医疗机构应进行合规差距核查和风险评估,尽快开展数据合规工作。
强监管背景下医疗机构的数据合规之路
在全球数字经济发展的大背景下,数据已经成为最具价值的生产要素之一。随着数据体量和维度的不断增加,如何保障数据安全成为重要的议题,数据合规也成为当今世界关注的热点问题。
很多国家都在持续不断地加强数据方面的立法工作,欧盟、美国和印度先后出台了《通用数据保护条例》《2018加州消费者隐私法案》《2019个人数据保护法案》,新加坡通信信息部和个人数据保护委员会2020年联合发布《个人数据保护法(修订)》草案,日本参议院2021年颁布《个人信息保护法修正案》。我国的数据合规监管也日趋严格和完善,不断加快立法步伐:《网络安全法》早已生效;《民法典》在现行法律规定的基础上,对于隐私权和个人信息保护作出了专门规定;《数据安全法》将于2021年9月1日起正式生效;《个人信息保护法(草案二次审议稿)》(以下简称《个保法(草案二审)》)于2021年4月29日发布并征求意见,其最终出台指日可待。
我国医疗机构的数量已达百万个以上,医疗行业由于其特殊属性,数据安全与个人信息保护的合规性要求比其他行业更高。国家卫生健康委统计信息中心组织开展了国家医疗健康信息互联互通标准化成熟度测评,对医疗机构的相关数据保护工作提出了要求。
在此背景下,本文通过梳理当前我国医疗机构数据的来源和种类,并深入分析医疗机构数据存在的问题和风险,为医院机构的数据合规体系建设提供一点参考和建议。
医疗机构数据的来源
根据国际统一的医疗系统信息化水平划分,医疗信息化发展可分为三个阶段:医院管理信息化阶段(HMIS)、临床管理信息化阶段(HCIS)、局域医疗卫生服务阶段(GMIS)。由于诊疗服务的需要,医疗机构普遍有信息化建设的需求。近年来,我国医疗机构在信息化建设方面卓有成就,大多数三级医院早已完成了HIS、PACS、LIS、EMR等基础临床信息系统的建设,正在向手术室和ICU等诊疗行为更为密集的科室延伸。
随着《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》《“十三五”全国人口健康信息化发展规划》《关于进一步推进以电子病历为核心的医疗机构信息化建设工作的通知》《关于深入推进“互联网+医疗健康”“五个一”服务行动的通知》等国家各类相关政策文件的出台,云计算、大数据、物联网、人工智能等新一代信息技术的发展,医疗机构通过数智化转型聚焦提升患者就医体验已成趋势,持续加大对医院信息化、区域医疗信息化、公共卫生信息化的投入,众多医疗机构通过信息化升级和“互联网+医疗健康”的应用,构建了智慧医疗体系。
医疗信息化建设是医疗数据产生的基础,随着医疗机构数智化系统建设和运营,其业务系统繁多,每日产生海量的医疗数据。而这些数据的应用环境交叉错杂,来源广泛,信息量巨大。
医疗数据的内容分类
医疗数据的分类并没有统一的标准,从不同的维度出发,有不同的划分依据和类别。以下以法律、法规和行业标准中的不同概念在医疗数据领域的投射为角度,对医疗数据进行分类。
1.健康医疗数据
2018年7月12日,国家卫生健康委发布的《国家健康医疗大数据标准、安全和服务管理办法(试行)》规定,“健康医疗大数据”是指在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据。2021年7月1日正式实施的《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020,以下简称《安全指南》)对“健康医疗数据”进行了更为明确的界定,“健康医疗数据”包括个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据。
医疗机构产生的健康医疗数据,是基于多平台、跨系统,数量极其庞大的医疗数据的集合,涵盖了《安全指南》中规定的健康医疗数据六大类别范围:个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据以及公共卫生数据。
2.重要数据
新出台的《数据安全法》单独针对重要数据提出了的具体保护要求,但未给出重要数据的界定方法。参照国家网信办2017年4月11日发布的《个人信息和重要数据出境安全评估办法(征求意见稿)》中规定,重要数据是指“与国家安全、经济发展,以及社会公共利益密切相关的数据,具体范围参照国家有关标准和重要数据识别指南。”2017年8月30日,在全国信息技术标准化技术委员会征求意见的《信息安全技术 数据出境安全评估指南(征求意见稿)》(以下简称《评估指南》)中,将重要数据定义为:“相关组织、机构和个人在境内收集、产生的不涉及国家秘密,但与国家安全、经济发展以及公共利益密切相关的数据(包括原始数据和衍生数据)“。《评估指南》还以附录的形式,列出了非常详细的重要数据识别指南,并提出了各行业(领域)重要数据的范围和内容,颇具参考价值。其中指出卫生计生委(现称“卫生健康委”)主管的人口健康领域,重要数据包括但不限于:
(1)在药品和避孕药具不良反应报告和监测过程中获取的个人隐私、患者和报告者信息;
(2)突发公共卫生事件与传染病疫情监测过程中获取的传染病病人及其家属、密切接触者的个人隐私和相关疾病、流行病学信息等;
(3)医疗机构和健康管理服务机构保管的个人电子病历、健康档案等各类诊疗、健康数据信息;
(4)人体器官移植医疗服务中人体器官捐献者、接受者和人体器官移植手术申请人的个人信息;
(5)人类辅助生殖技术服务中精子、卵子捐献者和使用者以及人类辅助生殖技术服务申请人的个人信息;
(6)计划生育服务过程中涉及的个人隐私;
(7)个人和家族的遗传信息;
(8)生命登记信息。
由此可知,医疗机构产生的数据是具有重要性的,其涉及个人健康的方方面面,包括每一个人的医疗记录、公共卫生服务数据、可穿戴设备数据、生物数据、基因数据以及临床研究数据等。
3.核心数据
相较于前两次的审议稿,正式出台的《数据安全法》首次出现“国家核心数据”的概念,即对于关系国家安全、国民经济命脉、重要民生、重大公共利益等数据属于国家核心数据,实行重要数据之上的更加严格的管理。
《数据安全法》对于核心数据的概念只做了原则性的规定,从字面意思理解,重要数据和核心数据的内容和范围是有重叠和交叉的,如何具体确定重要数据和核心数据的标准和类别,还有待进一步的落实和规定。但可以明确的是,核心数据更多是从国家安全的维度来界定的,比如基因分析、遗传疾病分析等涉及国家安全战略的数据。
我国医疗机构具有科研属性,承担了大量国家课题的科学研究,并作为实验基地开展医学科研活动。医学科研数据包括临床研究病例数据、生物样本库、全基因组等多种生物组学测序结果、医学相关队列研究结果等,其中基因数据因含有人体大量信息,被称为人类的“生命说明书”。
2021年1月,美国国家学院在一份为美国国家情报总监办公室撰写的报告中指出,得悉美国国家决策者或军人的基因,以及他们行动的倾向,可被敌方情报机关利用,对他们作出影响;此外,基因数据还可以揭示美国人对某些特定疾病的弱点。同样的,我国医疗机构收集到的生物数据和基因数据具有重大价值,一旦泄露,中国人群的基因信息可能被敌对势力掌握,以此提升生物武器的精准性。如未严格管理中国人群基因数据的收集、流动和传播,以基因技术为主要方式的基因战会导致国家安全受到威胁。
4.敏感个人信息
《信息安全技术 个人信息安全规范》(GB/T 35273—2020,以下简称《个人信息安全规范》)从泄露、非法提供和滥用三个角度,考虑将“个人健康生理信息”和“个人生物识别信息”列为个人敏感信息,给予特殊保护。
《个保法(草案二审)》延续了该观点,规定“医疗健康”与“个人生物特征”属于敏感个人信息。医疗机构在提供健康诊疗服务过程中产生并采集的个人生病医治相关记录,个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等,很显然涉及个人敏感信息。
医疗机构数据的安全风险
1.医疗机构网络系统存在漏洞和安全隐患
与发达国家相比,我国医疗机构的网络安全建设还处于初级阶段,不少医疗机构的数据安全意识和保护措施还很薄弱,导致很多数据正在“裸奔”。据CHIMA《2018-2019年度中国医院信息化状况调查报告》数据显示,医院对网闸、防入侵、防毒墙等设备的采用率均小于50%。现阶段绝大多数医院仅采用防火墙保障网络安全,对网络进行VPN/VLAN划分和上网行为管理的医院仅过半数。大部分医疗信息系统没有完善的数据保护机制。根据中国软件评测中心网络空间安全测评工程技术中心对抽样调查的73家医疗机构的信息系统进行网络安全测评的结果来看,58%的医疗信息系统存在弱口令问题;59%医疗信息系统存在网络防护架构不完善问题,包括网络区域划分不合理、网络链路无冗余等问题。
现阶段,越来越多的医疗机构通过移动终端或互联网提供医疗健康服务,医疗机构的内网数据走向公共互联网,但由于移动终端应用安全保障机制和系统纵深防御不足,有些医院的应用服务(如数据库服务、FTP服务、打印机服务等)端口暴露在公共互联网,对于黑客来说,通过公共互联网能轻易获取到这些应用服务的控制权,可能引发医疗数据泄露的安全事件。
2.勒索病毒的攻击风险
除个人基本信息外,医疗机构收集的患者信息主要包括:体检结果、诊断结果、治疗结果、疾病控制、医学研究过程中涉及的个人集体特征、健康情况、人际接触、遗传基因、病史病历等。这些信息是高度个人化或敏感的,并且具有很高的商业价值。这些数据对黑客具有相当大的吸引力,医疗机构收集并产生的数据都属于需要紧急使用的信息,被加密后医疗机构势必会想尽办法以最快速度恢复数据,黑客也正是知道加密或者泄露医疗机构的数据可能对个人或医疗机构声誉造成的影响,因此他们认为获得赎金的机会更大。
腾讯安全发布的《2020上半年勒索病毒报告》显示,从勒索病毒影响的行业看,数据价值较高的传统企业、教育、医疗、政府机构遭受攻击最为严重。从公开报道来看,2018年2月全国各大医院受Globelmposter勒索病毒攻击,严重影响了医院的正常业务。当年2月23日,湖北某医院系统被植入勒索病毒,医院系统瘫痪,黑客要求支付价值约30万元人民币的比特币才能恢复正常;24日,湖南省某医院服务器中所有数据文件被强行加密,系统瘫痪使得患者无法正常就医。
3.数据(个人信息)泄露风险
2016年,来自全国30个省份的275位艾滋病感染者称接到了诈骗电话,艾滋病感染者的个人信息疑似被大面积泄露。2020年疫情期间,全国各地新冠患者信息泄露事件频频发生。一些确诊病例和密切接触者的个人信息在网络、社交媒体中传播,内容包括个人的姓名、身份证号码、住址、电话、身高、体重、工作单位、详细活动轨迹等,导致有的确诊病例和密切接触者还遭受了网络暴力。
医疗数据的重要组成部分是患者个人信息,其中包括个人基本信息、个人身份信息、个人生物识别信息、个人健康生理信息等,涉及个人隐私,一旦泄露和传播,将对患者个人生活和精神状态造成严重影响。
医疗机构数据泄露的原因主要有三大类:一是外部黑客入侵。二是内部从业人员泄露,Verizon发布的一篇网络安全报告显示,在全世界范围内,医疗行业是内部威胁高于外部威胁的唯一一个行业,调查显示,60%的医疗机构数据泄露事故是由内部人员造成的,这在其他行业并不多见。三是第三方供应商造成的数据泄露。美国Ponemon研究院2019年的一项调查显示:超过一半的医院表示,他们在过去两年中曾发生过一次或多次由第三方系统供应商造成的数据泄露,平均每起事件的成本为290万美元。医疗机构对各类信息系统的依赖程度越来越高,数量众多的第三方系统供应商为其提供服务。当医疗机构对第三方系统供应商的风险评估和监管不足时,所依赖的供应商数量在不断增加,这些供应商所带来的威胁在频率和严重程度上也在不断升级。
4.数据共享和应用的风险
数据的核心价值在于应用。在医疗数据来源多样化且快速增长的背景下,前沿技术的不断进步使得医疗数据的应用场景越发丰富。包括健康医疗信息系统厂商、健康医疗数据分析公司、辅助诊疗解决方案公司、商业保险机构、药企等都在积极寻求与医疗机构的合作,实现医疗数据的商业化变现。医疗机构也希望能将多年积累的“沉睡”数据转换为价值,获得更多医学研究意义。但值得注意的是,这类数据大多涉及患者隐私、敏感个人信息等,受到伦理和法规的双重保护。医疗机构如果在合作共享前没有保障数据的安全性和合规性,将存在极大的风险。
未脱敏的个人信息在共享时将会导致个人信息的泄露,即使经过了脱敏,但实践中脱敏到何种程度并没有明确的标准,而且大量的非敏感数据聚合后也可能会产生敏感数据,个人信息仍然存在丢失、泄露的风险。医疗机构工作人员的不当操作也会导致个人隐私未经授权的访问、修改和泄露风险。而医疗机构与第三方合作的过程中,如果未能进行充分的合规审查,也会增加患者个人隐私的安全风险,比如未对第三方的资质进行评估、未对双方数据对接的方案进行安全评估、未对数据传输的方式进行技术控制等。
医疗机构以及直接主管人员面临的法律责任风险
1.民事赔偿责任
《数据安全法》和《个保法(草案二审)》均规定,违反本法规定,给他人造成损害的,应依法承担民事责任。
关于患者个人信息泄露的侵权责任,《民法典》侵权责任编中规定,医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息,或者未经患者同意公开其病历资料的,应当承担侵权责任。
《个保法(草案二审)》在侵权责任方面还规定了过错推定规则,即在侵犯个人信息权益诉讼中,被告需要证明自己没有过错,如果被告无法证明自己没有故意或者过失,就被推定为有过错,需要承担侵犯个人信息权益的败诉后果和相应的法律责任。与“谁主张谁举证”的原则相比,过错推定原则加重了医疗机构的举证和赔偿责任。
2.行政处罚责任
《网络安全法》中对相关违法行为已作出行政处罚的规定,实践中也有多家医疗机构因未履行网络安全防护义务受到现场训诫、警告、罚款等处罚。2019年1月,河南安阳市某医院因未履行网络安全保护义务,造成业务系统被攻击破坏,正常工作无法开展,公安机关对医院处以罚款五万元、直接负责人罚款五千元的行政处罚。但《网络安全法》的处罚力度相对不大,威慑力不够,《数据安全法》及《个保法(草案二审)》大大提高了违法的处罚标准。
根据《数据安全法》第六章的相关规定,医疗机构若违反国家核心数据管理制度且危害国家主权、安全和发展利益(第四十五条),或向境外提供重要数据且情节严重的(第四十六条),将会面临顶格一千万元的罚款。同时,对于直接负责的主管人员和其他直接责任人员,其面临的罚款金额上限是一百万元。
根据《个保法(草案二审)》六十五条规定,如果医疗机构在个人信息保护方面存在合规瑕疵,除了一般性违法行为医疗机构可被处以一百万元以下罚款,直接主管人员可被处一万元以上十万元以下罚款外,对于情节严重的违法行为,借鉴了欧盟《通用数据保护条例》的处理方式,可以在没收违法所得的基础上,并处五千万元以下或者上一年度营业额百分之五以下罚款,直接主管人员可被处十万元以上一百万元以上的罚款。
除此之外,《个保法(草案二审)》第六十六条还提出,相关违法行为将依照有关法律法规的规定计入信用档案并予以公示。
3.刑事责任
在立法层面,我国对数据安全和个人信息保护采取“刑法先行”的立法模式,在数据和个人信息方面刑事责任规制的范围和力度也在逐步加强。现行有效的《中华人民共和国刑法(2020修正)》(以下简称《刑法》)主要规定了如下刑事责任:
《刑法》第二百五十三条之一规定:“违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。”
《刑法》第二百八十六条之一规定:“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:(一)致使违法信息大量传播的;(二)致使用户信息泄露,造成严重后果的;(三)致使刑事案件证据灭失,情节严重的;(四)有其他严重情节的。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。”
《刑法》第三百三十四条之一规定:“违反国家有关规定,非法采集我国人类遗传资源或者非法运送、邮寄、携带我国人类遗传资源材料出境,危害公众健康或者社会公共利益,情节严重的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。”
4.人民检察院个人信息保护公益诉讼
值得注意的是,《个保法(草案二审)》第六十九条还提出,个人信息处理者违反本法规定处理个人信息,侵害众多个人的权益的,人民检察院、履行个人信息保护职责的部门和国家网信部门确定的组织可以依法向人民法院提起诉讼。2021年4月22日,最高检发布检察机关个人信息保护公益诉讼典型案例,其中包括浙江省温州市鹿城区人民检察院督促保护就诊者个人信息行政公益诉讼案。在办案过程中,鹿城区人民检察院针对就诊者个人信息主要从温州两家医院泄露这一情况,分别向两家医院发出社会治理检察建议,建议加强就诊者个人信息保护。
2020年9月,最高检出台《关于积极稳妥拓展公益诉讼案件范围的指导意见》,明确将个人信息保护作为网络侵害领域的办案重点。个人信息保护目前属于检察公益诉讼新领域,检察机关对于未履行个人信息管理和保护义务的信息处理者,对发出公告和检察建议后公益受损未能解决的,将提起公益诉讼,要求其承担公益损害责任。
医疗机构如何加强数据合规体系建设
1.增强数据安全意识,提高数据合规建设的优先级
医疗数据安全与患者个人信息保护的合规性要求要比其他行业更高,随着越来越多的医疗机构向数智化转型,建立牢固的安全和合规基础已成为关键。医疗机构作为关键信息基础设施的运营者、健康医疗数据的控制者、个人敏感信息的处理者、重要数据及核心数据的处理者,责任重大,必须加强数据安全意识,深刻认识到医疗数据的采集、传输、存储、使用、处理及披露必须要在法律法规的范畴内实施,提高数据合规建设的优先级。
2.建立健全物理、环境、网络等技术保障措施和内部安全管理制度
医疗机构应采取的安全技术措施包括系统容灾、终端设备网络准入、病毒防护、访问控制、入侵防护、数据库审计、防火墙、加解密、脱敏、漏洞扫描和修复、日志分析、流量监理、安全态势感知、数字证书、数字水印、数据泄露防护等。
此外,应加强设备安全管理制度、环境安全管理制度、网络安全管理制度的建设,保障医疗信息系统安全可靠、稳定持续的运行,保障医疗信息系统所处的环境安全,保障内部和外部网络的安全。
3.构建以患者个人信息为中心的全流程医疗数据安全防护体系
国家标准化管理委员会2019年发布的《个人信息安全工程指南(征求意见稿)》中指出了医疗健康行业信息安全风险的考虑要点:医疗健康行业是一个特殊的行业,其特殊性在于它以“人”为研究对象,所有医疗行为及其结果都以获取个人信息为基础,因此其信息安全风险非常高。目前的患者个人信息安全防护大多只是注重脱敏,进行匿名化、去标识化及加密等处理。由于医疗机构收集患者个人信息的特殊性,常规的“去标识化”无法完全保证个人信息不被复原,还需要在专业医学人士、信息安全人员共同努力下对个人信息进行“去标识化”处理。在无法准确判断时,对于已进行“去标识化”处理的患者个人信息应采取严格的技术保护措施。
而对于专科医院,比如儿童医院,还需要遵从儿童个人信息保护的相关法律、法规规定及国家标准,比如国家网信办2019年发布的《儿童个人信息网络保护规定》;《个保法(草案二审)》第十五条指出,处理十四周岁未成年个人信息的,应当征求未成年人父母或其他监护人同意;《信息安全技术 人脸识别数据安全要求(征求意见稿)》提出,在开展人脸验证或人脸辨识时,原则上不应使用人脸识别方式对不满十四周岁未成人进行身份识别。
构建“以患者为中心”的个人信息风险评估和防护体系,覆盖个人信息收集、存储、使用、加工、传输、提供、公开等多个环节,有助于医疗机构促进和规范当前数据合规工作的推进和管理。
4.建立完善的数据合规组织保障体系,设立“数据保护官”岗位
目前一些大型的医疗机构都设置了信息处及法务处,但其岗位设置和管理制度并不完善,组织机构职能割裂,难以更好地融合,在医疗数据监管日趋严格背景下,将不能支撑医疗机构复杂的数据合规管理体系建设。
《数据安全法》规定:“重要数据的处理者还应当明确数据安全负责人和管理机构,落实数据安全保护责任”。而我国的个人信息保护法从第一稿开始即设立了“个人信息保护负责人”的岗位,并沿用至二审稿。
为充分保障医疗数据的安全,更好地进行数据合规体系建设,建议医院机构组织成立医疗大数据安全领导小组,在组织架构中至少还应该包括医疗大数据安全委员会和医疗大数据安全工作办公室,以确保做好医疗数据安全管理工作。其中医疗大数据安全委员会对医疗数据安全工作全面负责,讨论决定医疗数据安全重大事项;医疗大数据安全办公室指定专人,设立数据保护官(DPO)岗位,负责医疗数据安全日常工作。
数据保护官负责制定医疗数据安全和个人信息保护策略、风险评估方案、合规评估方案、风险处置方案和应急处置方案;负责建立数据安全和个人信息保护相关规章制度;负责人员的数据安全和个人信息保护方面的教育和培训;审计医疗数据使用和应用情况等。
5.引入第三方服务,提高数据合规建设的能力
大多数医疗机构在体制上属于事业单位,人员主观能动性欠缺,医疗机构建立的内部安全管理制度和设计是否合法、合规、合理是个问题。引入第三方服务,如律师、技术专家、咨询顾问等,是提高医疗机构数据合规能力建设的有效方式。这些人员应在数据安全和个人信息保护领域有一定的工作经验,具备相关知识,熟悉法律、行政法规、规章及政策规则。医疗机构可以在第三方的支持下,构建科学的医疗数据安全防护体系,切实保障医疗数据安全,保障患者的个人信息安全。
考虑到《数据安全法》将于2021年9月1日起正式实施,《个人信息保护法》可以预见年内会正式通过。我们建议医疗机构密切关注立法和监管动向,重新审视自身在数据处理和个人信息保护方面的疏漏和不足,进行合规差距核查和风险评估,尽快开展数据合规工作,以适应法律规制和监管要求。
广医二院陆慧菁:如何以数据触动绩效考核指标改良?
长治市人民医院李俊:我们为何要打破传统信息化建设模式?
香山HIT青年论坛 | 世纪坛医院的HIS系统架构优化之路
以智能化促高质量发展,广州泰和肿瘤医院正式开业
商务合作:(010)82373062