自2018年以來�,隨著等一系列互聯(lián)網(wǎng)醫(yī)療服務政策的出臺,國內互聯(lián)網(wǎng)醫(yī)療服務進入快速發(fā)展期��,醫(yī)療機構通過應用互聯(lián)網(wǎng)等信息技術拓展醫(yī)療服務空間和內容���,建設互聯(lián)網(wǎng)醫(yī)院����,開展遠程醫(yī)療服務����,以更便捷的方式為患者提供包括預約掛號,遠程咨詢���,實時查閱就診病歷��、醫(yī)技檢查結果�、健康體檢報告,費用支付互聯(lián)網(wǎng)醫(yī)院系統(tǒng)��,就醫(yī)反饋�����,電子處方和藥品配送等全流程的服務���。2020年初�����,突如其來的新冠疫情造成了線下就診的阻礙����,互聯(lián)網(wǎng)醫(yī)療服務需求激增�����,進一步獲得患者的接受和認可���。
醫(yī)療機構作為線下醫(yī)療實體平臺,通常通過網(wǎng)站�����、App、微信公眾號�����、微信小程序等終端實現(xiàn)上述互聯(lián)網(wǎng)醫(yī)療服務功能����,全程以電子化的途徑收集、存儲了大量患者個人基本信息����、健康狀況、醫(yī)療應用�����、醫(yī)療支付等數(shù)據(jù)���。在互聯(lián)網(wǎng)醫(yī)療服務場景下所涉數(shù)據(jù)安全和個人信息保護合規(guī)方面�,醫(yī)療機構應重點關注哪些問題��,本文予以梳理以供參考。
信息系統(tǒng)實施三級信息安全等級保護
《互聯(lián)網(wǎng)診療管理辦法(試行)》《互聯(lián)網(wǎng)醫(yī)院管理辦法(試行)》均要求����,信息系統(tǒng)應當實施第三級信息安全等級保護。2021年6月3日����,國家衛(wèi)生健康委發(fā)布《互聯(lián)網(wǎng)醫(yī)療健康信息安全管理規(guī)范(征求意見稿)》也指出:“互聯(lián)網(wǎng)醫(yī)療健康信息系統(tǒng)應通過網(wǎng)絡安全等級保護三級測評和定期復評?���;ヂ?lián)網(wǎng)醫(yī)療健康信息系統(tǒng)集成第三方服務應用時,第三方服務也需要達到相關安全防護水平��?!?/p>
根據(jù)公安部、國家保密局等部門出臺的《信息安全等級保護管理辦法》的規(guī)定�,信息系統(tǒng)的安全保護等級分為五級,第三級是指“信息系統(tǒng)受到破壞后��,會對社會秩序和公共利益造成嚴重損害�,或者對國家安全造成損害”�。 同時,根據(jù)該規(guī)定��,“第三級信息系統(tǒng)運營、使用單位應當依據(jù)國家有關管理規(guī)范和技術標準進行保護����。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行監(jiān)督、檢查”���。
互聯(lián)網(wǎng)醫(yī)療信息系統(tǒng)一旦受到外部攻擊導致患者個人信息泄露�,會造成嚴重的后果����,該系統(tǒng)是否穩(wěn)定安全地運轉,也關系到互聯(lián)網(wǎng)醫(yī)療服務的實現(xiàn)�。因此醫(yī)療機構應落實國家法規(guī)、政策關于信息系統(tǒng)等級保護的要求��,切實保障網(wǎng)絡安全��。
關鍵信息基礎設施運營者的合規(guī)管理
《網(wǎng)絡安全法》首次在法律層面提出“關鍵信息基礎設施運營者”的概念����,在第三十三條到三十八條,大篇幅規(guī)定了關鍵信息基礎設施運營者的責任和義務�����,但目前尚無生效的法律法規(guī)對關鍵信息基礎設施運營者的識別作出明確規(guī)定。
2021年8月17日���,國務院正式公布《關鍵信息基礎設施安全保護條例》(2021年9月1日起施行�,以下簡稱《條例》)�����,《條例》對“關鍵信息基礎設施”定義采取“行業(yè)+風險”的標準���,規(guī)定“關鍵信息基礎設施是指公共通信和信息服務�����、能源�����、交通�、水利�、金融、公共服務��、電子政務����、國防科技工業(yè)等重要行業(yè)和領域的,以及其他一旦遭到破壞�����、喪失功能或者數(shù)據(jù)泄露�,可能嚴重危害國家安全、國計民生�����、公共利益的重要網(wǎng)絡設施�、信息系統(tǒng)等”。
按照上述標準��,“關鍵信息基礎設施”的范圍相對寬泛互聯(lián)網(wǎng)醫(yī)院系統(tǒng)�,參照《國家網(wǎng)絡安全檢查操作指南》中對于關鍵信息基礎設施的定義和范圍及確定關鍵信息基礎設施的步驟[1],一些大型的醫(yī)療機構(比如收集并存儲超過100萬患者個人信息的醫(yī)院)有可能被納入關鍵信息基礎設施運營者監(jiān)管范圍內��,但《國家網(wǎng)絡安全檢查操作指南》位階較低����,是否能作為認定標準有待明確。
依據(jù)《關鍵信息基礎設施安全保護條例》規(guī)定�,“保護工作部門結合本行業(yè)��、本領域實際���,制定關鍵信息基礎設施認定規(guī)則,并根據(jù)認定規(guī)則負責組織認定本行業(yè)����、本領域的關鍵信息基礎設施,及時將認定結果通知運營者”�����,建議相關醫(yī)療機構密切關注監(jiān)管動向�����,如被通知納入關鍵信息基礎設施運營者的范圍��,需遵從關鍵信息基礎設施運營者的安全保護規(guī)定進行合規(guī)管理�����。
數(shù)據(jù)安全(重要數(shù)據(jù)處理)合規(guī)
《互聯(lián)網(wǎng)診療管理辦法(試行)》《互聯(lián)網(wǎng)醫(yī)院管理辦法(試行)》《遠程醫(yī)療服務管理規(guī)范(試行)》對醫(yī)療機構的數(shù)據(jù)安全保護義務提出了要求���,比如應當建立完善相關管理制度���、服務流程���,保證互聯(lián)網(wǎng)診療活動全程留痕���、可追溯��;建立互聯(lián)網(wǎng)醫(yī)院信息系統(tǒng)使用管理制度�����、在線處方管理制度�����;建立數(shù)據(jù)安全管理規(guī)程���,確保網(wǎng)絡安全、操作安全����、數(shù)據(jù)安全等?���!痘ヂ?lián)網(wǎng)醫(yī)療健康信息安全管理規(guī)范(征求意見稿)》認為�����,醫(yī)療機構(建設方)是互聯(lián)網(wǎng)醫(yī)療健康信息系統(tǒng)建設和管理的主體�,是信息安全管理的第一責任方���,應履行數(shù)據(jù)安全保護義務�����,落實數(shù)據(jù)安全保護責任�。
