医疗数据安全持久战：我在医院的信息安全吗？

作者：向雪信娜辛颖
来源：财经大健康
发布时间：2021-10-04 14:57





医疗数据安全持久战：我在医院的信息安全吗？

【概要描述】数据安全是第一位的，哪怕医院整体的信息化落后一点。

作者：向雪信娜辛颖
来源：财经大健康
发布时间：2021-10-04 14:57

「数据安全是第一位的，哪怕医院整体的信息化落后一点。」

图/pixabay

「我在医院做诊疗，留下的信息安全吗？」很多患者有此疑问。

2021年9月中下旬，「GE医疗设备信息数据不安全」「武汉政府就泄露医院数据约谈GE」等说法在网上刷屏时，GE医疗紧急发布声明否认，对此进行辟谣。

一名患者仅做一次CT影像检查，数据量就达几十个GB。如果患者数据被泄露，数据贩卖、勒索等麻烦也许就会接踵而至。

「数据安全是第一位的，哪怕医院整体的信息化落后一点。」一位北京某三甲医院管理人员向《财经·大健康》多次强调。

医院数据尤其私密，一旦外泄，医院及相关方会遭到问责。因此，在相当长的时间里，很多医院对于数字化和互联网化是保守的，将数据牢牢攥在手中，不做就不会出错，用这种方式来避免风险。

一个人的住院信息、出院信息，入院时诊断的结果是什么，病情的结局是死亡还是康复了，有没有发生合并症，这些患者信息都是医疗数据，都会被医院收集保存。把这些海量数据整合联通起来，是开发医疗健康大数据的重要一环。

像这些医疗数据，会因为共享而创造出价值。如果为了数据安全，而不去拥抱新技术，是因噎废食，那么如何保护医疗数据，又如何共享？

医疗数据安全持久战：卖数据、病毒勒索

医疗信息是数据贩卖的「重灾区」。

2020年，医疗影像AI公司汇医慧影被黑客入侵，有消息提到，该公司的新冠病毒检测技术数据，正在被黑客以四个比特币（时价约合人民币21.8万元）的价格在线出售。

之后，汇医慧影对此做出回应，称四月中旬，公司在境外公有云远程部署培训公益平台过程中，遭到了黑客的攻击。但黑客盗取的仅是培训资料，没有AI源代码，更没有客户数据。

图/pixabay

在一位医疗信息化行业从业者看来，医疗数据有很多涉及到个人隐私的信息，姓名、联系方式、临床资料、社保号码等，「对于黑客来讲，这些信息都可以卖个好价格」。

「超过7亿条公民信息遭泄露，8000余万条公民信息被贩卖，黑客入侵了某部委的医疗服务信息系统，大量孕检信息遭到泄露和买卖。」这是2017年《法制日报》的一条旧闻。

一份来自NIH的研究发现，黑客攻击是医疗保健数据泄露背后最普遍的攻击形式，其次是未经授权的内部披露。

更有黑客直接勒索。2018年，国内一家省级儿童医院的多台服务器感染「勒索病毒」，以致系统瘫痪，患者无法顺利就医，彼时正值儿童流感高发季，医院大厅人满为患。黑客借此勒索，要求院方必须在六小时内，为每台中招机器支付一个比特币赎金，时价约合人民币66000余元。

这并不是孤例，腾讯智慧安全发布的《医疗行业勒索病毒专题报告》数据显示，在全国三甲医院中，有247家医院检出了勒索病毒。

一项来自Verizon的报告提到，仅2018年，一共报告的数据泄露数量为2216起，来自65个国家。其中，医疗数据泄露出现了536次，为所有行业中招最多的。

除了泄漏量大，医疗数据泄露也面临着高成本。根据IBM的一份报告，2019年数据泄露的平均成本为392万美元，而医疗数据的泄露成本通常为645万美元。

美国HIPAA杂志的一项统计提到，一次数据泄露将导致819万美元的损失。美国医疗数据泄露的平均成本为1500万美元。从2014年到2019年，数据泄露的平均成本增加了12%，而同期数据泄露的平均成本增加了3.4%。

医疗数据安全已被视为一场持久战。

「防火墙」正在一步步加强。从2017年《网络安全法》、2020年《民法典》到《个人信息保护法》，再到最近《数据安全法》。

一位从事医疗大数据的研究者告诉《财经·大健康》，相关的管理制度逐步健全，相关负责人的责任更重，对于数据泄露的处理更为严格。

AI厂商还在用光盘拷数据

再担心数据安全，患者和医生还是愿意「足不出户看病购药的互联网医疗、辅助医生诊断的AI」等产品出现。

完成这些，需要海量的医疗数据。清华大学统计学研究中心主任刘军曾分析，有些规律单一的数据看不出来，但将几类数据融合到一起，就可能得出有意思的新发现。因此，把海量数据整合联通起来，这是开发医疗健康大数据的重要一环。

然而，医院的数据围墙，以安全的名义，建的密不透风，形成一个个数据孤岛。

没有数据，AI建模、数据统计分析便无从谈起。当AI医疗公司向医院拿数据做研发时，首先就会问他们设备联没联网。

图/pexels

在即时通讯便捷的当下，一位医疗AI研发人员在训练AI的时候，与合作医院传输图像，需要用光盘去拷数据。「主要是考虑到安全问题，一旦出事，医院会担很大的责任。」

他告诉《财经·大健康》，也有用U盘拷数据的，但很多医院的设备，U盘都插不进去。

有的企业更干脆，直接把机器搬到医院，与医院系统对接获取数据。一趟下来得支付运输、安装部署、医院IT端口等一堆费用。而且，撤离时，还必须把机器中的数据都清洗掉。

据上述医疗AI研发人员观察，如今医疗信息安全趋于严格，院方越来越重视，像他们医疗影像AI公司，合作研发时需要提供一个安全的、能够确保数据信息不会泄露的解决方案，「有签协议的，还有一些大型医院坚持数据不出院，研发只能在院内，特别是北京的三甲医院，涉及官员等重点人群数据较多」。

作为医疗AI研发人员，他期待数据互联互通的那一天，毕竟数据量越大，整个模型的效果越好，这就如同高考答题，数据和标签就如同题目和答案，见的数据越多，AI知道答案越多，分数越高。

然而，现在即使在一家医院内部也存在信息孤岛的情况，这是由于医院信息化建设涵盖诸多子系统，主要包括医院管理信息、医学影像归档和通信、移动护理、临床路径等系统，每个系统在市场上都有不同的供应商。如此一来，一家完成信息化的大医院往往采购了数十家厂商的产品，不同产品之间的数据端口和格式不统一，造成了数据不一致、前后系统无法匹配等问题。

互联互通开始有点儿苗头

直到新冠疫情之下，医院诊疗和患者出行都受到制约，不少医院放松了一些数据共享的心。

如互联网医院，满足了患者在疫情期间足不出户的就医购药需求。至2020年底，全国有互联网医院1100多家，是2018年数量的近10倍。

动脉网统计，有146家互联网医院在2020年1月－4月建成，其中公立医院有110家，占绝对的数量优势。

图/pixabay

不过，医院对于数据安全的要求并没有变，甚至更为严格。

北京一家三甲医院，正在进行智慧医院建设。在医疗设备的数据安全方面的作法是，将医技网络独立运行，接入到这个网络的医疗设备要经过审核，只有符合要求的终端设备才能连入。外部网络无法直接访问这些医疗设备。

这个智慧医院的「大脑」，将是一个数据云平台。「什么样的数据能够连入云平台，连入平台后如何监管？」这家医院的一位管理人员指出，保证数据安全是第一位的。

针对互联网诊疗行为的监管细则仍在讨论中。「传统意义上的监管可能靠制度，靠贴在墙上的字，靠人管人。但是真正的未来现代化的管理手段一定是要靠数据来说话，监管通过信息化手段实现的，靠证据链的数据。」一位医疗信息化监管人士分析。

广州呼吸健康研究院副院长郑劲平曾告诉《财经·大健康》，医疗数据在实际使用之前，首先必须脱敏，也就是把与患者个人隐私相关的信息全部去掉，这样，医疗数据的分析只针对疾病本身，而不涉及个人隐私。与其他机构合作前，也必须签署协议，明确隐私的边界。

在线卖药需要证明处方的真实性，在线复诊，也面临证明患者既往就诊信息的真实性。而这些信息，全部集中在各个独立的线下医院数据库中。

国家卫健委近年来一直在强化「智慧医院」体系的搭建，并为了推动医院「智慧化」，搭建了一个智慧医院服务分级的整体的评估体系，电子病历就是这个评估体系中最重要的一环，也方便医院内部信息集成整合以及统一管理。

在2018年发布的最新版电子病历分级评价标准中，共分为了0—8共九个考核等级。

如达到二级的病例，相当于只能进行部门内的信息交换；四级，患者就医全流程在全院内安全共享，同时还含有药品的配伍以及相互作用的自动审核，以及合理用药监测的功能，为医疗决策提供支持；五级以上，就能实现院内外数据的打通。

目前，绝大多数三级公立医院能达到三级以上水平。有公立医院甚至已到病历七级水平，可以实现院外共享，这意味着患者就医的时候，他在前几家医院就诊的检验检查结果，自动弹出，在一定区域内或者医联体内可以互认。

在一位业内人士看来，数据统一共享和授权开放，授权谁拥有这个数据，谁可以调用数据，打通数据通路也就水到渠成。

越大范围的信息共享，对医院的数据对接，患者信息安全的管理就提出更高的要求。一位医疗行业发展研究者认为，应尽早由国家成立专门的公司来做医疗数据的平台和监管。

责任编辑：亦欣

免责声明：本网注重分享，并不意味着赞同本文观点或证实内容的真实性，请仅做参考。著作权归原作者所有，在此向原作者表示感谢。除非无法确认，本网都会注明作者及来源。如有版权异义请及时告知。

上一个: 2021 诺贝尔医学及生理学奖公布！

下一个: 世卫组织、张文宏：新冠结束时间已不远！

上一个: 2021 诺贝尔医学及生理学奖公布！

下一个: 世卫组织、张文宏：新冠结束时间已不远！