医疗领域网络安全相关问题简析
作者:蔡荣伟
在数字化转型方面,医疗行业一直走在各行业的前列。特别是近两年,医疗和数据两者相结合的服务需求加大,在政策法规和标准方面,监管也在加强。2021年7月1日,《信息安全技术 健康医疗数据安全指南》正式实施;2021年3月25日,《医药行业合规管理规范》发布;4月6日,国家医保局发布《关于加强网络安全和数据保护工作的指导意见》,专门就医保系统的网络安全和数据合规提出要求。本文将对中国医疗健康体系、数字医疗、以及互联网诊疗等模式及其监管作简要分析,对需要注意的网络安全法律问题进行提示。
一
我国医疗体系及监管介绍
我国的医疗健康体系监管主要是医疗服务、医药以及医保三类。医疗服务包括各层级的医院、卫生机构及医疗机构等;医药包括药品和医疗器械等在医疗服务过程中使用的产品;而医保则指包括社会医疗保险在内的一系列保障服务。
目前,医疗服务的监管部门为国家及各地卫生健康委员会(“卫健委”),主要涉及医疗服务市场的整体秩序,医疗服务资质的合法合规,医疗质量及其安全性等。国家药品监督管理局(“药监局”)则负责药品、医疗器械的监管,负责医保支付的是国家医疗保障局(简称“医保局”)。三者在实际执法中,可能有交叉协调的部分。
二
数字医疗介绍及监管
数字医疗,顾名思义,是把数字技术与医疗健康产业相结合,将整个医疗过程数字化、信息化的过程。广义范围上,数字医疗指医院诊疗流程的信息化,不仅包括了远程问诊、线上买药等,还包括了区域医疗协同、公共卫生防疫、甚至医保管理的信息化。数字医疗涉及范围之广,需要包括电子设备、计算机软件,以及互联网和移动物联网等多种数字技术的综合应用。
根据中国信息通信研究院、工业互联网创新中心(上海)有限公司联合36氪研究院在2020年9月发布的《2020人工智能医疗产业发展蓝皮书》,数字技术在医疗产业的应用具体场景分为以下几种:提供设备和数据平台以处理和储存数据的基础层服务,或是提供认知、感知、机器学习等人工智能的技术层服务,以及提供具体场景针对性及决策方案的应用层服务,例如医疗系统服务商等。
从2018年国务院机构改革至今,卫健委、医保局等部委出台了大量数字医疗相关产业政策,主要聚焦于五个领域:电子病历(EMR,Electronic Medical Record)建设升级、医联体建设、互联网诊疗、医保信息标准化、疾病诊断相关分组DRGs(Diagnosis Related Groups)。而国家及地方医保局的信息系统建设也将是近两年重要需求的来源。
医疗服务机构有可能对各类软件产品、技术咨询服务、云服务等有采购需求,而此类采购将受制于医疗服务机构的采购规定。以公立医院来说,公立医院系事业单位,适用政府采购的相关规定。比如软件产品等属于非医疗器械的产品或服务,如果被列入省级以上人民政府公布的集中采购目录,则需要走相关的政府采购流程。以北京为例,按照北京市财政局于2019年12月27日发布的《北京市2020-2022年政府采购集中采购目录及标准》,计算机基础软件、信息安全软件及云计算服务属政府采购品目分类目录的范围。凡纳入集中采购目录的品目均须按规定委托集中采购机构采购。再以上海市以例,上海市财政局于2018年9月27日发布的《上海市2019-2020年政府采购集中采购目录和采购限额标准》也规定,计算机软件(预算金额5万元以上的中间件软件等直接从市场可以购买的标准软件等非定制开发的商业软件。数据库软件、防病毒软件、操作系统、办公软件除外)、信息技术服务(预算金额50万元以上。包括软件开发、信息系统集成实施、数据处理、信息化工程监理、运行维护、信息技术咨询等服务)属应委托集中采购机构组织采购的项目。
三
互联网诊疗及互联网医院
目前,以“互联网+”的形式提供医疗服务的模式正在蓬勃发展,互联网诊疗、互联网医院和远程医疗都是在现行体系下,面向个人开展线上问诊的主要模式。根据国家卫健委、国家中医药管理局于2018年7月17日发布的《互联网诊疗管理办法》《互联网医院管理办法(试行)》等规定,大致可分为三种模式和准入要求,也涉及到不少数字服务。
(1)互联网诊疗
互联网诊疗是指医疗机构利用本机构注册的医师,通过互联网等信息技术开展部分常见病、慢性病复诊和“互联网+”家庭医生签约服务。国家对互联网诊疗活动实行准入管理。互联网诊疗活动应当由取得《医疗机构执业许可证》的医疗机构提供。医疗机构开展互联网诊疗活动应当与其诊疗科目相一致。医疗机构不得对首诊患者开展互联网诊疗活动。未经卫生健康行政部门(即卫健委)核准的诊疗科目,医疗机构不得开展相应的互联网诊疗活动。
在互联网诊疗模式下,如果医疗机构需要与第三方机构合作建立互联网诊疗服务信息系统,应当向相关监管部门提交合作协议,在协议中明确各方在医疗服务、信息安全、隐私保护等方面的职责以及权利。
医疗机构开展互联网诊疗活动应当符合以下执业规则:
序号 | 类别 | 具体规则 |
1 | 数据保护 | (1)医疗机构开展互联网诊疗活动应当具备互联网技术要求的设备设施、信息系统、技术人员以及信息安全系统,并实施第三级信息安全等级保护。 (2)医疗机构应当严格执行信息安全和医疗数据保密的有关法律法规,妥善保管患者信息,不得非法买卖、泄露患者信息。 (3)发生患者信息和医疗数据泄露后,医疗机构应当及时向主管的卫生健康行政部门(即卫健委)报告,并立即采取有效应对措施。 |
2 | 人员管理 | (4)开展互联网诊疗活动的医师、护士应当能够在国家医师、护士电子注册系统中查询。 (5)医疗机构应当对开展互联网诊疗活动的医务人员进行电子实名认证,鼓励有条件的医疗机构通过人脸识别等人体特征识别技术加强医务人员管理。 (6)医师开展互联网诊疗活动应当依法取得相应执业资质,具有3年以上独立临床工作经验,并经其执业注册的医疗机构同意。 |
3 | 知情同意 | 基层医疗卫生机构实施“互联网+”家庭医生签约服务,在协议中告知患者服务内容、流程、双方责任和权利以及可能出现的风险等,签订知情同意书。 |
4 | 电子病历 | 医疗机构开展互联网诊疗活动应当为患者建立电子病历。 |
5 | 在线处方 | (1)医师掌握患者病历资料后,可以为部分常见病、慢性病患者在线开具处方。不得开具麻醉药品、精神药品等特殊管理药品的处方。 (2)在线开具的处方必须有医师电子签名,经药师审核后,医疗机构、药品经营企业可委托符合条件的第三方机构配送。 (3)为低龄儿童(6岁以下)开具互联网儿童用药处方时,应当确认患儿有监护人和相关专业医师陪伴。 |
(2)互联网医院
互联网医院有别于实体医院,系具有咨询、随访、慢病管理等功能的线上医院。互联网医院包括作为实体医疗机构第二名称的互联网医院,以及依托实体医疗机构独立设置的互联网医院。取得《医疗机构执业许可证》的互联网医院,独立作为法律责任主体;实体医疗机构以互联网医院作为第二名称时,实体医疗机构为法律责任主体。互联网医院合作各方按照合作协议书承担相应法律责任。患者在实体医疗机构就诊,由接诊的医师通过互联网医院邀请其他医师进行会诊时,会诊医师可以出具诊断意见并开具处方;患者未在实体医疗机构就诊,医师只能通过互联网医院为部分常见病、慢性病患者提供复诊服务。
互联网医院也应当符合以上一般医疗机构开展互联网诊疗活动时所需遵守的执业规则(详见上文所述的具体规则)。
(3)智慧医疗
目前,借助人工智能等技术开展的智慧医疗,特别是智慧病房、病区、慢性病管理平台、人口健康平台、重疾早筛等技术正在经历高速发展。但人工智能应用于医疗领域,需要以大量数据为基础,其涉及到的网络安全及数据保护问题同样值得关注。
四
医疗与数据结合情形下的数据及网络安全
随着《数据安全法》在今年6月10日正式通过,我国网络安全的体系越来越全面。对于医疗机构来说,个人信息和个人敏感信息,重要数据和个人信息的出境安全评估制度及其监管,关键信息基础设施的安全保护,网络安全等级保护制度等都是需要特别注意的方面。
(1)个人信息及个人敏感信息的出境
个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、个人生物识别信息等。个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息也包括个人敏感信息,是一旦泄露、非法提供或滥用可能危害人身和财产安全,极易导致个人名誉、身心健康受到损害或歧视性待遇等的个人信息。个人敏感信息包括身份证件号码、个人生物识别信息、健康生理信息、14岁以下(含)儿童的个人信息等。
根据《信息安全技术 数据出境安全评估指南(征求意见稿)》,重要数据包括但不限于以下与医疗行业有关的数据:
a) 在药品和避孕药具不良反应报告和监测过程中获取的个人隐私、患者和报告者信息;
b) 突发公共卫生事件与传染病疫情监测过程中获取的传染病病人及其家属、密切接触者的个人隐私和相关疾病、流行病学信息等;
c) 医疗机构和健康管理服务机构保管的个人电子病历、健康档案等各类诊疗、健康数据信息;
d) 人体器官移植医疗服务中人体器官捐献者、接受者和人体器官移植手术申请人的个人信息;
e) 人类辅助生殖技术服务中精子、卵子捐献者和使用者以及人类辅助生殖技术服务申请人的个人信息;
f) 计划生育服务过程中涉及的个人隐私;
g) 个人和家族的遗传信息;及
h) 生命登记信息。
根据《网络安全法》,关键信息基础设施的运营者在中国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要,确需向境外提供的,应当按照国家网信部门会同国务院有关部门制定的办法进行安全评估;法律、行政法规另有规定的,依照其规定。另外,《个人信息保护法(草案)》要求,关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者,应当将在中华人民共和国境内收集和产生的个人信息存储在境内。确需向境外提供的,应当通过国家网信部门组织的安全评估;法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。
但是,目前数据出境相关监管法律法规《个人信息和重要数据出境安全评估办法(征求意见稿)》《个人信息出境安全评估办法(征求意见稿)》《信息安全技术 数据出境安全评估指南(征求意见稿)》均未生效,具体实施要求还有待确定。
(2)关键信息基础设施(CII)安全保护制度
CII安全保护制度,是基于《网络安全法》设置的、针对一旦遭到破坏、丧失功能或者数据泄露而可能严重危害国家安全或者公共利益等的信息系统的网络安全保护及合规管理要求体系。《网络安全法》在(1)数据本地存储和出境安全评估,(2)网络安全等级保护,(3)网络安全审查,(4)容灾备份,(5)远程维护,和(6)保密协议等方面提出了比一般网络经营者更为严格的保护要求。可简单地用图表总结如下:
点击图片查看大图
(3)网络安全等级保护制度
网络安全等级保护即对网络进行分等级保护、分等级监管 。现行的网络安全等级保护制度是基于《网络安全法》第二十一条规定设置的制度,要求网络运营者应根据相关规定确定其信息系统安全保护等级,并采取相应的保护措施。保护措施覆盖机构及人事安排、内部管理制度设计等组织管理措施,以及去标识化、匿名化、加密存储与传输、自动化决策及记录等技术保护措施。
网络运营者对信息网络、信息系统、网络上的数据和信息,按照重要性和遭受损坏后的危害性分成五个安全保护等级,从第一级到第五级,逐级增高。
如上文所述,根据医疗管理法规,一般医院进行互联网诊疗及互联网医院的网络设备设施、信息系统、技术人员及信息安全系统,均应通过第三级信息安全等级保证认证。
以上仅对医疗领域网络安全可能碰到的主要法律和监管问题作简要介绍。数据安全和个人信息保护方面的法规日新月异,需要从业者持续关注,方可保持合规。
The End
作者简介
蔡荣伟
上海办公室 高级顾问
业务领域:投资并购和公司治理, 网络安全和数据保护, 诉讼仲裁
特色行业类别:能源与自然资源, 通讯与技术
钱闻侃对本文亦有贡献。
作者往期文章推荐
《医疗数据出境法律风险解读》
《<健康医疗数据安全指南>亮点解读》
《开发区投资应注意的若干法律问题》
特别声明:
以上所刊登的文章仅代表作者本人观点,不代表北京市中伦律师事务所或其律师出具的任何形式之法律意见或建议。
如需转载或引用该等文章的任何内容,请私信沟通授权事宜,并于转载时在文章开头处注明来源于公众号“中伦视界”及作者姓名。未经本所书面授权,不得转载或使用该等文章中的任何内容,含图片、影像等视听资料。如您有意就相关议题进一步交流或探讨,欢迎与本所联系。
点击“阅读原文”,可查阅该专业文章官网版。