凌之晞

摘要：隨著醫(yī)療信息化的快速發(fā)展，醫(yī)院信息系統(tǒng)已經(jīng)成為醫(yī)療機構(gòu)的重要基礎(chǔ)設(shè)施，貫穿于患者掛號、診療記錄、檢查結(jié)果、醫(yī)囑執(zhí)行、出院結(jié)算等各個環(huán)節(jié)。當(dāng)前，醫(yī)院信息系統(tǒng)中大量敏感的個人醫(yī)療信息被電子化，其在為相關(guān)工作提供極大便利的同時，也帶來了隱私泄露等問題。文章通過分析醫(yī)院信息系統(tǒng)中影響數(shù)據(jù)隱私保護的內(nèi)外因素，提出了有針對性的隱私保護措施，以促進醫(yī)院信息系統(tǒng)性能在此方面的提高。

關(guān)鍵詞：醫(yī)院信息系統(tǒng)；數(shù)據(jù)隱私保護；隱私安全

doi：10.3969/J.ISSN.1672-7274.2024.03.020

中圖分類號：TP 309? ? ? ? ? 文獻標(biāo)志碼：A? ? ? ? ? ?文章編碼：1672-7274（2024）03-00-03

在數(shù)據(jù)安全重要性日益凸顯的當(dāng)下，醫(yī)院信息系統(tǒng)由于涉及大量敏感的患者隱私信息和醫(yī)療信息，隱私保護的重要性尤為突出。隱私保護不僅會影響患者的個人健康與財產(chǎn)安全，而且也會影響醫(yī)院的服務(wù)質(zhì)量與醫(yī)患關(guān)系。

1? ?醫(yī)院信息系統(tǒng)中隱私保護的概念和重

要性

隱私保護一般指采取技術(shù)和管理措施來保障個人隱私數(shù)據(jù)的安全，防止數(shù)據(jù)未經(jīng)授權(quán)被訪問、使用、泄露、篡改或銷毀。具體到醫(yī)院信息系統(tǒng)這一語境，隱私保護意味著通過一系列的技術(shù)和措施來增強患者個人信息以及相關(guān)醫(yī)療記錄等數(shù)據(jù)的安全性、完整性、可用性和保密性，避免隱私信息泄露?；颊叩尼t(yī)療信息通常包含非常敏感和私密的信息，這些信息一旦泄露，可能會造成患者身份被盜用、醫(yī)療欺詐等一系列問題，存在嚴(yán)重的醫(yī)患糾紛風(fēng)險，影響醫(yī)院醫(yī)療服務(wù)質(zhì)量。從法律法規(guī)和社會責(zé)任的角度來說，《中華人民共和國刑法》《民法典》《醫(yī)療機構(gòu)病歷管理規(guī)定》等法律法規(guī)均明確規(guī)定對患者醫(yī)療隱私的保護，這也是醫(yī)院提供醫(yī)療服務(wù)的基本原則與重要義務(wù)。因此，有效的隱私保護對患者、醫(yī)院以及社會都具有十分重大的意義。

2? ?醫(yī)院信息系統(tǒng)隱私保護的需求與挑戰(zhàn)

2.1 醫(yī)院信息系統(tǒng)的隱私保護需求

按照《信息技術(shù)服務(wù) 運行維護 第8部分：醫(yī)院信息系統(tǒng)管理要求》（GB/T 28827.8—2022）中的業(yè)務(wù)影響度分級與數(shù)據(jù)安全性定級標(biāo)準(zhǔn)，醫(yī)院信息系統(tǒng)數(shù)據(jù)涵蓋從醫(yī)院各級系統(tǒng)中產(chǎn)生的患者識別信息、醫(yī)院運營情況和主客觀診療記錄等數(shù)據(jù)，具有高度敏感性。由此，醫(yī)院信息系統(tǒng)的隱私保護工作應(yīng)滿足以下三點需求。一是對數(shù)據(jù)安全保護高標(biāo)準(zhǔn)的需求。由于醫(yī)院信息系統(tǒng)涵蓋醫(yī)院運營和診療各個環(huán)節(jié)，醫(yī)療數(shù)據(jù)則涉及患者的健康情況、病史、遺傳信息等極為敏感的個人隱私信息，因此面臨著比其他相對不敏感的信息更為嚴(yán)峻的安全壓力，對數(shù)據(jù)的安全保護要求更為嚴(yán)格。

二是對數(shù)據(jù)完整性和準(zhǔn)確性的需求。一方面，由于醫(yī)療信息系統(tǒng)中包含的信息直接關(guān)系到患者的生命健康與合法權(quán)益，因此需要數(shù)據(jù)在保存和修改時全程具備可驗證、可追溯的功能。另一方面，系統(tǒng)又必須能夠通過交叉驗證或備份存儲的方式來防止因不可抗力、外部破壞等原因?qū)е碌臄?shù)據(jù)滅失、數(shù)據(jù)被篡改，以保證數(shù)據(jù)完整、準(zhǔn)確。

三是對數(shù)據(jù)共享和大規(guī)模數(shù)據(jù)處理能力的需求。在醫(yī)院實際診療的使用環(huán)境中，患者信息的處理涉及患者診前預(yù)約系統(tǒng)、醫(yī)護系統(tǒng)診療端、醫(yī)技平臺、醫(yī)保監(jiān)管平臺以及診后隨訪系統(tǒng)等多元主體，這需要醫(yī)院信息系統(tǒng)在保護患者隱私的前提下，實現(xiàn)系統(tǒng)平臺間數(shù)據(jù)的有效共享和脫敏處理。

此外，隨著各醫(yī)院對醫(yī)療大數(shù)據(jù)的投入加大，醫(yī)療數(shù)據(jù)總量不斷膨脹。根據(jù)中國醫(yī)院協(xié)會信息專業(yè)委員會2023年2月發(fā)布的涵蓋全國31個省級行政區(qū)、1 062家醫(yī)院的研究報告《2021—2022年度中國醫(yī)院信息化狀況調(diào)查》（下稱《狀況調(diào)查》），2021—2022年度業(yè)務(wù)數(shù)據(jù)存儲總量較大的（100 TB以上）醫(yī)院數(shù)量較2019-2020年度上升幅度為5.92%[1]。因此，醫(yī)院信息系統(tǒng)需要具備處理和存儲大規(guī)模數(shù)據(jù)并同時保證數(shù)據(jù)安全性和隱私性的能力[2]。

2.2 影響醫(yī)院信息系統(tǒng)中隱私保護的內(nèi)部因素

2.2.1 醫(yī)院管理體系

從內(nèi)部因素來看，對醫(yī)院信息系統(tǒng)中隱私保護影響最大的是醫(yī)院的管理體系與人員培訓(xùn)水平。在醫(yī)療數(shù)據(jù)隱私安全需求持續(xù)提升的大環(huán)境下，通過建立科學(xué)、完整、有效的管理體系，運用規(guī)章制度、角色分級授權(quán)以及流程審批等管理手段，可以有效規(guī)避因人員的錯誤操作或不當(dāng)行為造成的數(shù)據(jù)泄露、數(shù)據(jù)丟失或系統(tǒng)損壞。另外，由于醫(yī)院工作強度大、人員數(shù)量多以及各人員對隱私保護的重視程度不同等原因，目前針對醫(yī)院信息系統(tǒng)開展的數(shù)據(jù)安全保護培訓(xùn)在強度、內(nèi)容時效性以及參與率等方面存在不足，開展頻率較低，導(dǎo)致部分人員對數(shù)據(jù)安全的重要性理解不夠，對防護技術(shù)掌握程度不高，繼而導(dǎo)致患者隱私數(shù)據(jù)被泄露。

2.2.2 技術(shù)因素

信息防護技術(shù)水平也是一個重要的影響因素。比如信息系統(tǒng)的軟硬件質(zhì)量、所采取的系統(tǒng)防護策略以及系統(tǒng)更新周期等都可能對隱私數(shù)據(jù)的安全性產(chǎn)生影響，形成風(fēng)險點。根據(jù)《調(diào)查報告》，截至2022年度，我國各大醫(yī)院采用防火墻、入侵檢測、網(wǎng)閘、數(shù)據(jù)庫審計等方式作為網(wǎng)絡(luò)安全防護措施的比例分別為98.31%、78.34%、76.37%和71.56%，而防毒墻、態(tài)勢感知、WAF等措施的配置率相對較低，分別為47.08%、42.75%和35.97%。此外，仍有占比約0.75%的醫(yī)院未采用任何有效的數(shù)據(jù)安全防護措施[1]。除此以外，大部分醫(yī)院所使用的安全防護設(shè)備以月、季度為周期更新安全策略，導(dǎo)致防護策略及防毒庫在一定程度上較為滯后，影響系統(tǒng)安全防護性能。

2.2.3 數(shù)據(jù)保護與管理策略

數(shù)據(jù)保護與管理策略主要涉及數(shù)據(jù)設(shè)備管理、訪問權(quán)限設(shè)置以及數(shù)據(jù)備份機制。相當(dāng)比例的醫(yī)院由于技術(shù)和資金限制，信息系統(tǒng)仍在使用過時的數(shù)據(jù)設(shè)備，也未對數(shù)據(jù)存儲設(shè)備進行足夠強度的加密，因此攻擊者可以通過常見的安全漏洞輕易獲取存儲設(shè)備中的隱私信息。而在數(shù)據(jù)訪問權(quán)限設(shè)置方面，很多醫(yī)院信息系統(tǒng)使用賬號加弱口令形式進行訪問，未采用雙因素或者多因素身份驗證。同時，系統(tǒng)在數(shù)據(jù)訪問控制方面的精細化程度不足，存在越權(quán)訪問的情況，如醫(yī)生能夠訪問所有患者病歷而非其負責(zé)的患者病歷。兩個問題互相疊加產(chǎn)生了更高的非法數(shù)據(jù)訪問風(fēng)險。在數(shù)據(jù)備份機制方面，《調(diào)查報告》顯示被調(diào)研的醫(yī)院中56.97%的醫(yī)院仍采用單一機房雙機冷熱備份或單機數(shù)據(jù)備份的方式，未進行異地災(zāi)備及冗余存儲。35.88%的醫(yī)院在系統(tǒng)故障后無法恢復(fù)或僅能恢復(fù)核心系統(tǒng)至備份點或任意時間點，當(dāng)因備份機制配置不到位導(dǎo)致數(shù)據(jù)損毀時，無法及時恢復(fù)缺失的隱私數(shù)據(jù)，存在安全隱患。

2.3 影響醫(yī)院信息系統(tǒng)隱私保護的外部因素

在外部因素中，網(wǎng)絡(luò)攻擊是對醫(yī)院信息系統(tǒng)的最大威脅。隨著技術(shù)的發(fā)展，網(wǎng)絡(luò)攻擊的方式呈現(xiàn)多元化的趨勢，非授權(quán)用戶通過系統(tǒng)漏洞非法入侵、截取網(wǎng)絡(luò)數(shù)據(jù)包以及針對特定目標(biāo)采取隱私推理攻擊、信息聚集攻擊等，都可能對醫(yī)院信息系統(tǒng)造成嚴(yán)重的破壞，竊取患者隱私信息[3]。同時，物聯(lián)網(wǎng)等網(wǎng)絡(luò)技術(shù)的興起一方面為醫(yī)療設(shè)備與信息系統(tǒng)提供更多互聯(lián)互通可能性，另一方面也帶來了更多的可攻擊風(fēng)險點，這要求醫(yī)院必須及時更新數(shù)據(jù)隱私保護策略與安全防護技術(shù)，對醫(yī)院信息系統(tǒng)進行更新迭代，以應(yīng)對新的挑戰(zhàn)。

3? ?優(yōu)化醫(yī)院信息系統(tǒng)的隱私保護策略

3.1 依照政策開展等級保護工作

依照政策開展等級保護工作，可有效提高醫(yī)院信息系統(tǒng)的隱私保護等級，降低數(shù)據(jù)泄露風(fēng)險。2011年原國家衛(wèi)生部印發(fā)《衛(wèi)生行業(yè)信息安全等級保護工作的指導(dǎo)意見》，要求重要衛(wèi)生信息系統(tǒng)的安全保護等級原則上不低于第三級。等級保護涉及的內(nèi)容包括5個等級保護安全技術(shù)標(biāo)準(zhǔn)和5個安全管理要求，以及包含隱私保護、安全審計和通信保密在內(nèi)的近300個指導(dǎo)要求，為隱私保護工作的開展指明了方向。

3.2 加強內(nèi)部隱私安全管理

圍繞醫(yī)院信息系統(tǒng)中的隱私保護建立并完善相應(yīng)的制度體系和監(jiān)督機制。首先，在權(quán)限上針對系統(tǒng)使用者和維護者等不同角色做出區(qū)分，將隱私保護職責(zé)明確到崗位和個人。其次，建立應(yīng)對外部攻擊、硬件損毀、隱私信息泄露等安全事件的應(yīng)急預(yù)案和備份恢復(fù)機制，作為醫(yī)院處理隱私泄露相關(guān)安全事件的制度依據(jù)。再次，加強對醫(yī)院人員的隱私保護意識、數(shù)據(jù)安全意識的培養(yǎng)和相關(guān)技能培訓(xùn)，緊密結(jié)合前沿技術(shù)和安全風(fēng)險典型案例以提升培訓(xùn)效果。建立專門的工作隊伍負責(zé)數(shù)據(jù)和隱私信息安全管理，跟蹤可疑數(shù)據(jù)訪問記錄，指導(dǎo)安全事件處置，并將職責(zé)的履行情況與激勵機制相結(jié)合，根據(jù)責(zé)任落實成效給予激勵，形成良好的隱私保護與安全管理氛圍[4]。

3.3 引入主流隱私保護技術(shù)

將當(dāng)前主流的隱私保護技術(shù)引入醫(yī)院信息系統(tǒng)，可在技術(shù)層面有效降低隱私信息泄露風(fēng)險。當(dāng)前主流的隱私保護技術(shù)主要有隱私信息訪問技術(shù)、隱私信息加密技術(shù)以及隱私信息匿名技術(shù)等。

3.3.1 隱私信息訪問控制技術(shù)

此類技術(shù)通過限制用戶或角色的訪問權(quán)限，來防止非授權(quán)用戶或角色獲取隱私信息。采用此技術(shù)的醫(yī)院信息系統(tǒng)可通過規(guī)則引擎按照用戶職責(zé)、科室甚至用戶的具體行為等建立規(guī)則，為不同職責(zé)的人員分配具有細分數(shù)據(jù)訪問權(quán)限的角色，準(zhǔn)確控制用戶的訪問邊界[5]。此外，在用戶身份識別方面引入CA電子簽名、指紋、ID芯片卡等驗證方式，作為傳統(tǒng)賬號口令組合的補充，防止越權(quán)訪問。

3.3.2 隱私信息加密技術(shù)

該技術(shù)通過對隱私信息本身或者信息傳輸過程中的網(wǎng)絡(luò)通道進行加密，防止非法用戶對竊取到的隱私數(shù)據(jù)進行再利用。在隱私信息加密方面，引入DES、RSA等加密算法對醫(yī)院信息系統(tǒng)中諸如數(shù)值、文本、圖像、影像等多種類型的數(shù)據(jù)進行加密存儲，在網(wǎng)絡(luò)通道加密方面，采用VPN進行點對點的加密傳輸，加密遠程醫(yī)療、遠程隨訪或院間數(shù)據(jù)交換過程中交互的隱私數(shù)據(jù)包。加密后，非授權(quán)用戶即使竊取了隱私數(shù)據(jù)，也無法將數(shù)據(jù)解密為可理解的明文再利用[6]。

3.3.3 隱私信息匿名技術(shù)

該技術(shù)對隱私信息本身進行處理，將隱私信息中的精確身份信息匿名化脫敏處理或加入隨機化干擾數(shù)據(jù)，避免真實數(shù)據(jù)泄露[5]。這類技術(shù)將數(shù)據(jù)導(dǎo)入k-匿名算法模型或l-多樣性算法模型處理后，真實的身份標(biāo)識會被泛化為模糊的或抽象的數(shù)據(jù)，部分信息則會被隱藏，從而降低非授權(quán)用戶通過隱私推理攻擊或信息聚集攻擊等手段竊取真實隱私信息的可能性。

3.4 加快安全防護技術(shù)迭代

對處理隱私數(shù)據(jù)所涉及的軟硬件進行技術(shù)迭代，結(jié)合人工智能、大數(shù)據(jù)等手段提高醫(yī)院信息系統(tǒng)的智能化、自動化水平，減少人工參與。加快醫(yī)院信息系統(tǒng)所使用的各類防護手段的更新迭代，確保病毒庫、漏洞補丁保持最新版本，降低利用系統(tǒng)漏洞、程序問題進行隱私信息竊取攻擊的可能性[7]。引入數(shù)據(jù)追蹤技術(shù)對醫(yī)院信息系統(tǒng)中的數(shù)據(jù)訪問、提取、修改等行為進行追蹤和分析，監(jiān)測和排查異常行為，前移發(fā)現(xiàn)隱私信息泄露的時間節(jié)點，進一步強化數(shù)據(jù)隱私保護和安全管理成效。

3.5 推進容災(zāi)體系和一體化平臺構(gòu)建

提升容災(zāi)系統(tǒng)在數(shù)據(jù)備份和恢復(fù)方面的效能，進一步推進異地容災(zāi)和遠程備份的構(gòu)建，增強醫(yī)院信息系統(tǒng)防范隱私信息丟失的能力。深入探索醫(yī)院不同信息系統(tǒng)間的數(shù)據(jù)共享與標(biāo)準(zhǔn)統(tǒng)一，加快一體化平臺開發(fā)建設(shè)，借助平臺統(tǒng)一的數(shù)據(jù)處理機制和備份策略實現(xiàn)醫(yī)院信息系統(tǒng)隱私信息的集中管理和共融互通。

4? ?結(jié)束語

隨著各級醫(yī)院對信息化建設(shè)投入的持續(xù)增加，隱私保護作為醫(yī)院承擔(dān)的義務(wù)和責(zé)任必須得到高度重視。依據(jù)政策開展等級保護測評，加強醫(yī)院內(nèi)部隱私數(shù)據(jù)管理，建立并完善相應(yīng)的隱私保護制度體系和監(jiān)督機制，引入隱私信息保護技術(shù)并提升安全管理水平，才能有效降低隱私信息泄露風(fēng)險，最大化發(fā)揮醫(yī)院信息系統(tǒng)的綜合效益。

參考文獻

[1] 徐渭，張騫峰．醫(yī)院信息化發(fā)展現(xiàn)狀及對策[J]．計算機與網(wǎng)絡(luò)，2021，47（10）：38.

[2] 張舒．網(wǎng)絡(luò)環(huán)境下醫(yī)院信息系統(tǒng)數(shù)據(jù)安全保障體系構(gòu)建研究[J]．網(wǎng)絡(luò)安全技術(shù)與應(yīng)用，2023（2）：60-61.

[3] 陳磊．醫(yī)療數(shù)據(jù)隱私保護研究綜述[J]．中國數(shù)字醫(yī)學(xué)，2013（11）：95-98.

[4] 李文鈺．淺談醫(yī)院信息系統(tǒng)的網(wǎng)絡(luò)安全管理與維護[J]．?dāng)?shù)字技術(shù)與應(yīng)用，2023（4）：222-224.

[5] 趙蓉，何萍．醫(yī)療大數(shù)據(jù)應(yīng)用中的個人隱私保護體系研究[J]．中國衛(wèi)生信息管理雜志，2016（2）：191-196.

[6] 史婷瑤，馬金剛，曹慧，等．醫(yī)療大數(shù)據(jù)隱私保護技術(shù)的研究進展[J]．中國醫(yī)療設(shè)備，2019（5）：163-166.

[7] 王雅楓．醫(yī)院信息系統(tǒng)的維護策略分析[J]．電子技術(shù)，2023（4）：198-199.