大數(shù)據(jù)背景下的基層醫(yī)院信息安全

石航 李志敏 羅淼

摘要：目的：為了解居民在進(jìn)入基層醫(yī)院或者小區(qū)過程中如需對(duì)外來人員進(jìn)行個(gè)人信息登記時(shí)，部分居民由于擔(dān)心個(gè)人信息的泄露而可能出現(xiàn)抵觸情緒，通過討論居民在進(jìn)行個(gè)人信息登記時(shí)的擔(dān)憂，發(fā)現(xiàn)問題并且提出一些切合實(shí)際的解決方法;方法：自行設(shè)計(jì)調(diào)查問卷，對(duì)目標(biāo)醫(yī)院及所處社區(qū)進(jìn)行調(diào)查，采取線上線下同時(shí)發(fā)放調(diào)查問卷以及走訪詢問等方式;結(jié)果：發(fā)放調(diào)查問卷351份，共回收291份，回收率約為82.8%，調(diào)查顯示有34.7%的居民表示會(huì)如實(shí)填寫，53.2%的居民表示只會(huì)填寫部分必要信息，12.1%的居民表示拒絕填寫任何信息或者填寫錯(cuò)誤信息，通過走訪了解到居民擔(dān)心信息泄露或者被非法使用等顧慮;結(jié)論：如今居民對(duì)于個(gè)人信息登記工作總體積極性不高，基層醫(yī)院與社區(qū)的相關(guān)信息登記工作仍存在各種問題。需讓居民加深對(duì)于相關(guān)法律法規(guī)的了解程度，提高居民對(duì)信息登記的認(rèn)可度，還需通過完善相關(guān)醫(yī)院管理制度和管理系統(tǒng)，加大對(duì)疫情防控中個(gè)人信息的保護(hù)力度。

關(guān)鍵詞：大數(shù)據(jù);個(gè)人信息;信息安全;基層醫(yī)院

一、引言

個(gè)人信息是指能夠以電子方式記錄或與其他信息結(jié)合以確定個(gè)人身份的任何類型的信息，具體包括自然人的姓名、出生日期、住址、身份證號(hào)碼、電話號(hào)碼等信息，由此涉及的權(quán)利被稱為個(gè)人信息權(quán)[1]。

自新型冠狀病毒肺炎疫情出現(xiàn)至今已有兩年有余，防控措施也逐漸轉(zhuǎn)換為常態(tài)化防控，而在全國(guó)疫情防控工作進(jìn)入常態(tài)化的當(dāng)下，大規(guī)模數(shù)據(jù)分析技術(shù)在精確防控中的應(yīng)用越來越完善，有效地保障了人民生產(chǎn)生活的正常運(yùn)行。不過，在疫情防控工作中，也發(fā)生了一些針對(duì)確診患者和密切接觸者的語言暴力情況以及一些個(gè)人信息泄露的違法犯罪活動(dòng)。比如，針對(duì)成都確診患者趙某的網(wǎng)絡(luò)暴力事件[2]，由于趙某的出行軌跡中包含了多個(gè)娛樂場(chǎng)所，部分網(wǎng)民對(duì)其生活進(jìn)行了惡意的討論，結(jié)果趙某的相片、朋友圈信息及身份證號(hào)等隱私內(nèi)容都被公之于眾，這些信息除了給網(wǎng)友增加談資外，沒有任何幫助抗疫的作用，而趙某本人也遭受了大量惡意誹謗。因此發(fā)現(xiàn)大數(shù)據(jù)在幫助防控的同時(shí)，還存在潛在的個(gè)人信息泄露的風(fēng)險(xiǎn)。統(tǒng)計(jì)數(shù)據(jù)[3]顯示現(xiàn)如今個(gè)人信息泄露逐漸成為危害信息安全的重要原因之一如圖1所示。

雖然在我國(guó)醫(yī)院信息化建設(shè)已經(jīng)開展了 20 多年，但是與其他行業(yè)和領(lǐng)域相比，基層醫(yī)院和社區(qū)的信息化建設(shè)在建設(shè)速度和建設(shè)規(guī)模上都存在一定的不足。在部分基層醫(yī)院和社區(qū)仍采用紙質(zhì)版登記個(gè)人信息包括有姓名、身份證號(hào)、家庭住址等詳細(xì)信息，而許多基層醫(yī)院與社區(qū)存在部分信息的互通與交流，在此其中就可能存在個(gè)人信息的泄露或被非法使用，導(dǎo)致在登記個(gè)人信息時(shí)居民的抵觸情緒，本文分析了居民個(gè)人信息登記出現(xiàn)抵觸情緒的原因和提出切合實(shí)際的解決措施。

二、調(diào)查方法及對(duì)象

（一）方法

自行設(shè)計(jì)調(diào)查問卷其中包括基本情況（性別、年齡）、是否了解《民法總則》對(duì)個(gè)人信息權(quán)的解釋以及《網(wǎng)絡(luò)安全法》等相關(guān)法律的了解程度、填寫個(gè)人信息登記表的意愿程度、對(duì)填寫個(gè)人信息登記表感到抵觸的原因。

（二）施策

對(duì)目標(biāo)醫(yī)院及所處社區(qū)進(jìn)行調(diào)查，采取線上線下同時(shí)發(fā)放調(diào)查問卷以及上門走訪等方式，調(diào)查問卷結(jié)果采取匿名記錄。

（三）調(diào)查對(duì)象

某基層醫(yī)院及醫(yī)院所屬社區(qū)的社區(qū)居民、出入醫(yī)院的患者、社區(qū)內(nèi)的返鄉(xiāng)人員。

三、調(diào)查結(jié)果

共回收調(diào)查問卷291份，回收率約為82.8%，在本次回收的291份調(diào)查問卷中女性158人（占54.3%）男性133人（占45.7%）;18歲以下12人（占4.1%）;18-30歲79人（占27.2%）;31-60歲167人（占57.4%）;60歲以上33人（占11.3%）。

其中有34.7%的居民表示會(huì)如實(shí)填寫，53.2%的居民表示只會(huì)填寫部分信息，12.1%的居民表示拒絕填寫任何信息或者填寫錯(cuò)誤信息如圖2所示;在填寫部分信息與拒絕填寫信息或者填寫錯(cuò)誤信息的居民中有171人（占91%）認(rèn)為收集個(gè)人信息的公司機(jī)構(gòu)或者社區(qū)醫(yī)院無法保證信息安全、自己個(gè)人信息存在泄露和被非法使用的風(fēng)險(xiǎn)、感覺沒有必要填寫所有信息而浪費(fèi)時(shí)間;還有18人（占9%）因?yàn)閭€(gè)人原因或者其他原因無法或者不能提供完整個(gè)人信息。

調(diào)查問卷還顯示只有18人（占6%）清楚了解《民法總則》對(duì)個(gè)人信息權(quán)的解釋以及《網(wǎng)絡(luò)安全法》等相關(guān)法律，153人（占52.6%）基本了解相關(guān)法律，而有120人（占41.4%）完全不了解相關(guān)法律。如圖3所示。

在走訪調(diào)查了該社區(qū)內(nèi)的38名返鄉(xiāng)人員，有6人表示完全不擔(dān)心個(gè)人信息會(huì)被泄露，而其余32人均表示會(huì)擔(dān)心個(gè)人信息被泄露，其主要原因包括社區(qū)和基層醫(yī)院無法保證信息安全、物業(yè)公司沒有收集個(gè)人信息的權(quán)限、信息泄露后維權(quán)困難等諸多問題。

四、討論與分析

在調(diào)查過程中發(fā)現(xiàn)醫(yī)院入口處需要查驗(yàn)健康碼以及登記個(gè)人信息其中包括姓名、電話號(hào)碼、身份證號(hào)、家庭地址等個(gè)人詳細(xì)信息，部分基層醫(yī)院因?yàn)槿耸植蛔愕怯浌ぷ鹘挥舍t(yī)院保安或者離退休人員負(fù)責(zé)，完成登記冊(cè)填滿后放置于病案科或者后勤部門，隨后處理也存在漏洞。而小區(qū)門口物業(yè)公司都設(shè)有體溫測(cè)量與信息登記點(diǎn)，但部分居民只是配合測(cè)量體溫，少有登記個(gè)人信息的居民，即使登記有個(gè)人信息也只是登記部分內(nèi)容，甚至極少數(shù)居民會(huì)直接填寫錯(cuò)誤信息;社區(qū)工作人員上門統(tǒng)計(jì)返鄉(xiāng)人員時(shí)，居民們有時(shí)會(huì)出現(xiàn)抵觸情緒或者登記錯(cuò)誤信息，導(dǎo)致社區(qū)再進(jìn)行復(fù)核人員信息時(shí)出現(xiàn)困難。整體上大部分居民會(huì)正確填寫必要信息，而有少部分居民擔(dān)心信息泄露等各種原因而不愿填寫。

（一）信息安全防護(hù)中存在的問題

通過問卷調(diào)查與走訪詢問發(fā)現(xiàn)基層醫(yī)院和社區(qū)內(nèi)存在以下幾個(gè)問題：

1.基層醫(yī)院信息管理制度不健全

如今國(guó)內(nèi)部分基層醫(yī)院還存在針對(duì)信息化的管理制度對(duì)于如今的信息化時(shí)代稍顯落后的情況，例如信息管理應(yīng)急預(yù)案不完善、信息管理審批機(jī)制不健全、信息管理安全技術(shù)保障不到位[4]等一些問題;隨著信息化時(shí)代逐漸融入人們的生活之中，若當(dāng)下的管理制度無法保證信息安全和人民群眾的要求內(nèi)容，那么就很難發(fā)揮現(xiàn)代化醫(yī)院信息化建設(shè)的目的[5]，導(dǎo)致整個(gè)工作效率低下，信息泄露風(fēng)險(xiǎn)也隨之增加。

2.基礎(chǔ)醫(yī)院管理軟件發(fā)展滯后

部分基層醫(yī)院缺少如LIS、HIS等數(shù)字化醫(yī)院管理系統(tǒng)，其都是針對(duì)于數(shù)字化醫(yī)院架構(gòu)的系統(tǒng)，可以快速地實(shí)現(xiàn)病患者信息的檢索和對(duì)醫(yī)院的整體管理[6]。即使擁有了相關(guān)管理系統(tǒng)也會(huì)存在其他信息安全隱患，主要表現(xiàn)在：首先是病毒攻擊，數(shù)字化醫(yī)院與外部網(wǎng)絡(luò)相連，擴(kuò)大了服務(wù)范圍，用戶范圍廣。但是，如果病毒攻擊從外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，內(nèi)部管理系統(tǒng)的運(yùn)行可能會(huì)癱瘓，導(dǎo)致網(wǎng)絡(luò)帶寬低，網(wǎng)絡(luò)擁塞甚至DDoS攻擊。在日常醫(yī)療服務(wù)的提供過程中，一些基層醫(yī)務(wù)人員缺乏網(wǎng)絡(luò)信息安全意識(shí)，這往往會(huì)導(dǎo)致醫(yī)院網(wǎng)絡(luò)受到攻擊。其次，軟件系統(tǒng)版本過低，這不僅會(huì)導(dǎo)致信息處理效率低下，還會(huì)導(dǎo)致許多軟件漏洞，違法者可以利用這些漏洞泄露醫(yī)院機(jī)密信息，從而危及醫(yī)院和患者的利益;同時(shí)醫(yī)院信息管理系統(tǒng)并不是一個(gè)或者幾個(gè)不同軟件產(chǎn)品能解決的，而是多個(gè)軟件協(xié)同作用而實(shí)現(xiàn)的，每個(gè)軟件產(chǎn)品都有其優(yōu)勢(shì)，所以醫(yī)院就會(huì)采購(gòu)來自不同廠商的不同軟件產(chǎn)品。因此而可能導(dǎo)致各個(gè)軟件不兼容或者出現(xiàn)更多的技術(shù)漏洞。

3.過度收集披露個(gè)人信息

根據(jù)我國(guó)行政法的規(guī)定[7]，收集和披露個(gè)人信息，防疫管理過程中的信息收集和披露應(yīng)當(dāng)遵循損害最小化原則。防疫負(fù)責(zé)人對(duì)個(gè)人信息的收集和披露僅限于防疫管理的需要。此外，如何確定這一范圍，不僅要達(dá)到有效預(yù)防和控制的目的，保證工作的效率和目的，而且又不侵犯公民的個(gè)人信息，這是很困難的。也導(dǎo)致了眾多的現(xiàn)實(shí)問題[8]。在部分基層醫(yī)院與社區(qū)登記表中出現(xiàn)民族、政治面貌以及工作地點(diǎn)甚至高考成績(jī)等匪夷所思的內(nèi)容。防疫工作中過度的個(gè)人信息收集和披露，不僅不利于防疫工作的開展，而且可能導(dǎo)致個(gè)人隱私的隨意公開，擾亂社會(huì)秩序，妨礙防疫工作的正常開展。

4.信息收集統(tǒng)計(jì)工作存在隱患

與其他信息化行業(yè)不同的是，醫(yī)療信息化人才不但要熟悉相關(guān)的信息化知識(shí)還要有一定的醫(yī)學(xué)常識(shí)，所以就導(dǎo)致了基層醫(yī)院缺少人手專門負(fù)責(zé)信息統(tǒng)計(jì)和保存，以及同時(shí)缺少如LIS、HIS等數(shù)字化醫(yī)院管理系統(tǒng)，都會(huì)導(dǎo)致統(tǒng)計(jì)后的資料隨意堆放不能做到很好的保密工作;由于社區(qū)和物業(yè)公司收集到的居民信息多是存儲(chǔ)在居委會(huì)或者物業(yè)公司的電腦內(nèi)，無法保障居民信息安全，當(dāng)時(shí)間緊、任務(wù)重時(shí)，社區(qū)會(huì)要求物業(yè)公司自主統(tǒng)計(jì)居民信息然后通過微信群上傳至社區(qū)再做統(tǒng)計(jì)匯總，這期間就存在很大的安全隱患[8]。

5.相關(guān)法律普及程度低

調(diào)查顯示只有6%的居民清楚了解《民法總則》對(duì)個(gè)人信息權(quán)的解釋以及《網(wǎng)絡(luò)安全法》等相關(guān)法律，而有41.4%的居民完全不了解相關(guān)法律，這就可能導(dǎo)致了部分居民對(duì)信息登記的不了解因此擔(dān)憂所有信息登記均會(huì)泄露隱私而配合程度低;同時(shí)也讓部分居民個(gè)人信息權(quán)被侵害時(shí)不知如何維權(quán)，現(xiàn)實(shí)中個(gè)人信息權(quán)的維權(quán)困難也可能是導(dǎo)致居民不愿填寫信息登記的原因之一;同時(shí)相關(guān)法律知識(shí)長(zhǎng)時(shí)間的缺位，還可能導(dǎo)致網(wǎng)絡(luò)暴力與謠言的大量泛濫。

（二）基層醫(yī)院信息安全防護(hù)的建議

1.完善信息管理制度

必須建立及完善信息管理機(jī)構(gòu)，在各崗位和人員中建立合理制度，加強(qiáng)信息安全意識(shí);醫(yī)院信息安全必須進(jìn)行長(zhǎng)期、定期、妥善的管理[5]。建立健全安全責(zé)任管理制度，明確安全管理和管理人員，嚴(yán)格執(zhí)行各項(xiàng)管理工作，切實(shí)履行主要職責(zé)，把安全管理作為各部門、崗位、個(gè)人的義務(wù)。

2.加快管理軟件更新與信息安全人才引進(jìn)

醫(yī)院信息管理系統(tǒng)應(yīng)進(jìn)行更新，以適應(yīng)當(dāng)今的信息社會(huì)，在整個(gè)信息系統(tǒng)的保護(hù)鏈中，必須安裝安全防火墻和應(yīng)用保護(hù)網(wǎng)絡(luò)，以確保及時(shí)發(fā)現(xiàn)隱患，確保信息首次安全。同時(shí)將信息管理系統(tǒng)進(jìn)行分區(qū)管理，使醫(yī)院內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)不互通，例如現(xiàn)在許多上級(jí)醫(yī)院實(shí)行新冠病毒的核酸檢測(cè)結(jié)果直接通過醫(yī)院信息管理內(nèi)網(wǎng)進(jìn)行統(tǒng)計(jì)后上傳至上級(jí)部門，以及個(gè)人信息同時(shí)儲(chǔ)存在醫(yī)院內(nèi)，從而防止相關(guān)信息傳至外部網(wǎng)絡(luò)減少個(gè)人信息泄露風(fēng)險(xiǎn);要積極引進(jìn)信息安全相關(guān)人才，加強(qiáng)信息化人才針對(duì)實(shí)際問題的解決能力。各科室根據(jù)具體情況安排專人負(fù)責(zé)，其可由具有相關(guān)知識(shí)的醫(yī)務(wù)人員擔(dān)任，保證科室內(nèi)部分比較小的故障得以解決，通過提高員工的信息知識(shí)儲(chǔ)備，從而增強(qiáng)信息安全防護(hù)意識(shí)[5]。

3.明確個(gè)人信息界限

基層醫(yī)院和社區(qū)確實(shí)需要收集，個(gè)人信息的披露、收集和披露必須遵循損害最小的原則，披露個(gè)人信息的界限必須明確，必須收集和披露的，須確定收集和披露的范圍。例如，應(yīng)正確判斷收集和披露個(gè)人信息的目的，并非所有居民的個(gè)人信息都是防疫的重要目標(biāo)。如果收集了所有住戶的個(gè)人信息，且沒有披露標(biāo)準(zhǔn)，則可能存在違規(guī)行為。因此，個(gè)人信息的收集和傳播應(yīng)側(cè)重于特定人群。

4.設(shè)置專門監(jiān)管機(jī)構(gòu)及完善醫(yī)院相應(yīng)考核制度

設(shè)置專門的監(jiān)管機(jī)構(gòu)，監(jiān)督相關(guān)基層醫(yī)院和社區(qū)收集居民個(gè)人信息;完善相應(yīng)的監(jiān)管體系，要想取得有效的個(gè)人信息監(jiān)管效果，必須建立有效的個(gè)人信息監(jiān)管體系[8];同時(shí)，對(duì)相關(guān)網(wǎng)絡(luò)安全管理人員進(jìn)行激勵(lì)和監(jiān)督，對(duì)各個(gè)科室每個(gè)季度網(wǎng)絡(luò)信息安全情況進(jìn)行考核管理。

5.增大相關(guān)法律法規(guī)的宣傳力度

發(fā)生個(gè)人信息泄露事件時(shí)，如能讓更多的信息使用者意識(shí)到隨意造謠傳播信息是有法律責(zé)任的，也就可以在很大程度的降低了風(fēng)險(xiǎn)。所以，有必要在全社會(huì)范圍內(nèi)就隱私權(quán)問題達(dá)成共識(shí)，提高全民的法律意識(shí)，使所有互聯(lián)網(wǎng)用戶都能自覺地成為個(gè)人隱私的監(jiān)管者[2]。第一，各個(gè)基層醫(yī)院和社區(qū)要聯(lián)合相關(guān)職能部門做好轄區(qū)內(nèi)居民的普法工作，切忌生搬硬套、照本宣科，要求給居民通過實(shí)例進(jìn)行生動(dòng)有效的講解;第二，要建立健全個(gè)人信息受到侵害的維權(quán)相關(guān)的法律法規(guī)，開設(shè)便捷的維權(quán)窗口和維權(quán)熱線;第三，對(duì)于網(wǎng)絡(luò)中對(duì)受害者的隨意造謠和誹謗要進(jìn)行嚴(yán)厲及快速的打擊，防止相關(guān)信息在網(wǎng)絡(luò)中蔓延。

五、結(jié)束語

近年來，個(gè)人信息作為數(shù)字社會(huì)的基本組成部分，在維護(hù)社會(huì)秩序方面具有重要的價(jià)值。在信息時(shí)代的大數(shù)據(jù)背景下，基層醫(yī)院仍然存在制度不完善設(shè)備老舊，相關(guān)人員經(jīng)驗(yàn)技術(shù)欠缺等問題，而基層醫(yī)院作為居民健康的第一道防線不僅是為了確保居民的身體健康，還應(yīng)該肩負(fù)著保護(hù)居民個(gè)人信息的職責(zé)。 因此，基層醫(yī)院要正確收集必要的個(gè)人信息，做好信息的保存與保密工作，完善相關(guān)管理制度，加快相關(guān)技術(shù)的更新迭代，社會(huì)中還應(yīng)提高全民的保護(hù)隱私的法律意識(shí)，從而進(jìn)一步強(qiáng)化醫(yī)院信息安全為常態(tài)化的疫情防控打下堅(jiān)實(shí)基礎(chǔ)。

作者單位：石航? ?李志敏? ? 羅淼? ? 西北民族大學(xué)醫(yī)學(xué)部

參? 考? 文? 獻(xiàn)

[1] 蔣麗華. 新冠肺炎疫情防控中個(gè)人信息的公開與保護(hù) [J]. 征信， 2020，38（09）： 41-47.

[2] 鄭保章， 馮湜. 大數(shù)據(jù)背景下的隱私保護(hù)問題研究——以新冠肺炎疫情防控中的個(gè)人信息使用為視角 [J]. 學(xué)習(xí)與探索， 2021（04）： 74-78.

[3] 任燕舞. 基于大數(shù)據(jù)背景下校園網(wǎng)絡(luò)信息安全技術(shù)研究[J]. 中國(guó)新通信， 2022， 24（01）： 135-136.

[4] 金琰. 基于“互聯(lián)網(wǎng)+”背景下醫(yī)院網(wǎng)絡(luò)的信息安全防護(hù)措施 [J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用， 2022（02）： 121-123.

[5] 馬春萍. “互聯(lián)網(wǎng)+醫(yī)療”背景下醫(yī)院信息安全防護(hù)研究 [J]. 技術(shù)與市場(chǎng)， 2021， 28（11）： 84-85.

[6] 楊曉毓. 現(xiàn)代數(shù)字醫(yī)院網(wǎng)絡(luò)信息安全隱患以及防范措施 [J]. 財(cái)經(jīng)界， 2021（35）： 21-22.

[7] 潘文雯， 劉振宇. 疫情防控背景下個(gè)人信息利用與保護(hù)平衡路徑探究[J].甘肅廣播電視大學(xué)學(xué)報(bào)， 2022， 32（01）： 80-84.

[8] 韋祎. 新冠肺炎疫情防控中個(gè)人信息的利用與保護(hù) [J]. 法制與經(jīng)濟(jì)， 2021， 30（05）： 68-72.