◆赵首花 靳倩 闫育芸 姚雨秋
互联网安全视域下医疗服务建设的思考
◆赵首花 靳倩 闫育芸 姚雨秋
(陕西省网络与信息安全测评中心 陕西 710065)
作为医疗健康行业的新兴发展方向,互联网医疗服务在推动优质资源共享、促进传统医疗转型升级等方面发挥着重要作用。随着互联网技术发展的深入推进,互联网医疗服务面临标准化规范化程度不够深入、系统安全防护能力不足、数据管理水平薄弱、服务保障体系覆盖不够全面等问题,通过政策引导落实,加大安全防护建设,推进信息共享,完善医疗保障体系等措施,推进互联网医疗服务核心能力建设,为我国医疗健康的进一步发展奠定坚实的基础。
互联网医疗服务;个人隐私;安全防护
当今世界,伴随着人工智能、大数据的迅猛发展、移动智能设备的纵深应用,以及公众对健康、便捷医疗服务需求的急剧上升,互联网医疗服务呈现出爆发式上升趋势。近年来,我国高度重视“互联网+医疗”工作,陆续出台了若干政策推动其发展,鼓励各地积极探索互联网医疗健康服务便民惠民经验,创新服务新模式,加快开拓其在医疗诊断领域中的应用,促进优质资源的共享和综合利用。然而,伴随互联网医疗健康服务的蓬勃发展,各类安全风险也接踵而至,木马病毒、黑客侵入、假冒软件等违法犯罪行为所导致的医疗数据泄露等事故频发,据中国信息通信研究院发布的《2020年上半年网络安全态势情况综述》显示:2020年上半年网络安全事件中,医疗服务行业高危漏洞数量与Web攻击事件占比最高,多家医疗服务机构网站遭受到不同类型的攻击,暴力破解达到单日80万次高峰[1],攻击者可轻易获取到医护人员、患者的敏感信息,如何提升“互联网+医疗”平台的数据安全能力成了亟待解决的重要问题。
2015年,国务院发布《关于积极推进“互联网+”行动的指导意见》(国发〔2015〕40号),将“互联网+”行动列为国家战略,在此背景下,以“互联网+医疗”为核心服务内容的机构、平台应运而生,但因医疗服务行业的特殊性,互联网医疗面临的风险问题会成为其发展过程中的掣肘。
第一,互联网医疗服务标准化规范化程度有待加深。目前,国家、地方或行业层面尚未建立完善的互联网医疗服务从业规范、服务范围、诊疗服务、监督管理相关标准体系,对医疗机构、医护人员及互联网平台之间的职责划分、收费标准、医疗纠纷认定等尚不明确,部分平台在患者问诊、开具处方时缺乏有效的身份认证验证功能,无法确保实名制问诊,行业规范性不高。再者,有关互联网医疗服务违法行为的处罚机制尚不健全,针对医疗信息窃取行为并未建立严厉的惩罚机制,法律威慑力度不够,这在一定程度上限制和影响了互联网医疗服务市场的扩大和服务能力的提升。
第二,互联网医疗服务系统安全防护能力有待加强。互联网医疗服务行业数据库建设多以局域网使用目的为主,存在弱口令的身份认证、网络安全防护架构不健全、网络安全等级保护工作推进慢等情况[2],传输信息时易出现因资料不完整、不准确等造成的漏诊或误诊等问题,导致互联网医疗平台安全防护性能差。其次,在安全保障、健康医疗数据全过程管理方面,部分互联网医疗机构管理措施匮乏,没有定期对系统进行安全风险评估,识别资产存在的安全隐患,这给患者个人信息泄露带来潜在风险,也给黑客提供了窃取数据的机会,导致数据泄露事件频发,影响程度逐渐加剧。
第三,互联网医疗服务数据管理水平有待提升。互联网医疗服务平台搭建过程中,需要第三方企业与监管单位、医院进行数据对接,部分医疗机构缺少完善的信息安全保障机制,在数据管理全生命周期,风险管控意识不强,相应的风险处置措施不完善,存在重事件处置轻常规管理的现象[3]。其次,部分互联网医疗机构数据备份机制不健全,且缺乏严格的隐私保护机制,存在违规收集个人隐私信息、无用户协议和隐私政策行为,导致医疗服务平台存在较大的安全缺陷,一旦发生信息泄露、丢失等事件,将会带来严重损失。
第四,互联网医疗服务保障体系覆盖范围有待扩大。现阶段,大多数从事互联网医疗服务的机构,尤其是民营机构,只解决了线上挂号、线上诊疗,线上医保服务尚未全面建立,仍然要依托线下的实体机构,还要去跟公立机构分享医保的配额,这无疑成为影响和制约我国互联网医疗服务行业持续健康发展的重要原因。其次,目前的线上医保优先保障门诊慢特病等复诊续方需求,医保支付范围不够多元化,不利于发挥互联网在提高医疗资源利用效率中的有效作用,亟待搭建以医疗、医药、医保为核心的线上就医环境,构建以个人健康为中心的医疗服务体系。
第一,加大政策引导落实,加快标准体系研究。互联网医疗行业要想得到长远发展,第一要领还是要依靠国家政策的引导及行业标准的规范。首先,应对已有的政策法规进行进一步完善,出台医疗数据隐私安全保护配套政策文件,着力加强对互联网医疗机构的监管,有效解决法律法规滞后、监管措施欠缺等问题。其次,明确行业标准规范,做好互联网医疗服务准入门槛把关,完善线上诊疗服务范围、信息安全、资质认定等标准规范,明确职责划分,对互联网机构、驻入医生进行严格审查,确保患者享受到安全、优质的医疗服务。
第二,巩固支撑体系建设,提高安全防护能力。目前,市场上并没有明确的互联网医疗信息安全保障体系建设,应加大力度从网络平台、医疗机构、智能设备等方面推动支撑体系建设,完善基础设施构建,加强信息安全防护,定期清理和排查各类互联网医疗服务平台的信息安全隐患,及时开展信息安全日常监测及预警工作,确保数据得到安全存储与传输。同时,明确监管底线,强化医疗质量监管工作,确保服务质量。
第三,提升数据安全管理水平,推进共享平台建设。建立健全信息安全保障机制,构建政府监管、行业自律、机构自治的三道防线,建立多级别、多层次的信息安全风险监测和处置模式,形成全过程监测、风险处置和应急处理等机制,最大限度上减少互联网医疗服务行业的安全风险,有效提升数据安全管理水平。其次,在医疗卫生主管部门加强监管的基础上,充分利用第三方技术,构建统一的医疗信息平台,加大投入进行数据挖掘分析,推进信息互联互通。
第四,完善医保支付政策,引入医保医师制度。在继续落实现有线上医保政策的基础上,积极发挥优势,借助线下实体医院和线上互联网医疗服务平台,通过对互联网医疗的基础医保结算、支付方式标准、药品网销、分级诊疗、远程会诊等实际经验探索及应用推广,持续推动我国医疗卫生保障体系建设,加快推动基本医保全国联网及异地看病结算,形成便民利民的医保结算支付体系。其次,主管部门积极引入医保医师制度,将优秀医生分流到基层、线上机构等,形成充分的竞争诊疗格局,促进优质医疗资源的充分有效利用。
作为现代医疗在移动互联网行业的新应用,互联网医疗服务呈现井喷式发展趋势,利用好互联网医疗,能够有效推动和创造更多优势,因而它成了一项利国益民的重大政策。鉴于目前我国城乡各级公共卫生信息化和管理水平参差不齐,建立完善规范、便捷、有效的互联网医疗服务迫在眉睫,如何完善和提升互联网医疗服务平台的信息安全监督管理水平,切实保障公众的个人隐私及生命安全,是当前亟待予以正视和迫切需要解决的问题。只有通过政府、行业、机构等多个层面,加强政策引导、加大监管力度、推进成果应用、提升防护水平,才能牢牢抓住互联网医疗服务创新发展的潜能,为医疗行业发展注入新鲜活力,助推我国医疗健康行业的发展。
[1]中国信息通信研究院网站.2020年上半年网络安全态势情况综述.[EB/OL].[2020-9-16].http://www.caict.ac.cn/kxyj/qwfb/qwsj/202009/P020200917544352059850.pdf.
[2]中国软件评测中心网站.《医疗行业网络安全白皮书2020》.https://www.cstc.org.cn/info/1202/1612.htm.
[3]中国软件评测中心网站.移动互联网医疗安全风控白皮书.https://www.cstc.org.cn/info/1202/1609.htm.