安全是健康醫(yī)療大數(shù)據(jù)的核心基礎

何延哲++付嶸

7月16日，國家衛(wèi)生計生委衛(wèi)生發(fā)展研究中心在北京舉辦了旨在學習6月21日國務院下發(fā)的《關于促進和規(guī)范健康醫(yī)療大數(shù)據(jù)應用發(fā)展的指導意見》 （下稱“《意見》”） 的專門研討會。在研討會上，數(shù)據(jù)安全、隱私成為關鍵詞。參會的官員、專家、醫(yī)療從業(yè)人員一致認為發(fā)展健康醫(yī)療大數(shù)據(jù)應首先警惕數(shù)據(jù)安全，保護患者隱私，才能真正實現(xiàn)數(shù)據(jù)融合共享、開放應用。

巧合的是，當天有媒體報道了我國30省份至少有275位艾滋病感染者個人信息遭泄露的事件。犯罪分子在詐騙電話中能準確地描述出病患的個人信息，包括真實姓名、身份證號、聯(lián)系方式、戶籍信息、確診時間、隨訪的醫(yī)院或區(qū)縣疾控等等，并謊稱能為病患辦理補助而需要收取不菲的手續(xù)費。中國疾病預防控制中心相關負責人于7月17日表示，國家艾滋病感染者相關信息系統(tǒng)被列為國家網(wǎng)絡信息重點安全保護對象，目前已經(jīng)報案，將積極配合公安部門盡快破案。此事還引起了世界衛(wèi)生組織駐華代表處和聯(lián)合國艾滋病聯(lián)合規(guī)劃署駐華代表處的關注。7月18日，兩家代表處聯(lián)合發(fā)表聲明，強調(diào)“加強現(xiàn)有系統(tǒng)以杜絕類似信息入侵事件再次發(fā)生，至關重要”。

國家對于健康醫(yī)療大數(shù)據(jù)的安全十分重視，據(jù)統(tǒng)計，《意見》中，“安全”這個詞出現(xiàn)了33次。而此次疑似真實發(fā)生的醫(yī)療數(shù)據(jù)安全事件，成為“安全是核心基礎”的最佳注腳。

他山之石，可以攻玉

——英國健康醫(yī)療數(shù)據(jù)安全的審查和建議

不止我們，許多其他國家也發(fā)生了一系列事件，向全世界宣告了他們對健康醫(yī)療數(shù)據(jù)安全的關切。在英國，國家醫(yī)療服務體系（National Health Service， NHS）于2016年7月6日做出停止care.data健康醫(yī)療大數(shù)據(jù)平臺的決定中，“安全”即是重要原因之一。

在很大程度上，NHS決定關閉care.data，是基于7月6日發(fā)布的兩份評估報告。第一份報告《安全的數(shù)據(jù)，安全的醫(yī)療》（“Safe Data， Safe Care”）由英國醫(yī)療質(zhì)量委員會（Care Quality Commission，CQC）發(fā)布。醫(yī)療質(zhì)量委員會是英格蘭健康和社會醫(yī)療的獨立監(jiān)管機構，其職責是監(jiān)控、檢查和評價醫(yī)療服務，促進醫(yī)療服務符合標準規(guī)范以保證其質(zhì)量和安全。作為獨立第三方，CQC經(jīng)常發(fā)布地區(qū)、國家級的健康和社會醫(yī)療質(zhì)量報告。2015年9月，受英國衛(wèi)生大臣委托，CQC對NHS處理病人敏感數(shù)據(jù)過程的安全現(xiàn)狀進行審查，并提出改進數(shù)據(jù)安全的建議。

第二份報告《對數(shù)據(jù)安全、同意和選擇退出的審查》（“Review of Data Security， Consent and Opt-Outs”）是由英國“國家健康和醫(yī)療數(shù)據(jù)守護者”（National Data Guardian for Health and Care， NDG）發(fā)布。2015年9月，英國衛(wèi)生大臣也委托其與CQC緊密合作，共同提出新的數(shù)據(jù)安全標準、測評數(shù)據(jù)安全合規(guī)的新方法，以及獲取同意共享數(shù)據(jù)的新模式。在英國，NDG由衛(wèi)生大臣任命，其主要職責是確保公眾能夠信任醫(yī)療健康系統(tǒng)將保護個人信息，以及個人信息將被用于提高健康醫(yī)療水平。

CQC和NDG在對533起數(shù)據(jù)安全事故調(diào)查后發(fā)現(xiàn)，大多數(shù)事故與紙質(zhì)的醫(yī)療記錄相關，且80%到90%的數(shù)據(jù)安全事故是因為工作人員的習慣無意之中引起的，比如點擊了不安全的鏈接、丟失了存儲數(shù)據(jù)的介質(zhì)等。但是隨著醫(yī)療信息系統(tǒng)的普及、數(shù)據(jù)的逐步集中化及對公眾開放訪問入口，如果不提升安全防護水平，更嚴重、更大規(guī)模數(shù)據(jù)泄露的風險將會增加。綜合CQC和NDG的報告，英國NHS數(shù)據(jù)安全工作中存在以下問題：

首先，雖然很多機構都建立了數(shù)據(jù)安全方面的策略與規(guī)程，但并沒有在日常工作中得到有效實施，很多機構只依賴策略和規(guī)程，而不是通過檢測驗證系統(tǒng)是否足夠安全，也未要求其供應商也遵循同樣的管理措施。

其次，NHS的絕大部分工作人員認可數(shù)據(jù)安全的重要性，但是培訓質(zhì)量參差不齊，有些機構培訓覆蓋面不夠，未涉及合同商、數(shù)據(jù)共享方、臨時員工等，有些機構未將安全事故經(jīng)驗作為培訓內(nèi)容的重要參考。

再次，機構往往不清楚如何從目前存在的大量安全標準中選取合適的參考，許多機構很少去學習其他機構保護數(shù)據(jù)安全的做法，也很少請外部第三方機構做專業(yè)的安全測評。

針對上述問題，CQC和NDG提出的建議簡要概括如下：第一，每個機構的領導應該明確數(shù)據(jù)安全的責任人和其職責，類似于組織醫(yī)療事務和財務的管理和問責制度，包括建立有效的內(nèi)審機制，必要時進行外審以驗證安全措施有效性，對惡意類數(shù)據(jù)安全事件進行嚴厲處罰等；第二，所有的工作人員應該獲得足夠的資源，包括正確的信息、工具、培訓等，以便于他們履行數(shù)據(jù)安全處理和共享的職責；第三，IT系統(tǒng)和所有的安全協(xié)議都應該按照實際的病人治療過程和一線工作人員的需求進行設計；第四，應該按照新的數(shù)據(jù)標準要求設計自評估系統(tǒng)，并選取優(yōu)秀的案例供其他機構進行同步學習；第五，NHS應該修改通用財務合同模板，確保各機構能夠落實數(shù)據(jù)安全標準，地方機構和供應商簽署的合同也應有相應的條款，當供應商無法滿足安全要求時不應與其續(xù)簽合同。

雖然NHS以及care.data計劃在數(shù)據(jù)安全管理方面受到詬病，但從以上審查結果中不難看出，英國作為健康和醫(yī)療大數(shù)據(jù)集中應用的先行者，已經(jīng)在數(shù)據(jù)安全方面做了很多有價值的工作，比如配套的法律法規(guī)、標準規(guī)范，任命了專門的數(shù)據(jù)保護官員，建立了獨立的監(jiān)管和審計機構，建立了數(shù)據(jù)安全風險管理的信息系統(tǒng)等。

但是，由于健康和醫(yī)療數(shù)據(jù)的高度敏感性，對其進行集中存儲和管理后，一方面會引起惡意人員的高度關注，另一方面一旦發(fā)生數(shù)據(jù)泄露其影響面非常廣，對于每個病人來說其后果很難挽回；因此，健康醫(yī)療數(shù)據(jù)的安全工作可謂難上加難，即便英國具備一定的基礎，其數(shù)據(jù)安全治理也未在一開始取得理想的效果，但從近期頻繁的安全審查中可以看出，英國政府建立的數(shù)據(jù)安全監(jiān)督機構、數(shù)據(jù)保護官等正在發(fā)揮積極作用，正視已出現(xiàn)的問題并提出注重實效的解決方案，以重新贏回公眾的信任。

善治病者，必醫(yī)其受病之處

——我國健康醫(yī)療數(shù)據(jù)安全形勢嚴峻

早在2013年底，國家衛(wèi)生和計劃生育委員會就發(fā)布了《關于加快推進人口健康信息化建設的指導意見》，提出在“十三五”期間將大力推動全國人口健康信息大平臺的建設。從安全需求上來說，這個信息平臺一是將承載全國13億公民的人口、健康、醫(yī)療等隱私信息，數(shù)據(jù)保密性要求高；二是將提供公民個人醫(yī)療保障、診療等信息化服務不能中斷，業(yè)務連續(xù)性要求高；三是將為國家衛(wèi)生計生行業(yè)未來發(fā)展提供決策依據(jù)，信息容錯率要求高。然而目前，我國在健康醫(yī)療數(shù)據(jù)安全保障方面情況堪憂，行業(yè)整體安全態(tài)勢趨于嚴峻。主要問題包括：

首先，行業(yè)合并導致底數(shù)不清。衛(wèi)生、計生行業(yè)合并時間并不算太長，業(yè)務層面的整合已初步實現(xiàn)，但數(shù)據(jù)層面的整合尚屬起步階段，在實際執(zhí)行過程中易滋生死角盲區(qū)。從網(wǎng)上已公開的醫(yī)療行業(yè)信息安全事件中不難發(fā)現(xiàn)，絕大多數(shù)安全事件的第一步突破點來自于安全管控體系的“法外之地”。

其次，行業(yè)信息安全人才與經(jīng)費保障缺口較大。據(jù)不完全統(tǒng)計，醫(yī)療行業(yè)2015年整體信息化建設資金超過300億，但信息安全投入不足6億，占比不足2%，而對于有較高安全保障要求的行業(yè)，安全占比普遍超過10%；在人才隊伍方面，專業(yè)信息安全從業(yè)人員嚴重缺失，許多機構甚至出現(xiàn)“身著白大褂的大夫在看病之余兼職管安全”的狀況。

再次，缺乏具備行業(yè)特色的信息安全指導框架。健康醫(yī)療行業(yè)特殊性較高，目前行業(yè)雖然已推行國家信息安全等級保護要求，但尚未建設具備行業(yè)業(yè)務特點的信息安全保障體系，也沒有專門的行業(yè)信息安全技術標準，不利于有針對性地開展安全防護工作。

第四，行業(yè)網(wǎng)絡涉及面廣，不易管控。我國醫(yī)療衛(wèi)生機構總數(shù)已超百萬，以藥品方面為例，我國有6000多家化學制藥企業(yè)，藥品經(jīng)營流通企業(yè)17000多家，而作為世界制藥大國的美國，才分別為200多家和50多家。超大規(guī)模、超復雜接入對構建安全的衛(wèi)生計生網(wǎng)絡來說，難度巨大。

另外，不易樹立行業(yè)信息安全標桿。全國醫(yī)療信息化及軟件生產(chǎn)供應商達數(shù)百家。以行業(yè)龍頭東軟集團為例，其擁有的市場份額不足5%，離散化的分布導致安全的最佳實踐無法快速復制推廣，在現(xiàn)有保障能力下也很難做到“避輕就重”“抓大放小”。

雖然安全形勢和現(xiàn)狀不容樂觀，但這并不意味著我們要暫停或放慢健康醫(yī)療大數(shù)據(jù)方面的發(fā)展。習近平總書記在今年4月19日的全國網(wǎng)絡安全和信息化工作座談會上指出，網(wǎng)絡安全和信息化是相輔相成的，安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進。因此，我國仍然要堅持發(fā)展健康醫(yī)療大數(shù)據(jù)應用，但其安全保障工作應同步推進，一旦準備和配套不足，很有可能引發(fā)全局性安全風險，影響健康醫(yī)療大數(shù)據(jù)整體產(chǎn)業(yè)布局和發(fā)展。

借用一句醫(yī)療領域的常用語，“預防”遠比“治療”更重要也更有效，數(shù)據(jù)安全工作何嘗不是如此。因此，迫切需要我們積極吸收國內(nèi)外的優(yōu)秀經(jīng)驗，深入調(diào)研分析，建立健全健康醫(yī)療數(shù)據(jù)安全體系和機制，做好信息安全風險評估，有效預防將來會出現(xiàn)的各類安全風險，為健康醫(yī)療大數(shù)據(jù)產(chǎn)業(yè)保駕護航。