王 艷，江自云，蒲 川

(重慶醫(yī)科大學(xué)，重慶 400016)

隨著大數(shù)據(jù)時(shí)代的到來(lái)，數(shù)據(jù)資源已成為推動(dòng)經(jīng)濟(jì)轉(zhuǎn)型和發(fā)展的新動(dòng)力，重塑國(guó)家競(jìng)爭(zhēng)優(yōu)勢(shì)的新機(jī)遇，提高政府治理能力的新途徑。健康醫(yī)療大數(shù)據(jù)在臨床科研、公共衛(wèi)生及產(chǎn)業(yè)發(fā)展等方面作用突出，隨著互聯(lián)網(wǎng)、搜索引擎、數(shù)據(jù)分析和挖掘技術(shù)的高速發(fā)展和應(yīng)用，海量信息存放于網(wǎng)絡(luò)空間，傳播速度和數(shù)量呈爆發(fā)式增長(zhǎng)，信息共享變得極其方便，數(shù)據(jù)安全存在諸多潛在風(fēng)險(xiǎn)，保障數(shù)據(jù)安全是促進(jìn)健康醫(yī)療大數(shù)據(jù)持續(xù)發(fā)展的根本[1]。本研究旨在分析我國(guó)健康醫(yī)療大數(shù)據(jù)安全保護(hù)的現(xiàn)狀，深入剖析當(dāng)前存在的突出問(wèn)題，并提出解決對(duì)策。

1 健康醫(yī)療大數(shù)據(jù)發(fā)展歷程

2012年聯(lián)合國(guó)發(fā)布了《大數(shù)據(jù)促進(jìn)發(fā)展：挑戰(zhàn)與機(jī)遇》[2]白皮書，推動(dòng)了大數(shù)據(jù)技術(shù)的研究和應(yīng)用。隨后，歐、美等國(guó)家陸續(xù)發(fā)布了一系列發(fā)展規(guī)劃。2013年，習(xí)總書記提出大數(shù)據(jù)是工業(yè)社會(huì)的自由資源，誰(shuí)掌握了數(shù)據(jù)，誰(shuí)就更有主動(dòng)權(quán)；2015年3月國(guó)務(wù)院辦公廳出臺(tái)的規(guī)劃綱要，提出了開展健康中國(guó)云服務(wù)計(jì)劃[3]；2016年發(fā)布《關(guān)于促進(jìn)和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見》部署了14項(xiàng)重點(diǎn)任務(wù)和重大工程。

2 我國(guó)健康醫(yī)療大數(shù)據(jù)信息安全保護(hù)的現(xiàn)狀

大數(shù)據(jù)時(shí)代的到來(lái)不管是在健康醫(yī)療信息安全防御的技術(shù)上，還是在管理理念上，都迎來(lái)了前所未有的機(jī)遇與挑戰(zhàn)。不同學(xué)者對(duì)健康醫(yī)療大數(shù)據(jù)的定義各不相同。許培海等[4]認(rèn)為，與健康和生命有關(guān)的所有數(shù)據(jù)可以認(rèn)為是健康醫(yī)療大數(shù)據(jù)。牟忠林等[5]認(rèn)為，數(shù)據(jù)量龐大且類型繁多的初期數(shù)據(jù)資源構(gòu)成了醫(yī)療衛(wèi)生領(lǐng)域健康大數(shù)據(jù)，其將在醫(yī)藥研發(fā)、疾病診療、健康危險(xiǎn)因素分析、公共衛(wèi)生應(yīng)急管理、居民健康管理和精準(zhǔn)醫(yī)療等方面發(fā)揮不可替代的作用。作者基于大量的文獻(xiàn)資料總結(jié)認(rèn)為，健康醫(yī)療大數(shù)據(jù)主要包括就醫(yī)所產(chǎn)生的臨床數(shù)據(jù)、生活過(guò)程所產(chǎn)生的非臨床數(shù)據(jù)及整個(gè)生命周期的死因數(shù)據(jù)三大部分[6]，詳情見圖1。健康醫(yī)療大數(shù)據(jù)具有海量性、多態(tài)性、微觀性、隱私性、追蹤性、全面性、冗余性等特征，數(shù)據(jù)安全問(wèn)題貫穿著數(shù)據(jù)的整個(gè)生命周期，在大數(shù)據(jù)環(huán)境下的健康醫(yī)療大數(shù)據(jù)保護(hù)與傳統(tǒng)環(huán)境下醫(yī)院患者信息安全保護(hù)相比，難度更大[7]。

圖1 健康醫(yī)療大數(shù)據(jù)三維空間模型

2.1政策現(xiàn)狀 海量醫(yī)療數(shù)據(jù)因具有巨大的潛在價(jià)值備受黑客青睞，分布式的系統(tǒng)部署、開放的網(wǎng)絡(luò)環(huán)境、復(fù)雜的數(shù)據(jù)應(yīng)用和眾多的用戶訪問(wèn)，都使得健康醫(yī)療大數(shù)據(jù)在保密性、完整性、可用性等諸多方面面臨更大的挑戰(zhàn)，與傳統(tǒng)醫(yī)療數(shù)據(jù)安全性相比，有以下幾個(gè)新特征[8-9]：(1)網(wǎng)絡(luò)信息互聯(lián)互通，個(gè)人信息泄露風(fēng)險(xiǎn)加劇。(2)傳統(tǒng)安全措施難以適配大數(shù)據(jù)的發(fā)展需求。(3)應(yīng)用訪問(wèn)控制愈加困難。(4)健康醫(yī)療大數(shù)據(jù)所有者權(quán)益難保障。

因網(wǎng)絡(luò)信息安全管理的重要性和緊迫性，國(guó)家相繼出臺(tái)了一系列政策推進(jìn)大數(shù)據(jù)的發(fā)展和安全保護(hù)。國(guó)家層面，2015年8月，國(guó)務(wù)院印發(fā)了《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要的通知》，正式提出要發(fā)展健康醫(yī)療大數(shù)據(jù)，2016年6月審議通過(guò)了《指導(dǎo)意見》，真正將我國(guó)健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展納入國(guó)家大數(shù)據(jù)戰(zhàn)略布局。地方政府深入貫徹落實(shí)《指導(dǎo)意見》，發(fā)布了《貴州省關(guān)于加快大數(shù)據(jù)產(chǎn)業(yè)發(fā)展應(yīng)用若干政策的意見》《浙江省促進(jìn)大數(shù)據(jù)發(fā)展實(shí)施計(jì)劃》和《廣東省促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)計(jì)劃(2016—2020)》等。行業(yè)規(guī)范上，注重網(wǎng)絡(luò)信息安全的規(guī)劃建設(shè)，《國(guó)家網(wǎng)絡(luò)空間安全戰(zhàn)略》正式提出健全網(wǎng)絡(luò)安全法律法規(guī)體系。2017年工信部印發(fā)了《信息通信網(wǎng)絡(luò)與信息安全規(guī)劃(2016—2020)》強(qiáng)化網(wǎng)絡(luò)數(shù)據(jù)保護(hù)。一系列政策出臺(tái)，充分展現(xiàn)了國(guó)家及地方政府對(duì)大數(shù)據(jù)發(fā)展及其安全性的高度重視。

2.2法律現(xiàn)狀 國(guó)外大多數(shù)國(guó)家都將健康醫(yī)療數(shù)據(jù)納入個(gè)人信息范疇進(jìn)行保護(hù)，健康醫(yī)療數(shù)據(jù)與個(gè)人緊密相關(guān)，私密性較高，因此多數(shù)國(guó)家也將健康醫(yī)療數(shù)據(jù)歸為個(gè)人敏感信息[10]。我國(guó)尚未建立專門的個(gè)人信息安全保護(hù)法，對(duì)個(gè)人信息保護(hù)主要體現(xiàn)在一些法律、法規(guī)及規(guī)范的分散條款中，如(1)憲法層面：《中華人民共和國(guó)憲法》強(qiáng)調(diào)對(duì)人格尊嚴(yán)的保障。(2)法律層面：《刑法修正案(九)》第253條提出了“侵犯公民個(gè)人信息罪”。(3)行政法規(guī)方面：國(guó)家衛(wèi)生健康委員會(huì)發(fā)布《關(guān)于印發(fā)國(guó)家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法(試行)的通知》[11]。(4)地方性法規(guī)方面：《貴州省大數(shù)據(jù)發(fā)展應(yīng)用促進(jìn)條例》。(5)司法解釋方面：最高人民法院發(fā)布了《關(guān)于審理信息網(wǎng)絡(luò)侵害人身權(quán)益民事糾紛案件適用法律若干問(wèn)題的規(guī)定》。(6)地方政府規(guī)章：《福州市健康醫(yī)療大數(shù)據(jù)資源管理暫行辦法》，這是全國(guó)首個(gè)行業(yè)性數(shù)據(jù)資源管理辦法?？梢姡瑹o(wú)論從國(guó)家層面還是地方政府層面都有部分法律規(guī)范對(duì)個(gè)人信息安全進(jìn)行規(guī)定，但現(xiàn)行的法律對(duì)個(gè)人數(shù)據(jù)安全保護(hù)力度還遠(yuǎn)遠(yuǎn)不夠，亟待建立起專門的個(gè)人信息安全保護(hù)法。

2.3技術(shù)現(xiàn)狀 醫(yī)療大數(shù)據(jù)信息安全是“人”與“數(shù)據(jù)”兩個(gè)維度的安全，其中“人”的安全涉及數(shù)據(jù)隱私保護(hù)問(wèn)題[12]。而“數(shù)據(jù)”安全一是敏感數(shù)據(jù)會(huì)吸引潛在的攻擊者；二是現(xiàn)有的存儲(chǔ)或安全防范措施無(wú)法滿足安全需求。然而黑客入侵、使用者處置不當(dāng)、非法登錄、丟失和被竊等是醫(yī)療信息泄露的主要原因，其中黑客入侵是最主要的直接原因[13]。目前，數(shù)據(jù)的安全保護(hù)主要遵從于傳統(tǒng)的密碼保護(hù)，而健康醫(yī)療大數(shù)據(jù)因其特殊性，對(duì)安全技術(shù)要求更高，現(xiàn)今主要的技術(shù)手段有[14-15]：(1)數(shù)據(jù)訪問(wèn)控制技術(shù)，通過(guò)為不同的訪問(wèn)角色設(shè)置不同的權(quán)限來(lái)防止未經(jīng)授權(quán)使用資源。(2)數(shù)據(jù)脫敏技術(shù)，針對(duì)特殊敏感數(shù)據(jù)，通過(guò)脫敏規(guī)則而進(jìn)行數(shù)據(jù)的變形。(3)數(shù)據(jù)分類分級(jí)技術(shù)，根據(jù)醫(yī)療數(shù)據(jù)所涉及的隱私不同，將有著不同的權(quán)重?cái)?shù)據(jù)進(jìn)行分類和分級(jí)管理[16]。(4)數(shù)據(jù)加密保護(hù)技術(shù)，將所有數(shù)據(jù)傳輸?shù)焦芾硐到y(tǒng)，并通過(guò)關(guān)鍵字索引進(jìn)行分類加密。

3 我國(guó)健康醫(yī)療大數(shù)據(jù)信息安全存在的主要問(wèn)題

我國(guó)在政策和法律法規(guī)制定及技術(shù)防范等方面都取得了一定的進(jìn)步，但由于我國(guó)醫(yī)療機(jī)構(gòu)較多，不同地區(qū)、不同等級(jí)及類別醫(yī)療機(jī)構(gòu)的醫(yī)療質(zhì)量管理存在較大差異，伴隨著醫(yī)療服務(wù)需求的快速增長(zhǎng)和醫(yī)療新興技術(shù)快速更迭，原有的安全管理制度及管理方法難以適應(yīng)大數(shù)據(jù)時(shí)代下安全管理的需要，主要存在以下幾個(gè)方面的問(wèn)題有待改善[17]。

3.1政策制定待完善 (1)政策措施執(zhí)行困難，現(xiàn)有的相關(guān)政策中涉及數(shù)據(jù)安全與患者隱私保護(hù)，多以指導(dǎo)性、概括性的形式出現(xiàn)，措施的針對(duì)性和可實(shí)施性不強(qiáng)，難以形成標(biāo)準(zhǔn)化管理方法。(2)內(nèi)容重復(fù)，下級(jí)政策主要依據(jù)上級(jí)部門規(guī)定制定，缺乏結(jié)合實(shí)際的創(chuàng)新。(3)政策滯后，政策的制定總是基于現(xiàn)實(shí)，而前瞻性不足，更迭較慢。

3.2法律法規(guī)不健全 (1)我國(guó)現(xiàn)有的法律體系中對(duì)個(gè)人信息安全保護(hù)的規(guī)定比較零散、立法呈碎片化且位階較低，對(duì)醫(yī)療大數(shù)據(jù)安全的法律規(guī)定主要體現(xiàn)在行政法規(guī)和地方性法規(guī)中，立法保護(hù)碎片化使得規(guī)則適用不確定性，行業(yè)主體遵守依據(jù)困難。(2)法律條款的“隱蔽性”，很多條款隱蔽在大篇幅的法條中，保護(hù)方式間接，界限模糊，權(quán)威性和威懾力度不夠，對(duì)于故意泄露或售賣患者個(gè)人信息的單位或個(gè)人懲罰不嚴(yán)。例如《憲法》通過(guò)保護(hù)公民的尊嚴(yán)來(lái)保護(hù)“個(gè)人信息”或“個(gè)人隱私”[18]。

3.3醫(yī)療機(jī)構(gòu)監(jiān)督管理執(zhí)行不力 (1)存在部分醫(yī)療機(jī)構(gòu)因規(guī)模、人員不足等情況，導(dǎo)致未能嚴(yán)格按照國(guó)家醫(yī)療質(zhì)量管理規(guī)定建立健全組織機(jī)構(gòu)，無(wú)專門的信息安全管理部門，或機(jī)構(gòu)形同虛設(shè)履行職責(zé)不到位，缺乏對(duì)日常信息安全監(jiān)督管理[19]。(2)單位對(duì)員工在醫(yī)療質(zhì)量管理相關(guān)法律、法規(guī)、規(guī)章制度等培訓(xùn)上重形式輕實(shí)效，培訓(xùn)計(jì)劃不能有效實(shí)施，考核走過(guò)場(chǎng)。(3)非信息安全主管部門對(duì)信息安全管理的認(rèn)知和重視不夠，臨床科室重業(yè)務(wù)輕安全管理，員工對(duì)數(shù)據(jù)安全保護(hù)意識(shí)不強(qiáng)[20]。(4)內(nèi)部員工違規(guī)操作泄露信息數(shù)據(jù)[21]。(5)醫(yī)務(wù)人員在診療活動(dòng)中泄露患者個(gè)人數(shù)據(jù)存在不完全監(jiān)管的空白[22]。(6)第三方委托機(jī)構(gòu)違背職業(yè)道德泄露或篡改信息數(shù)據(jù)；七是國(guó)內(nèi)醫(yī)療行業(yè)更關(guān)注醫(yī)療業(yè)務(wù)發(fā)展、科學(xué)研究及醫(yī)療技術(shù)的提升需求，缺乏對(duì)專業(yè)網(wǎng)絡(luò)安全人才的儲(chǔ)備等。

4 我國(guó)健康醫(yī)療大數(shù)據(jù)信息安全保護(hù)的對(duì)策

4.1完善政策設(shè)計(jì)和制度建設(shè) 行業(yè)行政主管部門根據(jù)國(guó)家相關(guān)法律法規(guī)規(guī)定，修訂完善行業(yè)信息安全政策，細(xì)化設(shè)計(jì)方案，增強(qiáng)政策的針對(duì)性和可操作性，減少重復(fù)性規(guī)定。各醫(yī)療機(jī)構(gòu)根據(jù)信息安全管理相關(guān)法律法規(guī)和技術(shù)標(biāo)準(zhǔn)，結(jié)合行業(yè)規(guī)范，制定適合自身信息安全管理的制度、應(yīng)急預(yù)案及信息安全風(fēng)險(xiǎn)評(píng)估管理辦法。單位信息安全主管部門要及時(shí)對(duì)患者信息的保密性、完整性和可用性等安全性進(jìn)行評(píng)估，業(yè)務(wù)信息系統(tǒng)新建、擴(kuò)建或改建，在設(shè)計(jì)、建設(shè)及運(yùn)行維護(hù)等各個(gè)階段均應(yīng)有定時(shí)評(píng)估。

4.2加強(qiáng)組織建設(shè)和監(jiān)督管理 醫(yī)療信息安全管理應(yīng)有完善的組織機(jī)構(gòu)，應(yīng)成立信息化領(lǐng)導(dǎo)小組，實(shí)行三級(jí)管理責(zé)任制。醫(yī)院院長(zhǎng)為信息安全管理的第一責(zé)任人，統(tǒng)籌全院信息安全管理工作；信息管理部門負(fù)責(zé)人協(xié)調(diào)管理，監(jiān)督執(zhí)行醫(yī)院的決策部署，對(duì)全院信息安全策略和解決方案制定規(guī)劃并組織實(shí)施，對(duì)全院信息安全管理工作進(jìn)行督導(dǎo)、檢查及培訓(xùn)，保障醫(yī)院業(yè)務(wù)信息系統(tǒng)達(dá)到國(guó)家信息安全等級(jí)要求；各部門負(fù)責(zé)人為部門信息安全管理責(zé)任人，部門信息安全員具體負(fù)責(zé)部門信息安全管理、聯(lián)系和維護(hù)工作。

數(shù)據(jù)安全貫穿數(shù)據(jù)的全生命周期，對(duì)數(shù)據(jù)在收集、存儲(chǔ)、傳輸、處理等全流程安全監(jiān)管是醫(yī)療信息安全保護(hù)體系建設(shè)中的重要組成部分[22]。醫(yī)院可以根據(jù)數(shù)據(jù)隱私保護(hù)要求設(shè)立專門的監(jiān)督保護(hù)機(jī)構(gòu)，監(jiān)督和保護(hù)數(shù)據(jù)的日常管理和有效利用。信息安全監(jiān)督機(jī)構(gòu)獨(dú)立行使權(quán)力，對(duì)醫(yī)療信息安全存在的各種問(wèn)題進(jìn)行監(jiān)督和處理。政府部門積極鼓勵(lì)醫(yī)療機(jī)構(gòu)對(duì)健康醫(yī)療信息安全標(biāo)準(zhǔn)認(rèn)證，并給予監(jiān)督管理標(biāo)準(zhǔn)一定的權(quán)威性和強(qiáng)制性[23]。

4.3建立專門的個(gè)人信息保護(hù)法 為順應(yīng)健康醫(yī)療大數(shù)據(jù)時(shí)代發(fā)展，借鑒他國(guó)立法經(jīng)驗(yàn)，建議盡快出臺(tái)個(gè)人信息保護(hù)法或直接編入保護(hù)健康醫(yī)療大數(shù)據(jù)安全措施[24]；對(duì)健康醫(yī)療大數(shù)據(jù)進(jìn)行明確界定和隱私保護(hù)細(xì)化，明確數(shù)據(jù)在各個(gè)環(huán)節(jié)的隱私保護(hù)和相關(guān)主體的權(quán)利和義務(wù)，設(shè)置數(shù)據(jù)共享限制；加大對(duì)泄露個(gè)人信息的處罰力度，提高違法成本。

4.4提升技術(shù)對(duì)抗防范能力 完善的法律體系是保障健康醫(yī)療大數(shù)據(jù)安全的根本，然而單靠法律手段保障數(shù)據(jù)的安全還遠(yuǎn)遠(yuǎn)不夠，隨著外部黑客攻擊的裂變，提升技術(shù)手段仍然是有效保護(hù)數(shù)據(jù)安全的主要方式。加快提高隱私匿名保護(hù)、數(shù)據(jù)銷毀、訪問(wèn)控制、數(shù)據(jù)統(tǒng)一、安全監(jiān)督、授權(quán)機(jī)制、傳輸安全等技術(shù)手段，增強(qiáng)網(wǎng)絡(luò)攻擊防御能力。醫(yī)療機(jī)構(gòu)、大數(shù)據(jù)中心、相關(guān)企業(yè)應(yīng)當(dāng)提前規(guī)劃，通過(guò)每次黑客攻擊，分析其特點(diǎn)與系統(tǒng)漏洞，提出具體措施，防范更強(qiáng)的網(wǎng)絡(luò)攻擊行為[25]。同時(shí)建設(shè)區(qū)塊鏈技術(shù)構(gòu)建高效可靠的價(jià)值傳輸系統(tǒng)，推動(dòng)互聯(lián)網(wǎng)成為構(gòu)建社會(huì)信任的網(wǎng)絡(luò)基礎(chǔ)設(shè)施，在數(shù)據(jù)信息安全和隱私保護(hù)方面提供雙重保障。

4.5推進(jìn)健康醫(yī)療大數(shù)據(jù)安全管理體系建設(shè)

4.5.1明確醫(yī)療信息主體及數(shù)據(jù)保密規(guī)定 醫(yī)院作為健康大數(shù)據(jù)信息管理者，醫(yī)院信息系統(tǒng)產(chǎn)生的任何患者診療信息數(shù)據(jù)都應(yīng)歸屬醫(yī)院，任何部門和個(gè)人未經(jīng)批準(zhǔn)同意，不得擅自利用信息系統(tǒng)、其他軟件或設(shè)備搜集、拷貝或泄露患者診療信息。因工作需要提取相關(guān)信息數(shù)據(jù)，應(yīng)當(dāng)按照單位網(wǎng)絡(luò)數(shù)據(jù)提取使用管理規(guī)定批準(zhǔn)。醫(yī)院各部門也不得擅自將工作文檔和重要資料，如人事、財(cái)務(wù)、患者診療信息等涉密和敏感信息數(shù)據(jù)進(jìn)行共享，一旦發(fā)生數(shù)據(jù)丟失、泄密等情況，則可按照相關(guān)管理規(guī)定處罰。醫(yī)院藥品、耗材使用量等敏感保密數(shù)據(jù)應(yīng)當(dāng)實(shí)行專人、專機(jī)加密管理，確保數(shù)據(jù)的安全。

4.5.2引導(dǎo)行業(yè)自律，加強(qiáng)病歷資料管理 醫(yī)療機(jī)構(gòu)應(yīng)基于電子病歷信息平臺(tái)建設(shè)，提高醫(yī)院信息化管理水平，建立完善的信息管理制度和電子病歷系統(tǒng)，對(duì)電子病歷的建立、記錄、修改、使用、存儲(chǔ)、傳輸、安全等級(jí)保護(hù)等統(tǒng)一規(guī)范管理，明確病歷數(shù)據(jù)的查閱和使用權(quán)限，對(duì)于查閱和使用人員的基本情況做詳細(xì)記錄。醫(yī)院?jiǎn)T工應(yīng)使用本人工號(hào)和密碼登錄電子病歷系統(tǒng)，并按相應(yīng)權(quán)限和時(shí)限完成電子病歷的書寫、審閱及簽名等工作，嚴(yán)禁使用他人工號(hào)和密碼登錄電子病歷系統(tǒng)書寫、審閱和修改電子病歷[26]。

4.5.3做好員工職業(yè)道德教育培訓(xùn)和權(quán)限管理 醫(yī)療機(jī)構(gòu)應(yīng)當(dāng)加強(qiáng)醫(yī)療衛(wèi)生技術(shù)人員職業(yè)道德和新型技術(shù)、升級(jí)的電子病歷系統(tǒng)的培訓(xùn)，定期開展醫(yī)療衛(wèi)生法律法規(guī)、管理制度及醫(yī)療質(zhì)量等內(nèi)容的考核。醫(yī)務(wù)人員應(yīng)恪守職業(yè)道德，遵守法律法規(guī)、規(guī)范及行業(yè)安全管理制度，保障醫(yī)療質(zhì)量和患者信息安全。醫(yī)院業(yè)務(wù)信息系統(tǒng)的建設(shè)和應(yīng)用必須使用身份授權(quán)機(jī)制，并加強(qiáng)權(quán)限的管理。系統(tǒng)只能由合法授權(quán)者使用，定期更改口令密碼，并嚴(yán)格按照軟件系統(tǒng)的應(yīng)用規(guī)范進(jìn)行操作，嚴(yán)禁未授權(quán)人員操作計(jì)算機(jī)。醫(yī)院?jiǎn)T工應(yīng)當(dāng)嚴(yán)格管理本人工號(hào)和密碼，不得將工號(hào)和密碼告知他人或轉(zhuǎn)借他人使用。

4.5.4建立健全信息安全風(fēng)險(xiǎn)預(yù)警及補(bǔ)救機(jī)制 單位信息安全主管部門定期開展信息數(shù)據(jù)安全檢查和自查，對(duì)發(fā)生或可能發(fā)生患者診療信息泄露、損毀、丟失的情況時(shí)，信息安全主管部門應(yīng)在第一時(shí)間確認(rèn)損失和風(fēng)險(xiǎn)，形成應(yīng)急補(bǔ)救方案，積極采取有力措施阻止或補(bǔ)救風(fēng)險(xiǎn)損失，并及時(shí)上報(bào)單位有關(guān)負(fù)責(zé)人。

4.6擴(kuò)大醫(yī)療信息主體知情同意權(quán) 首先加強(qiáng)對(duì)醫(yī)療大數(shù)據(jù)的合理利用和保護(hù)，在醫(yī)療數(shù)據(jù)的使用和共享時(shí)，有權(quán)自行決策不同的分級(jí)授權(quán)；其次在醫(yī)療數(shù)據(jù)同意收集階段，患者應(yīng)對(duì)醫(yī)療信息的使用有知情同意權(quán)，醫(yī)務(wù)工作者有義務(wù)做好醫(yī)療數(shù)據(jù)的保密工作，未經(jīng)信息主體同意，不得隨意向他人泄露醫(yī)療信息；而非醫(yī)務(wù)工作者需要使用醫(yī)療數(shù)據(jù)時(shí)需要簽訂保密協(xié)議。電子病歷使用階段，確?；颊咝畔⒄?dāng)利用，醫(yī)療信息主體應(yīng)有書面授權(quán)，并且使用者在數(shù)據(jù)使用過(guò)程中遵循最小使用原則。

綜上所述，通過(guò)梳理國(guó)家健康醫(yī)療大數(shù)據(jù)安全現(xiàn)狀，發(fā)現(xiàn)我國(guó)在醫(yī)療信息數(shù)據(jù)安全保護(hù)方面仍然有待完善，盡快建立健全法律體系，制定專門的個(gè)人信息保護(hù)法是保障健康醫(yī)療大數(shù)據(jù)健康運(yùn)行的基礎(chǔ)，行政主管單位制定切合實(shí)際的現(xiàn)代醫(yī)療安全管理制度迫在眉睫，作為信息數(shù)據(jù)管理和所有的責(zé)任主體單位要明確責(zé)任，完善組織機(jī)構(gòu)和制度職責(zé)，監(jiān)督執(zhí)行健康醫(yī)療信息數(shù)據(jù)的日常安全管理，不斷總結(jié)分析，提高信息安全防范技術(shù)水平和管理能力，多維度建立起信息安全保護(hù)屏障，確?；颊咝畔踩槐磺址?。