安全是健康醫(yī)療大數(shù)據(jù)的核心基礎(chǔ)

何延哲++付嶸

7月16日，國家衛(wèi)生計生委衛(wèi)生發(fā)展研究中心在北京舉辦了旨在學(xué)習(xí)6月21日國務(wù)院下發(fā)的《關(guān)于促進(jìn)和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見》 （下稱“《意見》”） 的專門研討會。在研討會上，數(shù)據(jù)安全、隱私成為關(guān)鍵詞。參會的官員、專家、醫(yī)療從業(yè)人員一致認(rèn)為發(fā)展健康醫(yī)療大數(shù)據(jù)應(yīng)首先警惕數(shù)據(jù)安全，保護(hù)患者隱私，才能真正實現(xiàn)數(shù)據(jù)融合共享、開放應(yīng)用。

巧合的是，當(dāng)天有媒體報道了我國30省份至少有275位艾滋病感染者個人信息遭泄露的事件。犯罪分子在詐騙電話中能準(zhǔn)確地描述出病患的個人信息，包括真實姓名、身份證號、聯(lián)系方式、戶籍信息、確診時間、隨訪的醫(yī)院或區(qū)縣疾控等等，并謊稱能為病患辦理補助而需要收取不菲的手續(xù)費。中國疾病預(yù)防控制中心相關(guān)負(fù)責(zé)人于7月17日表示，國家艾滋病感染者相關(guān)信息系統(tǒng)被列為國家網(wǎng)絡(luò)信息重點安全保護(hù)對象，目前已經(jīng)報案，將積極配合公安部門盡快破案。此事還引起了世界衛(wèi)生組織駐華代表處和聯(lián)合國艾滋病聯(lián)合規(guī)劃署駐華代表處的關(guān)注。7月18日，兩家代表處聯(lián)合發(fā)表聲明，強調(diào)“加強現(xiàn)有系統(tǒng)以杜絕類似信息入侵事件再次發(fā)生，至關(guān)重要”。

國家對于健康醫(yī)療大數(shù)據(jù)的安全十分重視，據(jù)統(tǒng)計，《意見》中，“安全”這個詞出現(xiàn)了33次。而此次疑似真實發(fā)生的醫(yī)療數(shù)據(jù)安全事件，成為“安全是核心基礎(chǔ)”的最佳注腳。

他山之石，可以攻玉

——英國健康醫(yī)療數(shù)據(jù)安全的審查和建議

不止我們，許多其他國家也發(fā)生了一系列事件，向全世界宣告了他們對健康醫(yī)療數(shù)據(jù)安全的關(guān)切。在英國，國家醫(yī)療服務(wù)體系（National Health Service， NHS）于2016年7月6日做出停止care.data健康醫(yī)療大數(shù)據(jù)平臺的決定中，“安全”即是重要原因之一。

在很大程度上，NHS決定關(guān)閉care.data，是基于7月6日發(fā)布的兩份評估報告。第一份報告《安全的數(shù)據(jù)，安全的醫(yī)療》（“Safe Data， Safe Care”）由英國醫(yī)療質(zhì)量委員會（Care Quality Commission，CQC）發(fā)布。醫(yī)療質(zhì)量委員會是英格蘭健康和社會醫(yī)療的獨立監(jiān)管機構(gòu)，其職責(zé)是監(jiān)控、檢查和評價醫(yī)療服務(wù)，促進(jìn)醫(yī)療服務(wù)符合標(biāo)準(zhǔn)規(guī)范以保證其質(zhì)量和安全。作為獨立第三方，CQC經(jīng)常發(fā)布地區(qū)、國家級的健康和社會醫(yī)療質(zhì)量報告。2015年9月，受英國衛(wèi)生大臣委托，CQC對NHS處理病人敏感數(shù)據(jù)過程的安全現(xiàn)狀進(jìn)行審查，并提出改進(jìn)數(shù)據(jù)安全的建議。

第二份報告《對數(shù)據(jù)安全、同意和選擇退出的審查》（“Review of Data Security， Consent and Opt-Outs”）是由英國“國家健康和醫(yī)療數(shù)據(jù)守護(hù)者”（National Data Guardian for Health and Care， NDG）發(fā)布。2015年9月，英國衛(wèi)生大臣也委托其與CQC緊密合作，共同提出新的數(shù)據(jù)安全標(biāo)準(zhǔn)、測評數(shù)據(jù)安全合規(guī)的新方法，以及獲取同意共享數(shù)據(jù)的新模式。在英國，NDG由衛(wèi)生大臣任命，其主要職責(zé)是確保公眾能夠信任醫(yī)療健康系統(tǒng)將保護(hù)個人信息，以及個人信息將被用于提高健康醫(yī)療水平。

CQC和NDG在對533起數(shù)據(jù)安全事故調(diào)查后發(fā)現(xiàn)，大多數(shù)事故與紙質(zhì)的醫(yī)療記錄相關(guān)，且80%到90%的數(shù)據(jù)安全事故是因為工作人員的習(xí)慣無意之中引起的，比如點擊了不安全的鏈接、丟失了存儲數(shù)據(jù)的介質(zhì)等。但是隨著醫(yī)療信息系統(tǒng)的普及、數(shù)據(jù)的逐步集中化及對公眾開放訪問入口，如果不提升安全防護(hù)水平，更嚴(yán)重、更大規(guī)模數(shù)據(jù)泄露的風(fēng)險將會增加。綜合CQC和NDG的報告，英國NHS數(shù)據(jù)安全工作中存在以下問題：

首先，雖然很多機構(gòu)都建立了數(shù)據(jù)安全方面的策略與規(guī)程，但并沒有在日常工作中得到有效實施，很多機構(gòu)只依賴策略和規(guī)程，而不是通過檢測驗證系統(tǒng)是否足夠安全，也未要求其供應(yīng)商也遵循同樣的管理措施。

其次，NHS的絕大部分工作人員認(rèn)可數(shù)據(jù)安全的重要性，但是培訓(xùn)質(zhì)量參差不齊，有些機構(gòu)培訓(xùn)覆蓋面不夠，未涉及合同商、數(shù)據(jù)共享方、臨時員工等，有些機構(gòu)未將安全事故經(jīng)驗作為培訓(xùn)內(nèi)容的重要參考。

再次，機構(gòu)往往不清楚如何從目前存在的大量安全標(biāo)準(zhǔn)中選取合適的參考，許多機構(gòu)很少去學(xué)習(xí)其他機構(gòu)保護(hù)數(shù)據(jù)安全的做法，也很少請外部第三方機構(gòu)做專業(yè)的安全測評。

針對上述問題，CQC和NDG提出的建議簡要概括如下：第一，每個機構(gòu)的領(lǐng)導(dǎo)應(yīng)該明確數(shù)據(jù)安全的責(zé)任人和其職責(zé)，類似于組織醫(yī)療事務(wù)和財務(wù)的管理和問責(zé)制度，包括建立有效的內(nèi)審機制，必要時進(jìn)行外審以驗證安全措施有效性，對惡意類數(shù)據(jù)安全事件進(jìn)行嚴(yán)厲處罰等；第二，所有的工作人員應(yīng)該獲得足夠的資源，包括正確的信息、工具、培訓(xùn)等，以便于他們履行數(shù)據(jù)安全處理和共享的職責(zé)；第三，IT系統(tǒng)和所有的安全協(xié)議都應(yīng)該按照實際的病人治療過程和一線工作人員的需求進(jìn)行設(shè)計；第四，應(yīng)該按照新的數(shù)據(jù)標(biāo)準(zhǔn)要求設(shè)計自評估系統(tǒng)，并選取優(yōu)秀的案例供其他機構(gòu)進(jìn)行同步學(xué)習(xí)；第五，NHS應(yīng)該修改通用財務(wù)合同模板，確保各機構(gòu)能夠落實數(shù)據(jù)安全標(biāo)準(zhǔn)，地方機構(gòu)和供應(yīng)商簽署的合同也應(yīng)有相應(yīng)的條款，當(dāng)供應(yīng)商無法滿足安全要求時不應(yīng)與其續(xù)簽合同。

雖然NHS以及care.data計劃在數(shù)據(jù)安全管理方面受到詬病，但從以上審查結(jié)果中不難看出，英國作為健康和醫(yī)療大數(shù)據(jù)集中應(yīng)用的先行者，已經(jīng)在數(shù)據(jù)安全方面做了很多有價值的工作，比如配套的法律法規(guī)、標(biāo)準(zhǔn)規(guī)范，任命了專門的數(shù)據(jù)保護(hù)官員，建立了獨立的監(jiān)管和審計機構(gòu)，建立了數(shù)據(jù)安全風(fēng)險管理的信息系統(tǒng)等。

但是，由于健康和醫(yī)療數(shù)據(jù)的高度敏感性，對其進(jìn)行集中存儲和管理后，一方面會引起惡意人員的高度關(guān)注，另一方面一旦發(fā)生數(shù)據(jù)泄露其影響面非常廣，對于每個病人來說其后果很難挽回；因此，健康醫(yī)療數(shù)據(jù)的安全工作可謂難上加難，即便英國具備一定的基礎(chǔ)，其數(shù)據(jù)安全治理也未在一開始取得理想的效果，但從近期頻繁的安全審查中可以看出，英國政府建立的數(shù)據(jù)安全監(jiān)督機構(gòu)、數(shù)據(jù)保護(hù)官等正在發(fā)揮積極作用，正視已出現(xiàn)的問題并提出注重實效的解決方案，以重新贏回公眾的信任。

善治病者，必醫(yī)其受病之處

——我國健康醫(yī)療數(shù)據(jù)安全形勢嚴(yán)峻

早在2013年底，國家衛(wèi)生和計劃生育委員會就發(fā)布了《關(guān)于加快推進(jìn)人口健康信息化建設(shè)的指導(dǎo)意見》，提出在“十三五”期間將大力推動全國人口健康信息大平臺的建設(shè)。從安全需求上來說，這個信息平臺一是將承載全國13億公民的人口、健康、醫(yī)療等隱私信息，數(shù)據(jù)保密性要求高；二是將提供公民個人醫(yī)療保障、診療等信息化服務(wù)不能中斷，業(yè)務(wù)連續(xù)性要求高；三是將為國家衛(wèi)生計生行業(yè)未來發(fā)展提供決策依據(jù)，信息容錯率要求高。然而目前，我國在健康醫(yī)療數(shù)據(jù)安全保障方面情況堪憂，行業(yè)整體安全態(tài)勢趨于嚴(yán)峻。主要問題包括：

首先，行業(yè)合并導(dǎo)致底數(shù)不清。衛(wèi)生、計生行業(yè)合并時間并不算太長，業(yè)務(wù)層面的整合已初步實現(xiàn)，但數(shù)據(jù)層面的整合尚屬起步階段，在實際執(zhí)行過程中易滋生死角盲區(qū)。從網(wǎng)上已公開的醫(yī)療行業(yè)信息安全事件中不難發(fā)現(xiàn)，絕大多數(shù)安全事件的第一步突破點來自于安全管控體系的“法外之地”。

其次，行業(yè)信息安全人才與經(jīng)費保障缺口較大。據(jù)不完全統(tǒng)計，醫(yī)療行業(yè)2015年整體信息化建設(shè)資金超過300億，但信息安全投入不足6億，占比不足2%，而對于有較高安全保障要求的行業(yè)，安全占比普遍超過10%；在人才隊伍方面，專業(yè)信息安全從業(yè)人員嚴(yán)重缺失，許多機構(gòu)甚至出現(xiàn)“身著白大褂的大夫在看病之余兼職管安全”的狀況。

再次，缺乏具備行業(yè)特色的信息安全指導(dǎo)框架。健康醫(yī)療行業(yè)特殊性較高，目前行業(yè)雖然已推行國家信息安全等級保護(hù)要求，但尚未建設(shè)具備行業(yè)業(yè)務(wù)特點的信息安全保障體系，也沒有專門的行業(yè)信息安全技術(shù)標(biāo)準(zhǔn)，不利于有針對性地開展安全防護(hù)工作。

第四，行業(yè)網(wǎng)絡(luò)涉及面廣，不易管控。我國醫(yī)療衛(wèi)生機構(gòu)總數(shù)已超百萬，以藥品方面為例，我國有6000多家化學(xué)制藥企業(yè)，藥品經(jīng)營流通企業(yè)17000多家，而作為世界制藥大國的美國，才分別為200多家和50多家。超大規(guī)模、超復(fù)雜接入對構(gòu)建安全的衛(wèi)生計生網(wǎng)絡(luò)來說，難度巨大。

另外，不易樹立行業(yè)信息安全標(biāo)桿。全國醫(yī)療信息化及軟件生產(chǎn)供應(yīng)商達(dá)數(shù)百家。以行業(yè)龍頭東軟集團為例，其擁有的市場份額不足5%，離散化的分布導(dǎo)致安全的最佳實踐無法快速復(fù)制推廣，在現(xiàn)有保障能力下也很難做到“避輕就重”“抓大放小”。

雖然安全形勢和現(xiàn)狀不容樂觀，但這并不意味著我們要暫停或放慢健康醫(yī)療大數(shù)據(jù)方面的發(fā)展。習(xí)近平總書記在今年4月19日的全國網(wǎng)絡(luò)安全和信息化工作座談會上指出，網(wǎng)絡(luò)安全和信息化是相輔相成的，安全是發(fā)展的前提，發(fā)展是安全的保障，安全和發(fā)展要同步推進(jìn)。因此，我國仍然要堅持發(fā)展健康醫(yī)療大數(shù)據(jù)應(yīng)用，但其安全保障工作應(yīng)同步推進(jìn)，一旦準(zhǔn)備和配套不足，很有可能引發(fā)全局性安全風(fēng)險，影響健康醫(yī)療大數(shù)據(jù)整體產(chǎn)業(yè)布局和發(fā)展。

借用一句醫(yī)療領(lǐng)域的常用語，“預(yù)防”遠(yuǎn)比“治療”更重要也更有效，數(shù)據(jù)安全工作何嘗不是如此。因此，迫切需要我們積極吸收國內(nèi)外的優(yōu)秀經(jīng)驗，深入調(diào)研分析，建立健全健康醫(yī)療數(shù)據(jù)安全體系和機制，做好信息安全風(fēng)險評估，有效預(yù)防將來會出現(xiàn)的各類安全風(fēng)險，為健康醫(yī)療大數(shù)據(jù)產(chǎn)業(yè)保駕護(hù)航。