自2018年以來�,隨著等一系列互聯(lián)網(wǎng)醫(yī)療服務(wù)政策的出臺����,國內(nèi)互聯(lián)網(wǎng)醫(yī)療服務(wù)進(jìn)入快速發(fā)展期�,醫(yī)療機(jī)構(gòu)通過應(yīng)用互聯(lián)網(wǎng)等信息技術(shù)拓展醫(yī)療服務(wù)空間和內(nèi)容�����,建設(shè)互聯(lián)網(wǎng)醫(yī)院�,開展遠(yuǎn)程醫(yī)療服務(wù)�����,以更便捷的方式為患者提供包括預(yù)約掛號���,遠(yuǎn)程咨詢�,實(shí)時(shí)查閱就診病歷����、醫(yī)技檢查結(jié)果、健康體檢報(bào)告�����,費(fèi)用支付互聯(lián)網(wǎng)醫(yī)院系統(tǒng)���,就醫(yī)反饋�,電子處方和藥品配送等全流程的服務(wù)����。2020年初���,突如其來的新冠疫情造成了線下就診的阻礙,互聯(lián)網(wǎng)醫(yī)療服務(wù)需求激增����,進(jìn)一步獲得患者的接受和認(rèn)可���。
醫(yī)療機(jī)構(gòu)作為線下醫(yī)療實(shí)體平臺����,通常通過網(wǎng)站����、App��、微信公眾號�、微信小程序等終端實(shí)現(xiàn)上述互聯(lián)網(wǎng)醫(yī)療服務(wù)功能�����,全程以電子化的途徑收集、存儲了大量患者個(gè)人基本信息�、健康狀況、醫(yī)療應(yīng)用����、醫(yī)療支付等數(shù)據(jù)。在互聯(lián)網(wǎng)醫(yī)療服務(wù)場景下所涉數(shù)據(jù)安全和個(gè)人信息保護(hù)合規(guī)方面���,醫(yī)療機(jī)構(gòu)應(yīng)重點(diǎn)關(guān)注哪些問題�����,本文予以梳理以供參考�。
信息系統(tǒng)實(shí)施三級信息安全等級保護(hù)
《互聯(lián)網(wǎng)診療管理辦法(試行)》《互聯(lián)網(wǎng)醫(yī)院管理辦法(試行)》均要求���,信息系統(tǒng)應(yīng)當(dāng)實(shí)施第三級信息安全等級保護(hù)��。2021年6月3日����,國家衛(wèi)生健康委發(fā)布《互聯(lián)網(wǎng)醫(yī)療健康信息安全管理規(guī)范(征求意見稿)》也指出:“互聯(lián)網(wǎng)醫(yī)療健康信息系統(tǒng)應(yīng)通過網(wǎng)絡(luò)安全等級保護(hù)三級測評和定期復(fù)評?����;ヂ?lián)網(wǎng)醫(yī)療健康信息系統(tǒng)集成第三方服務(wù)應(yīng)用時(shí)�,第三方服務(wù)也需要達(dá)到相關(guān)安全防護(hù)水平�。”
根據(jù)公安部���、國家保密局等部門出臺的《信息安全等級保護(hù)管理辦法》的規(guī)定�����,信息系統(tǒng)的安全保護(hù)等級分為五級���,第三級是指“信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴(yán)重?fù)p害����,或者對國家安全造成損害”。 同時(shí),根據(jù)該規(guī)定����,“第三級信息系統(tǒng)運(yùn)營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進(jìn)行保護(hù)����。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護(hù)工作進(jìn)行監(jiān)督、檢查”��。
互聯(lián)網(wǎng)醫(yī)療信息系統(tǒng)一旦受到外部攻擊導(dǎo)致患者個(gè)人信息泄露����,會造成嚴(yán)重的后果,該系統(tǒng)是否穩(wěn)定安全地運(yùn)轉(zhuǎn)�,也關(guān)系到互聯(lián)網(wǎng)醫(yī)療服務(wù)的實(shí)現(xiàn)。因此醫(yī)療機(jī)構(gòu)應(yīng)落實(shí)國家法規(guī)�、政策關(guān)于信息系統(tǒng)等級保護(hù)的要求,切實(shí)保障網(wǎng)絡(luò)安全��。
關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的合規(guī)管理
《網(wǎng)絡(luò)安全法》首次在法律層面提出“關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者”的概念���,在第三十三條到三十八條��,大篇幅規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的責(zé)任和義務(wù)����,但目前尚無生效的法律法規(guī)對關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的識別作出明確規(guī)定。
2021年8月17日�,國務(wù)院正式公布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》(2021年9月1日起施行,以下簡稱《條例》)�,《條例》對“關(guān)鍵信息基礎(chǔ)設(shè)施”定義采取“行業(yè)+風(fēng)險(xiǎn)”的標(biāo)準(zhǔn),規(guī)定“關(guān)鍵信息基礎(chǔ)設(shè)施是指公共通信和信息服務(wù)����、能源、交通��、水利�、金融�、公共服務(wù)、電子政務(wù)�、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的,以及其他一旦遭到破壞���、喪失功能或者數(shù)據(jù)泄露�����,可能嚴(yán)重危害國家安全����、國計(jì)民生、公共利益的重要網(wǎng)絡(luò)設(shè)施�、信息系統(tǒng)等”。
按照上述標(biāo)準(zhǔn)��,“關(guān)鍵信息基礎(chǔ)設(shè)施”的范圍相對寬泛互聯(lián)網(wǎng)醫(yī)院系統(tǒng)���,參照《國家網(wǎng)絡(luò)安全檢查操作指南》中對于關(guān)鍵信息基礎(chǔ)設(shè)施的定義和范圍及確定關(guān)鍵信息基礎(chǔ)設(shè)施的步驟[1]��,一些大型的醫(yī)療機(jī)構(gòu)(比如收集并存儲超過100萬患者個(gè)人信息的醫(yī)院)有可能被納入關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者監(jiān)管范圍內(nèi)�����,但《國家網(wǎng)絡(luò)安全檢查操作指南》位階較低����,是否能作為認(rèn)定標(biāo)準(zhǔn)有待明確�。
依據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)條例》規(guī)定,“保護(hù)工作部門結(jié)合本行業(yè)�、本領(lǐng)域?qū)嶋H,制定關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定規(guī)則�����,并根據(jù)認(rèn)定規(guī)則負(fù)責(zé)組織認(rèn)定本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施���,及時(shí)將認(rèn)定結(jié)果通知運(yùn)營者”�����,建議相關(guān)醫(yī)療機(jī)構(gòu)密切關(guān)注監(jiān)管動(dòng)向���,如被通知納入關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的范圍,需遵從關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)營者的安全保護(hù)規(guī)定進(jìn)行合規(guī)管理��。
數(shù)據(jù)安全(重要數(shù)據(jù)處理)合規(guī)
《互聯(lián)網(wǎng)診療管理辦法(試行)》《互聯(lián)網(wǎng)醫(yī)院管理辦法(試行)》《遠(yuǎn)程醫(yī)療服務(wù)管理規(guī)范(試行)》對醫(yī)療機(jī)構(gòu)的數(shù)據(jù)安全保護(hù)義務(wù)提出了要求���,比如應(yīng)當(dāng)建立完善相關(guān)管理制度、服務(wù)流程��,保證互聯(lián)網(wǎng)診療活動(dòng)全程留痕���、可追溯���;建立互聯(lián)網(wǎng)醫(yī)院信息系統(tǒng)使用管理制度、在線處方管理制度���;建立數(shù)據(jù)安全管理規(guī)程����,確保網(wǎng)絡(luò)安全、操作安全�����、數(shù)據(jù)安全等�����?����!痘ヂ?lián)網(wǎng)醫(yī)療健康信息安全管理規(guī)范(征求意見稿)》認(rèn)為����,醫(yī)療機(jī)構(gòu)(建設(shè)方)是互聯(lián)網(wǎng)醫(yī)療健康信息系統(tǒng)建設(shè)和管理的主體,是信息安全管理的第一責(zé)任方���,應(yīng)履行數(shù)據(jù)安全保護(hù)義務(wù)�����,落實(shí)數(shù)據(jù)安全保護(hù)責(zé)任�����。
