2023年以来,安庆市医疗机构多次接到省卫健委和市委网信办通报,安全隐患主要集中在敏感信息泄露、SQL注入漏洞、弱口令漏洞等。这些泄露事件往往源于内部管理、人员误操作,或遭黑客入侵等外部攻击。急需引起各主管部门和各医疗卫生单位高度重视,解决数据泄露问题是当前医疗数据安全的首要任务。
一、安庆市全民健康信息平台医疗数据现状
2023 年12月,采取市县一体化模式,建成了安庆市全民健康信息平台。截至目前,平台已接入1792家医疗机构卫生健康资源信息,共汇集人口信息599.54万条,电子病历1246.09万份,居民电子健康档案508万份,累计上传检查报告227.82万例、检验报告623.60万例,双向转诊8641次,开展共享调阅109.88万次,完成互认1.2万例,为患者节省检查检验费用约88.87万元。平台数据存储量1062.89GB,存储条数达19.86亿条。电子健康卡用码次数约344.09万次,其中调阅居民电子健康档案约5.15万次。
二、医疗数据实际利用情况
(一)用于临床医疗服务。全市各级医疗机构医护人员日常诊疗过程中,通过平台健康档案浏览器系统可以全面了解患者的既往病史、检查检验结果等信息,实现精准诊断和治疗方案制定。
(二)用于主管部门管理决策。卫生管理部门和医疗机构利用医疗数据进行医疗质量分析和管理。通过对病历数据、手术数据、感染数据等的分析,发现医疗服务过程中的问题和潜在风险,及时采取改进措施。基于医疗数据的统计分析,为全市优化医疗资源配置提供决策依据。
(三)用于公共卫生等便民服务。平台整合了居民健康档案数据、预防接种数据、传染病监测数据等公共卫生信息,为公共卫生部门开展疾病预防控制、健康教育等工作提供了有力支持。例如,在流感高发季节,卫生部门通过分析居民健康档案中的基础信息和就诊数据,精准定位易感人群,及时开展流感疫苗接种宣传和推广工作,有效提高了疫苗接种率,降低了流感发病率。
三、平台医疗数据应用安全风险分析
(一)网络攻击风险。安庆市全民健康信息平台及部分医疗机构曾遭受过网络攻击,如2023年,安庆市妇计中心服务器遭到勒索病毒攻击,虽然及时发现并采取了措施,但仍有少量患者信息被黑客加密,影响了中心业务系统的正常使用。黑客可能通过网络漏洞获取的医疗数据,用于非法目的,如贩卖患者信息获取经济利益、进行医疗诈骗等。
(二)人员违规操作风险。医疗机构内部人员由于工作疏忽或故意行为,也可能导致数据泄露。例如,有个别医院因工作人员误操作将包含患者敏感信息的文件发送至公共邮箱,险些造成数据泄露事件。此外,个别医护人员私自拷贝患者数据,作为个人研究或其他用途,如果不严格监管、严格审查,会造成医疗数据外泄风险。
四、医疗数据安全治理对策建议
(一)全面开展数据清查和安全风险评估。对安庆市全民健康信息平台和医疗机构的数据进行全面清查和安全风险评估,建立详细目录并分配标识符。依据相关标准将数据分类分级,如分为患者个人信息、临床诊疗数据等类别及不同敏感级别。然后确定如临床诊断辅助决策、远程医疗会诊等特定应用场景,针对各场景制定具体的数据使用规则和流程,包括数据的访问权限、方式和时间限制等,从而在保障数据安全的前提下,促进医疗数据互通互用,提升医疗服务效率与质量,同时运用数据安全技术实现精准管控。
(二)建立完善医疗数据安全防护体系。实施全面的数据安全保障措施,涵盖加密存储传输、严格身份认证授权及完善的数据备份恢复策略,从多维度守护数据完整性、保密性与可用性。构建数据流转全程留痕机制,在各个环节详细记录操作日志,为数据追踪审计提供清晰线索,以便及时察觉异常情况与潜在风险。建立数据安全监测和预警系统以及数据泄露事件可溯源流程,借助专业工具实时监控,精准溯源,快速响应处置安全事件,从而打造出一套严密且完善的健康医疗数据安全防护体系。
(三)建立完善数据安全管理制度。卫生行政主管部门应组织制定统一的医疗数据安全管理规范,明确数据采集、存储、传输、使用、共享等各环节的安全要求和操作流程。各级医疗机构应根据规范要求,结合自身实际情况,制定详细的内部数据安全管理制度,并严格执行。
(四)定期开展医疗数据安全培训和检查。各单位要加强数据安全人才队伍建设,对可以获取到医疗数据的相关人员进行数据安全培训,组织人员参加安全技能竞赛,以赛代训,提高人员的数据安全意识和操作技能。各级医疗机构应建立医疗数据安全监督与审计部门或岗位,对数据安全管理制度进行培训,对制度执行情况进行监督检查,对数据访问和操作行为进行审计记录。发现安全漏洞和违规行为及时进行处理,并定期向管理层汇报数据安全状况。
(五)加强医疗数据共享与合作管理。在医疗数据共享与合作过程中,应建立规范的共享流程和协议。明确数据共享的目的、范围、方式、双方的权利和义务等内容,并对共享数据进行脱敏处理,去除患者敏感信息,确保数据共享过程中的安全。对数据共享与合作的对象进行安全评估,确保其具备相应的数据安全保护能力。
各单位应建立完善审查制度,严格控制医疗数据与境外研究机构或个人的共享,采取更为严格的审批程序和安全保障措施,并在确保数据安全得到绝对保障的前提下,经相关部门的严格审批和监管,方可谨慎进行有限的数据交流与合作,从而维护国家的医疗数据主权和公民的隐私权益。