• <cite id="3t8ug"></cite>
  • <b id="3t8ug"><rt id="3t8ug"></rt></b>
      <cite id="3t8ug"><noscript id="3t8ug"></noscript></cite>

      <listing id="3t8ug"><rt id="3t8ug"></rt></listing><tt id="3t8ug"></tt>

    1. <tt id="3t8ug"><form id="3t8ug"></form></tt>
      <tt id="3t8ug"><tbody id="3t8ug"></tbody></tt>
    2. <source id="3t8ug"></source>

        1. <tt id="3t8ug"></tt>
          <tt id="3t8ug"></tt>
          <rp id="3t8ug"><form id="3t8ug"><label id="3t8ug"></label></form></rp>
          1. <b id="3t8ug"><tbody id="3t8ug"><del id="3t8ug"></del></tbody></b>
            <cite id="3t8ug"><span id="3t8ug"></span></cite>
            醫療機構如何構建個(gè)人信息保護合規體系?
            發(fā)布時(shí)間: 2022-05-10 閱讀量: 1250

            韓作為、李宏芳、趙韡 / 中國數字醫學(xué)


            數據在醫療服務(wù)發(fā)展中扮演著(zhù)重要的角色,隨著(zhù)現代醫療技術(shù)的高速發(fā)展,個(gè)人健康醫療數據面臨著(zhù)越來(lái)越多的安全挑戰,《中華人民共和國個(gè)人信息保護法》實(shí)施以來(lái),行業(yè)對個(gè)人信息保護的意識和認識提升到了新的高度。本研究在分析醫療機構個(gè)人信息特點(diǎn)及其面臨的網(wǎng)絡(luò )安全威脅的基礎上,提出了個(gè)人信息保護合規體系建設思路。


            醫療健康信息是我國重要的基礎性戰略資源,其應用與發(fā)展將會(huì )帶來(lái)健康醫療模式的深刻變化,是提升醫療服務(wù)效率和質(zhì)量,滿(mǎn)足人民群眾對健康的需求,實(shí)現“健康中國”戰略的基礎。在醫療服務(wù)中,通過(guò)對醫療健康信息的共享調閱有助于整合醫療資源,提高醫療服務(wù)效率和質(zhì)量,節省患者醫療費用支出[1]。醫療行業(yè)信息化快速發(fā)展及醫療數據的深度應用,使得潛在的系統性安全風(fēng)險及法律風(fēng)險逐步增大。通過(guò)“系統”視角,從組織、制度、資產(chǎn)、技術(shù)等方向協(xié)同構建醫療機構個(gè)人信息保護合規體系滿(mǎn)足國家及行業(yè)監管要求,筑牢安全發(fā)展底線(xiàn),是醫療機構高質(zhì)量發(fā)展的必經(jīng)之路。


            1.醫療機構的個(gè)人信息及其特點(diǎn)


            1.1 醫療健康信息與個(gè)人信息

            醫療健康信息的來(lái)源包括病患數據、病歷信息、醫療保險信息、健康日志、基因遺傳、醫學(xué)實(shí)驗、臨床數據、體外診斷產(chǎn)品(in vitro diagnostic products,IVD)及第三方檢測數據、科研數據等。多數醫療健康信息屬于個(gè)人信息中的敏感信息,是與國家安全、經(jīng)濟發(fā)展以及社會(huì )公共利益密切相關(guān)的重要數據[2]。因此,除了匿名化處理后的醫療健康信息外,以電子或者其他方式記錄的已識別或者可識別的自然人有關(guān)的醫療健康信息,均屬于個(gè)人信息及敏感個(gè)人信息,本研究討論的醫療機構個(gè)人信息特指醫療機構活動(dòng)過(guò)程中處理的患者個(gè)人醫療健康信息。


            1.2 醫療健康信息的特點(diǎn)


            1.2.1 兼具隱私特性與高價(jià)值性

            醫療機構個(gè)人信息多數為個(gè)人健康信息,相比其他領(lǐng)域的個(gè)人信息(個(gè)人聯(lián)系方式、住址、財務(wù)信息等)隱私程度更高,醫療健康信息從患者的個(gè)人基本信息(姓名、性別、聯(lián)系方式、地址等)到檢查檢驗結果、診斷結果、治療信息以及手術(shù)信息等,任何泄露均會(huì )給患者造成非常不利的影響,除了給個(gè)人造成心理?yè)p傷外,還會(huì )給家庭和社交關(guān)系帶來(lái)傷害,患者也極易被勒索。再者,醫療健康信息應用有助于整合醫療資源,提高醫療服務(wù)效率和質(zhì)量,節省患者醫療費用支出,同時(shí),由于個(gè)體的差異,特殊的單體病案數據也具有極高的研究?jì)r(jià)值[3]。


            1.2.2 應用范圍廣且管理難度大

            醫療健康信息應用過(guò)程中涉及醫療服務(wù)、健康管理、疾病預防與控制、精準醫療與藥物研發(fā)、管理決策等多個(gè)應用場(chǎng)景,不同的應用場(chǎng)景對數據質(zhì)量、安全的要求不同。除此之外,醫療健康信息涉及角色范圍廣,醫療機構作為一個(gè)受到嚴格管制的行業(yè),需要和醫保、衛生健康委、疾控中心、質(zhì)控中心等眾多機構進(jìn)行數據交換和匯報。在醫療機構內部,個(gè)人信息的業(yè)務(wù)管理部門(mén)、業(yè)務(wù)部門(mén)、信息化部門(mén),在數據全生命周期中,所承擔的安全防控責任不同,提升了醫療健康信息保護的管理難度。


            2.個(gè)人信息面臨的網(wǎng)絡(luò )安全問(wèn)題


            醫療健康信息作為我國重要的基礎性戰略資源,加之本身具有隱私性與高價(jià)值性,使得醫療機構個(gè)人信息面臨著(zhù)內外部的雙重安全威脅。


            2.1 外部威脅組織化

            2020年4月,世界衛生組織發(fā)表聲明稱(chēng):醫療機構在疫情期間遭受網(wǎng)絡(luò )攻擊數據同比增長(cháng)5倍。疫情發(fā)生后,醫療衛生行業(yè)史上首次超過(guò)政府、金融、國防、能源、電信等領(lǐng)域,成為全球高級可持續威脅攻擊(advanced persistent threat,APT)活動(dòng)關(guān)注的首要目標。與傳統黑客攻擊相比,APT攻擊最顯著(zhù)的特點(diǎn)是其攻擊行為組織化,攻擊方式從通用攻擊轉向專(zhuān)門(mén)定向攻擊。組織化的攻擊具有更強的隱蔽性,潛伏時(shí)間更長(cháng),攻擊目標更加明確,攻擊與防護方實(shí)力嚴重失衡,給醫療機構現有的安全防護機制帶來(lái)巨大的壓力[4]。


            2.2 內部機制有待完善

            《醫療行業(yè)網(wǎng)絡(luò )安全白皮書(shū)(2020年)》顯示大部分醫療信息系統沒(méi)有完善的數據保護機制,因醫療信息系統被入侵而導致的信息泄露事件多次發(fā)生。究其內部原因,未形成職能分工明確的個(gè)人信息保護組織以及體系化的個(gè)人信息保護規章制度[5]。內部機制及制度不完善,使得在醫療機構個(gè)人信息保護工作落地過(guò)程中無(wú)有效推動(dòng)力。


            3.建立個(gè)人信息保護合規體系的意義


            3.1 滿(mǎn)足國家、行業(yè)法規要求 《中華人民共和國個(gè)人信息保護法》與《中華人民共和國網(wǎng)絡(luò )安全法》《中華人民共和國數據安全法》共同構成網(wǎng)絡(luò )安全的“三駕馬車(chē)”,三法并行,使我國個(gè)人信息保護領(lǐng)域監管更加體系化。對醫療機構來(lái)說(shuō),鑒于自身獨特的行業(yè)屬性及巨大的社會(huì )關(guān)注度和影響力,無(wú)疑會(huì )成為國家個(gè)人信息保護的重點(diǎn)監管行業(yè)[6]?!吨腥A人民共和國基本醫療衛生與健康促進(jìn)法》明確規定:“國家保護公民個(gè)人健康信息,確保公民個(gè)人健康信息安全”,確定了醫療行業(yè)保護個(gè)人信息的主基調。通過(guò)《人口健康信息管理辦法(試行)》《遠程醫療服務(wù)管理規范(試行)》《國家健康醫療大數據標準、安全和服務(wù)管理辦法(試行)》等行政法規要求,建立了行業(yè)個(gè)人信息收集、傳輸、存儲、使用等全生命周期的監管要求。鑒于此,建立個(gè)人信息保護合規體系保障醫療健康信息安全,是國家及行業(yè)的合規要求。


            3.2 筑牢醫療機構安全發(fā)展底線(xiàn)

            近年來(lái),全球范圍內針對醫療衛生機構的網(wǎng)絡(luò )攻擊激增,外部威脅組織化使得行業(yè)面臨的網(wǎng)絡(luò )安全形勢越來(lái)越嚴峻,個(gè)人信息泄露將會(huì )給醫療機構的安全帶來(lái)嚴重的法律問(wèn)題和社會(huì )影響,因此,建立合規體系保障個(gè)人信息安全是醫療機構安全發(fā)展的基本底線(xiàn)。


            3.3 保障醫療服務(wù)高質(zhì)量發(fā)展

            隨著(zhù)人工智能在醫療行業(yè)的廣泛應用,發(fā)掘醫療數據潛在價(jià)值,成為現代醫療發(fā)展考慮的重要課題之一。算法、算力及數據作為人工智能的三大支柱,發(fā)揮的作用各不相同。但是,各組織利用算法及算力構建人工智能應用,本質(zhì)上的差別不大,數據將會(huì )是人工智能在醫療行業(yè)廣泛應用的突破口。如何在保障安全合規的基礎上更好地利用數據將成為醫療業(yè)務(wù)發(fā)展的重要變量。


            4.建立個(gè)人信息保護合規系統的思路


            鑒于醫療健康信息的隱私性、高價(jià)值性以及成熟的監管環(huán)境,如何有效落實(shí)監管要求,實(shí)現醫療機構個(gè)人信息保護與數據開(kāi)發(fā)利用之間的平衡,顯得尤為迫切。個(gè)人信息保護的落地需具備“系統”視角,從組織、制度、資產(chǎn)、技術(shù)等方向協(xié)同發(fā)力。


            4.1 建立組織以明確職能分工有效實(shí)現部門(mén)協(xié)同

            建立全方位、跨部門(mén)、跨層級的個(gè)人信息保護組織架構,是實(shí)施組織級統一化、專(zhuān)業(yè)化個(gè)人信息保護的基礎,是個(gè)人信息保護責任落實(shí)的保障。個(gè)人信息的保護重在強調個(gè)人信息的合法合規利用該過(guò)程涵蓋醫療業(yè)務(wù)、信息技術(shù)、法律合規等多方面因素,貫穿于整個(gè)醫療機構的全部業(yè)務(wù)流程,并非是某單個(gè)部門(mén)的責任,需要各部門(mén)聯(lián)合作業(yè),同時(shí)各個(gè)部門(mén)術(shù)業(yè)有專(zhuān)攻,互為支撐。

            依據自身的個(gè)人信息管理基礎能力與現有的組織架構可以采用集中式管理與聯(lián)邦式管理兩種組織模式[7]。集中式管理對各醫療業(yè)務(wù)線(xiàn)獨立性要求比較低,由組織級統一數據資產(chǎn)管理,對數據的相關(guān)性要求較高。聯(lián)邦式管理對各醫療業(yè)務(wù)線(xiàn)獨立性要求比較高,與業(yè)務(wù)結合緊密,敏捷性較高,數據能力在各業(yè)務(wù)模塊分布相對均衡。采用集中式管理可以由醫療業(yè)務(wù)管理部門(mén)及信息化部門(mén)共同牽頭而發(fā)揮集中管理優(yōu)勢。采用聯(lián)邦式管理模式,充分發(fā)揮組織各部門(mén)業(yè)務(wù)優(yōu)勢,高效敏捷,由信息化、醫政、科研、法務(wù)等輔助各業(yè)務(wù)部門(mén)提升個(gè)人信息保護的時(shí)效性。集中式與聯(lián)邦式管理組織并無(wú)本質(zhì)上的優(yōu)劣之分,集中式并不意味著(zhù)完全的集中管理,聯(lián)邦式也不是純分散管理,采用何種模式主要取決于醫療機構自身個(gè)人信息管理基礎能力與現有的組織架構,也可以采用融合集中式與聯(lián)邦式的混合模式。重要的著(zhù)眼點(diǎn)應該是需明確業(yè)務(wù)部門(mén)、業(yè)務(wù)主管部門(mén)、信息化部門(mén)在個(gè)人信息保護全生命周期的權責,高效協(xié)作[8]。


            4.2 完善體系以建立系統化的個(gè)人信息保護規章制度

            在有效組織基礎上,制定個(gè)人信息相關(guān)制度的過(guò)程中盡量充分利用已有的網(wǎng)絡(luò )安全和數據安全相關(guān)制度體系。在此基礎上,完善個(gè)人信息保護相關(guān)要求,如:對個(gè)人信息收集傳輸及處理制度、個(gè)人用戶(hù)信息收集及處理制度、個(gè)人信息安全保護制度、個(gè)人信息保護培訓制度、個(gè)人信息風(fēng)險評估制度、審計制度等,使其具有合規性、可行性、完備性,全面覆蓋醫療機構各個(gè)業(yè)務(wù)條線(xiàn)[9]。制定個(gè)人信息數據全生命周期操作流程,使其與建立的內部制度互相輔助,并在流程中注意嚴格的權限管理。制度更新是其保持生命力的重要保障,通過(guò)建立內外部視角,密切關(guān)注監管配套規定、執法尺度,司法裁判傾向以及自身業(yè)務(wù)模式的變更,及時(shí)修正完善制度要求,保持制度的執行力及生力。需要特別強調意識培訓在個(gè)人信息保護實(shí)踐中的作用,需要以制度的方式固化下來(lái),加強意識學(xué)習和督導,建立醫療衛生機構患者個(gè)人信息的保護規則,通過(guò)具體的場(chǎng)景落實(shí)個(gè)人信息保護要求。


            4.3 梳理資產(chǎn)以形成個(gè)人信息資產(chǎn)清單持續動(dòng)態(tài)更新

            摸清家底是建立防護措施的前提與基礎,個(gè)人信息可能存在醫療信息系統、紙質(zhì)病歷、知情同意書(shū)等各個(gè)場(chǎng)景中,梳理信息庫存,明確業(yè)務(wù)過(guò)程中涉及有哪些醫療健康信息、承載個(gè)人信息數據位何處、數據如何流動(dòng)。利用技術(shù)工具從醫療業(yè)務(wù)系統或者數據平臺中梳理數據,識別數據關(guān)系,可視化包含元數據、數據字典的數據模式。從醫療業(yè)務(wù)流程和個(gè)人信息應用的視角出發(fā),完善包含業(yè)務(wù)屬性、管理數據的個(gè)人信息資產(chǎn)信息,形成個(gè)人信息資產(chǎn)地圖,并動(dòng)態(tài)更新。以此為基礎,對個(gè)人信息進(jìn)行分類(lèi)分級、處理權限劃分等,確定處理個(gè)人信息級別及權重。此外,可以從個(gè)人信息動(dòng)、價(jià)值、技術(shù)等維度對組織的個(gè)人信息管理開(kāi)展全面評估,將評估結果作為評估基線(xiàn),有助于組織了解自身管理現狀,以進(jìn)一步指導數據戰略規劃。


            4.4 技防落地,采用合適的技術(shù)落地安全策略

            適宜技術(shù)是保障個(gè)人信息保護制度體系落地的重要方式,可利用訪(fǎng)問(wèn)控制、審計、匿名化(使個(gè)人信息主體無(wú)法被識別或者關(guān)聯(lián),處理后的信息不能被復原)、加密、去標識化(對標識進(jìn)行處理,處理后的信息無(wú)法識別到特定個(gè)人信息主體的數據處理方式)等技術(shù)對個(gè)人信息開(kāi)展防護,技術(shù)的應用需要考慮特定的場(chǎng)景,針對不同的場(chǎng)景投放不同的技術(shù)防護措施。

            在患者查詢(xún)場(chǎng)景中,患者通過(guò)信息平臺查詢(xún)相關(guān)的病歷信息、健康檔案數據等,需要利用身份識別技術(shù)完成個(gè)人用戶(hù)注冊、登錄驗證、查詢(xún)驗證等,通過(guò)訪(fǎng)問(wèn)控制,對個(gè)人的操作權限進(jìn)行控制,包括另存、復制、打印、下載等。信息查詢(xún)階段,為防止賬戶(hù)遺失造成個(gè)人信息大量泄漏,信息平臺應對可查詢(xún)信息進(jìn)行適當限制,如人類(lèi)免疫缺陷病毒(human immunodeficiencyvirus,HIV)、肝炎等敏感檢查結果不予顯示,默認僅可查詢(xún)3個(gè)月內的相關(guān)檢查檢驗報告、用藥情況等。在移動(dòng)應用場(chǎng)景中,需要在開(kāi)發(fā)過(guò)程中建立三方組件、軟件開(kāi)發(fā)工具包(software development kit SDK)準入規范,防止引入非法SDK造成過(guò)度收集個(gè)人信息。應用上線(xiàn)前,除了常規功能和性能測試、安全測試外,還需額外通過(guò)個(gè)人信息專(zhuān)項合規測試,確保產(chǎn)品實(shí)現滿(mǎn)足最新的個(gè)人信息保護合規要求[10]。


            5.總結與展望


            醫療機構構建的個(gè)人信息保護合規體系與信息安全和數據安全體系建設密不可分,行業(yè)個(gè)人信息保護的完善與發(fā)展也不能跳出信息安全及數據安全整體網(wǎng)絡(luò )安全體系獨自發(fā)展,信息安全是響應國家“健康中國”戰略,實(shí)現監管合規要求,把握醫療慢病防治及醫療自身業(yè)務(wù)高質(zhì)量發(fā)展的破局之舉、必經(jīng)之路。數據安全建設需要結合醫療數據本身的特點(diǎn)及組織自身數據的管理階段等因素,全局謀劃,形成戰略合力,促進(jìn)數據安全開(kāi)放共享,普惠全體人民。個(gè)人信息保護體系建設與培育隱私保護文化共進(jìn),讓新技術(shù)賦能個(gè)人信息保護落地實(shí)施,實(shí)現醫療信息化的便利性與保障隱私安全[11]。統籌信息安全、數據安全及個(gè)人信息保護相輔相成,協(xié)同共進(jìn),在“健康中國”戰略的大力推動(dòng)下,在行業(yè)政策的有效指導下,醫療機構個(gè)人信息保護將穩步前進(jìn),促進(jìn)醫療健康信息價(jià)值進(jìn)一步釋放。


            參考文獻

            [1] 琚文勝,訾明杰,張世紅,等.電子健康記錄共享調閱中個(gè)人同意的法規研究[J].中國數字醫學(xué),2021,16(11):1-5.

            [2] 舒婷."互聯(lián)網(wǎng)+"時(shí)代的患者隱私保護[J].中國數字醫學(xué),2016,11(5):41-43,83.

            [3] 趙韡.心血管領(lǐng)域大數據的應用與挑戰[J].中國衛生人才,2017(4):19-23.

            [4] 鄭攀,陳臣.網(wǎng)絡(luò )安全態(tài)勢感知探索與實(shí)踐[J].中國數字醫學(xué),2021,16(6):5-8,32.

            [5] 中國軟件評測中心.醫療行業(yè)網(wǎng)絡(luò )安全白皮書(shū)[EB/OL].(2020-04-01)[2022-0110].  https://www.cstc.org.cn/info/1202/1612.htm.

            [6] 韓作為,李宏芳,趙韡.醫療衛生行業(yè)網(wǎng)絡(luò )安全相關(guān)要求梳理與分析[J].中國數字醫學(xué),2021,16(6):1-5.

            [7] 大數據技術(shù)標準推進(jìn)委員會(huì ),中國信息通信研究院.數據資產(chǎn)管理實(shí)踐白皮書(shū)(5.0版)[EB/OL].(2021-12-20)[2022-010].https://max.book118.com/html/2019/0502/8007075110002021.shtm.

            [8] 陳竹,陳曉英.大數據時(shí)代關(guān)于個(gè)人信息安全問(wèn)題的思考[J].遼寧工業(yè)大學(xué)學(xué)報,2022,24(1):20-22.

            [9] 劉忠炫.個(gè)人信息處理的合理限度:基于必要性原則的場(chǎng)景化分析[J].上海政法學(xué)院學(xué)報(法治論叢),2021,36(5): 150-160.

            [10] 喬喆,白雪,封琳潔.企業(yè)APP個(gè)人信息安全保護合規風(fēng)險及保護體系實(shí)踐[J].電信工程技術(shù)與標準

            化,2021,12(34):7-11.

            [11] 袁靖,卜天,秦曉蕾,等.醫院病案數字化轉型與應用實(shí)踐[J].中國數字醫學(xué),2021,16(9):11-25.


            本文轉載自其他網(wǎng)站,不代表中電湘江觀(guān)點(diǎn)和立場(chǎng)。如有內容和圖片的著(zhù)作權異議,請及時(shí)聯(lián)系我們(郵箱:xieli@cecdat.com)

            小小影视大全在线观看电视剧免费
          2. <cite id="3t8ug"></cite>
          3. <b id="3t8ug"><rt id="3t8ug"></rt></b>
              <cite id="3t8ug"><noscript id="3t8ug"></noscript></cite>

              <listing id="3t8ug"><rt id="3t8ug"></rt></listing><tt id="3t8ug"></tt>

            1. <tt id="3t8ug"><form id="3t8ug"></form></tt>
              <tt id="3t8ug"><tbody id="3t8ug"></tbody></tt>
            2. <source id="3t8ug"></source>

                1. <tt id="3t8ug"></tt>
                  <tt id="3t8ug"></tt>
                  <rp id="3t8ug"><form id="3t8ug"><label id="3t8ug"></label></form></rp>
                  1. <b id="3t8ug"><tbody id="3t8ug"><del id="3t8ug"></del></tbody></b>
                    <cite id="3t8ug"><span id="3t8ug"></span></cite>