医疗机构国家网络信息安全管理办法出台

“医疗机构国家网络信息安全管理办法正在起草中，即将出台。”近日有消息人士在中国互联网大会上对记者表示，新冠肺炎疫情爆发后，全球医疗健康数据频频遭到黑客攻击，中国开始重视医疗健康数据的价值，希望通过立法、加强监管等多维度的方式提高医疗健康数据的整体安全水平。

医疗和健康数据被广泛使用

医疗健康数据广泛应用于日常生活的各个场景。比如通过大数据高效分析药物的成分、剂量时间等。寻找合理用药的最佳组合；通过科学分析大量临床资料查找病因，并开展临床病因分析和慢性病监测；通过分析大量的基因序列，可以快速筛选和预测疾病和潜在基因缺陷的基因组分析；为患者采集远程疾病数据后，结合大量临床病因数据分析，可实现远程医疗诊疗；通过智能可穿戴设备采集数据，检测人体生命体征，预警潜在健康风险，进行健康管理；应用大数据等算法制定医保支付标准，并在此基础上做出精准的医保决策分析。

卫生健康委医院管理研究所副所长王锴表示，医疗行业关系国计民生。医疗数据一旦被篡改、破坏、泄露，将对医疗机构声誉、医患双方隐私、健康安全构成严重威胁，甚至影响社会和谐稳定。

中国信息通信研究院云计算与大数据研究所副所长魏凯告诉记者，2016年以来，由于医疗大健康数据的敏感性，国家出台了许多医疗健康数据安全政策进行规范，包括《关于促进和规范健康医疗大数据应用发展的指导意见》、《互联网诊疗管理办法》、《互联网医院管理办法》、《远程医疗服务管理规范》、《国家健康医疗大数据标准、安全和服务管理办法》等法律法规。

“即使有这么多规定，医疗健康数据安全事件还是频频发生，数据安全形势非常严峻。”他表示，尤其是疫情过后，数据安全风险进一步加剧。

疫情后健康数据安全风险加剧

2020年4月，世界卫生组织发表声明称，疫情期间网络攻击数量同比增长5倍。启安信集团发布的一系列网络安全报告显示，2020年疫情爆发后，医疗健康行业历史上首次超越政府、金融、国防、能源、电信等领域，成为全球APT(旨在窃取核心数据，针对客户发起的网络攻击和入侵行为的黑客)的首要攻击目标。全球23.7%的APT事件与医疗卫生行业有关。中国首次超越美国、韩国、中东等国家和地区，成为全球APT活动的首要地区目标。

科技集团董事长肖透露，抗击疫情期间，中国的医疗体系、疫苗研究机构、科研院所等。经常受到网络入侵的攻击。2020年4月，中国医疗公司AI检测到新冠肺炎技术实验数据的源代码，被黑客窃取并出售。

疫情期间，医疗机构个人和患者信息泄露较为频繁。2020年1月，某市卫生管理部门领导通过微信转发新冠肺炎患者报告。2020年11月，某城区卫生管理部门领导通过微信转发《疑似密切接触者调查情况简介》，提醒辖区某单位做好防疫工作，导致辖区单位大量发送此信息。

此外，疫情过后远程网络诊疗普遍被接受，全国多家医院都在申请互联网医院和智慧医院。业内人士指出，由于利用网络传输诊断数据、照片等信息，医疗健康数据的不安全风险可能会进一步加剧。

第三是临床研究数据：临床研究数据涉及人口统计学数据、检查信息、检查信息、药品订单、诊断信息、病例和患者报告。传输过程中一旦发生泄漏，后果非常严重；

第四是医保数据：医保数据涉及与第三方机构对接，在系统对接、数据传输、数据使用、数据存储、数据销毁等方面面临安全风险；

五是医疗设备维护数据：医疗器械生产企业进行远程医疗设备维护时，数据会面临未经授权访问、不安全链接、隐私数据泄露、维护记录不当等安全风险；

六是健康大数据中心数据：缺乏分类分级机制导致数据存在非法登录、未授权访问、异常访问、冒名查询、批量窃取、明文泄露等安全风险；

七是可穿戴健康设备数据：可穿戴设备数据在采集、存储和使用阶段存在不同程度的安全风险；

第八，医疗健康APP数据：移动应用涉及众多在线医疗保健服务，存在泄露个人健康状况数据、支付数据、健康资源数据、公共卫生信息等隐患。

从多个维度提高数据安全的整体水平

“还有一些健康敏感数据正在非法出境。国内某知名医院领导与某外企达成合作协议，非法启动敏感数据研究项目。这家外国公司可以远程不受限制地访问研究项目的样本数据。”一位业内人士指出，面对复杂的形势，医疗机构等相关部门需要多维度提升医疗卫生数据安全的整体水平。

魏凯指出，一方面，加强监管，推动制定完善卫生行业数据安全管理办法。另一方面，制定完善医疗卫生数据安全支撑标准体系，建立协同创新、开放共享的行业合作机制。

“北京市卫生健康委制定了北京市互联网医院监管平台，要求在京开展互联网医疗服务的医疗机构与监管平台对接，接受平台监管。”北京卫生健康委员会信息中心副主任郑攀说，截至今年6月，北京市共审批了19家互联网医院，已全部对接监管平台。

据悉，互联网医院监管平台内容包括，升级已建的医政医管电子化注册平台，实现机构、医师、护士电子证明、救护车以及医疗广告等医疗资源的管理；建设医疗服务与执业监管平台，实现互联网医院审批及互联网诊疗的实时动态监管；建设医疗服务与执业监管平台，建设医疗服务、诊疗行为等信息的采集系统以及数据展示系统，实现对实体医疗机构医疗资源与医疗服务的监管。