日前,國家衛(wèi)生健康委(以下簡稱衛(wèi)健委)公布對全國政協(xié)委員涉受試者個人信息保護提案答復的函���。該函件指出,衛(wèi)健委已起草相關文件��,對加強生命科學和醫(yī)學研究領域生物樣本�、信息數(shù)據(jù)隱私保護,對醫(yī)療衛(wèi)生機構開展的非注冊類臨床研究�、數(shù)據(jù)管理等方面提出要求。
醫(yī)療行業(yè)的隱私信息保護問題在國家層面已經(jīng)提上日程���,昂楷科技在醫(yī)療行業(yè)數(shù)據(jù)安全方面實施了大量落地項目��,在醫(yī)療行業(yè)隱私信息保護方面也積累不少實戰(zhàn)經(jīng)驗醫(yī)療?數(shù)據(jù)安全?場景���,今天分享給大家,一同討論學習�����。
01
個人隱私信息泄露風險和挑戰(zhàn)
醫(yī)療個人隱私信息安全面臨的威脅
伴隨著以人工智能��、5G��、云計算�����、大數(shù)據(jù)���、區(qū)塊鏈��、物聯(lián)網(wǎng)等為代表的新一代信息技術向醫(yī)療行業(yè)的不斷滲透���,醫(yī)療行業(yè)的信息安全問題日益凸顯���。醫(yī)療行業(yè)歷來就需要采集���、存儲和使用個人隱私信息。
2020年初的新冠疫情,通過利用數(shù)字技術輔助流行病學調查�,追蹤疑似病例,而且還滲入了生活的方方面面���,最大程度滿足了疫情期間的工作生活���。然而,數(shù)字技術的大范圍應用對公民個人隱私信息的收集,這在一定程度上加大了數(shù)據(jù)泄露風險��。
再者在醫(yī)療診治過程中���,構建了大量患者醫(yī)療記錄����,大量的個人信息數(shù)據(jù)被匯總和關聯(lián)分析后���,形成了對醫(yī)療機構����、疾病控制�、醫(yī)學研究有價值的醫(yī)療大數(shù)據(jù)。在醫(yī)療信息數(shù)據(jù)中涉及大量患者個人特征數(shù)據(jù)。(如患者的真實身份����、聯(lián)系電話、家庭地址��、生活軌跡��、疾病信息���、檢查信息也涉及患者隱私,不希望被無關人員知曉�����,患者擔心泄漏的信息包括個人信息���、疾病信息和檢查信息�����。)
醫(yī)療行業(yè)個人隱私信息泄漏風險分析
當前互聯(lián)網(wǎng)大數(shù)據(jù)時代��,各醫(yī)療機構之間高度共享各自醫(yī)療數(shù)據(jù)信息�,實現(xiàn)醫(yī)療業(yè)務數(shù)據(jù)共享、發(fā)掘和利用�����,來獲得更加準確�����、有價值的醫(yī)療信息����,推進醫(yī)療業(yè)務水平的發(fā)展��,但同時醫(yī)療隱私泄漏風險也將貫穿于醫(yī)療信息系統(tǒng)的全生命周期�����。
/
02
需求與問題
醫(yī)療行業(yè)個人隱私信息需求主要體現(xiàn)在三方面:
《個人信息保護法》合規(guī)要求
隨著《個人信息保護法》正式公布實施����,個人信息處理過程中的行為主體�����、相關違法行為及懲罰力度做出了明確的規(guī)定。政企機構將面對最高可達5000萬元(或者不超過年營收5%)的罰款醫(yī)療?數(shù)據(jù)安全?場景�,個人信息保護的壓力陡然增加。
結合《個人信息保護法》合規(guī)要求總結如下:
個人隱私信息保護組織建設需求���;
個人隱私信息保護制度及流程建設需求;
個人隱私信息全生命周期過程中的防護需求����。
醫(yī)療行業(yè)個人隱私信息分類分級需求
2020年12月14日,國標委發(fā)布GB/T 39725-2020《信息安全技術 健康醫(yī)療數(shù)據(jù)安全指南》(簡稱“《指南》”)�,《指南》的發(fā)布實施可以幫助我們明確了醫(yī)療行業(yè)個人隱私信息。
醫(yī)療行業(yè)數(shù)據(jù)安全治理需求
由于醫(yī)療行業(yè)的個人隱私信息保護與業(yè)務息息相關����,個人隱私信息和業(yè)務數(shù)據(jù)交叉整合,拋開業(yè)務數(shù)據(jù)只關注個人隱私信息安全不太現(xiàn)實�����。因此�����,個人隱私信息保護應該從數(shù)據(jù)安全治理的高度來統(tǒng)一規(guī)劃����,才能更好地解決需求。
數(shù)據(jù)庫作為醫(yī)療行業(yè)應用系統(tǒng)數(shù)據(jù)的承載單元�����,在進行數(shù)據(jù)交互共享�����、數(shù)據(jù)統(tǒng)計等等場景時����,需保障數(shù)據(jù)庫系統(tǒng)自身的安全,防止數(shù)據(jù)被泄露破壞���,當前醫(yī)療行業(yè)數(shù)據(jù)安全面臨如下問題:
1)數(shù)據(jù)庫自身審計不足:審計內容細粒度不夠����,是否產(chǎn)生違法操作數(shù)據(jù)庫行為等��;缺乏對信息中敏感的數(shù)據(jù)發(fā)現(xiàn)與檢測的能力��;缺乏獨立的監(jiān)控能力�,傳統(tǒng)審計只能依賴數(shù)據(jù)庫日志系統(tǒng),容易被篡改���,不具備獨立性。
2)數(shù)據(jù)庫防護能力不足:無法對于惡意查詢��、刪除�、篡改數(shù)據(jù)的行為進行分析阻攔;連接數(shù)據(jù)庫的系統(tǒng)多���,獲取數(shù)據(jù)�、運維的單位多����,獲取數(shù)據(jù)的方法無法統(tǒng)一,因此對于交互中一些患者�、醫(yī)生的隱私信息敏感數(shù)據(jù)無法進行真正的有效保護,數(shù)據(jù)被竊取風險巨大����。
3)數(shù)據(jù)安全聯(lián)動聯(lián)防能力不足:缺乏對整體數(shù)據(jù)交互情況及風險狀況進行整體性監(jiān)測���。
4)數(shù)據(jù)庫系統(tǒng)自身安全問題:數(shù)據(jù)庫漏洞�����、數(shù)據(jù)庫配置安全��、弱口令等問題����,缺乏針對數(shù)據(jù)庫環(huán)境的檢測或分析工具。
03
數(shù)據(jù)安全總體思路
隨著醫(yī)療行業(yè)數(shù)字化進程在提速�����,出現(xiàn)了業(yè)務迭代快�����、互聯(lián)網(wǎng)暴露面大的特征����。因此���,建議醫(yī)療行業(yè)的數(shù)據(jù)安全治理采用體系化方式進行建設,包括組織����、制度流程��、技術能力�、安全審計四個維度����,如下圖所示:
