自2018年以來�,隨著等一系列互聯網醫(yī)療服務政策的出臺���,國內互聯網醫(yī)療服務進入快速發(fā)展期��,醫(yī)療機構通過應用互聯網等信息技術拓展醫(yī)療服務空間和內容�,建設互聯網醫(yī)院����,開展遠程醫(yī)療服務���,以更便捷的方式為患者提供包括預約掛號,遠程咨詢�����,實時查閱就診病歷����、醫(yī)技檢查結果、健康體檢報告�,費用支付互聯網醫(yī)院系統,就醫(yī)反饋��,電子處方和藥品配送等全流程的服務�。2020年初,突如其來的新冠疫情造成了線下就診的阻礙�,互聯網醫(yī)療服務需求激增,進一步獲得患者的接受和認可��。
醫(yī)療機構作為線下醫(yī)療實體平臺�����,通常通過網站、App����、微信公眾號、微信小程序等終端實現上述互聯網醫(yī)療服務功能����,全程以電子化的途徑收集、存儲了大量患者個人基本信息�、健康狀況、醫(yī)療應用��、醫(yī)療支付等數據���。在互聯網醫(yī)療服務場景下所涉數據安全和個人信息保護合規(guī)方面���,醫(yī)療機構應重點關注哪些問題,本文予以梳理以供參考��。
信息系統實施三級信息安全等級保護
《互聯網診療管理辦法(試行)》《互聯網醫(yī)院管理辦法(試行)》均要求�,信息系統應當實施第三級信息安全等級保護��。2021年6月3日����,國家衛(wèi)生健康委發(fā)布《互聯網醫(yī)療健康信息安全管理規(guī)范(征求意見稿)》也指出:“互聯網醫(yī)療健康信息系統應通過網絡安全等級保護三級測評和定期復評���。互聯網醫(yī)療健康信息系統集成第三方服務應用時����,第三方服務也需要達到相關安全防護水平?!?/p>
根據公安部、國家保密局等部門出臺的《信息安全等級保護管理辦法》的規(guī)定����,信息系統的安全保護等級分為五級,第三級是指“信息系統受到破壞后����,會對社會秩序和公共利益造成嚴重損害,或者對國家安全造成損害”��。 同時����,根據該規(guī)定,“第三級信息系統運營、使用單位應當依據國家有關管理規(guī)范和技術標準進行保護�����。國家信息安全監(jiān)管部門對該級信息系統信息安全等級保護工作進行監(jiān)督�����、檢查”����。
互聯網醫(yī)療信息系統一旦受到外部攻擊導致患者個人信息泄露,會造成嚴重的后果���,該系統是否穩(wěn)定安全地運轉�,也關系到互聯網醫(yī)療服務的實現�。因此醫(yī)療機構應落實國家法規(guī)、政策關于信息系統等級保護的要求���,切實保障網絡安全�����。
關鍵信息基礎設施運營者的合規(guī)管理
《網絡安全法》首次在法律層面提出“關鍵信息基礎設施運營者”的概念���,在第三十三條到三十八條,大篇幅規(guī)定了關鍵信息基礎設施運營者的責任和義務����,但目前尚無生效的法律法規(guī)對關鍵信息基礎設施運營者的識別作出明確規(guī)定。
2021年8月17日���,國務院正式公布《關鍵信息基礎設施安全保護條例》(2021年9月1日起施行��,以下簡稱《條例》)����,《條例》對“關鍵信息基礎設施”定義采取“行業(yè)+風險”的標準����,規(guī)定“關鍵信息基礎設施是指公共通信和信息服務、能源����、交通、水利����、金融、公共服務、電子政務�、國防科技工業(yè)等重要行業(yè)和領域的,以及其他一旦遭到破壞�、喪失功能或者數據泄露,可能嚴重危害國家安全���、國計民生��、公共利益的重要網絡設施�、信息系統等”�����。
按照上述標準���,“關鍵信息基礎設施”的范圍相對寬泛互聯網醫(yī)院系統����,參照《國家網絡安全檢查操作指南》中對于關鍵信息基礎設施的定義和范圍及確定關鍵信息基礎設施的步驟[1]�,一些大型的醫(yī)療機構(比如收集并存儲超過100萬患者個人信息的醫(yī)院)有可能被納入關鍵信息基礎設施運營者監(jiān)管范圍內,但《國家網絡安全檢查操作指南》位階較低�����,是否能作為認定標準有待明確。
依據《關鍵信息基礎設施安全保護條例》規(guī)定��,“保護工作部門結合本行業(yè)���、本領域實際,制定關鍵信息基礎設施認定規(guī)則��,并根據認定規(guī)則負責組織認定本行業(yè)����、本領域的關鍵信息基礎設施,及時將認定結果通知運營者”�����,建議相關醫(yī)療機構密切關注監(jiān)管動向�����,如被通知納入關鍵信息基礎設施運營者的范圍���,需遵從關鍵信息基礎設施運營者的安全保護規(guī)定進行合規(guī)管理����。
數據安全(重要數據處理)合規(guī)
《互聯網診療管理辦法(試行)》《互聯網醫(yī)院管理辦法(試行)》《遠程醫(yī)療服務管理規(guī)范(試行)》對醫(yī)療機構的數據安全保護義務提出了要求,比如應當建立完善相關管理制度�����、服務流程��,保證互聯網診療活動全程留痕�、可追溯;建立互聯網醫(yī)院信息系統使用管理制度�����、在線處方管理制度�����;建立數據安全管理規(guī)程���,確保網絡安全�、操作安全���、數據安全等��?��!痘ヂ摼W醫(yī)療健康信息安全管理規(guī)范(征求意見稿)》認為��,醫(yī)療機構(建設方)是互聯網醫(yī)療健康信息系統建設和管理的主體�,是信息安全管理的第一責任方��,應履行數據安全保護義務�,落實數據安全保護責任。
