醫(yī)院信息系統(tǒng)中的隱私保護研究

凌之晞

摘要：隨著醫(yī)療信息化的快速發(fā)展，醫(yī)院信息系統(tǒng)已經(jīng)成為醫(yī)療機構的重要基礎設施，貫穿于患者掛號、診療記錄、檢查結(jié)果、醫(yī)囑執(zhí)行、出院結(jié)算等各個環(huán)節(jié)。當前，醫(yī)院信息系統(tǒng)中大量敏感的個人醫(yī)療信息被電子化，其在為相關工作提供極大便利的同時，也帶來了隱私泄露等問題。文章通過分析醫(yī)院信息系統(tǒng)中影響數(shù)據(jù)隱私保護的內(nèi)外因素，提出了有針對性的隱私保護措施，以促進醫(yī)院信息系統(tǒng)性能在此方面的提高。

關鍵詞：醫(yī)院信息系統(tǒng)；數(shù)據(jù)隱私保護；隱私安全

doi：10.3969/J.ISSN.1672-7274.2024.03.020

中圖分類號：TP 309? ? ? ? ? 文獻標志碼：A? ? ? ? ? ?文章編碼：1672-7274（2024）03-00-03

在數(shù)據(jù)安全重要性日益凸顯的當下，醫(yī)院信息系統(tǒng)由于涉及大量敏感的患者隱私信息和醫(yī)療信息，隱私保護的重要性尤為突出。隱私保護不僅會影響患者的個人健康與財產(chǎn)安全，而且也會影響醫(yī)院的服務質(zhì)量與醫(yī)患關系。

1? ?醫(yī)院信息系統(tǒng)中隱私保護的概念和重

要性

隱私保護一般指采取技術和管理措施來保障個人隱私數(shù)據(jù)的安全，防止數(shù)據(jù)未經(jīng)授權被訪問、使用、泄露、篡改或銷毀。具體到醫(yī)院信息系統(tǒng)這一語境，隱私保護意味著通過一系列的技術和措施來增強患者個人信息以及相關醫(yī)療記錄等數(shù)據(jù)的安全性、完整性、可用性和保密性，避免隱私信息泄露?；颊叩尼t(yī)療信息通常包含非常敏感和私密的信息，這些信息一旦泄露，可能會造成患者身份被盜用、醫(yī)療欺詐等一系列問題，存在嚴重的醫(yī)患糾紛風險，影響醫(yī)院醫(yī)療服務質(zhì)量。從法律法規(guī)和社會責任的角度來說，《中華人民共和國刑法》《民法典》《醫(yī)療機構病歷管理規(guī)定》等法律法規(guī)均明確規(guī)定對患者醫(yī)療隱私的保護，這也是醫(yī)院提供醫(yī)療服務的基本原則與重要義務。因此，有效的隱私保護對患者、醫(yī)院以及社會都具有十分重大的意義。

2? ?醫(yī)院信息系統(tǒng)隱私保護的需求與挑戰(zhàn)

2.1 醫(yī)院信息系統(tǒng)的隱私保護需求

按照《信息技術服務 運行維護 第8部分：醫(yī)院信息系統(tǒng)管理要求》（GB/T 28827.8—2022）中的業(yè)務影響度分級與數(shù)據(jù)安全性定級標準，醫(yī)院信息系統(tǒng)數(shù)據(jù)涵蓋從醫(yī)院各級系統(tǒng)中產(chǎn)生的患者識別信息、醫(yī)院運營情況和主客觀診療記錄等數(shù)據(jù)，具有高度敏感性。由此，醫(yī)院信息系統(tǒng)的隱私保護工作應滿足以下三點需求。一是對數(shù)據(jù)安全保護高標準的需求。由于醫(yī)院信息系統(tǒng)涵蓋醫(yī)院運營和診療各個環(huán)節(jié)，醫(yī)療數(shù)據(jù)則涉及患者的健康情況、病史、遺傳信息等極為敏感的個人隱私信息，因此面臨著比其他相對不敏感的信息更為嚴峻的安全壓力，對數(shù)據(jù)的安全保護要求更為嚴格。

二是對數(shù)據(jù)完整性和準確性的需求。一方面，由于醫(yī)療信息系統(tǒng)中包含的信息直接關系到患者的生命健康與合法權益，因此需要數(shù)據(jù)在保存和修改時全程具備可驗證、可追溯的功能。另一方面，系統(tǒng)又必須能夠通過交叉驗證或備份存儲的方式來防止因不可抗力、外部破壞等原因?qū)е碌臄?shù)據(jù)滅失、數(shù)據(jù)被篡改，以保證數(shù)據(jù)完整、準確。

三是對數(shù)據(jù)共享和大規(guī)模數(shù)據(jù)處理能力的需求。在醫(yī)院實際診療的使用環(huán)境中，患者信息的處理涉及患者診前預約系統(tǒng)、醫(yī)護系統(tǒng)診療端、醫(yī)技平臺、醫(yī)保監(jiān)管平臺以及診后隨訪系統(tǒng)等多元主體，這需要醫(yī)院信息系統(tǒng)在保護患者隱私的前提下，實現(xiàn)系統(tǒng)平臺間數(shù)據(jù)的有效共享和脫敏處理。

此外，隨著各醫(yī)院對醫(yī)療大數(shù)據(jù)的投入加大，醫(yī)療數(shù)據(jù)總量不斷膨脹。根據(jù)中國醫(yī)院協(xié)會信息專業(yè)委員會2023年2月發(fā)布的涵蓋全國31個省級行政區(qū)、1 062家醫(yī)院的研究報告《2021—2022年度中國醫(yī)院信息化狀況調(diào)查》（下稱《狀況調(diào)查》），2021—2022年度業(yè)務數(shù)據(jù)存儲總量較大的（100 TB以上）醫(yī)院數(shù)量較2019-2020年度上升幅度為5.92%[1]。因此，醫(yī)院信息系統(tǒng)需要具備處理和存儲大規(guī)模數(shù)據(jù)并同時保證數(shù)據(jù)安全性和隱私性的能力[2]。

2.2 影響醫(yī)院信息系統(tǒng)中隱私保護的內(nèi)部因素

2.2.1 醫(yī)院管理體系

從內(nèi)部因素來看，對醫(yī)院信息系統(tǒng)中隱私保護影響最大的是醫(yī)院的管理體系與人員培訓水平。在醫(yī)療數(shù)據(jù)隱私安全需求持續(xù)提升的大環(huán)境下，通過建立科學、完整、有效的管理體系，運用規(guī)章制度、角色分級授權以及流程審批等管理手段，可以有效規(guī)避因人員的錯誤操作或不當行為造成的數(shù)據(jù)泄露、數(shù)據(jù)丟失或系統(tǒng)損壞。另外，由于醫(yī)院工作強度大、人員數(shù)量多以及各人員對隱私保護的重視程度不同等原因，目前針對醫(yī)院信息系統(tǒng)開展的數(shù)據(jù)安全保護培訓在強度、內(nèi)容時效性以及參與率等方面存在不足，開展頻率較低，導致部分人員對數(shù)據(jù)安全的重要性理解不夠，對防護技術掌握程度不高，繼而導致患者隱私數(shù)據(jù)被泄露。

2.2.2 技術因素

信息防護技術水平也是一個重要的影響因素。比如信息系統(tǒng)的軟硬件質(zhì)量、所采取的系統(tǒng)防護策略以及系統(tǒng)更新周期等都可能對隱私數(shù)據(jù)的安全性產(chǎn)生影響，形成風險點。根據(jù)《調(diào)查報告》，截至2022年度，我國各大醫(yī)院采用防火墻、入侵檢測、網(wǎng)閘、數(shù)據(jù)庫審計等方式作為網(wǎng)絡安全防護措施的比例分別為98.31%、78.34%、76.37%和71.56%，而防毒墻、態(tài)勢感知、WAF等措施的配置率相對較低，分別為47.08%、42.75%和35.97%。此外，仍有占比約0.75%的醫(yī)院未采用任何有效的數(shù)據(jù)安全防護措施[1]。除此以外，大部分醫(yī)院所使用的安全防護設備以月、季度為周期更新安全策略，導致防護策略及防毒庫在一定程度上較為滯后，影響系統(tǒng)安全防護性能。

2.2.3 數(shù)據(jù)保護與管理策略

數(shù)據(jù)保護與管理策略主要涉及數(shù)據(jù)設備管理、訪問權限設置以及數(shù)據(jù)備份機制。相當比例的醫(yī)院由于技術和資金限制，信息系統(tǒng)仍在使用過時的數(shù)據(jù)設備，也未對數(shù)據(jù)存儲設備進行足夠強度的加密，因此攻擊者可以通過常見的安全漏洞輕易獲取存儲設備中的隱私信息。而在數(shù)據(jù)訪問權限設置方面，很多醫(yī)院信息系統(tǒng)使用賬號加弱口令形式進行訪問，未采用雙因素或者多因素身份驗證。同時，系統(tǒng)在數(shù)據(jù)訪問控制方面的精細化程度不足，存在越權訪問的情況，如醫(yī)生能夠訪問所有患者病歷而非其負責的患者病歷。兩個問題互相疊加產(chǎn)生了更高的非法數(shù)據(jù)訪問風險。在數(shù)據(jù)備份機制方面，《調(diào)查報告》顯示被調(diào)研的醫(yī)院中56.97%的醫(yī)院仍采用單一機房雙機冷熱備份或單機數(shù)據(jù)備份的方式，未進行異地災備及冗余存儲。35.88%的醫(yī)院在系統(tǒng)故障后無法恢復或僅能恢復核心系統(tǒng)至備份點或任意時間點，當因備份機制配置不到位導致數(shù)據(jù)損毀時，無法及時恢復缺失的隱私數(shù)據(jù)，存在安全隱患。

2.3 影響醫(yī)院信息系統(tǒng)隱私保護的外部因素

在外部因素中，網(wǎng)絡攻擊是對醫(yī)院信息系統(tǒng)的最大威脅。隨著技術的發(fā)展，網(wǎng)絡攻擊的方式呈現(xiàn)多元化的趨勢，非授權用戶通過系統(tǒng)漏洞非法入侵、截取網(wǎng)絡數(shù)據(jù)包以及針對特定目標采取隱私推理攻擊、信息聚集攻擊等，都可能對醫(yī)院信息系統(tǒng)造成嚴重的破壞，竊取患者隱私信息[3]。同時，物聯(lián)網(wǎng)等網(wǎng)絡技術的興起一方面為醫(yī)療設備與信息系統(tǒng)提供更多互聯(lián)互通可能性，另一方面也帶來了更多的可攻擊風險點，這要求醫(yī)院必須及時更新數(shù)據(jù)隱私保護策略與安全防護技術，對醫(yī)院信息系統(tǒng)進行更新迭代，以應對新的挑戰(zhàn)。

3? ?優(yōu)化醫(yī)院信息系統(tǒng)的隱私保護策略

3.1 依照政策開展等級保護工作

依照政策開展等級保護工作，可有效提高醫(yī)院信息系統(tǒng)的隱私保護等級，降低數(shù)據(jù)泄露風險。2011年原國家衛(wèi)生部印發(fā)《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》，要求重要衛(wèi)生信息系統(tǒng)的安全保護等級原則上不低于第三級。等級保護涉及的內(nèi)容包括5個等級保護安全技術標準和5個安全管理要求，以及包含隱私保護、安全審計和通信保密在內(nèi)的近300個指導要求，為隱私保護工作的開展指明了方向。

3.2 加強內(nèi)部隱私安全管理

圍繞醫(yī)院信息系統(tǒng)中的隱私保護建立并完善相應的制度體系和監(jiān)督機制。首先，在權限上針對系統(tǒng)使用者和維護者等不同角色做出區(qū)分，將隱私保護職責明確到崗位和個人。其次，建立應對外部攻擊、硬件損毀、隱私信息泄露等安全事件的應急預案和備份恢復機制，作為醫(yī)院處理隱私泄露相關安全事件的制度依據(jù)。再次，加強對醫(yī)院人員的隱私保護意識、數(shù)據(jù)安全意識的培養(yǎng)和相關技能培訓，緊密結(jié)合前沿技術和安全風險典型案例以提升培訓效果。建立專門的工作隊伍負責數(shù)據(jù)和隱私信息安全管理，跟蹤可疑數(shù)據(jù)訪問記錄，指導安全事件處置，并將職責的履行情況與激勵機制相結(jié)合，根據(jù)責任落實成效給予激勵，形成良好的隱私保護與安全管理氛圍[4]。

3.3 引入主流隱私保護技術

將當前主流的隱私保護技術引入醫(yī)院信息系統(tǒng)，可在技術層面有效降低隱私信息泄露風險。當前主流的隱私保護技術主要有隱私信息訪問技術、隱私信息加密技術以及隱私信息匿名技術等。

3.3.1 隱私信息訪問控制技術

此類技術通過限制用戶或角色的訪問權限，來防止非授權用戶或角色獲取隱私信息。采用此技術的醫(yī)院信息系統(tǒng)可通過規(guī)則引擎按照用戶職責、科室甚至用戶的具體行為等建立規(guī)則，為不同職責的人員分配具有細分數(shù)據(jù)訪問權限的角色，準確控制用戶的訪問邊界[5]。此外，在用戶身份識別方面引入CA電子簽名、指紋、ID芯片卡等驗證方式，作為傳統(tǒng)賬號口令組合的補充，防止越權訪問。

3.3.2 隱私信息加密技術

該技術通過對隱私信息本身或者信息傳輸過程中的網(wǎng)絡通道進行加密，防止非法用戶對竊取到的隱私數(shù)據(jù)進行再利用。在隱私信息加密方面，引入DES、RSA等加密算法對醫(yī)院信息系統(tǒng)中諸如數(shù)值、文本、圖像、影像等多種類型的數(shù)據(jù)進行加密存儲，在網(wǎng)絡通道加密方面，采用VPN進行點對點的加密傳輸，加密遠程醫(yī)療、遠程隨訪或院間數(shù)據(jù)交換過程中交互的隱私數(shù)據(jù)包。加密后，非授權用戶即使竊取了隱私數(shù)據(jù)，也無法將數(shù)據(jù)解密為可理解的明文再利用[6]。

3.3.3 隱私信息匿名技術

該技術對隱私信息本身進行處理，將隱私信息中的精確身份信息匿名化脫敏處理或加入隨機化干擾數(shù)據(jù)，避免真實數(shù)據(jù)泄露[5]。這類技術將數(shù)據(jù)導入k-匿名算法模型或l-多樣性算法模型處理后，真實的身份標識會被泛化為模糊的或抽象的數(shù)據(jù)，部分信息則會被隱藏，從而降低非授權用戶通過隱私推理攻擊或信息聚集攻擊等手段竊取真實隱私信息的可能性。

3.4 加快安全防護技術迭代

對處理隱私數(shù)據(jù)所涉及的軟硬件進行技術迭代，結(jié)合人工智能、大數(shù)據(jù)等手段提高醫(yī)院信息系統(tǒng)的智能化、自動化水平，減少人工參與。加快醫(yī)院信息系統(tǒng)所使用的各類防護手段的更新迭代，確保病毒庫、漏洞補丁保持最新版本，降低利用系統(tǒng)漏洞、程序問題進行隱私信息竊取攻擊的可能性[7]。引入數(shù)據(jù)追蹤技術對醫(yī)院信息系統(tǒng)中的數(shù)據(jù)訪問、提取、修改等行為進行追蹤和分析，監(jiān)測和排查異常行為，前移發(fā)現(xiàn)隱私信息泄露的時間節(jié)點，進一步強化數(shù)據(jù)隱私保護和安全管理成效。

3.5 推進容災體系和一體化平臺構建

提升容災系統(tǒng)在數(shù)據(jù)備份和恢復方面的效能，進一步推進異地容災和遠程備份的構建，增強醫(yī)院信息系統(tǒng)防范隱私信息丟失的能力。深入探索醫(yī)院不同信息系統(tǒng)間的數(shù)據(jù)共享與標準統(tǒng)一，加快一體化平臺開發(fā)建設，借助平臺統(tǒng)一的數(shù)據(jù)處理機制和備份策略實現(xiàn)醫(yī)院信息系統(tǒng)隱私信息的集中管理和共融互通。

4? ?結(jié)束語

隨著各級醫(yī)院對信息化建設投入的持續(xù)增加，隱私保護作為醫(yī)院承擔的義務和責任必須得到高度重視。依據(jù)政策開展等級保護測評，加強醫(yī)院內(nèi)部隱私數(shù)據(jù)管理，建立并完善相應的隱私保護制度體系和監(jiān)督機制，引入隱私信息保護技術并提升安全管理水平，才能有效降低隱私信息泄露風險，最大化發(fā)揮醫(yī)院信息系統(tǒng)的綜合效益。

參考文獻

[1] 徐渭，張騫峰．醫(yī)院信息化發(fā)展現(xiàn)狀及對策[J]．計算機與網(wǎng)絡，2021，47（10）：38.

[2] 張舒．網(wǎng)絡環(huán)境下醫(yī)院信息系統(tǒng)數(shù)據(jù)安全保障體系構建研究[J]．網(wǎng)絡安全技術與應用，2023（2）：60-61.

[3] 陳磊．醫(yī)療數(shù)據(jù)隱私保護研究綜述[J]．中國數(shù)字醫(yī)學，2013（11）：95-98.

[4] 李文鈺．淺談醫(yī)院信息系統(tǒng)的網(wǎng)絡安全管理與維護[J]．數(shù)字技術與應用，2023（4）：222-224.

[5] 趙蓉，何萍．醫(yī)療大數(shù)據(jù)應用中的個人隱私保護體系研究[J]．中國衛(wèi)生信息管理雜志，2016（2）：191-196.

[6] 史婷瑤，馬金剛，曹慧，等．醫(yī)療大數(shù)據(jù)隱私保護技術的研究進展[J]．中國醫(yī)療設備，2019（5）：163-166.

[7] 王雅楓．醫(yī)院信息系統(tǒng)的維護策略分析[J]．電子技術，2023（4）：198-199.