智慧医疗背景下的我国健康医疗数据的管理与保护分析

孙希奕

江苏省昆山市第一人民医院信息处，江苏昆山 215300

随着大数据时代的来临，我国各个行业的数据存储规模飞速增大，数据种类也在不断地完善，在高效利用和管理数据的同时，这种新的信息处理方式也反过来对人们的工作、生活乃至思维模式都产生了深刻的影响，数据的价值也在不断被深入挖掘，目前我国大多数机构和相关产业都已形成共识，即与技术、管理、经营和用户的大量数据已经成为了决定企业生存和发展的重要资产。

智慧医疗围绕患者为中心，以优化配置医疗资源并提供高水平医疗健康服务为目标，结合了传感网、云技术、大数据和人工智能等多个领域内的前沿成果，实现了患者和各个级别的医疗机构、医护人员甚至医疗设备的实时通信，并以此为基础，构建了一个高度整合的，医疗资源配置合理的、贴合性强的个人医疗健康服务体系[1]。

智慧医疗在显著提高医疗服务质量的同时，也为医疗数据的管理和安全隐私保护工作提出了新的挑战。在智慧医疗的运行过程中，基于高速通信技术的各种医疗单位均会实时传输大量的医疗健康数据，而这些数据往往是以开放的、共享的互联网为媒介完成通信的，无论是从数据源的复杂性来看，还是从数据传输过程的透明性来看，发生数据错误、泄露和被篡改的风险都大大增加[2-3]。因此，在充分发挥信息时代的技术优势，提升公众医疗服务水平的同时，保护民众个人信息不受侵犯，保障医疗卫生产业健康有序发展，成为了整个社会关注的热点。

1 健康医疗数据的分类

在讨论如何提高健康医疗数据的管理和保护水平之前，应首先对健康医疗数据所包括的主要对象进行分类分析。目前已有不少研究人员推出了不同的分类方法，如以医疗过程为主线、以患者为主体、以数据来源类型进行划分的方法等[4]。本文结合健康医疗领域的服务类型以及数据内容的不同，将智慧医疗背景下的健康数据划分为5 个主要类型，具体如下。

1.1 基本健康数据

包括个人健康档案、历年体检报告记录的个人健康基本信息，如身高、体质量、视力、听力、血常规、尿常规检验结果等。此外，对于穿戴了连续性采集信息的医学设备的用户而言，此类数据还应包括呼吸频率、血压、心率等监测数据。

1.2 临床医疗数据

临床数据多数来源于患者于医院或在线医疗平台就诊的过程中，前者产生的数据主要包括病历信息、医学影像检查信息、用药记录、临床治疗记录、付费记录等[5]；后者产生的数据主要包括在线医疗平台信息、在线预约与就诊信息、医嘱信息、在线支付记录等。

1.3 身份识别数据

患者在线就诊的过程中，为确保网络身份与实际身份的统一，避免被冒用身份就诊，或因疏漏而导致身份对应关系错乱，继而带来病案资料和其他一系列信息的不吻合问题，因此需要对个人身份信息进行审核与识别，主要包括基本信息与生物特征信息两类，前者主要有姓名、联系方式、证件编号等，后者主要有面部图像数据、声纹和指纹数据以及虹膜数据等[6]。

1.4 生物医学研究数据

该类数据主要包括人口统计信息和生物研究信息两类，前者主要有一定规模人群的性别、年龄、婚姻/生育状态、工作岗位等数据，主要由政府主管的公共管理部门收集并统计；后者主要有基因组学、转录组学、蛋白质组学、代谢组学等数据[7]，一般由各类生物医学研究机构进行收集和统计。

1.5 日常作息数据

随着各类健康APP 和公共社交平台的大规模应用，各种日常作息过程中产生的信息也被有效地整合起来，例如饮食记录、作息时间、情绪波动、运动记录等信息。这类数据随着个体用户的不断积累，其价值也在不断提升。

2 我国健康医疗数据保护机制存在的问题

2.1 健康医疗数据保护立法相对滞后

基于保护个人隐私数据的实际需求，我国于2021年9 月和11 月分别推出了《数据安全法》和《个人信息保护法》，彰显了政府站在民众的立场上，坚决捍卫和保护个人数据安全的决心[8]，同时在多部法律法规中，也包括了不得泄漏患者隐私的条文，但针对健康医疗数据的保护问题，尤其是互联网医疗和智慧医疗产生的数据安全问题，并未单独立法管理[9]。因此，在这一日益扩大的卫生产业领域内，目前仍旧存在一定程度的立法滞后性问题。

另一方面，在患者对个人资料的各类权限上，目前也存在一定的管理混乱问题。例如在多部法律规章中，都明文标注了患者拥有对个人医疗信息的查阅、复制等权限，但并未标注患者同样拥有对这些信息的知情同意权和决定权[10-11]。当其他医疗研究机构从患者就诊医院档案管理部门获取大量患者资料时，是否能够确保患者的全数知情并同意，这一环节往往缺乏法规的监管。《个人信息保护法》出台后，虽然一定程度上增强了法律赋予公民个人的健康信息管理权限，但与西方发达国家相比仍旧不够完善[12]。

2.2 健康医疗数据的保护意识不足

虽然近年来群众的人隐私保护意识不断地增强，但受传统观念的影响，总体上仍旧处于偏低水平上，多数群众并不了解个人健康数据的真正价值，同时也不熟悉保护人隐私信息的相关法律法规和具体的执行方法，而在互联网医疗平台飞速发展的当下，很多用户更加缺乏知情的渠道，导致对其个人健康信息是否被使用，使用方是谁，被使用多少次等情况无法了解，因此自然而然地逐渐减少了对这方面的关注程度[13-15]。另一方面，相关机构在负责管理用户健康数据时，往往更将其视为本机构的数字资产，而对用户本身的所有权、知情权等并未给予充分的尊重。

2.3 监管与追责惩处机制不健全

目前包括信息安全法在内的多部法律均规定了个人信息管理者需保护用户数据的安全与准确，而对健康医疗数据的违规使用行为对应的惩处措施规定地并不明确，如在传统医疗领域内的《执医师法》和《护士条例》[16]，规定患者的个人信息和医疗检验数据均应予以保密，但都没有明确制定出对于违法泄漏信息者的惩处方法，由此可见，我国目前对健康医疗数据保护设立的规章律法均不够硬性与严格，某些条款的描述更加接近于道德约束，并无实质的法律惩处约束效果[17]。因此，在多数情况下，是否能够严谨地按照相关的规章制度保护用户隐私信息，更多的是依赖医护和管理人员的职业道德与从业素养。对于违法违规行为，往往仅施行责令改正和警告等处分，对于情节确实严重者，其罚款数额也远远小于欧美等国。

3 健全健康医疗数据保护制度体系的建议与措施

3.1 尽快完善医疗领域内的数据保护立法工作

目前在智慧医疗领域内的数据安全问题很大程度上都集中在政策法规和相关标准建立相对滞后方面。在智慧医疗与互联网医疗平台大发展的时期内，健康医疗数据的规模与多样性都在日新月异的增长变化中，且与相关卫生医疗产业以及百姓的生活深度结合，这就更需要有关部门结合国外先进经验，及时地完善相关法律法规，引导这一新兴产业健康有序发展。

①针对健康医疗数据应单独设立法律法规予以针对性的保护，尤其围绕互联网医疗数据的产生、传输、汇总和引用等各个环节上的数据安全进行有效的行为规范。

②明确责任和相关的惩处条例，增强惩罚措施的可操作性，使得各类机构在使用公众健康医疗数据时能够主动提高警惕性，杜绝各个环节可能出现的泄露和过度披露等情况。对于违法违规采集和使用数据的个人或机构，责令其对失责行为公开道歉等民事处罚，以及罚款、警告、暂停经营、吊销执照和许可证等行政处罚，还可以降低该机构的信用级别，增加对医疗机构的威慑。

3.2 完善健康医疗数据保护监管体系

我国有很多医疗、健康产业领域的行业协会，如中国医院协会、中国信息协会医疗卫生和健康产业分会等，可充分利用这些行业组织的能效和相关的平台与渠道，进一步发挥行业协会在保护健康医疗数据方面的主动性。①可在推动相关立法、完善数据保护制度和建立行业标准等方面借助这些行业协会的专业知识，收取到事半功倍的效果；②可在行业监管方面，充分引入行业协会的力量，对医疗机构的数据管理工作进行及时的监控与评估，及早发现隐患，保障数据安全。

3.3 增强医疗数据隐私保护意识，提高从业者自律性

医疗数据的采集与管理机构是承担健康医疗数据安全的关键主体，在智慧医疗背景下，除了实体医院和公共卫生部门外，这一主体还应当包括各种互联网医疗软件平台、健康数据存储平台、健康数据传输媒介、医学科研机构、数据分析平台等。这些主体单位的执行人员必须加强数据安全管理意识和个人隐私保护意识，提高职业道德与责任感，自觉保护公民健康信息，避免泄露，并将制度贯穿于数据收集、储存、使用、转让、共享全过程。

3.4 技术安全措施

对于健康医疗机构而言，大规模的数据泄露大多是通过入侵信息系统，而可靠的技术手段是保证健康医疗数据完整、保密、安全、可控的关键。①在关键的数据存储节点上，应设立网关和防火墙，并充分利用安全云技术对来访者行为进行实时评估，发现危险操作或数据后应立刻介入管控，必要时可以设置对内和对外两道防火墙，前者负责对内部网络的数据监控与过滤，以及对用户身份进行有效识别，后者则用以防范外部的入侵行为，从而有效防止健康医疗数据在传输和使用的过程中被窃取、恶意篡改或删除；②应定期对智慧医疗系统进行病毒查杀，对数据库的数据进行及时的维护与备份，从而提高健康医疗数据的安全性；③在数据传输的过程中，为了增加窃取数据者的破解难度，从而降低数据泄漏风险，可采取对健康医疗数据进行加密等方式，并在未来可进一步探索区块链技术在医疗健康数据保护中的应用。

4 结语

在大数据时代下，互联网技术和人工智能技术的结合在医疗领域内得到了良好的应用，智慧医疗模式的诞生，给民众提供了一种新型、高效、便捷、精准的健康医疗服务，但同时也带来了用户隐私泄漏、数据被违规采集与使用等问题。为了提高民众健康数据的保护水平，首先就需要政府立法及完善相关制度为引导，其次从强化行业内部的规范性和自律性入手，加强监管和惩罚力度，最后再引入信息安全技术做有力支撑，从而更加有力地促进智慧医疗产业的发展，为我国民众提供更高水平的医疗服务。