海交通大学医学院附属瑞金医院卢湾分院 (上海 200020)
互联网的应用逐渐进入医院,不仅为医务人员增加了获取患者信息资料的便利渠道,同时为患者提供移动在线服务也已经成为医院目前的主流趋势。患者可以通过非现金服务的模式,如通过手机微信、支付宝、挂号收费人工窗口扫码、手机App(Application移动应用程序)等方式来支付医疗费用,减少了常规付现找零的麻烦,缩短了收费挂号窗口的排队等待时间。患者甚至可以实时了解诊疗过程中排队就诊顺序,更好地规划自己的就医习惯。同时患者也可以在诊疗活动结束后,通过相关的互联网应用来检索到自己在医院的预约信息、付费记录、检查检验结果等信息。医院通过互联网开展电子业务的应用场景已经成为目前大力发展的方向,如移动支付、移动检查检验报告查看、移动办公、移动护理输液等等,通过连接医院的信息管理系统来满足院内各个业务的需要。这些便民举措给患者带来了切切实实的便利,同时也增加了医院的运营效率,降低了管理成本。
在给医院和患者双方带来便利的同时,由于信息安全泄露而引发的问题也正在逐渐地浮现。2016年的春节,全国某著名医院正式启动互联网医院,没过多久即在论坛出现了泄露患者信息的讨论帖,有使用过的网友指出在使用移动医疗服务的过程中,看到了其他患者的信息,包括手机号和姓名等等个人隐私信息被随意挂在网上浏览[1]。在医疗信息越来越受到重视的今天,患者关于自身的维权意识也在不断提高,特别是在敏感的患者隐私资料、医疗文书信息等方面,非常容易由于医院管理上的一时疏忽,导致医患关系的进一步恶化。在互联网大规模渗入医疗行业的过程中,信息安全与保密问题,是医院涉足互联网后较为容易被诟病的地方,关于患者隐私数据的泄露所导致的不良事件,在国内和国外都有很多相关的报道。所以当前医院在使用与推广互联网移动医疗服务业务模式时,在整个系统设计以及项目建设的初期阶段,全面架构性地考虑周全如何保护好患者的隐私,对于项目的后期实施效果就显得尤为重要。
据中国移动医疗2015年度数据报告,普通患者面对于医院引入移动服务如支付宝、微信等App,比较担心的是“隐私和安全”,该选项的占比为42.9%。也就是说在移动医疗领域,由于医疗行为的特殊性,患者在享受便利的同时,也非常关心自身隐私和安全上的考虑。患者的隐私如姓名、家庭住址、手机号码、联系地址、生命体征、银行卡交易等资料,医院作为该类信息的保有人,具有完全法定上的安全义务,一旦发生纠纷必须为此承担相应的责任。
因此当全新的技术在为医院改变原有服务模式的同时,医院应该有体系地建立起保护患者隐私资料的安全措施。信息数据通过互联网连接和交互,发生安全上的事故是瞬间产生的,没有太多的缓冲时间。医院必须投入设备与人力,采取相应的安全手段,避免存在可能的风险和漏洞,导致患者健康信息的泄露。医院是这些隐密健康信息的第一责任人,需要有相应的技术手段,确保既能够高效地通过互联网交换患者健康及交易信息,又能保护这些隐私信息在传递过程中的不可复制性和完整性。
现在很多医院的患者已经可以通过移动终端及窗口扫码等移动非现金服务功能,来实现预约挂号、候诊排队、检查缴费等环节,结合人工窗口的服务,可以更加便捷的实现就医。患者可以方便地用支付宝、微信在自助终端上扫码付费,也可以在挂号收费窗口的二合一扫码器上扫描付费,同时患者也可以在手机上查看目前等候就诊某位专家的排队人数,尽量在医院减少排队和减少等候。这些信息在互联网上流转,甚至哪怕是候诊的排队环境中喇叭叫到患者的名字,或者是候诊提示大屏上显示患者的全名,有部分患者就会心存反感。特别是如果某项医疗服务不是特别令患者满意的时候,这些安全上的不谨慎就会被放大到医患冲突的角度上。要做到让患者可以安全放心地通过移动设备使用医院的医疗服务,医院需要在自身的建设上尽量考虑周全,从多个维度来考虑其中的安全关键点。
身份认证是整个系统最重要的初始环节,患者在首次使用移动终端时,身份证、手机号、就诊卡、联系地址等信息都需要进行注册。患者提供身份认证资料,视为向医院证明使用该移动终端进行操作的为患者本人。如果发生资料填写不全或不正确,一旦出现错误,会发生像预约信息无法及时通知患者本人的情况。这些漏洞应由提交方负责,因此患者资料的填写正确与否,对于后期移动医疗服务的准确性密切正相关。但是医院也具有告知义务,需要进行手机号码准确性判断提示,若愿意承担额外成本也可以增加短信验证的方法,甚至要求微信号或支付宝绑定之后,才能享受移动医疗服务也是一种措施。当然不同的医院中主要就医人群也不同,该方法更适合在妇婴医院的年轻患者中全面推广。而医生的身份认证资料,需要以医疗机构的工作证编号等信息来确认,仅靠工号加密码的简单方法可能导致系统安全上的不稳定,可以通过在医院工号牌上增加二维码扫描登陆等手段。只有明确医生的身份资料,才能被医院认为得到了授权去进行在线问诊、开具电子医嘱等医疗行为,同时应具有一段时间不操作就锁屏退出的安全模式,防止医护人员未在系统上退出就离开设备,未经授权的人员乘机登录系统进行医疗服务,避免处方权的非法扩散,这是整个移动服务环节最初始也是最关键的第一步。可以探讨的是由于老年患者对于移动终端的不熟悉,如何在有效认证的前提下授权其家属代为注册,更可以添加以家庭为单位的医疗就诊服务,信息在家庭单位内互相告知功能,当然这可能需要视疾病的种类和患者对以家庭单位知晓的接受度来确定。
在信息数据交互传输的环节方面,应该通过采用传输加密解密技术,来实现传输通道的安全性。在使用移动医疗服务的过程中,与医院内部系统或相关第三方系统交互时,患者敏感数据必须加密传输,避免在交互过程中被居心不良者所窃取,判读到达终端时解密后没有被篡改,即医院内网医疗过程中产生的数据、互联网上传输的数据、患者移动终端看到的数据保持一致。当然大部分情况下由于利益的驱动,非法使用者的目的是为了窃取,更多的数据不一致是由于应用程序的错误导致数据调取的错误。安全加密和解密的侧重点应该是通过密钥和加密的方式防止被窃取,曾经发生过某家医院,不良的公司人员因为其他交流的接触听到了密钥,在医院内通过无线网络连接,试图登陆医院的服务器来窃取用药信息的案例。因此密钥必须建章立制由信息管理部门定期更换。医院相关业务系统与移动终端进行的交互操作要进行内码处理,特别像患者的个人资料、医生开具的电子医嘱、患者确认的缴费支付等关键信息,同步步骤需要加上二次验证码操作,其中支付部分可以依赖于第三方支付平台,其余部分还是需要通过医院的认证平台加以确认。如果是对于交换过程中所产生的数据,无论这部分数据是在医院的私有云还是在公有云上,交换过程的流转信息应该定期加以整理。
互联网应用由于不同于传统的医院信息系统的特性,现在越来越多的医院采用分布式离散存储技术来进行数据信息资源的保存。当然无论是集中式还是分布式存储,还是需要从数据存储的完整性、数据的分级保护、数据的访问控制等方面来考虑整体的模式。数据存储的完整性上,数据的备份应该采用完全备份加增量备份的方式,一般每天一次全备份,每隔一小时进行增量备份,数据日志收缩不应该太密集,以保证存储空间被释放前这部分位置未被分配给其他应用使用,容易导致脏数据。由于随着硬件技术的不断快速发展,现在的硬盘成本已经越来越低,备份介质可以用磁带机也可以用硬盘,甚至可以放在医院的私有云端进行远程异地的备份。数据分级保护方面,不仅是对结构化客观病史数据的分级保护,而且对医护人员医疗行为的操作权限也是分级的,需要能够区分在授权情况下的医护人员数据调用行为、数据管理员的数据管理行为、应用开发商的软件调试行为,不同的数据访问有相应等级的安全操作。数据访问控制方面,患者、医护人员通过移动医疗服务的不同系统进行相关的操作数据,必须要进行掩码的映射验证处理。特别像调取干部保健患者的电子病历信息、敏感疾病的生命体征数据、患者移动支付的付费信息等特殊操作行为,应该有相应的掩码解释该操作行为的记录,方面管理员通过比对掩码与记录的差异,来判断这部分数据是否真实。在公众场合或支付场景的数据体现方面,无论是移动终端或者公示大屏,患者的关键信息应该采用脱敏的方式来显示,比如姓名的第二位或第三位、身份证号的部分数字、手机号的部分数字用*来代替,有效防止这部分患者数据被其他患者掌握。数据的存储备份与访问控制是互为依托的关系,存储加密只是解决静态数据的保密,防止数据被批量非法导出,而访问控制的高低,则更能增加使用者的信赖度。
由于使用中的第三方应用的提供商不同,如微信掌上医院、支付宝城市服务、App等,开发工具也不尽相同,应该在医院建立统一外联的对外接口和数据日志平台。首先从数据一致性的层面上,能安全有序地开放院内挂号资源、就诊时序资源等诊疗中的数据,统一的号池管理可以防止医疗资源的碎片化,也能防止资源在某一局部应用上的浪费。同时形成标准化的管理,实现医院各系统间的信息共享抽取,建立统一的患者档案视图。由于不同应用对象场景不同,承载的移动设备也不相同,因此很有可能软件开发商采取的开发工具也不同。统一平台能防止由于接入商的不同而导致展现数据的不一致,对终端的使用者产生困扰。在数据认证方面,也需要统一的平台来为这些移动系统进行认证的颁发,管理医患双方的用户登陆与浏览权限的发放。不同的应用开发商应该分配不同的接入账号与密码,前台的应用程序可以五花八门不尽相同,但接口规范必须统一。未经授权的开发商得不到后台接入服务的可能,使用相同的接入标准,才能更好地为各个接入应用商提供数据库注册及授权服务。在数据跟踪方面,可以对医院的内部系统及外部系统之间传输的信息进行监控,在平台上记录关键数据交换和操作的信息,标注清楚数据的产生是由哪一个已授权的应用发起的,以及该数据操作前后变化的情况,做到对数据的变化有据可查,反向回滚即能恢复到任一个错误时间点。建立统一的移动对接平台,不仅是规范各厂商的标准动作,更可以为医院节约建设投资,避免重复建设的浪费。
无论采用如何繁琐的验证,光靠密码验证或身份证位数的有效性验证,其实很难杜绝围绕在医院附近的号贩,通过非法途径购买身份证号码的人来进行患者身份注册的情况,另外在医院内还时常有一些医药代表想法设法通过各种手段去了解药品的使用信息。这些潜在的问题都对移动医疗服务产生了有效性的挑战,当然这也是其他领域的移动服务商的共性问题。随着技术的发展,势必会有更多的安全技术来弥补目前存在的不足。
在医院推动移动医疗服务发展潮流下,下一步可期待的热点是人脸识别技术的落地。支付宝已经在这个领域进行了尝试,目前已经在金融领域进行试点,后期成熟后势必会被引入医疗领域。互联网应用具有虚拟性的特征,对患者身份进行识别是提供有效服务的前提,更是保护数据安全的第一道屏障[2]。人脸识别作为正在逐渐成熟的生物识别技术,在对移动终端的普适性方面相对其他技术具有独到的优势,由于无须其他多余移动介质的帮助,更易于被使用者理解。特别是相对那些老年患者而言,与其要求自带手机,不如配置在医院内公开的识别设备,对他们而言可信度更高,老年患者在方便性方面的接受度也相对更高,医院也便于安排人员在其旁进行指导辅助。在识别技术的基础上做访问控制,可以更好地扩展医院内移动医疗服务的应用场景,对患者隐私数据安全管理的可靠性会更进一步加强。
另外在交换信息的数据加密性上也有进一步拓展的空间。由于移动医疗目前还处于起步阶段,当下主要解决的首要目标肯定是满足医院的应用需求,在传输的安全上关注度还不是特别高。在传统医疗信息软件应用中,患者数据普遍以结构化数据形式存放在医院内的服务器上,传输基于TCP/IP协议,传输数据本身并不压码。在互联网移动的环境下由于对数据安全性的要求更高,要使非法目的者得到的只是一堆杂乱无章的无序信息,这样才能进一步更深层次地产生有效通用的保护机制,传递的数据需要安全隐藏在基于互联网服务的安全协议中,同时将时间戳作为重要的伴随信息添加到传递过程中,这样才能真正地做到患者隐私数据开放边界的清晰可控。目前已经有很多公司致力于这方面的研发,在互联网传输环境下医疗数据在安全性方面考量,包括像数据脱敏与清洗转换,传输后接收点的反解密等等。当然既要做到产品能随需应变,减少项目落地的实施成本,又要能为医院用户提供个性化的设置,保证由医院方自己掌握安全尺度,这样的安全传输中间件在市场上还不多见。
在移动医疗的大背景下,基于增强医院管理效率以及优化就医流程的目的,医院非常有动力来推进移动医疗服务的工作。在给患者带来便利的同时,也需要看到由于应用软件开发商的能力不同,从属的医疗信息子系统众多,导致移动医疗软件在安全能力上参差不齐。医院如果不重视移动网络通信中数据的安全,就会对患者隐私保护带来负面的影响,反过来影响医院进一步应用场景的扩展。医院需要加大在这方面的安全设备投入,制定相关的移动信息安全的保障机制,加强内部工作人员关于患者隐私保护的意识,完善信息管理部门对系统运行监控的能力。互联网环境下信息的安全性和保证患者隐私的意识,对于医疗行业是至关重要的。国家卫计委也出台了一些相关的监管法规,如最近出台的关于互联网信息安全等级保护方面的文件,在医院系统互联网外接以及互联网入侵防范上提出了一系列新的要求,医院已经纷纷参照评测要求进行漏洞的梳理以及问题的整改。当然移动医疗要进一步发展,还需要国家更多方面特别是法律层面的支持,如电子医嘱、电子票据在法律上作为证据的地位等等,现在依旧处于相对比较模糊与谨慎的局面,这些都对后一步医院数字化的建设提出了新的认知与挑战。
[1] 刘锦泰.移动医疗服务的应用现状、问题及对策[J].中外女性健康研究,2016,8(7):50-51.
[2] 付晓玲,董博生.人脸识别技术在远程身份验证中的应用[J].微计算机信息,2009,25(9):86-88.
[3] 董永为.数据加密技术在计算机网络通信安全中的应用分析[J].网络安全技术与应用,2016,16(4):39-40.
[4] 张虎军,李运明,谭映军,等.移动医疗技术现状及未来发展趋势研究[J].医疗卫生装备,2015,36(7):102-105.
[5] 胡建平,高晓飞,刘娟,等.移动互联网医院信息安全与监管平台[J].中国卫生信息管理杂志,2015,12(1):14-19.
[6] 谢楠熙.论患者隐私权的法律保护[J].医学与法学,2016,8(4):48-50.
[7] 吕志新.移动医疗与医院建设[J].中国医院建筑与装备,2016,17(3):27-30.
[8] 汤伟丽.支付宝服务在医院的实践与应用探讨[J].中国医学装备,2016,13(7):37-40.