试论医疗卫生领域数据的使用与保护
课题项目：2023 年浙江省大学生科技创新活动计划暨新苗人才计划《数字共享背景下医疗机构检查检验结果互认风险防范机制研究》（2023R412004）研究成果

李璐 叶鹏

作者单位：浙江农林大学文法学院

    【摘要】 随着“互联网 + 医疗诊断”模式的大范围普及，在数字共享的大背景下，检查检验结果等作为医疗信息含有重要的个人数据，这些数据在收集、传输、使用过程中如何保护、如何规范，成为司法实践中需要研究的问题。本文通过剖析数据安全领域存在的风险，设计信息安全保障机制，以期针对可能隐藏的风险，填补数据漏洞。
    【 关键词 】 医疗互认；数据侵权；个人信息；检查检验；防范机制
一、医疗数据安全风险防范必要性研究
    医疗信息涉及患者既往病史、家庭情况、保险合同等个人权益，必须妥善保护。过去，医疗信息的传递主要依托患者携带纸质检查检验结果转院诊疗，但纸质报告容易遗失、模糊不清、被篡改等，导致患者需要进行重新检查。为解决这一问题，卫健委等多部委联合发布《医疗机构检查检验结果互认管理办法》，推行检查检验结果互认政策，即医疗机构之间属于互认项目的检验检查结果（包括报告和影像资料）互相认可，减少重复检查，简化就诊流程，减轻患者就诊负担。互认政策的实施，使得查验数据依托信息平台传输、共享。

    目前，医疗机构检查检验结果线上传输主要遵循两种运行模式，分别为检查检验结果由患者利用互认平台自行上传和医疗机构之间利用互认平台进行传输，具体操作流程如下图所示。

    以浙江省“浙医互认”政策为例，患者端可凭借个人身份信息登录“浙里办”政务服务平台，查阅检查检验报告和互认情况，尊重患者的知情权和选择权。诊疗端依托全省统一研发、分级部署的智控系统，实现数据信息“智能推送、精确提示、快捷互认”。
    为保障互认政策更好落实，妥善保护患者信息，2022 年 8 月 8 日，国家卫健委、中医药局、疾控局联合印发《医疗卫生机构网络安全管理办法》，我国医疗机构检查检验结果互认，在数据安全方面有了行动指南。但由于一些医疗机构对信息安全不够重视，缺乏专门的信息安全人员以及医疗数据自身的高度敏感性和隐藏价值，尽管实施互认的医疗机构已制定了使用患者信息的规则，但在互认过程中，存在数据泄漏、不当使用等安全隐患。与此同时，各类新平台、新应用的推广，在数据安全保护意识薄弱的背景下，使得数字平台面临严峻挑战。迫切需要剖析医疗信息互联互通互认过程中存在的数据侵权风险，设计信息安全保障机制。
二、医疗领域互联互通互认过程中存在的数据侵权风险
    （一）数据收集安全风险
    收集个人信息应遵循“合法、正当、必要和诚信原则”，各医疗机构在进行信息化建设时对个人生物识别信息要适度收集，加强对敏感个人信息的保护与管理。然而目前医疗机构存在数据收集不必要和数据收集不诚信的问题。
    数据收集不必要，即对于患者信息随意收集、过度收集。例如部分医疗 APP，用户注册账户时要求上传个人姓名、家庭住址、面部特征、健康情况等，导致用户在使用甚至卸载 APP 后不断接到骚扰电话。过度收集患者信息多是出于商业目的，依托个人信息进行精准营销，同时严重时会利用个人信息进行犯罪活动。湖南省长沙市望城区卫生健康局为推进“互联网 + 医疗服务”，自 2019 年 7月 12 日起，要求辖区内 17 家医疗卫生机构陆续使用电子签核系统推送疫苗接种知情告知书，疫苗受种者或监护人点击“同意”时系统自动采集指纹和人脸识别信息。截至 2022 年 3 月 11 日，上述机构共收集 83 万余条涉及指纹、人脸识别等个人生物识别信息。
    数据收集不诚信，即收集时未告知被采集者数据的用途、种类和处理方式。一些医疗应用平台在患者未同意隐私政策前即自动打开相关个人信息收集权限；或利用冗长复杂的隐私条款为用户“挖坑”，未对个人敏感信息的收集进行提示说明和突出标识；或未逐一列明个人信息收集的业务功能以及收集的目的、存储时间、处理方式等。
    （二）数据传输安全风险
    依托以电子病历为核心的信息平台传输作为一种新兴的数据传递方式，确实可以实现病患信息在各系统中高效、便利流转，但由于数据传输主体的多元性，监管方无法及时监测数据流转过程中的异常行为和安全风险。
    就医疗机构而言，部分医院未重视电子病历系统建设、未安装审计和管控设备、未设置数据安全备份库，若数据传输过程中发生数据泄漏或数据遗失事故时缺乏应急预案，难以保障信息安全。
    医疗机构还会通过购买服务的形式，引入第三方科技公司，依托技术支持企业建起互认平台进行信息系统集成，如果第三方技术公司在传输数据时，未经合法流程进行审批和保管，导致医疗信息违法流入社会，很可能会被有心之人利用，给公民个人信息保护造成极大威胁。
    此外，网络入侵等非法行为也影响着数据传输安全。因网络安全意识淡薄、部分医疗机构和第三方技术公司未履行网络安全保护义务，缺乏防范计算机病毒和网络攻击等非法行为的技术措施，有些数据传输时甚至未在监管之下，随时都有遭受外部网络攻击和非法访问的风险。
（三）数据使用安全风险
    《民法典》《个人信息保护法》等都要求医师和医疗机构依法保护患者个人信息，但实践中出于信息安全教育的缺乏和经济利益的诱惑，医疗机构和医生均存在恶意使用医疗数据的风险。
    医疗机构可能因故意或过失将患者信息非法销售，如向婴幼儿用品商家披露孕妇信息、与保险代理机构合作进行保险营销。江西省宜春市中心城区 5 家大型医院与部分保险代理机构达成协议，由保险代理机构在合作医院推销相关保险产品。部分保险代理机构业务人员在推销保险产品过程中，为精准销售“手术意外险”等险种，通过合作医院违法获取大量患者的姓名、手术类型、联系电话等医疗健康信息，对相关患者进行保险推销，患者不堪其扰。
    同时虽然目前医师在使用患者数据信息时受到如下限制：依据职级划分访问权限；限制访问数量；后台留存访问历史。但原则上针对在院患者，为了方便医院会诊，每个医生都可通过自己的工号进入电子系统，使用患者的住院 ID查询其电子病历。存在医师未经患者本人或其监护人的许可，将患者信息用于论文撰写、讲座教学等公开活动；问诊后与不相关人员讨论患者的诊疗方案或家庭信息、导致个人隐私被泄露；未获得患者本人或监护人同意组织实习医生进行现场观摩学习等数据使用安全风险。
三、建立数据互联共享过程中全流程的信息安全保障机制
    为有效保护医疗数据共享过程中患者的信息安全以及规避第三方医学检验机构数据互联共享过程中产生的风险，本文在调研的基础上，结合我国检查检验结果互认现状，尝试构建一套涵盖数据收集、传输、使用的全流程的信息安全保障机制，以规范患者信息采集者的准入资格和采集行为，针对可能隐藏的风险，填补数据漏洞。
    （一）数据收集：依据信息敏感程度设定采集患者信息的规则
    医疗信息涉及患者个人隐私和网络安全，须确立检查检验结果数据信息收集的原则性规范：应遵循“合法、正当、必要和诚信原则”，采取恰当的政策、程序和技术手段，在使用受益最大化和防止伤害之间取得平衡，如贯彻患者同意原则、医疗信息必须知道原则、敏感医疗信息加密原则等。
    在原则的指导下，进行具体的制度设计：收集前，界定医疗机构、第三方机构可以合理合法采集的患者个人信息范围，即检查检验机构采集的患者个人信息的内容应与其就医所需具有直接关联；收集时，将收集的患者信息区分为敏感数据（例如指纹和人脸）和普通数据（就医必要信息），并对其进行分类管理。
    针对数据收集不必要行为，医疗机构、第三方机构等检查检验机构对于患者个人信息收集的范围应限定于姓名、年龄、既往病史等与就医具有强关联性的信息，对于指纹、人脸等敏感数据的收集需充分考察其必要性。其次，建立自动化审计系统，监测个人信息收集行为，防止不必要的过度收集。
    针对数据收集不诚信行为，检查检验机构各职能部门在收集患者信息时必须具有法定的依据和授权事项，不得超出职权收集患者个人信息。若确有必要收集患者的敏感数据，在制定平台政策或隐私条款时，须确保患者的知情权，在充分告知患者的前提下，征得患者的明示同意。此外，敏感数据的收集须经患者签署知情同意书，并订立保密协议。
    （二）数据传输：设置网络安全管理岗位实时监控信息安全
    为了防范数据传输过程中的信息盗取、泄露风险，接触数据的单位，包括上传数据及使用数据的医疗机构、第三方机构，内部应设立网络安全部门、网络安全专人专岗，负责实时监控信息安全，保证网络传输正常，保障操作系统的安全性。
    网络安全部门除实时监控内部人员传输、使用患者信息之外，还需做好准备应对外来风险，配备有效防范如不法分子攻击内部网络或非法入侵计算机系统以窃取患者个人信息等非法行为的技术措施。在建设网络安全部门的同时，提高信息传输者的网络安全意识也迫在眉睫，医疗机构或第三方平台需要大力宣传网络信息安全知识，由内而外的保障信息安全。任何拥有收集、传输、使用、浏览患者个人信息权利的内部人员未经许可不得向他人泄露、转让患者个人信息，尤其是以营利为目的有偿向非法组织或个人传递信息。
    医疗机构在进行数据传输时，还需重视电子病历系统建设，建立集成化数据库进行信息备份，保障数据的非易失性与持久性，从而在发生数据遗失或数据泄露等紧急事件时能够有效应急，维持稳定的医疗秩序。此外，若医疗机构引入第三方平台数据库进行信息传输或存储，应到有关部门进行备案登记，在使用过程中需与第三方平台开发者保持及时的联络，同时医疗机构内部网络安全管理岗位应与第三方平台共享实时监控权利。
（三）数据使用：分级分等进行授权访问与责任落实个人
    为了防止非授权访问物理环境造成信息泄露，应严格限制访问权限，按照医师级别和数据重要程度，对使用者的权限进行综合分级，第三方机构按照等级授权申请者进行访问。如检查检验人员拥有上传、修改等权限，主治医师拥有查阅、浏览、下载等权限。但各个使用者的权限除按照级别和数据重要程度综合分级之外，还需触发相应的业务需求才能使用该权限。
    无论是普通数据还是敏感数据，任何数据使用者都不得超出职权使用患者个人信息，也不得超出规定的目的使用患者个人信息，对于数据的使用应与采集的用途一致。若使用人员确需超出权限使用数据，需经过严格的申请审批流程，从上级获取合法权限。申请获取的权限需具有时效性与非普适性，即使用者获取的权限仅针对特定的患者，而非适用于所有患者。此外，在使用敏感数据之前，使用者也须充分告知患者使用的目的、范围等信息，获取患者的明示同意后方可使用患者个人信息。
    同时，落实网络安全责任制，坚持“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则，将责任落实到个人，加大监督力度，精准防控。其次是要把追责制度贯穿医疗行为全过程，有错必纠、有责必担，将非法使用数据行为带来的风险降到最低。这意味着，须把接触相关数据信息的全链条上各单位纳入监测范围之中，督促其承担相应的维护网络安全的责任。
参考文献
[1] 杨毕辉 , 许燊晖 , 王继伟 . 区域内各医疗机构检查检验结果互认系统应用研究 [J]. 中国卫生信息管理杂志 ,2019,16(04).
[2] 张世红 , 琚文胜 , 翟宏丽 . 个人健康医疗数据权益政策法规分析及思考 [J]. 中国卫生信息管理杂志 ,2022,19(04).
[3] 杨晓毓 . 电子病历信息共享机制构建的价值探讨 [J]. 财经界，2021,(32).
[4] 杨自根 , 曹高芳 , 罗小勇 . 患者健康医疗信息的法律保护与合理使用 [J]. 医学与社会 ,2022,35(02).
[5] 徐慧丽 . 大数据环境中个人医疗信息的法律保护 [J]. 图书馆 ,2019,(11).