区域卫生信息平台隐私泄露应急预案研究.docxVIP

区域卫生信息平台隐私泄露应急预案研究高昭昇① 冯东雷② 徐静* 张赛赛③ 刘艳④摘 要：基于健康档案的区域卫生信息平台是连接区域内的医疗卫生机构基本业务信息系统的数据交换和共享平台，承载着区域内无数患者的隐私信息，为达到不泄露，不对患者的声誉及生活造成重大影响的目的，广州市区域卫生信息平台在建设中对患者隐私保护进行了有效探索，采取了制定一套可操作性强的隐私保护应急预案和各类应急响应措施的方法，达到损失最小化的结果。制定的隐私泄露应急预案能够实时响应应急，根据预案采取措施，保障区域卫生信息平台的正常运行。关键词： 区域卫生 隐私保护 应急预案Doi:10.3969/j.issn.1673-7571.2016.05.015[中图分类号]R319[文献标识码]A基金项目：国家卫生信息共享技术及应用工程技术研究中心(编号:2013FU125Q03) 广州市医药卫生科技项目(编号:20131A031002)*通讯作者：广州市卫生信息中心，510060，广东省广州市荔湾区西华路534①广州市卫生信息中心，510060，广东省广州市荔湾区西华路534②万达信息股份有限公司，201112，上海市闵行区联航路1518号基于居民健康档案的区域卫生信息平台(以下简称区域卫生信息平台)，是连接区域内医疗卫生机构基本业务信息系统的数据交换和共享平台，是不同系统间进行信息整合的基础和载体[1]。基于健康档案的区域卫生信息平台承载着诸多的个人信息，很多涉及到患者的个人隐私，而这些信息除了具备一般信息的基础特征外，还具有身份可识别性和敏感性[2]，一旦泄露或篡改，将会导致个人身份盗用，甚至导致医疗事故，极有可能造成患者对医疗机构的信任危机，造成不可挽回的后果。针对患者隐私保护，目前已经采用的技术手段包括W3C推出的P3P（Plaform for Privacy Preference），IBM推出的EPAL（Enterprise Privacy Authorization Language）以及多级安全关系数据库技术等[3]。隐私泄露现状分析从隐私所有者的角度来看，隐私可以大致分为两类：个人隐私和共同隐私。个人隐私，是指任何可以确定个人、但个人不愿被暴露的信息，如身份证号码、家庭住址等；共同隐私，是指不但包含个人隐私，还包含共同表现出来的、但不愿被暴露出来的信息。基于健康档案的区域卫生信息平台以电子健康档案的形式对居民的个人信息进行数据交换，既包含大量的个人隐私，也包含大量的共同隐私。其主要的隐私泄露途径如下。授权使用者泄露信息偶然性泄露医务人员无意中透露病人隐私，如：敏感数据误传，电子邮件错发，从桌面计算机、便携计算机和服务器误拷贝数据到USB和移动硬盘等移动存储介质上等。窥探性泄露拥有数据访问权限的员工好奇（如窥探名人的健康档案等）。牟利性泄露内部员工靠获取病人隐私非法牟利。其他泄露形式内部人员越权访问及人为破坏，电子健康档案在内部网络传输中被窃听。非授权都进入系统，非法访问、获取或更改信息非法物理入侵外部人员在区域平台内通过非法手段访问患者隐私。未授权的网络入侵黑客、离职人员等在外网非法入侵区域卫生信息平台内网，非法访问患者隐私或破坏系统。隐私保护应急预案研究应急预案制定的重要意义区域卫生信息平台作为居民个人健康档案的重要载体，无论居民的个人隐私以何种途径泄露，都会居民个人隐私权造成侵犯，部分情况还可能产生不可挽回的负面社会效应。虽然在工作中采用各种常规安全保护措施，并以相关技术手段作为支撑，但随着区域卫生信息平台数据量的提升及接入机构的增多，隐私泄露的概率也在逐步增大，因此，制定一套简要、科学、可操作性强的隐私泄露应急预案对区域卫生信息平台的发展具有举足轻重的作用。应急预案制定的原则明确隐私保护基本原则是开展相关工作的前提，所有隐私保护措施都应紧密围绕该原则进行。在美国《隐私权法》颁布前的“公平信息处理规范”（Code of Fair Information Practice），就明确提出隐私保护的公开、知情、二次使用、纠错、安全等五项基本原则。制定区域卫生信息平台隐私泄露应急预案时，为辅充分保障管理预案的实用性和可操作性，应从区域卫生信息平台的实际情况出发，结合区域卫生信息平台的实际运作模式，制定应急预案时要遵循以下原则：首先，对隐私泄露所属的信息安全事件明确分类，分别对各类隐私泄露安全事件制定专项应急预案；其次，组织分工明确，制定明确的应急组织架构，在应急组织的有效领导下，充分调动专业技术人员支持。再次，合理制定各类应急响应流程，保障区域卫生信息平台应急响应的有效性和持久性。隐私保护解决方案应急响应基本流程广州市区域卫生信息平台总体应急响应流程如图1所示。按照应急的时序来看，分为事前准备与检测、事中处理与事后总结三个阶段。事前准备阶段包括应急响应的