售前電話
135-3656-7657
售前電話 : 135-3656-7657
自2018年以來,隨著等一系列互聯(lián)網(wǎng)醫(yī)療服務(wù)政策的出臺,國內(nèi)互聯(lián)網(wǎng)醫(yī)療服務(wù)進入快速發(fā)展期,醫(yī)療機構(gòu)通過應(yīng)用互聯(lián)網(wǎng)等信息技術(shù)拓展醫(yī)療服務(wù)空間和內(nèi)容,建設(shè)互聯(lián)網(wǎng)醫(yī)院,開展遠程醫(yī)療服務(wù),以更便捷的方式為患者提供包括預(yù)約掛號,遠程咨詢,實時查閱就診病歷、醫(yī)技檢查結(jié)果、健康體檢報告,費用支付互聯(lián)網(wǎng)醫(yī)院系統(tǒng),就醫(yī)反饋,電子處方和藥品配送等全流程的服務(wù)。2020年初,突如其來的新冠疫情造成了線下就診的阻礙,互聯(lián)網(wǎng)醫(yī)療服務(wù)需求激增,進一步獲得患者的接受和認(rèn)可。
醫(yī)療機構(gòu)作為線下醫(yī)療實體平臺,通常通過網(wǎng)站、App、微信公眾號、微信小程序等終端實現(xiàn)上述互聯(lián)網(wǎng)醫(yī)療服務(wù)功能,全程以電子化的途徑收集、存儲了大量患者個人基本信息、健康狀況、醫(yī)療應(yīng)用、醫(yī)療支付等數(shù)據(jù)。在互聯(lián)網(wǎng)醫(yī)療服務(wù)場景下所涉數(shù)據(jù)安全和個人信息保護合規(guī)方面,醫(yī)療機構(gòu)應(yīng)重點關(guān)注哪些問題,本文予以梳理以供參考。
信息系統(tǒng)實施三級信息安全等級保護
《互聯(lián)網(wǎng)診療管理辦法(試行)》《互聯(lián)網(wǎng)醫(yī)院管理辦法(試行)》均要求,信息系統(tǒng)應(yīng)當(dāng)實施第三級信息安全等級保護。2021年6月3日,國家衛(wèi)生健康委發(fā)布《互聯(lián)網(wǎng)醫(yī)療健康信息安全管理規(guī)范(征求意見稿)》也指出:“互聯(lián)網(wǎng)醫(yī)療健康信息系統(tǒng)應(yīng)通過網(wǎng)絡(luò)安全等級保護三級測評和定期復(fù)評?;ヂ?lián)網(wǎng)醫(yī)療健康信息系統(tǒng)集成第三方服務(wù)應(yīng)用時,第三方服務(wù)也需要達到相關(guān)安全防護水平?!?/p>
根據(jù)公安部、國家保密局等部門出臺的《信息安全等級保護管理辦法》的規(guī)定,信息系統(tǒng)的安全保護等級分為五級,第三級是指“信息系統(tǒng)受到破壞后,會對社會秩序和公共利益造成嚴(yán)重?fù)p害,或者對國家安全造成損害”。 同時,根據(jù)該規(guī)定,“第三級信息系統(tǒng)運營、使用單位應(yīng)當(dāng)依據(jù)國家有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)進行保護。國家信息安全監(jiān)管部門對該級信息系統(tǒng)信息安全等級保護工作進行監(jiān)督、檢查”。
互聯(lián)網(wǎng)醫(yī)療信息系統(tǒng)一旦受到外部攻擊導(dǎo)致患者個人信息泄露,會造成嚴(yán)重的后果,該系統(tǒng)是否穩(wěn)定安全地運轉(zhuǎn),也關(guān)系到互聯(lián)網(wǎng)醫(yī)療服務(wù)的實現(xiàn)。因此醫(yī)療機構(gòu)應(yīng)落實國家法規(guī)、政策關(guān)于信息系統(tǒng)等級保護的要求,切實保障網(wǎng)絡(luò)安全。
關(guān)鍵信息基礎(chǔ)設(shè)施運營者的合規(guī)管理
《網(wǎng)絡(luò)安全法》首次在法律層面提出“關(guān)鍵信息基礎(chǔ)設(shè)施運營者”的概念,在第三十三條到三十八條,大篇幅規(guī)定了關(guān)鍵信息基礎(chǔ)設(shè)施運營者的責(zé)任和義務(wù),但目前尚無生效的法律法規(guī)對關(guān)鍵信息基礎(chǔ)設(shè)施運營者的識別作出明確規(guī)定。
2021年8月17日,國務(wù)院正式公布《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》(2021年9月1日起施行,以下簡稱《條例》),《條例》對“關(guān)鍵信息基礎(chǔ)設(shè)施”定義采取“行業(yè)+風(fēng)險”的標(biāo)準(zhǔn),規(guī)定“關(guān)鍵信息基礎(chǔ)設(shè)施是指公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)、國防科技工業(yè)等重要行業(yè)和領(lǐng)域的,以及其他一旦遭到破壞、喪失功能或者數(shù)據(jù)泄露,可能嚴(yán)重危害國家安全、國計民生、公共利益的重要網(wǎng)絡(luò)設(shè)施、信息系統(tǒng)等”。
按照上述標(biāo)準(zhǔn),“關(guān)鍵信息基礎(chǔ)設(shè)施”的范圍相對寬泛互聯(lián)網(wǎng)醫(yī)院系統(tǒng),參照《國家網(wǎng)絡(luò)安全檢查操作指南》中對于關(guān)鍵信息基礎(chǔ)設(shè)施的定義和范圍及確定關(guān)鍵信息基礎(chǔ)設(shè)施的步驟[1],一些大型的醫(yī)療機構(gòu)(比如收集并存儲超過100萬患者個人信息的醫(yī)院)有可能被納入關(guān)鍵信息基礎(chǔ)設(shè)施運營者監(jiān)管范圍內(nèi),但《國家網(wǎng)絡(luò)安全檢查操作指南》位階較低,是否能作為認(rèn)定標(biāo)準(zhǔn)有待明確。
依據(jù)《關(guān)鍵信息基礎(chǔ)設(shè)施安全保護條例》規(guī)定,“保護工作部門結(jié)合本行業(yè)、本領(lǐng)域?qū)嶋H,制定關(guān)鍵信息基礎(chǔ)設(shè)施認(rèn)定規(guī)則,并根據(jù)認(rèn)定規(guī)則負(fù)責(zé)組織認(rèn)定本行業(yè)、本領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施,及時將認(rèn)定結(jié)果通知運營者”,建議相關(guān)醫(yī)療機構(gòu)密切關(guān)注監(jiān)管動向,如被通知納入關(guān)鍵信息基礎(chǔ)設(shè)施運營者的范圍,需遵從關(guān)鍵信息基礎(chǔ)設(shè)施運營者的安全保護規(guī)定進行合規(guī)管理。
數(shù)據(jù)安全(重要數(shù)據(jù)處理)合規(guī)
《互聯(lián)網(wǎng)診療管理辦法(試行)》《互聯(lián)網(wǎng)醫(yī)院管理辦法(試行)》《遠程醫(yī)療服務(wù)管理規(guī)范(試行)》對醫(yī)療機構(gòu)的數(shù)據(jù)安全保護義務(wù)提出了要求,比如應(yīng)當(dāng)建立完善相關(guān)管理制度、服務(wù)流程,保證互聯(lián)網(wǎng)診療活動全程留痕、可追溯;建立互聯(lián)網(wǎng)醫(yī)院信息系統(tǒng)使用管理制度、在線處方管理制度;建立數(shù)據(jù)安全管理規(guī)程,確保網(wǎng)絡(luò)安全、操作安全、數(shù)據(jù)安全等?!痘ヂ?lián)網(wǎng)醫(yī)療健康信息安全管理規(guī)范(征求意見稿)》認(rèn)為,醫(yī)療機構(gòu)(建設(shè)方)是互聯(lián)網(wǎng)醫(yī)療健康信息系統(tǒng)建設(shè)和管理的主體,是信息安全管理的第一責(zé)任方,應(yīng)履行數(shù)據(jù)安全保護義務(wù),落實數(shù)據(jù)安全保護責(zé)任。