鑽石舞台｜痞客邦

近年來，《民法典》《個人信息保護法》《數據安全法》《醫師法》以及《國家健康醫療大數據標準、安全和服務管理辦法（試行）》等法律法規陸續出台，從多個視角對醫療衛生行業的數據處理和安全保護進行了規定。各類健康醫療數據採集變得更加立體，獲取數據的渠道也越來越多，由單一的錄入轉變為群聚式收集。醫療衛生行業數字化過程中產生的數據更全面、完整、精細，同時也意味着行業整體數據安全和個人信息保護面臨着更大的威脅。完善醫療衛生行業相關數據安全指標體系和評價機制，加強人員培訓、新技術適配與管理制度落地，確保所涉及的各類醫療健康數據遵循法律規定，符合數據全生命周期安全管理要求，讓醫療健康數據全流程可感知、可管控、可溯源已是迫在眉睫。

一、醫療衛生行業數字化中的安全困境

探索醫療衛生行業如何落地實施數據安全法，需正確理解醫療衛生行業數據安全頂層設計建設，從行業真實痛點出發來考慮如何推進相關數據安全制度的構建，方能以有效手段解決真實困境。

痛點一：醫療聯合體互聯互通帶來的數據安全問題

在醫療衛生行業的發展中，區域發展的不平衡帶來了資源的分配不均與浪費，管理部門提出利用業務聯動打通醫院之間的壁壘，讓數據流動起來，帶動業務流轉。但實際中各醫院對此牴觸情緒較大，例如同城醫療機構之間的電子病歷健康檔案互通，檢驗結果互認，都難以很好地實現。在此基礎上，國家提出醫療聯合體（以下簡稱「醫聯體」）的概念，推動數據共享。但同一醫療機構醫聯體間需共享的信息和數據繁雜，以區域為目標帶動行業發展的道路仍舊艱辛，若通過互聯網進行數據交互則接入安全風險大，若使用專網互聯，則面臨接口種類統一性難題。此項任務缺乏專人梳理，導致數據質量不穩定，數據清洗成本高。此外，由於個人健康檔案涉及數據類別眾多，包括大量的個人信息和隱私數據，若使用此類數據則需要患者進行授權，會對相關的業務流程造成較大的重構要求。

如今對醫療數據的利用已成為兵家必爭之地，信息處（科）的地位也隨之有所增長，但長期以來的忽視，導致提升有名無實。醫聯體帶來的地緣區域優勢，也由理想中的互惠互利逐步演變成現實中的大魚吃小魚，醫療數據的互通與利用變成單方面的匯聚，醫聯體的網格化布局反而成為星狀的大網絡聚集，由此帶來的信息化壓力與信息安全成本陡增。

痛點二：自身數據安全運維體系脆弱問題

在醫療衛生行業，信息化部門一般有兩種工作模式。一種是對新項目大幹快上，能上馬幾個就上馬幾個；另一種是項目轉入運營後，發現項目過多導致運營吃力。同時，新建項目經費有餘，但老項目高企的運維成本難有出處，大量的三級（非三甲）醫院與二甲醫院只能勉強保障 IT 基礎運維，對於信息安全運維經費甚至只能寄希望通過某次安全事件能帶來新的補給。

醫療衛生行業對信息化的觀念仍停留在低效運營階段，往往只看到新興業務帶來的收益遠高於自身網絡安全建設的收益，造成一直以來重開發而輕管理的發展模式。無論是基礎的安全測評服務，還是安全設備的採購，過去醫療衛生行業滯後一兩年是常態，如今仍舊是設備大於服務的理念，盼來一次諮詢梳理與升級改造難上加難。大量醫療衛生機構寧願埋頭當「鴕鳥」，也不願正視自身數據存在安全隱患。例如，媒體屢屢報道醫院的數據被倒賣，機構並非不知情，出了問題後再去努力整改，反而從某種程度上驅動數據安全的進步。這種輪迴帶來的後果，導致信息處（科）缺乏足夠的動力對安全負責，而是將能放出去的業務儘可能託管出去，因為自身的工作無法量化，不如購買可視化的服務更能得到領導的認可。

痛點三：數據安全的外延安全管理問題

《數據安全法》的落地，需要區分數據的管理者、使用者、加工者等多種身份。但我國的醫療衛生行業從原始模式到電子化甚至無紙化，信息化的進程超乎想象，導致機構在還未消化完善好業務自身的狀況下，又因智能化發展而不斷疊加了新技術、新應用、新場景，隨之而來的是安全的持續缺位。重發展而輕安全，是一段時期的特殊產物，對長遠發展不利，所以習近平總書記高瞻遠矚地提出了「網絡安全和信息化是一體之兩翼、驅動之雙輪」的指導思想。

在面臨數字化轉型的今天，安全這個無法帶來直接經濟效益的難題直接擺在了醫療衛生行業面前。《數據安全法》的及時頒布，讓很多人還未享受到醫療語音智能 AI、醫療大數據匯聚處理平台、決策駕駛艙等新技術所帶來的數字化紅利，就要被冠上「數據安全」這一緊箍咒，導致個別決策者存在牴觸情緒，某些賽道的廠商也同樣表現消極，因數據安全而停掉的項目有可能越來越多，合規性是醫療衛生行業面臨的一個新的挑戰。

過往選擇將部分業務託管給外部單位，是醫療衛生行業最佳的減負選擇。但隨着相關法規的強力要求，對管理者來說，職責邊界也隨業務擴張而外延，其外延的安全威脅也越來越大，難以維持住外延的安全保障，例如因第三方丟失數據引發的安全事件常有發生。因此，開始有醫療機構謀劃將數據重新集約化管理，以提升安全保障。但醫療衛生行業虹吸效果顯著，在信息化與數字化轉型中也同樣明顯，大量非三甲醫院缺少技術支撐，導致行業難以均衡發展。

痛點四：區域數據匯集問題

如今，絕大多數三甲醫院進行了大數據的匯集，但帶來的安全保障壓力與日俱增。大量區域性匯集以存儲為主，在醫療用地緊張的今天，機房空間日漸不足，很多醫療機構選擇了雲服務。但機構使用雲服務往往僅解決數據存儲的廣度問題，未能有效利用雲技術的優勢，導致大量數據無序存放。例如醫療衛生行業不斷升級迭代的新業務，使得同批次貨物（數據）占用了多個雲存儲空間。這種無序導致了缺乏安全的縱深防禦和業務感知的顆粒度辨識，還造成雲存儲資源的浪費。此外，對雲上數據的利用缺乏審計與監管，使得很多管理制度直接成空。

醫療數據缺乏有力監管的成因之一是數據管理者的缺位，而數據使用方存在加工後的數據資產歸屬模糊的思想，也是需要通過數據安全法的深化落地而解決的問題。大量的歷史數據數字化再利用，也面臨着缺乏授權、追溯困難等挑戰。

在醫療衛生行業產業升級的過程中，對於數據資源利用亟需一次精準的宏觀調控，將有限的數據空間資源充分利用起來，讓屬於醫療行業的業務回歸其本質，更好地利用科技去治病救人。

痛點五：供應鏈安全問題

國家近期提出「東數西算」的戰略，其實在醫療衛生行業非常需要大型算力，用於有關疾病研究、藥物開發、數字孿生等模擬演算。近年來世界格局的發展讓我們深刻意識到，科技是有國界的。只有發展自身的關鍵技術，才能保證自身的數字化發展進程不被打斷。這裡最關鍵的是需要構建軟硬結合的全產業鏈科技體系。

當前，醫療衛生行業的供應鏈管理較為孱弱，無論是對供應商的管理，還是對產業升級替代，都無法做到有效驅動。例如醫院信息系統（HIS）系統被極個別廠商強勢綁定，導致整體產業無法及時跨入數字化時代，此類供應鏈問題得不到足夠重視。對醫療衛生行業整體供應鏈的安全維度和管理制度，是亟需加強的核心問題。

醫療衛生行業在供應鏈安全管理中，除公司、人員、技術、管理、產品外，還應該對軟件的開發進行安全排查。基於信息化發展初級階段的互相模仿，醫療衛生行業的大量軟件存在後門及其他隱患。疏於對於軟件開發的管理，也將成為今後數據安全面臨的挑戰。除已有的軟件安全性存疑，後續最大的挑戰在第三方的配合度，醫療衛生行業的核心功能軟件，例如HIS、實驗室信息管理系統（LIS）、影像歸檔和通信系統（PACS）等，能否適配未來的信創環境，還有待觀察。

痛點六：醫療工控設備數據安全

醫療機構除了傳統業務場景下缺乏自主可控以及科技賦能，在核心業務領域的信息化基本也被國外牽着鼻子走。電子計算機斷層掃描（CT）、核磁共振設備等大型醫療器械，幾乎難以實現自主化。無論是從工業設備的製造領域還是工業控制的管理上，醫療衛生行業都存在着十分嚴重的數據安全風險。在特殊設備的信息化集成能力方面，幾乎是伴隨着國外的腳步亦步亦趨。除信息展示是可控的，其他的數據收集與利用領域都面臨着話語權的缺失。近期也有案例表明，國外敵對勢力對我國醫療工控設備的入侵可謂是予取予求。在醫療領域中，針對醫療工控設備的採購，信息部門起不到作用，難以設立技術標準。每台大型醫療設備都價值不菲，維護都需要開端口進行遠程維護，使用方往往連取消遠程模塊都難以抉擇，這是導致數據外泄的重大風險。

同樣面臨嚴峻問題的還有數據出境，無論是醫療機構中重要科室的科研課題研究，還是老百姓對於某些醫療行業尚未涵蓋到的診療訴求，都將帶來數據跨境交流傳輸的現實情況。而針對特定醫療數據的分類分級後，能否滿足出境要求，也將帶來執行層面上的困境。

二、對醫療衛生行業數據安全新挑戰的建議

(繼續閱讀...)

鑽石舞台發表在痞客邦留言(0) 人氣()