安全是健康医疗大数据的核心基础.doc

安全是健康医疗大数据的核心基础 　　7月16日，国家卫生计生委卫生发展研究中心在北京举办了旨在学习6月21日国务院下发的《关于促进和规范健康医疗大数据应用发展的指导意见》 （下称“《意见》”） 的专门研讨会。在研讨会上，数据安全、隐私成为关键词。参会的官员、专家、医疗从业人员一致认为发展健康医疗大数据应首先警惕数据安全，保护患者隐私，才能真正实现数据融合共享、开放应用 巧合的是，当天有媒体报道了我国30省份至少有275位艾滋病感染者个人信息遭泄露的事件。犯罪分子在诈骗电话中能准确地描述出病患的个人信息，包括真实姓名、身份证号、联系方式、户籍信息、确诊时间、随访的医院或区县疾控等等，并谎称能为病患办理补助而需要收取不菲的手续费。中国疾病预防控制中心相关负责人于7月17日表示，国家艾滋病感染者相关信息系统被列为国家网络信息重点安全保护对象，目前已经报案，将积极配合公安部门尽快破案。此事还引起了世界卫生组织驻华代表处和联合国艾滋病联合规划署驻华代表处的关注。7月18日，两家代表处联合发表声明，强调“加强现有系统以杜绝类似信息入侵事件再次发生，至关重要” 国家对于健康医疗大数据的安全十分重视，据统计，《意见》中，“安全”这个词出现了33次。而此次疑似真实发生的医疗数据安全事件，成为“安全是核心基础”的最佳注脚 他山之石，可以攻玉 ――英国健康医疗数据安全的审查和建议 不止我们，许多其他国家也发生了一系列事件，向全世界宣告了他们对健康医疗数据安全的关切。在英国，国家医疗服务体系（National Health Service， NHS）于2016年7月6日做出停止care.data健康医疗大数据平台的决定中，“安全”即是重要原因之一 在很大程度上，NHS决定关闭care.data，是基于7月6日发布的两份评估报告。第一份报告《安全的数据，安全的医疗》（“Safe Data， Safe Care”）由英国医疗质量委员会（Care Quality Commission，CQC）发布。医疗质量委员会是英格兰健康和社会医疗的独立监管机构，其职责是监控、检查和评价医疗服务，促进医疗服务符合标准规范以保证其质量和安全。作为独立第三方，CQC经常发布地区、国家级的健康和社会医疗质量报告。2015年9月，受英国卫生大臣委托，CQC对NHS处理病人敏感数据过程的安全现状进行审查，并提出改进数据安全的建议 第二份报告《对数据安全、同意和选择退出的审查》（“Review of Data Security， Consent and Opt-Outs”）是由英国“国家健康和医疗数据守护者”（National Data Guardian for Health and Care， NDG）发布。2015年9月，英国卫生大臣也委托其与CQC紧密合作，共同提出新的数据安全标准、测评数据安全合规的新方法，以及获取同意共享数据的新模式。在英国，NDG由卫生大臣任命，其主要职责是确保公众能够信任医疗健康系统将保护个人信息，以及个人信息将被用于提高健康医疗水平 CQC和NDG在对533起数据安全事故调查后发现，大多数事故与纸质的医疗记录相关，且80%到90%的数据安全事故是因为工作人员的习惯无意之中引起的，比如点击了不安全的链接、丢失了存储数据的介质等。但是随着医疗信息系统的普及、数据的逐步集中化及对公众开放访问入口，如果不提升安全防护水平，更严重、更大规模数据泄露的风险将会增加。综合CQC和NDG的报告，英国NHS数据安全工作中存在以下问题： 首先，虽然很多机构都建立了数据安全方面的策略与规程，但并没有在日常工作中得到有效实施，很多机构只依赖策略和规程，而不是通过检测验证系统是否足够安全，也未要求其供应商也遵循同样的管理措施 其次，NHS的绝大部分工作人员认可数据安全的重要性，但是培训质量参差不齐，有些机构培训覆盖面不够，未涉及合同商、数据共享方、临时员工等，有些机构未将安全事故经验作为培训内容的重要参考 再次，机构往往不清楚如何从目前存在的大量安全标准中选取合适的参考，许多机构很少去学习其他机构保护数据安全的做法，也很少请外部第三方机构做专业的安全测评 针对上述问题，CQC和NDG提出的建议简要概括如下：第一，每个机构的领导应该明确数据安全的责任人和其职责，类似于组织医疗事务和财务的管理和问责制度，包括建立有效的内审机制，必要时进行外审以验证安全措施有效性，对恶意类数据安全事件进行严厉处罚等；第二，所有的工作人员应该获得足够的资源，包括正确的信息、工具、培训等，以便于他们履行数据安全处理和共享的职责；第三，IT系统和所有的安全协议都应该按照实际的病人治疗过程和一线工作人员的需求进行设计；第四，应该按照新的数据标准要求设计