浅论医疗数据及其安全防护

周 彬 沈 黎 吴 檠 刘 炜 赵雪飞

华中科技大学同济医学院附属协和医院，武汉，430022

医疗数据，主要由患者个人信息结合其接受医疗服务过程中产生的数据组成。随着医疗机构业务的长期发展，医疗数据不断产生，并持续积累。近年来，国家健康行政部门推出了200多项卫生信息标准，并利用互联互通标准化成熟度测评、电子病历系统功能应用水平分级评价等手段，推动医院数据质量治理。目前，医疗数据的可用度较高，应用范围较广，在物联网、大数据、人工智能等信息技术推动下，已经成为惠民便民服务、临床研究、运营决策、医疗行为监管、卫生政策制定的重要基础。

医疗数据的安全性、可靠性是增强用户黏度、提升潜在用户的重要指标[1]。在数字经济时代，医疗数据因其价值巨大而被不法分子所觊觎。目前涉及医院的网络安全事件频发，不仅窃取、出售或提供患者信息的违法犯罪行为时有耳闻，甚至还出现了医院核心数据库遭黑客接管后加锁、致使医院运营停顿而被勒索的案件。这些都给医院的正常运转与患者的合法权益造成损失，影响非常恶劣。目前医院在信息安全建设方面的投入远低于医疗业务方面信息系统建设的投入。笔者认为，医院现在应该转换思想，在《中华人民共和国网络安全法》的指引下，落实信息系统安全等级保护制度，结合卫生行业隐私保护与信息安全规范，采取强有力的措施，保护医疗数据与患者信息安全。以下试详述之。

1 医疗数据与患者信息

1.1 医疗数据

数据和信息是紧密结合、不可分离的。数据是信息的表现形式和载体，而信息是数据的内涵。信息加载于数据之上，对数据作有意义的解释[2]。对同一数据的不同解释，可以传递不同的信息，影响信息接受者对客观世界的判断。

医疗机构所产生的医疗数据一般分为临床服务类、管理类和运营类。临床服务类数据以患者为核心展开，贯穿整个诊疗过程。它包括病程记录、检验检查结果、临床诊断、医嘱、手术、治疗、会诊、出院小结等。医疗管理类数据主要是医疗机构服务于患者过程中的数据，包括患者基本信息、专家排班表、各类代码字典、医疗服务及药品耗材价目表、费用明细表、各类推送与提醒信息等。运营类数据主要是医疗机构运行过程中产生的数据，包括机构基本信息、组织架构与人员信息、房屋土地与固定资产信息、供应链与各类采购进销存信息、财务与后勤保障信息等。这些信息与数据交叉融合，互为依赖，且不同的排列组合表达不同的含义。

1.2 患者信息

在医疗数据中，患者信息占据着重要的地位。患者信息是指以电子或者其他方式记录的、能够单独或者与其他信息结合，可识别特定自然人身份或者反映特定自然人活动情况的各种信息，包括姓名、身份证件号码、通讯联系方式、住址、账号密码、财产状况、活动轨迹等。

医疗机构所需的患者信息是所有行业中最全的，除了身份识别信息，还包括指纹、虹膜、人脸等生物识别信息，甚至还有保险、金融等支付信息、精准医疗所需的基因信息等。

患者在医疗机构接受医疗服务所产生的数据，与其基本信息相结合，以其居民健康卡号为唯一主索引，构成留存于医疗机构的患者信息。患者健康信息是医疗数据最重要组成部分，也是数字经济时代医院的核心资产之一。

1.3 医疗数据的生产

患者到医疗机构就医，接受诊疗护理，需要医院多个学科、多种医疗设备、多类人员提供各种服务。整个过程需要不同的信息系统支持，产生各种各类数据。医务人员将患者疾病的描述、查体的结果、临床诊断、治疗意见等全过程记录到信息系统。医疗辅助人员、自助设备、互联网相关程序等，围绕医疗过程，逐笔或批量在信息系统中生产数据。患者在医疗仪器与设备上接受医学检验、检查所产生的文字、数字、影像等数据，也会自动采集到信息系统中来。

1.4 医疗数据的存储

医疗机构的信息系统根据业务特点来设计与组织数据的储存。能够用二维表逻辑表达的数据，如病历首页中的信息等，可储存到数据库中，则为结构化数据。反之，不能被计算机直接解析的非结构化数据，如术前谈话的声音、图像等，则以计算机文件形式储存。不管是数据库，还是计算机文件，都会存放到由磁盘陈列构成的计算机存储设备中。

1.5 数据资产的价值

医疗数据的生命周期主要是采集、传输、存储、加工处理、应用展现、归档研究。只有对医疗数据加以组织与管理，才能成为医疗机构的数据资产。在人工智能、大数据等技术支撑下，健康医疗模式正在发生深刻的变化，医疗数据资产的价值越来越大，它有利于提升健康医疗服务效率和质量，持续满足人民群众多层次、多样化的健康需求[3]。其具体价值不仅体现在临床的诊断治疗、科学研究、新药研制、疾病筛查、流行病预警、居家监测、健康管理等众多方面，也是国家医疗卫生政策制定与基本医疗保险制度完善的重要依据。

1.6 医疗数据的权属与使用

患者至医疗机构就医，即与之形成一种契约关系，后者有权依法使用、管理患者的基本信息与医疗信息，也应依法保护患者的信息安全。患者当然有权知晓与使用自己的医疗信息，但医务人员在医疗行为中记录的数据、通过仪器设备采集的患者信息等，则凝聚了其多年学习积累而成的医学知识、经验，也投入了可观的工作时间，因此医疗机构对这些数据拥有知识产权。医疗机构接受健康行政等部门的监管，有义务根据相关法律和政策规定向后者提交监管所需的医疗数据。医院与第三方机构合作，开展科学研究，则应提供脱敏后的数据。患者在医院就医结算，需要保险基金、银行等第三方机构支付时，医疗机构应与相关机构交换数据。总之，医疗数据是国家重要的基础性战略资源，应该合法收集、限制使用、安全储存。

2 频发的医疗数据安全事件

尽管医疗数据如此重要，但近年来医疗数据安全事件频繁发生，具体有如下种类。

2.1 违规统方

药品和医用耗材每个月的使用量，以及在医务人员中的分布量，是一些药品、医用耗材等供应商所关注的数据。他们根据相关数据，按一定的销售比例，给医务人员发放红包或提供回扣，以利诱少数医务人员超量使用相关药品材料，加重患者负担。这些数据的统计，有些是医务人员、管理人员从业务系统中手工记录、加工获得，有些则是医疗机构信息部门工作人员、第三方驻场工程师或非法入侵者，利用技术手段而取得的。

2.2 隐私泄露

患者的健康状况属于自身的隐私，只有在其知情同意的情况下，才能在一定范围内依法使用，否则很可能使患者遭受不公正待遇，严重影响其工作和日常生活，特别是一些患有传染性或特殊类疾病，如肝炎、性病、艾滋病等疾病的患者。然而，有些医疗机构的信息系统缺乏安全保护设计，普通工作人员可以随意检索，获取隐私信息。

2.3 信息倒卖

一些不法分子千方百计从医疗机构或与医疗机构合作的第三方互联网医疗平台中，通过短信截取、非法入侵等手段，获取患者信息，如姓名、性别、住址、联系方式等，并在互联网上公开叫卖，牟取利益。一些婴儿用品、保健品、陪护、康复器械商贩不断地向信息被泄露的患者推销其产品，使人不胜其烦。诈骗分子利用这些信息实施诈骗犯罪，使患者及其家属遭受经济损失。还有些不法分子，利用这些信息制作虚假证照、冒用身份，从事套取信用资金等不法活动。

2.4 病毒勒索

计算机病毒种类繁多、影响各异，但目前破坏力最大的病毒当属勒索病毒。该病毒加密医院的核心数据库，导致信息系统因无法读写数据而瘫痪，从而使医院的各项业务停顿，不得不转为手工模式应急，社会影响极坏。目前还没有破解该病毒的技术，只能交付不菲的勒索金，恢复业务。从2017年起，该病毒开始侵袭我国，卫生行业不幸成为重灾区。目前国内不少医院已经遭其勒索，并有蔓延的趋势。

2.5 数据篡改

极少数的从业人员，利用职务之便，非法篡改实验室数据或检查报告结果，致使医院提供虚假医学诊断证明。也有不法人员钻业务流程空子，内外勾结，以虚假退费等方式，骗取医院资金。甚至还有内部人员直接修改或删除费用信息，从而非法牟利。

2.6 数据脱离监管

越来越多的临床专家们与第三方大数据公司合作，提供医院的全量数据，开展专科病种的回顾性、前瞻性研究或机器阅片等人工智能诊断方面的研究。这些数据传输并存储到第三方系统，脱离了医院的监管，导致出现医院数据与患者隐私泄露的现象。甚至还有部分人员违反国家有关规定，私自将数据传输到境外，结果由于严重危害国家安全受到处理。

3 医疗数据安全防护策略

医疗数据安全问题目前已经引起整个社会各界的关注。各种防护措施也纷纷出台。经研究，我们认为医疗数据安全防护策略可从以下几个方面出发。

3.1 法律与行业规范

医疗数据安全防护最重要的法律依据为《中华人民共和国国家网络安全法》。该法第七十六条规定，网络是指由计算机或者其他信息终端及相关设备组成的按照一定的规则和程序对信息进行收集、存储、传输、交换、处理的系统。网络安全是指通过采取必要措施，防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故，使网络处于稳定可靠运行的状态，以及保障网络数据的完整性、保密性、可用性的能力。根据该法，网信部门、公安部门均加强了对医院网络安全工作的督导与检查。国务院办公厅、国家卫生健康委近年来在其出台的各类政策文件和行业规范中，都对网络安全提出了指导性意见，并明确各单位党政一把手为本单位网络安全第一责任人。同时，也对网络安全工作的组织架构、工作分工、责任划分、防范措施、技术支持、责任追究等作出了要求。在出现网络安全事故时，相关责任人会被认定违纪违规，甚至需要承担法律责任。

3.2 信息安全等级保护

不同安全等级的信息系统应具有不同的安全保护能力。依据公安部等四部委2007年下发的《信息安全等级保护管理办法》，三级甲等医院的核心业务信息系统安全保护等级原则上不能低于三级[4]。根据卫生部2011年颁发的《卫生行业信息安全等级保护工作的指导意见》(卫办发〔2011〕85号)，通过定级备案、建设整改和等级测评等工作，可以促进医院明确网络安全责任，建立长效工作机制，运用网络安全技术和设备，保障医院网络信息与数据安全。

3.3 医院制度与管理规定

医院根据国家法律法规与行业规范，建立网络安全领导小组，明确医院各部门及相关人员的分工与职责。制定信息系统建设、管理、使用、维护、应急等方面的制度与规定，定期开展网络安全检查与整改，定期开展网络灾害脆弱性评估以及应急演练，力求做到预防为主、事中可控、事后溯源，将危害降到最低。

3.4 从业人员的信息安全意识

加强网络安全知识与法规的宣传、学习、培训，及时通报各类网络安全事件，提高医务人员网络安全防范意识。在提供医疗服务的各个环节，时刻谨记保护患者的数据和隐私[5],不用个人途径传输信息，亦不在不合适的场合及平台发布或共享包含患者在院信息的卡片、文件、图片、检测报告等，不随意谈论或回复未经允许的各类有关患者医疗情况的采访或咨询等。

3.5 保密协议

医院在采购信息系统、计算机网络与核心基础设备时，应随合同与供货方签署保密协议，严格要求对方在遵守国家法律法规的前提下提供信息服务。信息部门的从业人员也应与医院签署保密协议，依法依规严格约束自己的行为，恪守职业道德。

3.6 信息技术保障

3.6.1 数字认证与分级授权。医务人员使用数字证书，登录信息系统，根据自己的身份，在授权范围内使用系统功能。个人在系统中的行为应能被追溯和问责。

3.6.2 核心设备与数据库防护。采用数据库审计系统与防统方软件，对医院核心数据库实时监控，通过分析进出数据库的各种操作语句，预警异常操作行为，并可追踪与定位异常操作者的网络位置与操作身份。经常升级操作系统与数据库系统软件补丁，服务器端采用强密码，加强账号密码管理，安装服务器杀毒软件，关闭不必要或有风险的系统端口，建立容灾与应急、数据库备份与分离备份机制等。

3.6.3 网络与终端设备防护。安装网络终端杀毒软件、桌面管理或云桌面系统管控终端设备。在内外网非物理隔离的网络中，配置高性能防火墙等安全设备，加强逻辑隔离。使用云盘监管内外网个人数据的传输，禁止U盘混用行为。运用漏洞扫描、态势感知等设备严密监控网络流量，及时发现病毒影踪，尽快处置网络攻击事件。在网管软件中，绑定MAC、IP地址与交换机端口，严防非法接入与入侵。

3.6.4 驻场工程师与远程维护监管。给驻场工程师的笔记本安装云桌面，接入医院网络，只能使用云桌面中规定的开发环境所需软件，调试过程中的临时文件或所有下载数据均存在医院云端。采用VPN结合堡垒机，监管公司人员对医院系统的远程维护，防止异常指令和窃取数据的操作，且能溯源。

3.6.5 外联的安全通道。建立外联的安全通道，使用多链路出口网关，连接互联网链路或各类专线，在其后端根据需要，综合配置各类防火墙、负载均衡、隔离网闸、入侵检测等安全设备，统一医院所提供的互联网以及外部交互服务的途径。

总之，就医疗数据安全防护而言，信息技术的发展将不断增强数据防护的能力，其中，数据的加密使用非常值得期待。

4 结论

医院信息化建设已完成数字化转型，目前正向智慧化方向发展。在信息惠民便民与智慧医院建设这一背景下，医院信息化越发达，所面临的信息安全形势越复杂。方便与安全本身就是一对永恒的矛盾。在信息化过程中一直存在着重建设、轻安全，重应用、轻服务的思想。因此，只有更新思想观念，在信息安全防护中加大建设投入，加快人才队伍培养，建立长效工作机制，合理运用安全技术与设施，才能扎紧立体化的网络防护篱笆，确保医疗数据与患者信息安全，保障医疗事业持续发展。