医疗数据安全之困境及其破解路径*

2024-01-01 18:46刘军平黄泽雨
医学与法学 2023年5期
关键词:数据保护数据安全医疗

刘军平 黄泽雨

数字化时代背景下,互联网技术、区块链、大数据应用等在医疗领域不断发展,在提高医疗服务水平的同时,也使医疗数据安全成为事关国家安全和国计民生的最突出、最基础的安全问题。相较于教育、体育等其他行业数据而言,医疗数据更加具有商业和战略价值,因此其所受到的攻击、泄露频率呈指数级增长。近几年来,国内医疗数据被黑客窃取、泄露的事件频发,对患者的个人信息与隐私安全和国家安全造成了严重的影响。

2021 年颁布实施的《数据安全法》规定了数据安全领域的基本原则和制度,为医疗数据安全提供了基本的规范依据,然而其中的条文却多为原则性规定,缺乏具体的配套实施细则,故不足以解决医疗领域的数据安全问题。目前,“医疗数据安全”概念及其内涵尚未在立法中予以明确,数据安全也处于保护理念滞后、监管机制不健全、法律规范不足的困境。鉴于此,本文拟以《数据安全法》的相关内容为基础,明晰“医疗数据安全”概念及其内涵,分析当前实践中存在着的医疗数据安全问题,冀能为医疗数据安全困境的破解提供相应参考路径。

一、医疗数据安全的法律界定

《数据安全法》对“数据安全”①的定义早有界定,但是尚未有法律规范对医疗数据安全进行明确回应,故通过对“医疗数据安全”概念及其内涵的阐释,有助于理解医疗数据安全所关涉的多重利益属性。

(一)“医疗数据安全”概念及其内涵

“医疗数据”,一般认为是指为实现医疗和公共卫生目标而生成或挖掘的数据,包括但不限于在诊疗过程中所产生的数据。[1]“医疗数据安全”在立法上尚未有统一表述,其内涵可以根据相关法律文件予以确定。《国家健康医疗大数据标准、安全和服务管理办法(试行)》认为,“医疗数据安全”是指“在医疗数据采集、存储、挖掘、应用、运营、传输等多个环节中的管理安全”。②《信息安全技术—健康医疗数据安全指南》(以下简作《健康医疗数据安全指南》)明确要求确保医疗数据的保密性、完整性和可用性,确保医疗数据使用和披露过程中的合法性和合规性,保护个人信息安全、公众利益和国家安全。③

结合上述文件和《数据安全法》相关规定,本文将“医疗数据安全”界定为:指通过采取必要的制度措施来规范医疗数据处理活动,以确保医疗数据本身或数据流通过程处于有效保护和合法利用的安全状态。其内涵可从静态安全和动态安全两个维度加以阐释:静态安全主要强调医疗数据的储存安全,即数据系统处于不被侵入或者不存在被侵入的风险[2],要求医疗卫生机构具有防止医疗数据泄露、丢失和非法侵入等能力,保证医疗数据的储存安全;从医疗数据动态安全的维度出发,则要求数据处理者在数据流通各环节中保证医疗数据的合法使用与基本安全,主要表现在数据传输、数据处理和数据共享等行为之中——这些行为涉及医疗机构与患者间、医疗机构间、医疗机构与政府部门间的多重数据法律关系,无法单方面用静态安全予以回应。如在公共卫生事件中,医疗机构往往要做好数据协助工作,以便于国家卫生部门及时统计和公布疫情数据;在区域性问诊过程中,医疗数据共享为患者诊疗提供便利。综上所述,医疗数据安全既需要保证数据自身的完整性与储存安全,还应当保证医疗数据流通过程中的合法使用和基本安全。

(二)医疗数据安全的多重利益属性

医疗数据作为国家重要战略资源,其数据安全具有多重利益属性,既涉及国家、公共属性,关系公益安全;又涉及人身、财产等属性,关涉私益安全。[3]医疗数据私益安全主要表现为患者的个人信息和隐私权保护,公益安全则具体表现为国家安全和数据主权利益。

1.医疗数据安全关涉患者个人信息和隐私权保护。

医疗数据中的私益安全涉及患者的个人信息和隐私权保护。医疗数据中含有大量能够识别患者身份的特定信息,如姓名、身份信息、通信信息、既往病史、用药情况等,其中许多数据涉及患者的敏感信息和隐私。随着医疗数据在收集、储存、共享、利用等环节的不断流通,患者隐私数据被攻击、泄露的风险也会大大增加。一旦这些数据被他人非法窃取或利用,将会导致大量患者的个人信息和隐私受到侵犯。例如,“卓健科技”“健康之路”等第三方挂号平台的短信服务供应商泄露平台用户的挂号信息、广西妇幼保健院的工作人员杨某下载转售患者隐私信息等医疗数据泄露事件,均对患者的隐私权和个人信息造成了严重侵害。

2.医疗数据安全关涉国家安全和数据主权利益。

医疗数据中的公益安全涉及我国的国家安全和数据主权利益。一方面,医疗数据中包含许多高度敏感的生物特征数据(如基因数据等),此类数据属于国家的重要遗传资源和战略资源,在数据流动过程中一旦遭到泄露,可能导致不法分子发起针对特定人群的生物袭击[4],从而严重危害国家安全。在跨境场景下,医疗数据一经泄露,负面影响往往难以消减,且缺乏有效的救济渠道。[5]另一方面,在信息化、数字化和全球化的时代背景下,数据强国通过各种手段竭力实行数据垄断,谋求数据霸权地位。[6]新冠疫情事件中,部分西方发达国家曾以溯源疾病为借口,妄图干涉我国的数据安全管理窃取数据情报,是数据霸权主义的表现,严重侵犯了我国数据主权。

二、医疗数据安全的现实困境

数字化技术与医疗行业的不断融合,在促进医疗数据合理流转的同时,也使得医疗数据安全形势愈发严峻。通过对医疗数据安全的保护理念滞后、监督机制不健全、法律规范不足等现实问题进行分析,才能有效破解医疗数据保护的现实困境,实现医疗行业的健康有序发展。

(一)保护理念滞后

在数据保护理念层面,医疗行业当前存在两种错误倾向,一是单点防护理念盛行,二是事前预防理念淡化。

1.单点防护理念盛行。

“互联网+”在医疗领域的不断渗透,推动医疗行业由相对封闭向开放转变,在医疗数据流动性空前提高的同时,也给数据安全带来了全新的挑战。传统医疗模式中,医疗信息管理系统采用中心化的存储方式,各个信息管理系统之间互不联系,一旦遭遇网络攻击或自然灾害的影响,医疗数据往往难以恢复和使用,可能会导致单点故障问题产生[7],难以确保存储数据的完整性和可用性。此时的数据保护强调医疗机构应当保证医疗数据的完整性与储存安全,单点防护的安全理念较为盛行。随着互联网技术、大数据技术与医疗行业的深度融合,医疗数据处理活动贯穿了收集、储存到传输、共享的数据全生命周期,医疗数据的动态应用成为常态,故应当进一步强化医疗数据的动态安全观念。面对多元主体之间数据流转所带来的数据传输风险、数据海量和无序存放所带来的数据存储风险,以及服务发展需要和患者隐私保护所带来的数据使用、开放和共享风险等[8],建构起数据全生命周期的动态保护体系将是医疗卫生机构工作的“题中应有之义”。

目前,我国医疗行业的安全建设仍处于“重建设、轻管控”的初级阶段,网络安全防护体系不够周严,数据安全防护建设也处于传统数据安全产品的堆砌阶段[9],在技术措施的选择上不够灵活变通,尚未形成数据全生命周期的动态保护体系,难以应对医疗数据所面临的多环节风险。

2.事前预防理念淡化。

目前,医疗卫生行业的信息化观念仍停留在低效运营阶段,通常更加关注新兴业务的收益和发展,而忽视网络安全建设的投入,造成重开发而轻管理的发展模式,以致无论是基础的安全测评服务,还是安全设备的采购,医疗卫生行业滞后一两年都是常态。[10]一方面,数据安全建设投入不足和事前预防理念的淡化,使医疗机构难以建立起必要的数据风险评估、风险预警等机制,在面对数据安全危机时,无法及时处理和应对。实践中存在不少医疗数据遭到攻击或泄漏而医疗机构尚不知情的案例,如我国首家AI 医疗公司的新冠病毒检测用户数据被黑客盗取倒卖,该公司知情时间甚至晚于网络安全团队[11]。另一方面,事后补救的危机应对模式,也使得医疗机构陷入以数据安全危机倒推数据安全进步的怪圈。在医疗数据泄露事件中,由于数据的海量性和保密性,患者通常难以知晓个人信息和隐私是否被泄露,这便极大地限制了其获得救济的可能性。此外,出于侥幸心理、降低运营成本等考虑,医疗机构通常不愿正视自身所存在的数据安全问题,以致其数据安全建设的升级和进步往往需要通过数据安全危机的倒逼来完成。

(二)数据监督机制不健全

目前,我国医疗行业的数据监督机制存在明显缺陷,一是医疗卫生机构内部监督机制不健全,二是外部监管不力。

1.内部监督机制不健全。

对医疗行业的数据安全来说,内部威胁远大于外部威胁,内部监督机制的不健全导致行业内部数据泄露事件频发。当前我国的医疗机构普遍存在数据权责划分不明确、信息管理流程烦琐、数据管理缺位等问题。一方面,作为医疗数据天然接触者的医务工作者、数据管理员等,可能为了获得高额的经济利益而违背职业道德伦理,与恶意非法用户内外串谋窃取医疗数据进行售卖;而在医疗机构没有合理设置医务人员角色权限和分级审查制度的情况下,难以对内部人员的上述行为形成有效监督。另一方面,部分医疗机构不重视对内部人员数据保护意识进行监督,在医务工作者不当操作删除或泄露医疗数据和患者信息时,没有选择合理有效的惩处措施和追责手段,因而无法对其他医务工作者起到警示和教育作用。此外,医疗机构与第三方合作中的数据监督也应当予以关注。在构建信息化平台或网络安全防护体系时,医疗机构通常会选择与第三方供应商合作,由第三方供应商负责部分外包功能的测试、运营等服务;此举虽然能够减轻研发和运营成本,但却使医疗机构难以对外包方的数据处理行为形成有效的监管,无法防止数据泄露事件的发生。

2.外部监管不力。

《数据安全法》明确规定由卫生健康主管部门承担医疗领域的数据监管职责,公安机关、国家安全机关、国家网信部门则在各自职责范围内承担数据安全监管职责。在医疗数据的监管职能划分上,卫健委的功能定位是监督患者病历信息的管理和使用;工业和信息化部则保障患者或居民的信息安全,拥有制定相关信息标准的权力。[12]虽然主要监管职责由卫健委承担,表面上各部门有所分工,但在实践中这些部门对医疗数据的监管职权存在交叉或重叠[13];各方监管机构互不隶属、缺少联系,且监管职权受制于制度文件约束,也使多方监管机构之间缺少分工与合作,难以对医疗数据形成系统性管理。除此之外,多方监管机构对医疗数据监管通常限于制度层面,而具体执行细则缺失,这也使得医疗数据监管存在权责不清、实践中可操作性不强等问题。

(三)法律规范不足

医疗数据保护的法律缺位主要表现为两个方面:一是我国目前没有医疗数据保护或治理方面的专门性法律法规;二是现有的数据法律规范缺乏配套实施细则,无法应对医疗领域的数据安全问题。

1.专门性法律法规缺位。

从比较法的角度来看,在法律制度层面,当今许多发达国家通常都有专门的法律对与个人有关的健康医疗数据进行治理与保护。[14]如奥地利的《使用电子健康数据时的数据保障措施联邦法》、美国的《健康保险携带和责任法案》、日本的《次世代医疗基础法》等。我国目前尚未在医疗数据安全领域进行专门立法,现有涉及医疗数据保护的规定散见于一些法律、部门规章、地方法规之中。缺乏医疗数据保护的专门性法律,可能导致实践中产生两部法律之间适用冲突的问题。具体而言,在医疗领域中,某一不法行为单纯破坏数据安全或网络安全之一,不会存在法律适用冲突问题。然而,当不法行为同时侵犯两种不同的安全法益时,作为同一位阶的《数据安全法》和《网络安全法》,如何适用就可能会发生冲突。

此外,目前《个人信息保护法》对“个人信息”的定义中包含了“各种信息”,并未将个人数据排除在外,因此可以认为个人信息的数据安全问题仍被纳入该法之中。[15]医疗数据中包含大量的患者个人信息,现有法律规范应当对其管辖权问题加以明确界定,防止司法实践中出现管辖不清或重复管辖的情况。

2.现有规范缺乏配套实施细则。

我国目前的法律规范中对医疗数据安全起指导作用的主要为原则性和概括性规范。在《数据安全法》之前,《网络安全法》《个人信息保护法》等均涉及数据安全保护条款。[16]《网络安全法》明确了网络数据安全的基本原则与规则,大大降低了数据在网络空间中受到攻击、侵入、干扰和破坏的可能。《个人信息保护法》规定了单独同意规则、额外通知规则等信息处理规则[17],对数据安全起间接保护作用。《数据安全法》作为数据安全领域的基本法律,规定了数据处理过程中的基本准则、数据安全管理制度等内容,对数据安全保护具有指引性作用。上述数据法的有关规定为医疗数据保护提供了基本准则,但也存在明显的不足:即法律规范内容较为概括笼统、实践中缺乏可操作性、难以指导医疗行业建立起符合自身特点的数据安全保护制度。

以数据分级分类保护制度为例,从现有法律规范出发,《数据安全法》第二十一条规定数据分类分级划分的主要依据为“数据重要性”和“危害程度”,但该标准对医疗数据来说,却过于宽泛粗疏,在实践中不具有可操作性。具体到医疗数据领域,现有的较为明确的医疗数据分级分类标准规定于《健康医疗数据安全指南》中,该指南根据医疗数据重要程度、风险级别和对数据主体可能造成的损害和影响将医疗数据分为五级六类,对医疗数据保护起到了指引作用。然而,该标准属于推荐性国家标准,缺乏法律强制力及约束力,对医疗机构划分医疗数据分类分级仅具有参考作用。规范性法律标准的缺失,使医疗机构在数据分类分级保护、数据安全监管等方面缺乏明确指引,难以对医疗数据安全形成有效保护。

三、医疗数据安全困境之破解的路径

如前所述,医疗数据在其流转过程中存在不少亟需解决的问题,应当在既有基础上对法律保护不断加以完善。[18]通过建立医疗数据全生命周期防护体系、完善医疗数据内部监督和外部监管体系、制定专门性法规和配套实施细则等途径,不断加强医疗数据保护力度,破解医疗数据安全困境。

(一)建立医疗数据全生命周期防护体系

当前我国医疗行业的数据保护理念仍较为滞后,单点防护理念难以应对医疗数据面临的多环节安全风险。建立医疗数据全生命周期的动态防护体系,具体可以从数据保护的内部环节和外部环节两方面入手。

在数据收集、储存、加工等内部保护环节,医疗卫生机构在满足法律规定的网络安全防护标准和基础设施安全防护要求的基础上,应当侧重于完善数据风险预警机制和自身的安全防护体系,合理运用技术措施确保医疗数据的完整性和可用性,防止医疗数据被非法窃取、损毁或使用。在技术产品的选择上面,需要避免同类技术的简单堆砌,尽量选用如数据存储及管理技术、数据获取加密技术、数据流向追踪等不同功能的安全产品,实现对医疗数据安全的多元防护。值得一提的是,医疗数据内部保护环节的技术手段和强度应当采用弹性标准,依据医疗卫生机构的数据处理体量和重要性等因素综合考量,一定程度上允许其根据自己的需求和所面临的环境选择适合自身特点的安全防护措施。[19]

在数据传输、共享、公开等外部利用环节,应当保证医疗数据处于合法利用的安全状态。一方面,由于区块链具有去中心化、防篡改、可追溯等特点,对区块链技术的合理运用能够在参与医疗数据共享利用的多方之间建立互信关系,为可信的数据流通和规范利用提供技术平台。[20]另一方面,在与第三方平台进行数据业务合作前,医疗卫生机构需要着重审查对方是否具有相应的数据处理和安全防护能力。在与第三方平台合作过程中,医疗卫生机构应当明确划分第三方平台的数据安全管理职责、数据处理权限和责任义务,要求对方采取适当的数据安全标准与保护措施,并定期对第三方平台的数据处理活动进行监督和审查。

此外,鉴于法律后置模式在数据安全领域的失灵和降效,可以考虑进一步明确以风险预防和法律代码化为核心的法律前置模式。[21]法律应当聚焦于行为发生之前,通过对人们行为的事前规训、塑造以及对不法与违法行为的阻却来减少医疗数据安全事件的发生。[22]同时,医疗卫生机构也应当贯彻事前预防理念,通过数据风险监测、风险评估等手段提高医疗数据流通和使用过程中的风险预防能力,避免自身陷入以数据泄露事件倒推数据安全进步的怪圈。

(二)完善医疗数据内部监督和外部监管体系

医疗数据监管包括制定数据使用和安全准则,并对数据流通中的安全问题进行监督。这既涉及医疗活动,又涉及对数据信息的管理,单一监管主体难以同时具备医疗卫生行业的相关知识和信息管理的技术与能力。[23]从医疗数据专业化、海量化、高度隐私性等特点考量,完善医疗数据内部监督和外部监管体系,可以有效降低数据安全风险。

医疗数据内部监督体系主要表现为医疗机构内部应当设立医疗数据管理制度和安全监督部门。该监督部门应当有别于集多种职能于一身的信息科,其主要职责有二:一是保证医疗数据免遭非法入侵、损毁和丢失;二是通过内部审查的方式保证医疗数据处理过程中的合法性、正当性。对于内部工作人员非法窃取、故意损毁数据等行为,应当及时移交有关机关予以处罚,其他不当操作导致数据受损、泄露的,应当综合考量后选择扣除绩效、通报批评、留职查看、开除等惩罚手段予以处罚;此外,医疗机构、医联体及第三方服务机构应当定期对相关人员进行业务培训[24],通过业务考核、知识竞赛、模拟演练等方式不断提高有关人员的数据保护意识和风险应对能力,以应对医疗数据安全危机。

建立统一的数据监管信息处理平台,创新数字化监管手段,是完善医疗数据外部监管体系的有效方式。该监管平台应当由卫生健康委员会牵头,联合工业和信息化部、公安部等部门共同建立。卫生健康委员会作为主要监管机构,负责数据的日常监管和平台运营工作,其他部门则在各自职权范围内起辅助作用。平台采取自上而下的运作模式,使用统一的应用程序编程接口传输数据,在保证医疗数据安全的同时,实现地方监管和中央监管的联动衔接。在监管平台建成后,还应当不断完善平台技术体系,引入区块链技术对数据的收集、传输、处理、共享等流程进行全方位的监测,通过建立数据流动追踪、数据安全感知、应急处理等机制,实现医疗数据全自动化管理和监管。[25]除此之外,还可以建立医疗数据监督结果公示制度,通过信息公示的方式影响有关医疗机构在公众中和行业内的信誉[26],迫使数据处理者合法使用数据,提高数据安全防护质量。

(三)制定专门性法规和配套实施细则

我国的《数据安全法》采取综合性数据立法模式,整体上偏重于对于欧美立法的形式性借鉴和制度性应对,在前瞻性和实质性的数据战略谋划方面略显不足,尚未形成较为明确的数据战略和系统的制度安排。[27]从完善数据法体系的角度出发,以《数据安全法》为基础,后续通过法规或规章的形式对不同领域数据治理开展专门性立法活动,不失为满足数据多元化治理需求的一种有益尝试。在对医疗数据治理或安全方面进行专门性立法时,可以考虑在《个人信息保护法》《网络安全法》《数据安全法》等一般性法律的基础上,结合医疗数据的特殊性,制定医疗数据治理、保护方面的法规或规章,如《医疗数据安全保护条例》或《医疗数据安全管理办法》等,并在其中完善医疗数据保护的实施细则。

具体而言,第一,在立法时应当界定受保护的医疗数据的范围并明确医疗数据安全的概念与内涵,进而落实医疗数据分类分级保护制度。除了根据《数据安全法》将医疗数据划分为一般数据、重要数据和核心数据外,可以在借鉴《健康医疗数据安全指南》中医疗数据分类分级标准的基础上,以医疗数据管理和使用周期为主线,按照明确权属责任、风险评估、数据监管、损害补救等流程制定实施分级分类制度,并按照业务发展和法规标准的需求适时调整。第二,应当明确医疗数据处理者的安全保护义务,相关做法包括定期开展数据安全教育培训、重要数据风险监测与评估、制定安全技术标准与措施等。在具体内容上,要明确利益相关者在医疗数据流通环节中的权责,根据医疗数据不同类型明确其从收集、储存到共享、销毁的全生命周期的数据安全保护制度。第三,医疗数据主管部门可以从事前预防和事后处置两个阶段来建立医疗数据安全制度。在事前预防阶段,需要在现有基础上不断细化落实医疗数据分类分级制度、安全风险评估制度、安全审查制度,对于涉及国家秘密的医疗数据,设置严格的调取和审批手续,同时对医疗数据出境予以限制和规范;在事后处置阶段,对数据安全形势进行分析研判后及时启动应急预案以应对突发事件,并在综合衡量后通过新闻媒体向公众发布警示信息,防止危害进一步扩大。[28]

四、结语

医疗数据具有高度敏感性、保密性等特点,其安全问题既涉及患者的个人信息和隐私权保护,又涉及国家安全和数据主权利益。我国在坚持医疗数据开发、共享的同时,应当准确把握数据安全与数据共享之间的利益平衡点,不断增强医疗数据安全防护体系,提高医疗行业的数据安全危机预防和应对能力,保证医疗数据的整体安全水平,实现医疗行业的健康有序发展。

注释

①参见《数据安全法》第三条第三款:“数据安全,是指通过采取必要措施,确保数据处于有效保护和合法利用的状态,以及具备保障持续安全状态的能力。

猜你喜欢
数据保护数据安全医疗
云计算中基于用户隐私的数据安全保护方法
建立激励相容机制保护数据安全
大数据云计算环境下的数据安全
TPP生物药品数据保护条款研究
京张医疗联合的成功之路
我们怎样理解医疗创新
欧盟数据保护立法改革之发展趋势分析
欧盟《一般数据保护条例》新规则评析
医疗扶贫至关重要
大数据安全搜索与共享