大数据背景下的基层医院信息安全

石航 李志敏 罗淼

摘要：目的：为了解居民在进入基层医院或者小区过程中如需对外来人员进行个人信息登记时，部分居民由于担心个人信息的泄露而可能出现抵触情绪，通过讨论居民在进行个人信息登记时的担忧，发现问题并且提出一些切合实际的解决方法;方法：自行设计调查问卷，对目标医院及所处社区进行调查，采取线上线下同时发放调查问卷以及走访询问等方式;结果：发放调查问卷351份，共回收291份，回收率约为82.8%，调查显示有34.7%的居民表示会如实填写，53.2%的居民表示只会填写部分必要信息，12.1%的居民表示拒绝填写任何信息或者填写错误信息，通过走访了解到居民担心信息泄露或者被非法使用等顾虑;结论：如今居民对于个人信息登记工作总体积极性不高，基层医院与社区的相关信息登记工作仍存在各种问题。需让居民加深对于相关法律法规的了解程度，提高居民对信息登记的认可度，还需通过完善相关医院管理制度和管理系统，加大对疫情防控中个人信息的保护力度。

关键词：大数据;个人信息;信息安全;基层医院

一、引言

个人信息是指能够以电子方式记录或与其他信息结合以确定个人身份的任何类型的信息，具体包括自然人的姓名、出生日期、住址、身份证号码、电话号码等信息，由此涉及的权利被称为个人信息权[1]。

自新型冠状病毒肺炎疫情出现至今已有两年有余，防控措施也逐渐转换为常态化防控，而在全国疫情防控工作进入常态化的当下，大规模数据分析技术在精确防控中的应用越来越完善，有效地保障了人民生产生活的正常运行。不过，在疫情防控工作中，也发生了一些针对确诊患者和密切接触者的语言暴力情况以及一些个人信息泄露的违法犯罪活动。比如，针对成都确诊患者赵某的网络暴力事件[2]，由于赵某的出行轨迹中包含了多个娱乐场所，部分网民对其生活进行了恶意的讨论，结果赵某的相片、朋友圈信息及身份证号等隐私内容都被公之于众，这些信息除了给网友增加谈资外，没有任何帮助抗疫的作用，而赵某本人也遭受了大量恶意誹谤。因此发现大数据在帮助防控的同时，还存在潜在的个人信息泄露的风险。统计数据[3]显示现如今个人信息泄露逐渐成为危害信息安全的重要原因之一如图1所示。

虽然在我国医院信息化建设已经开展了 20 多年，但是与其他行业和领域相比，基层医院和社区的信息化建设在建设速度和建设规模上都存在一定的不足。在部分基层医院和社区仍采用纸质版登记个人信息包括有姓名、身份证号、家庭住址等详细信息，而许多基层医院与社区存在部分信息的互通与交流，在此其中就可能存在个人信息的泄露或被非法使用，导致在登记个人信息时居民的抵触情绪，本文分析了居民个人信息登记出现抵触情绪的原因和提出切合实际的解决措施。

二、调查方法及对象

（一）方法

自行设计调查问卷其中包括基本情况（性别、年龄）、是否了解《民法总则》对个人信息权的解释以及《网络安全法》等相关法律的了解程度、填写个人信息登记表的意愿程度、对填写个人信息登记表感到抵触的原因。

（二）施策

对目标医院及所处社区进行调查，采取线上线下同时发放调查问卷以及上门走访等方式，调查问卷结果采取匿名记录。

（三）调查对象

某基层医院及医院所属社区的社区居民、出入医院的患者、社区内的返乡人员。

三、调查结果

共回收调查问卷291份，回收率约为82.8%，在本次回收的291份调查问卷中女性158人（占54.3%）男性133人（占45.7%）;18岁以下12人（占4.1%）;18-30岁79人（占27.2%）;31-60岁167人（占57.4%）;60岁以上33人（占11.3%）。

其中有34.7%的居民表示会如实填写，53.2%的居民表示只会填写部分信息，12.1%的居民表示拒绝填写任何信息或者填写错误信息如图2所示;在填写部分信息与拒绝填写信息或者填写错误信息的居民中有171人（占91%）认为收集个人信息的公司机构或者社区医院无法保证信息安全、自己个人信息存在泄露和被非法使用的风险、感觉没有必要填写所有信息而浪费时间;还有18人（占9%）因为个人原因或者其他原因无法或者不能提供完整个人信息。

调查问卷还显示只有18人（占6%）清楚了解《民法总则》对个人信息权的解释以及《网络安全法》等相关法律，153人（占52.6%）基本了解相关法律，而有120人（占41.4%）完全不了解相关法律。如图3所示。

在走访调查了该社区内的38名返乡人员，有6人表示完全不担心个人信息会被泄露，而其余32人均表示会担心个人信息被泄露，其主要原因包括社区和基层医院无法保证信息安全、物业公司没有收集个人信息的权限、信息泄露后维权困难等诸多问题。

四、讨论与分析

在调查过程中发现医院入口处需要查验健康码以及登记个人信息其中包括姓名、电话号码、身份证号、家庭地址等个人详细信息，部分基层医院因为人手不足登记工作交由医院保安或者离退休人员负责，完成登记册填满后放置于病案科或者后勤部门，随后处理也存在漏洞。而小区门口物业公司都设有体温测量与信息登记点，但部分居民只是配合测量体温，少有登记个人信息的居民，即使登记有个人信息也只是登记部分内容，甚至极少数居民会直接填写错误信息;社区工作人员上门统计返乡人员时，居民们有时会出现抵触情绪或者登记错误信息，导致社区再进行复核人员信息时出现困难。整体上大部分居民会正确填写必要信息，而有少部分居民担心信息泄露等各种原因而不愿填写。

（一）信息安全防护中存在的问题

通过问卷调查与走访询问发现基层医院和社区内存在以下几个问题：

1.基层医院信息管理制度不健全

如今国内部分基层医院还存在针对信息化的管理制度对于如今的信息化时代稍显落后的情况，例如信息管理应急预案不完善、信息管理审批机制不健全、信息管理安全技术保障不到位[4]等一些问题;随着信息化时代逐渐融入人们的生活之中，若当下的管理制度无法保证信息安全和人民群众的要求内容，那么就很难发挥现代化医院信息化建设的目的[5]，导致整个工作效率低下，信息泄露风险也随之增加。

2.基础医院管理软件发展滞后

部分基层医院缺少如LIS、HIS等数字化医院管理系统，其都是针对于数字化医院架构的系统，可以快速地实现病患者信息的检索和对医院的整体管理[6]。即使拥有了相关管理系统也会存在其他信息安全隐患，主要表现在：首先是病毒攻击，数字化医院与外部网络相连，扩大了服务范围，用户范围广。但是，如果病毒攻击从外部网络进入内部网络，内部管理系统的运行可能会瘫痪，导致网络带宽低，网络拥塞甚至DDoS攻击。在日常医疗服务的提供过程中，一些基层医务人员缺乏网络信息安全意识，这往往会导致医院网络受到攻击。其次，软件系统版本过低，这不仅会导致信息处理效率低下，还会导致许多软件漏洞，违法者可以利用这些漏洞泄露医院机密信息，从而危及医院和患者的利益;同时医院信息管理系统并不是一个或者几个不同软件产品能解决的，而是多个软件协同作用而实现的，每个软件产品都有其优势，所以医院就会采购来自不同厂商的不同软件产品。因此而可能导致各个软件不兼容或者出现更多的技术漏洞。

3.过度收集披露个人信息

根据我国行政法的规定[7]，收集和披露个人信息，防疫管理过程中的信息收集和披露应当遵循损害最小化原则。防疫负责人对个人信息的收集和披露仅限于防疫管理的需要。此外，如何确定这一范围，不仅要达到有效预防和控制的目的，保证工作的效率和目的，而且又不侵犯公民的个人信息，这是很困难的。也导致了众多的现实问题[8]。在部分基层医院与社区登记表中出现民族、政治面貌以及工作地点甚至高考成绩等匪夷所思的内容。防疫工作中过度的个人信息收集和披露，不仅不利于防疫工作的开展，而且可能导致个人隐私的随意公开，扰乱社会秩序，妨碍防疫工作的正常开展。

4.信息收集统计工作存在隐患

与其他信息化行业不同的是，医疗信息化人才不但要熟悉相关的信息化知识还要有一定的医学常识，所以就导致了基层医院缺少人手专门负责信息统计和保存，以及同时缺少如LIS、HIS等数字化医院管理系统，都会导致统计后的资料随意堆放不能做到很好的保密工作;由于社区和物业公司收集到的居民信息多是存储在居委会或者物业公司的电脑内，无法保障居民信息安全，当时间紧、任务重时，社区会要求物业公司自主统计居民信息然后通过微信群上传至社区再做统计汇总，这期间就存在很大的安全隐患[8]。

5.相关法律普及程度低

调查显示只有6%的居民清楚了解《民法总则》对个人信息权的解释以及《网络安全法》等相关法律，而有41.4%的居民完全不了解相關法律，这就可能导致了部分居民对信息登记的不了解因此担忧所有信息登记均会泄露隐私而配合程度低;同时也让部分居民个人信息权被侵害时不知如何维权，现实中个人信息权的维权困难也可能是导致居民不愿填写信息登记的原因之一;同时相关法律知识长时间的缺位，还可能导致网络暴力与谣言的大量泛滥。

（二）基层医院信息安全防护的建议

1.完善信息管理制度

必须建立及完善信息管理机构，在各岗位和人员中建立合理制度，加强信息安全意识;医院信息安全必须进行长期、定期、妥善的管理[5]。建立健全安全责任管理制度，明确安全管理和管理人员，严格执行各项管理工作，切实履行主要职责，把安全管理作为各部门、岗位、个人的义务。

2.加快管理软件更新与信息安全人才引进

医院信息管理系统应进行更新，以适应当今的信息社会，在整个信息系统的保护链中，必须安装安全防火墙和应用保护网络，以确保及时发现隐患，确保信息首次安全。同时将信息管理系统进行分区管理，使医院内部网络与外部网络不互通，例如现在许多上级医院实行新冠病毒的核酸检测结果直接通过医院信息管理内网进行统计后上传至上级部门，以及个人信息同时储存在医院内，从而防止相关信息传至外部网络减少个人信息泄露风险;要积极引进信息安全相关人才，加强信息化人才针对实际问题的解决能力。各科室根据具体情况安排专人负责，其可由具有相关知识的医务人员担任，保证科室内部分比较小的故障得以解决，通过提高员工的信息知识储备，从而增强信息安全防护意识[5]。

3.明确个人信息界限

基层医院和社区确实需要收集，个人信息的披露、收集和披露必须遵循损害最小的原则，披露个人信息的界限必须明确，必须收集和披露的，须确定收集和披露的范围。例如，应正确判断收集和披露个人信息的目的，并非所有居民的个人信息都是防疫的重要目标。如果收集了所有住户的个人信息，且没有披露标准，则可能存在违规行为。因此，个人信息的收集和传播应侧重于特定人群。

4.设置专门监管机构及完善医院相应考核制度

设置专门的监管机构，监督相关基层医院和社区收集居民个人信息;完善相应的监管体系，要想取得有效的个人信息监管效果，必须建立有效的个人信息监管体系[8];同时，对相关网络安全管理人员进行激励和监督，对各个科室每个季度网络信息安全情况进行考核管理。

5.增大相关法律法规的宣传力度

发生个人信息泄露事件时，如能让更多的信息使用者意识到随意造谣传播信息是有法律责任的，也就可以在很大程度的降低了风险。所以，有必要在全社会范围内就隐私权问题达成共识，提高全民的法律意识，使所有互联网用户都能自觉地成为个人隐私的监管者[2]。第一，各个基层医院和社区要联合相关职能部门做好辖区内居民的普法工作，切忌生搬硬套、照本宣科，要求给居民通过实例进行生动有效的讲解;第二，要建立健全个人信息受到侵害的维权相关的法律法规，开设便捷的维权窗口和维权热线;第三，对于网络中对受害者的随意造谣和诽谤要进行严厉及快速的打击，防止相关信息在网络中蔓延。

五、结束语

近年来，个人信息作为数字社会的基本组成部分，在维护社会秩序方面具有重要的价值。在信息时代的大数据背景下，基层医院仍然存在制度不完善设备老旧，相关人员经验技术欠缺等问题，而基层医院作为居民健康的第一道防线不仅是为了确保居民的身体健康，还应该肩负着保护居民个人信息的职责。 因此，基层医院要正确收集必要的个人信息，做好信息的保存与保密工作，完善相关管理制度，加快相关技术的更新迭代，社会中还应提高全民的保护隐私的法律意识，从而进一步强化医院信息安全为常态化的疫情防控打下坚实基础。

作者单位：石航   李志敏    罗淼    西北民族大学医学部

参  考  文  献

[1] 蒋丽华. 新冠肺炎疫情防控中个人信息的公开与保护 [J]. 征信， 2020，38（09）： 41-47.

[2] 郑保章， 冯湜. 大数据背景下的隐私保护问题研究——以新冠肺炎疫情防控中的个人信息使用为视角 [J]. 学习与探索， 2021（04）： 74-78.

[3] 任燕舞. 基于大数据背景下校园网络信息安全技术研究[J]. 中国新通信， 2022， 24（01）： 135-136.

[4] 金琰. 基于“互联网+”背景下医院网络的信息安全防护措施 [J]. 网络安全技术与应用， 2022（02）： 121-123.

[5] 马春萍. “互联网+医疗”背景下医院信息安全防护研究 [J]. 技术与市场， 2021， 28（11）： 84-85.

[6] 杨晓毓. 现代数字医院网络信息安全隐患以及防范措施 [J]. 财经界， 2021（35）： 21-22.

[7] 潘文雯， 刘振宇. 疫情防控背景下个人信息利用与保护平衡路径探究[J].甘肃广播电视大学学报， 2022， 32（01）： 80-84.

[8] 韦祎. 新冠肺炎疫情防控中个人信息的利用与保护 [J]. 法制与经济， 2021， 30（05）： 68-72.