評論：安全是健康醫療大數據的核心基礎

　　文章導讀： 7月16日，國家衛生計生委衛生發展研究中心在北京舉辦了旨在學習6月21日國務院下發的《關于促進和規范健康醫療大數據應用發展的指導意見》 的專門研討會。

　　中國電子技術標準化研究院 何延哲

　　中國信息安全測評中心 付嶸

　　（本文刊發于《中國經濟周刊》2016年第30期）

　　7月16日，國家衛生計生委衛生發展研究中心在北京舉辦了旨在學習6月21日國務院下發的《關于促進和規范健康醫療大數據應用發展的指導意見》 （下稱“《意見》”） 的專門研討會。在研討會上，數據安全、隱私成為關鍵詞。參會的官員、專家、醫療從業人員一致認為發展健康醫療大數據應首先警惕數據安全，保護患者隱私，才能真正實現數據融合共享、開放應用。

　　巧合的是，當天有媒體報道了我國30省份至少有275位艾滋病感染者個人信息遭泄露的事件。犯罪分子在詐騙電話中能準確地描述出病患的個人信息，包括真實姓名、身份證號、聯系方式、戶籍信息、確診時間、隨訪的醫院或區縣疾控等等，并謊稱能為病患辦理補助而需要收取不菲的手續費。中國疾病預防控制中心相關負責人于7月17日表示，國家艾滋病感染者相關信息系統被列為國家網絡信息重點安全保護對象，目前已經報案，將積極配合公安部門盡快破案。此事還引起了世界衛生組織駐華代表處和聯合國艾滋病聯合規劃署駐華代表處的關注。7月18日，兩家代表處聯合發表聲明，強調“加強現有系統以杜絕類似信息入侵事件再次發生，至關重要”。

　　國家對于健康醫療大數據的安全十分重視，據統計，《意見》中，“安全”這個詞出現了33次。而此次疑似真實發生的醫療數據安全事件，成為“安全是核心基礎”的最佳注腳。

　　他山之石，可以攻玉

　　——英國健康醫療數據安全的審查和建議

　　不止我們，許多其他國家也發生了一系列事件，向全世界宣告了他們對健康醫療數據安全的關切。在英國，國家醫療服務體系（National Health Service, NHS）于2016年7月6日做出停止care.data健康醫療大數據平臺的決定中，“安全”即是重要原因之一。

　　在很大程度上，NHS決定關閉care.data，是基于7月6日發布的兩份評估報告。第一份報告《安全的數據，安全的醫療》（“Safe Data, Safe Care”）由英國醫療質量委員會（Care Quality Commission，CQC）發布。醫療質量委員會是英格蘭健康和社會醫療的獨立監管機構，其職責是監控、檢查和評價醫療服務，促進醫療服務符合標準規范以保證其質量和安全。作為獨立第三方，CQC經常發布地區、國家級的健康和社會醫療質量報告。2015年9月，受英國衛生大臣委托，CQC對NHS處理病人敏感數據過程的安全現狀進行審查，并提出改進數據安全的建議。

　　第二份報告《對數據安全、同意和選擇退出的審查》（“Review of Data Security, Consent and Opt-Outs”）是由英國“國家健康和醫療數據守護者”（National Data Guardian for Health and Care, NDG）發布。2015年9月，英國衛生大臣也委托其與CQC緊密合作，共同提出新的數據安全標準、測評數據安全合規的新方法，以及獲取同意共享數據的新模式。在英國，NDG由衛生大臣任命，其主要職責是確保公眾能夠信任醫療健康系統將保護個人信息，以及個人信息將被用于提高健康醫療水平。

　　CQC和NDG在對533起數據安全事故調查后發現，大多數事故與紙質的醫療記錄相關，且80%到90%的數據安全事故是因為工作人員的習慣無意之中引起的，比如點擊了不安全的鏈接、丟失了存儲數據的介質等。但是隨著醫療信息系統的普及、數據的逐步集中化及對公眾開放訪問入口，如果不提升安全防護水平，更嚴重、更大規模數據泄露的風險將會增加。綜合CQC和NDG的報告，英國NHS數據安全工作中存在以下問題：

　　首先，雖然很多機構都建立了數據安全方面的策略與規程，但并沒有在日常工作中得到有效實施，很多機構只依賴策略和規程，而不是通過檢測驗證系統是否足夠安全，也未要求其供應商也遵循同樣的管理措施。

　　其次，NHS的絕大部分工作人員認可數據安全的重要性，但是培訓質量參差不齊，有些機構培訓覆蓋面不夠，未涉及合同商、數據共享方、臨時員工等，有些機構未將安全事故經驗作為培訓內容的重要參考。

　　再次，機構往往不清楚如何從目前存在的大量安全標準中選取合適的參考，許多機構很少去學習其他機構保護數據安全的做法，也很少請外部第三方機構做專業的安全測評。

　　針對上述問題，CQC和NDG提出的建議簡要概括如下：第一，每個機構的領導應該明確數據安全的責任人和其職責，類似于組織醫療事務和財務的管理和問責制度，包括建立有效的內審機制，必要時進行外審以驗證安全措施有效性，對惡意類數據安全事件進行嚴厲處罰等；第二，所有的工作人員應該獲得足夠的資源，包括正確的信息、工具、培訓等，以便于他們履行數據安全處理和共享的職責；第三，IT系統和所有的安全協議都應該按照實際的病人治療過程和一線工作人員的需求進行設計；第四，應該按照新的數據標準要求設計自評估系統，并選取優秀的案例供其他機構進行同步學習；第五，NHS應該修改通用財務合同模板，確保各機構能夠落實數據安全標準，地方機構和供應商簽署的合同也應有相應的條款，當供應商無法滿足安全要求時不應與其續簽合同。

　　雖然NHS以及care.data計劃在數據安全管理方面受到詬病，但從以上審查結果中不難看出，英國作為健康和醫療大數據集中應用的先行者，已經在數據安全方面做了很多有價值的工作，比如配套的法律法規、標準規范，任命了專門的數據保護官員，建立了獨立的監管和審計機構，建立了數據安全風險管理的信息系統等。

　　但是，由于健康和醫療數據的高度敏感性，對其進行集中存儲和管理后，一方面會引起惡意人員的高度關注，另一方面一旦發生數據泄露其影響面非常廣，對于每個病人來說其后果很難挽回；因此，健康醫療數據的安全工作可謂難上加難，即便英國具備一定的基礎，其數據安全治理也未在一開始取得理想的效果，但從近期頻繁的安全審查中可以看出，英國政府建立的數據安全監督機構、數據保護官等正在發揮積極作用，正視已出現的問題并提出注重實效的解決方案，以重新贏回公眾的信任。

　　善治病者，必醫其受病之處

　　——我國健康醫療數據安全形勢嚴峻

　　早在2013年底，國家衛生和計劃生育委員會就發布了《關于加快推進人口健康信息化建設的指導意見》，提出在“十三五”期間將大力推動全國人口健康信息大平臺的建設。從安全需求上來說，這個信息平臺一是將承載全國13億公民的人口、健康、醫療等隱私信息，數據保密性要求高；二是將提供公民個人醫療保障、診療等信息化服務不能中斷，業務連續性要求高；三是將為國家衛生計生行業未來發展提供決策依據，信息容錯率要求高。然而目前，我國在健康醫療數據安全保障方面情況堪憂，行業整體安全態勢趨于嚴峻。主要問題包括：

　　首先，行業合并導致底數不清。衛生、計生行業合并時間并不算太長，業務層面的整合已初步實現，但數據層面的整合尚屬起步階段，在實際執行過程中易滋生死角盲區。從網上已公開的醫療行業信息安全事件中不難發現，絕大多數安全事件的第一步突破點來自于安全管控體系的“法外之地”。

　　其次，行業信息安全人才與經費保障缺口較大。據不完全統計，醫療行業2015年整體信息化建設資金超過300億，但信息安全投入不足6億，占比不足2%，而對于有較高安全保障要求的行業，安全占比普遍超過10%；在人才隊伍方面，專業信息安全從業人員嚴重缺失，許多機構甚至出現“身著白大褂的大夫在看病之余兼職管安全”的狀況。

　　再次，缺乏具備行業特色的信息安全指導框架。健康醫療行業特殊性較高，目前行業雖然已推行國家信息安全等級保護要求，但尚未建設具備行業業務特點的信息安全保障體系，也沒有專門的行業信息安全技術標準，不利于有針對性地開展安全防護工作。

　　第四，行業網絡涉及面廣，不易管控。我國醫療衛生機構總數已超百萬，以藥品方面為例，我國有6000多家化學制藥企業，藥品經營流通企業17000多家，而作為世界制藥大國的美國，才分別為200多家和50多家。超大規模、超復雜接入對構建安全的衛生計生網絡來說，難度巨大。

　　另外，不易樹立行業信息安全標桿。全國醫療信息化及軟件生產供應商達數百家。以行業龍頭東軟集團為例，其擁有的市場份額不足5%，離散化的分布導致安全的最佳實踐無法快速復制推廣，在現有保障能力下也很難做到“避輕就重”“抓大放小”。

　　雖然安全形勢和現狀不容樂觀，但這并不意味著我們要暫停或放慢健康醫療大數據方面的發展。習近平總書記在今年4月19日的全國網絡安全和信息化工作座談會上指出，網絡安全和信息化是相輔相成的，安全是發展的前提，發展是安全的保障，安全和發展要同步推進。因此，我國仍然要堅持發展健康醫療大數據應用，但其安全保障工作應同步推進，一旦準備和配套不足，很有可能引發全局性安全風險，影響健康醫療大數據整體產業布局和發展。

　　借用一句醫療領域的常用語，“預防”遠比“治療”更重要也更有效，數據安全工作何嘗不是如此。因此，迫切需要我們積極吸收國內外的優秀經驗，深入調研分析，建立健全健康醫療數據安全體系和機制，做好信息安全風險評估，有效預防將來會出現的各類安全風險，為健康醫療大數據產業保駕護航。