關注 | 全國醫療機構網絡信息安全管理辦法將出臺 - 網安 - 專業的網絡安全產業、社區、知識平臺

“全國醫療機構網絡信息安全管理辦法正在起草中，不久將會出臺。”一消息人士近日在中國互聯網大會上透露，新冠疫情暴發后，全球醫療健康數據頻繁受到黑客攻擊，國內開始重視醫療健康數據的價值，希望通過立法、加強監管等多維度方式提升醫療健康數據的整體安全水平。

醫療健康數據被廣泛應用

醫療健康數據廣泛應用在日常生活的多種場景中。比如，通過大數據高效分析用藥成分、劑量時間等情況，尋找合理用藥的最佳組合；通過大量臨床數據進行科學分析找到病因，并進行臨床病因分析和慢病監測；通過對基因序列大量分析，快速篩查和預測疾病和潛在基因缺陷的基因組學分析；對患者進行遠程疾病數據采集后，結合大量臨床病因數據分析，實現遠程醫學診療；通過智能可穿戴設備收集數據，實現人體生命體征檢測，預警潛在健康風險，進行健康管理；應用大數據等算法，制定醫保支付標準，并基于此進行精準的醫保決策分析等等。

衛健委醫院管理研究所副所長王凱表示，醫療行業關系國計民生，醫療數據一旦遭到篡改、破壞和泄露，勢必對醫療機構的聲譽、醫患雙方的隱私及健康安全構成嚴重威脅，甚至影響社會的和諧穩定。

中國信通院云計算與大數據研究所副所長魏凱告訴記者，基于醫療大健康數據的敏感性，2016年至今，國家相繼出臺了不少醫療健康數據安全政策進行規范，包括《關于促進和規范健康醫療大數據應用發展的指導意見》、《互聯網診療管理辦法》、《互聯網醫院管理辦法》、《遠程醫療服務管理規范》、《國家健康醫療大數據標準、安全和服務管理辦法》、《人類遺傳資源管理條例》、《數據安全法》等法律法規。

“即使有如此多法規，醫療健康數據安全事件頻發，數據安全形勢非常嚴峻。”他說，尤其是疫情后，數據安全的風險進一步加劇了。

疫情后健康數據安全風險加劇

2020年4月，世界衛生組織發表聲明稱，疫情期間遭受網絡攻擊數量同比增長5倍。奇安信集團發布網絡安全系列報告指出，2020年疫情暴發后，醫療衛生行業史上首次超過政府、金融、國防、能源、電信等領域，成為全球APT（黑客以竊取核心資料為目的，針對客戶所發動的網絡攻擊和侵襲行為）活動關注的首要目標。全球23.7%的APT活動事件與醫療衛生行業相關。中國首次超過美國、韓國、中東等國家和地區，成為全球APT活動的首要地區性目標。

安天科技集團董事長肖新光透露，抗擊疫情期間，我國的衛生醫療系統、疫苗研究機構、科研院所等曾頻繁遭遇網絡入侵攻擊。2020年4月，中國醫療公司AI檢測新冠病毒技術實驗數據源代碼被黑客竊取并出售。

在疫情期間，醫療機構個人和患者信息泄露事件更是頻發。2020年1月，某市區衛生管理部門領導通過微信轉發新冠病人報告。2020年11月，某市區衛生管理部門領導為提醒轄區內某單位做好防疫工作，將“疑似密接調查情況簡介”微信轉發，造成該轄區內單位將此信息大規模群發。

此外，遠程網絡診療方式在疫情后被人們普遍接受，全國不少醫院都在申請互聯網醫院、智慧醫院。業內人士指出，由于使用網絡傳遞診斷數據、照片等信息，醫療健康數據的不安全風險可能會進一步加劇。

據悉，目前醫療健康不安全風險主要體現在八個方面，

一是在線醫療數據：檢驗報告、診斷結果、既往病史等健康醫療數據存在因漏洞攻擊、病毒感染等，導致的非法訪問、竊取篡改和惡意上傳等風險；

二是醫聯體訪問數據：醫聯體以及第三方服務機構人員在對敏感數據進行訪問瀏覽的過程中，均可能導致醫患隱私等重要信息面臨泄露風險；

三是臨床科研數據：臨床科研數據涉及人口學資料、檢查信息、檢驗信息、藥品醫囑、診斷信息、病例以及患者報告，傳輸過程中一旦發生泄露，后果非常嚴重；

四是醫保數據：醫保數據涉及與第三方機構對接，在系統對接、數據傳輸、數據使用、數據存儲、數據銷毀等環節面臨安全風險；

五是醫療設備維保數據：醫療器械廠商在進行遠程醫療設備維護保養時，數據將面臨非授權訪問、不安全鏈接、隱私數據泄露、維護記錄保存不當等安全風險；

六是健康大數據中心數據：分類分級機制缺失導致將非法登錄、越權訪問、異常調閱、冒名查詢、批量竊取、明文泄露等數據安全隱患；

七是可穿戴健康設備數據：可穿戴設備數據在采集、存儲、使用階段均存在著不同程度的安全隱患；

八是醫療健康APP數據：移動應用涉及眾多在線健康醫療服務、存在泄露個人健康狀況數據、支付數據、衛生資源數據以及公共衛生信息的隱患。

多維度提升數據安全整體水平

“還有一些健康敏感數據也在非法出境。國內某知名醫院領導與國外公司達成合作協議，非法啟動某敏感數據科研項目，國外這家公司對該科研項目樣本數據具有遠程不受限制的訪問權。”一位業內人士指出，面對復雜的形勢，醫療機構等相關部門需要多維度提升醫療健康數據安全整體水平。

魏凱指出，一方面加強監管，推動制定、完善衛生健康行業數據安全管理辦法出臺。另一方面，制定完善醫療健康數據安全配套標準體系，建立行業合作機制，協同創新、開放共享。

“北京衛生健康委制定了北京互聯網醫院監管平臺，要求北京市開展互聯網診療服務的醫療機構均需與監管平臺對接，接受平臺監督。”北京衛生健康委信息中心副主任鄭攀說，截至今年6月，北京市共審批了19家互聯網醫院，已全部對接監管平臺。

據悉，互聯網醫院監管平臺內容包括，升級已建的醫政醫管電子化注冊平臺，實現機構、醫師、護士電子證明、救護車以及醫療廣告等醫療資源的管理；建設醫療服務與執業監管平臺，實現互聯網醫院審批及互聯網診療的實時動態監管；建設醫療服務與執業監管平臺，建設醫療服務、診療行為等信息的采集系統以及數據展示系統，實現對實體醫療機構醫療資源與醫療服務的監管。