News
互联网医疗作为新时代下的重要生产力,正以其便捷高效的特点成为健康经济领域的一支生力军。然而,近期知名互联网医疗平台“好大夫在线”的大量敏感数据被公然售卖,价格区间从50元至1500元不等。这些数据不仅包括患者的个人信息(如性别、年龄、病史等),还包括具体的问诊记录、医生的治疗建议甚至是交流的时间节点等详尽信息。这种行为不仅暴露了网络空间的安全漏洞,更是对患者隐私权的严重侵犯,凸显了当前网络安全形势的严峻性。
医疗数据的安全性关乎每个人的隐私和生命健康,因此,确保这些数据的安全至关重要。一旦泄露,可能会导致严重的后果,包括个人隐私暴露、身份盗用以及潜在的医疗纠纷等问题。
一、政策推动医疗数据安全保护
近年来,国家对医疗数据安全的重视程度不断提升,一系列政策法规相继出台,为医疗数据安全能力和体系的建设提供了强有力的政策保障。从强化数据安全监管到推动数据安全技术创新,再到完善数据安全法律法规体系,国家政策的持续加码为医疗数据安全筑起了一道坚实的防线。
2018年4月,国家卫生健康委发布《关于印发全国医院信息化建设标准与规范(试行)的通知》。对二级及以上医院的数据中心安全、终端安全、网络安全及容灾备份提出要求。
2018年9月13日,国家卫生健康委发布《国家健康医疗大数据标准、安全和服务管理办法(试行)》,明确责任单位应当落实网络安全等级保护制度要求,对健康医疗大数据中心、相关信息系统开展定级、备案、测评等工作。
2018年9月14日,国家卫生健康委发布《关于印发互联网诊疗管理办法(试行)等3个文件的通知》,管理办法要求医疗机构开展互联网诊疗活动,应当具备满足互联网技术要求的设施、信息系统、技术人员以及信息安全系统,并实施第三级信息安全等级保护。
2018年12月21日,国家卫生健康委办公厅发文《加快推进电子健康卡普及及应用工作的意见》,对重点工作任务进行部署,要求着力加强电子健康卡应用安全建设及管理,对电子健康卡管理服务系统、识读终端设备、应用密码机、互联网医疗健康服务应用软件等依据国家行业标准实行质量及安全检测,强化个人健康信息安全管理,建立相关安全风险动态评估管理机制,同时要求电子健康卡积极采用国密算法和国产自主可控安全技术,确保居民健康信息的安全。
2019年4月,国家卫生健康委发布《关于印发全国基层医疗卫生机构信息化建设标准与规范(试行)的通知》,明确了基层医疗卫生机构未来 5-10 年信息化建设的基本内容和要求。其中信息安全部分包括身份认证、桌面终端安全、移动终端安全、计算安全、通信安全、数据防泄露、可信组网、数据备份与恢复、应用容灾、安全运维等10个方面。
2019年12月,经第十三届全国人民代表大会常务委员会第十五次会议通过,我国颁布卫生健康领域第一部基础性、综合性法律《中华人民共和国基本医疗卫生与健康促进法》,明确国家采取措施推进医疗卫生机构建立健全信息安全制度,保护公民个人健康信息安全,对医疗信息安全制度、保障措施不健全,导致医疗信息泄露和非法损害公民个人健康信息的行为进行处罚。
2020年2月,国家医疗保障局、国家卫生健康委员会发布《关于推进新冠肺炎疫情防控期间开展“互联网+”医保服务的指导意见》,要求不断提升信息化水平,同步做好互联网医保服务有关数据的网络安全工作,防止数据泄露。
2022年9月,《医疗卫生机构网络安全管理办法》发布,要求基于网络和数据的全生命周期视角,梳理安全策略架构,识别具体业务场景,有针对性的设计安全措施,实现安全防护。
二、医疗数据安全仍面临诸多风险
尽管有了较为完善的法律法规体系,但医疗数据安全仍然面临着诸多风险,包括内部员工违规操作、外部黑客攻击、数据泄露事件频发等问题。这表明现有的防护措施仍有待进一步加强和完善。
数据安全合规挑战
我国形成了以《网络安全法》《数据安全法》《个人信息保护法》为代表的数据安全顶层监管框架。医疗行业也出台了《医疗卫生机构网络安全管理办法》等各项监管政策,监管要求日趋精细化,网络和数据安全监管要求越来越多,满足监管的难度越来越大。
数据分类分级挑战
数据分类分级是构建完善数据要素市场的必要前提。基础制度建设相对滞后,无法有效支撑数据分类分级工作;传统数据分类分级工具在敏感数据的宽度、精度识别率不高;面向海量数据的数据资产分类分级,专业人员数量缺口巨大。
数据流动监测挑战
业务对数据流动性要求日益增加,使得数据流动路径变长,给监测带来困难。
数据泄露和信息安全威胁挑战
在数字经济时代,数据泄露和信息安全威胁是最主要的挑战之一。黑客入侵和网络攻击频繁发生,企业面临着盗窃、勒索和恶意软件等多种风险。
数据安全保障体系建设滞后
随着大数据、云计算等新技术的应用,医疗数据安全面临新的威胁。传统的安全防护措施可能无法应对复杂多变的攻击手段,如数据泄露、篡改、勒索等。同时,数据安全风险感知、监控、预警和应急响应能力不足,使得在发生安全事件时,难以及时、有效地进行处置。
三、全流程治理体系保障医疗数据安全
面对日益严峻的数据安全环境,道普信息风险管控专家倡导构建全面的构建动态安全防护体系,积极跟踪国内主要政策,切实落实数据安全要求,建立起可信赖的医疗领域数据安全环境。
1、强化数据资产管理
01应用数据资产发现工具:部署数据发现产品,通过预配置数据分类分级模板,自动化识别数据业务类型,对数据含义进行标识,从而全面、准确地掌握医疗数据资产状况。
02统一分类分级标准:结合国家和地方发布规范,梳理并制定适用于本地实际情况的分类分级参考规范,确保数据管理的标准化、一致性。
2、构建全方位数据安全防护体系
01建立数据安全风险感知平台:实现数据安全的“六个统一”管理,即统一账户、统一监控、统一展示、统一分析、统一告警、统一配置,提升数据安全防护的主动性和整体性。
02加强技术防护措施:采用数据加密、访问控制、身份鉴别、数据脱敏、安全审计等技术手段,确保数据在采集、传输、存储、处理、交换、销毁等全生命周期各环节的安全。
03完善数据安全运营与风险监控机制:实施安全合規管理,定期进行安全审计,强化医疗数据防泄漏措施,确保数据备份恢复系统的有效性,以应对潜在安全风险。
3、规范数据共享与开放流程
01建立健全数据共享管理制度:明确数据内外共享交换管理细则,严格账号权限管理,实施共享操作审计,对合作方进行背景资质审查,确保数据在共享过程中的安全可控。
02严格执行数据去标识化和标签化:在数据对外开放时,严格执行数据脱敏和标签化处理,遵循开放流程,加强对合作方的数据安全管理,防范数据滥用和隐私泄露风险。
4、注重多规管理融合
基于网络安全责任制、等级保护、关基保护、密码应用、数据安全、个人信息保护等监管要求,一次测评,多规满足,针对风险提出改进建议,实现合规工作的规范化,降低合规管理成本,满足监管部门各项数据安全要求,减少监管部门的通报,实现医疗领域全面合规。
好大夫在线的数据泄露事件,虽然令人痛心,但也为我们敲响了警钟。作为互联网医疗行业的参与者,我们不应忽视任何可能的数据安全风险。通过构建全流程数据治理体系、加强政策法规落实、提升技术防护能力等多措并举,我们完全有能力守护好医疗数据安全这片净土。展望未来,随着技术的不断进步和法规的日益完善,我们有理由相信,一个更加安全、可信、高效的互联网医疗新生态将逐步形成,为人民群众的健康福祉保驾护航。
热点新闻
-
2024-10-29
-
2024-10-29
-
2024-10-29
-
2024-10-29
-
2024-10-28
-
2024-10-28