過(guò)去的2022年，統(tǒng)籌安全與發(fā)展，在醫(yī)療信息化發(fā)展道路中，數(shù)據(jù)安全已不可或缺。

這一年，實(shí)施五年多的《網(wǎng)絡(luò)安全法》迎來(lái)首次修改，《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》由立而行一周年，配套的《數(shù)據(jù)出境安全評(píng)估辦法》、《網(wǎng)絡(luò)數(shù)據(jù)安全管理?xiàng)l例(征求意見(jiàn)稿)》等政策法規(guī)和標(biāo)準(zhǔn)規(guī)范接連發(fā)布，在醫(yī)療行業(yè)，數(shù)據(jù)安全成為《“十四五”全民健康信息化規(guī)劃》部署的關(guān)鍵領(lǐng)域，作為主要任務(wù)和優(yōu)先行動(dòng)持續(xù)推進(jìn)，首個(gè)關(guān)于網(wǎng)絡(luò)安全的管理辦法《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》重磅出臺(tái)，為醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)安全和數(shù)據(jù)安全管理，送上了一份開(kāi)卷答案。

轉(zhuǎn)眼來(lái)到2023年，站在嶄新的年份，醫(yī)療行業(yè)數(shù)據(jù)安全現(xiàn)狀如何?面臨哪些挑戰(zhàn)?醫(yī)療機(jī)構(gòu)又如何開(kāi)展新一年的安全建設(shè)?

“解讀2022，展望2023?！比涨?，CHIMA大講堂醫(yī)療行業(yè)網(wǎng)絡(luò)安全與數(shù)據(jù)安全回顧與前瞻研討會(huì)邀請(qǐng)《中國(guó)醫(yī)院》雜志社社長(zhǎng)、CHIMA主任委員王才有，解放軍總醫(yī)院醫(yī)學(xué)大數(shù)據(jù)研究中心原主任薛萬(wàn)國(guó)，美創(chuàng)科技醫(yī)療行業(yè)專家田平，數(shù)說(shuō)安全分析師史高平，一同探討醫(yī)療數(shù)據(jù)安全建設(shè)的現(xiàn)在與未來(lái)、困境與破局之道。

現(xiàn)狀如何?

數(shù)說(shuō)安全分析師 史高平

從市場(chǎng)來(lái)看，2022年醫(yī)療行業(yè)市場(chǎng)空間為48.22億元，受疫情等因素影響，相較于 2021年同比下滑3.7%。醫(yī)療行業(yè)仍重點(diǎn)圍繞等級(jí)保護(hù)進(jìn)行建設(shè)為主，防火墻、殺毒軟件、上網(wǎng)行為管理等傳統(tǒng)產(chǎn)品仍是主流采購(gòu)項(xiàng)目，安全服務(wù)和安全運(yùn)營(yíng)增幅明顯，此外，勒索病毒頻發(fā)也提升了相關(guān)安全產(chǎn)品采購(gòu)需求。

數(shù)說(shuō)安全《2022醫(yī)療行業(yè)網(wǎng)絡(luò)安全報(bào)告》

在數(shù)據(jù)安全方面，2021年以來(lái)，《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》等法律法規(guī)的落地，醫(yī)療行業(yè)對(duì)數(shù)據(jù)安全的關(guān)注度空間提升，數(shù)據(jù)安全類產(chǎn)品的需求保持了較高的增長(zhǎng)。2022年，數(shù)說(shuō)安全發(fā)布的《數(shù)據(jù)安全市場(chǎng)研究報(bào)告》顯示：2021年，醫(yī)療數(shù)據(jù)安全采購(gòu)項(xiàng)目數(shù)量是3700個(gè)，同比增長(zhǎng)了28.5%，其中專項(xiàng)采購(gòu)469個(gè)，同比增長(zhǎng)29%。

數(shù)說(shuō)安全《2022數(shù)據(jù)安全市場(chǎng)研究報(bào)告》

但總體而言，相較于醫(yī)療信息化的蓬勃發(fā)展，受主觀、客觀條件的限制，醫(yī)療數(shù)據(jù)安全建設(shè)依然相對(duì)滯后，目前，醫(yī)療行業(yè)主要采購(gòu)數(shù)據(jù)庫(kù)審計(jì)、數(shù)據(jù)泄露防護(hù)等單項(xiàng)產(chǎn)品。不過(guò)，整個(gè)行業(yè)關(guān)于數(shù)據(jù)安全的理念正在發(fā)生改變，逐步認(rèn)識(shí)到數(shù)據(jù)分類分級(jí)對(duì)于數(shù)據(jù)安全保障的重要性，不再局限于單點(diǎn)防護(hù)的安全理念，更加關(guān)注數(shù)據(jù)全生命周期的安全防護(hù)，一些發(fā)達(dá)地區(qū)大型三甲醫(yī)院已開(kāi)始從單一的產(chǎn)品采購(gòu)轉(zhuǎn)向數(shù)據(jù)安全治理、數(shù)據(jù)分類分級(jí)等安全服務(wù)的采購(gòu)。

解放軍總醫(yī)院醫(yī)學(xué)大數(shù)據(jù)研究中心原主任 薛萬(wàn)國(guó)

從宏觀層面可以看到，法律與監(jiān)管、數(shù)字經(jīng)濟(jì)與數(shù)據(jù)要素地位的確立對(duì)數(shù)據(jù)安全保護(hù)的要求更加迫切，隨著醫(yī)院、患者、管理者、公衛(wèi)以及科研人員等各方對(duì)數(shù)據(jù)利用和共享的需求日益強(qiáng)烈，也催生著大量的數(shù)據(jù)安全防護(hù)需求。同時(shí)，當(dāng)前醫(yī)療行業(yè)數(shù)據(jù)安全落地實(shí)施還存在一些問(wèn)題：

一方面，醫(yī)院數(shù)據(jù)安全在基礎(chǔ)防護(hù)上尚存在不足。比如數(shù)據(jù)備份能力是數(shù)據(jù)安全防護(hù)基礎(chǔ)，但根據(jù)CHIMA《2021-2022中國(guó)醫(yī)院信息化狀況調(diào)查報(bào)告(征求意見(jiàn)稿)》顯示，僅有四分之一的受調(diào)研醫(yī)院實(shí)現(xiàn)了全部系統(tǒng)數(shù)據(jù)備份，大多數(shù)醫(yī)院只能做到核心系統(tǒng)和重點(diǎn)業(yè)務(wù)系統(tǒng)數(shù)據(jù)備份，其他系統(tǒng)的數(shù)據(jù)沒(méi)有做到備份，這些數(shù)據(jù)一旦發(fā)生數(shù)據(jù)的破壞或泄露，如勒索病毒，將對(duì)醫(yī)院的正常運(yùn)行以及患者的隱私安全造成損失。而在數(shù)據(jù)恢復(fù)能力上，僅有十分之一的醫(yī)院能夠?qū)崿F(xiàn)全部系統(tǒng)數(shù)據(jù)能恢復(fù)到任意時(shí)間點(diǎn)，有22.32%的醫(yī)院僅核心系統(tǒng)數(shù)據(jù)能恢復(fù)到任意時(shí)間點(diǎn)。

CHIMA《2021-2022中國(guó)醫(yī)院信息化狀況調(diào)查報(bào)告(征求意見(jiàn)稿)》

CHIMA《2021-2022中國(guó)醫(yī)院信息化狀況調(diào)查報(bào)告(征求意見(jiàn)稿)》

此外，在醫(yī)院服務(wù)器和數(shù)據(jù)庫(kù)防護(hù)措施上，數(shù)據(jù)庫(kù)審計(jì)、運(yùn)維堡壘機(jī)、防統(tǒng)方作為典型的安全防護(hù)產(chǎn)品，僅有60-70%左右的使用比例。

CHIMA《2021-2022中國(guó)醫(yī)院信息化狀況調(diào)查報(bào)告(征求意見(jiàn)稿)》

另一方面，醫(yī)院數(shù)據(jù)安全保護(hù)工作存在一定困擾和問(wèn)題。醫(yī)院信息化業(yè)務(wù)、系統(tǒng)、軟硬件數(shù)量非常龐大，遠(yuǎn)超其他行業(yè)，但技術(shù)人員較少，尤其專職的安全人員以及數(shù)據(jù)安全管理運(yùn)營(yíng)人員更為稀缺，數(shù)據(jù)安全怎么建，如何建，大部分醫(yī)院并不知道適合自己的答案，造成建設(shè)過(guò)程中的“迷茫期”。也因此，70%以上的調(diào)查者希望有全面的數(shù)據(jù)安全咨詢服務(wù)、安全意識(shí)培訓(xùn)服務(wù)以及數(shù)據(jù)資產(chǎn)的盤點(diǎn)和分類分級(jí)服務(wù)等。

行業(yè)專家 田平

2021年，被稱為數(shù)據(jù)安全元年，9月1日《數(shù)據(jù)安全法》正式實(shí)施落地，同年，國(guó)標(biāo)委發(fā)布首部完全針對(duì)健康醫(yī)療數(shù)據(jù)安全的標(biāo)準(zhǔn)—《信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南》。2022年8月，國(guó)家衛(wèi)生健康委發(fā)布《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》。10月，國(guó)家衛(wèi)生健康委規(guī)劃司發(fā)布《衛(wèi)生健康行業(yè)數(shù)據(jù)分類分級(jí)指南》(征求意見(jiàn)稿)，隨著征求意見(jiàn)稿的落地，未來(lái)醫(yī)療行業(yè)將開(kāi)啟以數(shù)據(jù)分類分級(jí)為起點(diǎn)的數(shù)據(jù)安全建設(shè)。

醫(yī)療數(shù)據(jù)安全建設(shè)政策背景

目前，合規(guī)升級(jí)、監(jiān)管趨嚴(yán)已成為主旋律，國(guó)家及相關(guān)部門正在通過(guò)立法、加強(qiáng)監(jiān)管、完善標(biāo)準(zhǔn)等多維度方式提升醫(yī)療健康數(shù)據(jù)的整體安全水平，2022年國(guó)家衛(wèi)生健康委、國(guó)家中醫(yī)藥局、國(guó)家疾控局推出了醫(yī)療行業(yè)首個(gè)關(guān)于網(wǎng)絡(luò)安全的管理辦法——《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》(簡(jiǎn)稱：《辦法》)，并對(duì)數(shù)據(jù)安全管理單獨(dú)成篇，做出規(guī)制，疊加醫(yī)院數(shù)字化轉(zhuǎn)型、數(shù)據(jù)互聯(lián)互通催生的安全需求，如何保障數(shù)據(jù)安全與患者隱私將持續(xù)成為醫(yī)療行業(yè)的重要議題和焦點(diǎn)需求。

有何難點(diǎn)?

數(shù)說(shuō)安全分析師 史高平

醫(yī)療行業(yè)數(shù)據(jù)安全建設(shè)從實(shí)際成效和結(jié)果看，之所以尚未呈現(xiàn)人氣與市場(chǎng)交替上升局面，一方面在現(xiàn)行已頒布的法律法規(guī)及標(biāo)準(zhǔn)體系下，健康醫(yī)療數(shù)據(jù)安全的頂層設(shè)計(jì)仍然還存在著交叉和空白，配套制度的細(xì)則不夠完善，行業(yè)數(shù)據(jù)分類分級(jí)管理、重要數(shù)據(jù)目錄制定等相關(guān)工作還在研制。同時(shí)，供需兩端在需求和能力適配方面存在一些短板和問(wèn)題。

數(shù)說(shuō)安全《2022醫(yī)療行業(yè)網(wǎng)絡(luò)安全報(bào)告》

一方面，需求側(cè)醫(yī)療機(jī)構(gòu)安全基礎(chǔ)普遍薄弱，各級(jí)醫(yī)療機(jī)構(gòu)在數(shù)據(jù)安全方面還處于起步階段，產(chǎn)品采購(gòu)主要集中在數(shù)據(jù)庫(kù)防護(hù)和防泄漏等傳統(tǒng)產(chǎn)品，受限于安全統(tǒng)籌規(guī)劃能力弱、專業(yè)數(shù)據(jù)安全人才匱乏、資源投入不足、安全管理制度不統(tǒng)一等因素。

另一方面，在供給側(cè)，目前供應(yīng)商提供的醫(yī)療數(shù)據(jù)安全解決方案和服務(wù)的成熟度尚不夠高，需要累積案例經(jīng)驗(yàn)，不斷提高數(shù)據(jù)安全的解決方案成熟度。在醫(yī)療數(shù)據(jù)互聯(lián)互通建設(shè)的信息化趨勢(shì)下，數(shù)據(jù)安全與業(yè)務(wù)高度融合，數(shù)據(jù)安全的基礎(chǔ)是數(shù)據(jù)的分類分級(jí)，這部分和傳統(tǒng)網(wǎng)絡(luò)安全有很大不同，這要求從數(shù)據(jù)分類分級(jí)到相應(yīng)的數(shù)據(jù)安全策略的匹配都需要安全廠商對(duì)醫(yī)療業(yè)務(wù)有深刻的理解，同時(shí)也要求供應(yīng)商提供適配醫(yī)療系統(tǒng)的解決方案和產(chǎn)品。

解放軍總醫(yī)院醫(yī)學(xué)大數(shù)據(jù)研究中心原主任 薛萬(wàn)國(guó)

難點(diǎn)一：大數(shù)據(jù)環(huán)境下，裸數(shù)據(jù)利用需求增多，數(shù)據(jù)保護(hù)難度增大。在傳統(tǒng)模式下，數(shù)據(jù)通過(guò)應(yīng)用系統(tǒng)訪問(wèn)，訪問(wèn)權(quán)限可通過(guò)應(yīng)用系統(tǒng)控制。而在大數(shù)據(jù)分析模式下，數(shù)據(jù)利用隨機(jī)性大，研究人員基于裸數(shù)據(jù)進(jìn)行處理和分析建模，裸數(shù)據(jù)的授權(quán)管理及保護(hù)更為困難。

難點(diǎn)二：隨著AI產(chǎn)品研發(fā)和合作研究增多，外部數(shù)據(jù)利用需求增加，需要特殊技術(shù)對(duì)數(shù)據(jù)進(jìn)行保護(hù)。比如：醫(yī)療機(jī)構(gòu)在對(duì)外提供數(shù)據(jù)時(shí)，往往通過(guò)數(shù)據(jù)脫敏和匿名化手段，但當(dāng)前醫(yī)療數(shù)據(jù)內(nèi)容及類型多樣、結(jié)構(gòu)復(fù)雜，有文本數(shù)據(jù)、醫(yī)療影像等非結(jié)構(gòu)化數(shù)據(jù)，數(shù)據(jù)脫敏和匿名化存在技術(shù)難點(diǎn);僅依靠約定進(jìn)行數(shù)據(jù)用途限定和數(shù)據(jù)保護(hù)力度不夠，數(shù)據(jù)一旦泄露，從技術(shù)上數(shù)據(jù)溯源難;數(shù)據(jù)資源不出院、“數(shù)據(jù)可用不可見(jiàn)”，存在數(shù)據(jù)標(biāo)準(zhǔn)化工程量大、數(shù)據(jù)分析方法設(shè)計(jì)難點(diǎn)。

難點(diǎn)三：應(yīng)用系統(tǒng)和數(shù)據(jù)開(kāi)發(fā)平臺(tái)的技術(shù)架構(gòu)多樣化，給統(tǒng)一的數(shù)據(jù)監(jiān)管審計(jì)造成困難。當(dāng)前，醫(yī)療機(jī)構(gòu)正面臨多樣化的數(shù)據(jù)技術(shù)環(huán)境，既有傳統(tǒng)關(guān)系型數(shù)據(jù)庫(kù)、也有MongoDB、Hbase等NoSQL數(shù)據(jù)庫(kù)，這要求數(shù)據(jù)庫(kù)審計(jì)系統(tǒng)必須有強(qiáng)大的協(xié)議支持能力。

難點(diǎn)四：缺乏落實(shí)法規(guī)的具體遵循。《數(shù)據(jù)安全法》、《個(gè)人信息保護(hù)法》作為上位法，對(duì)醫(yī)療行業(yè)安全保障工作提出了基本規(guī)范和要求，但在醫(yī)療機(jī)構(gòu)落地實(shí)施，還需要制定具體的細(xì)則，如對(duì)于醫(yī)療行業(yè)數(shù)據(jù)如何分類分級(jí)，哪些數(shù)據(jù)是重要數(shù)據(jù)?《個(gè)人信息保護(hù)法》中知情同意原則如何在醫(yī)療行業(yè)實(shí)施，特別是對(duì)于醫(yī)療活動(dòng)之外的數(shù)據(jù)共享利用(科研、單病種上報(bào)、管理部門數(shù)據(jù)采集等)、對(duì)于以患者醫(yī)療為目的的電子病歷共享。

探索實(shí)踐

行業(yè)專家 田平

數(shù)據(jù)安全分類分級(jí)是數(shù)據(jù)安全管理和防護(hù)體系建設(shè)的基礎(chǔ)，是數(shù)據(jù)流動(dòng)過(guò)程中安全態(tài)勢(shì)保護(hù)的底層，識(shí)別核心數(shù)據(jù)、重要數(shù)據(jù)資產(chǎn)，并針對(duì)性的設(shè)計(jì)安全管理機(jī)制，是安全建設(shè)的必由之路。

針對(duì)醫(yī)療行業(yè)存在的“無(wú)標(biāo)準(zhǔn)落地難、數(shù)據(jù)復(fù)雜難梳理、數(shù)據(jù)安全管理粗放、長(zhǎng)效性難保證”等普遍問(wèn)題和安全建設(shè)的實(shí)際需求，美創(chuàng)科技基于對(duì)醫(yī)療行業(yè)的深入理解和在數(shù)據(jù)分類分級(jí)領(lǐng)域的研究，對(duì)標(biāo)參考法律法規(guī)、國(guó)家行業(yè)標(biāo)準(zhǔn)，如《數(shù)據(jù)安全法》、《醫(yī)療衛(wèi)生機(jī)構(gòu)網(wǎng)絡(luò)安全管理辦法》、《國(guó)家衛(wèi)生健康委規(guī)劃司衛(wèi)生健康行業(yè)數(shù)據(jù)分類分級(jí)指南(征求意見(jiàn)稿)》、《GB/T 39725-2020 信息安全技術(shù) 健康醫(yī)療數(shù)據(jù)安全指南》及其他行業(yè)地方標(biāo)準(zhǔn)等，形成切實(shí)可行的核心數(shù)據(jù)、重要數(shù)據(jù)識(shí)別模型，形成基于分類分級(jí)的醫(yī)療健康行業(yè)臨床數(shù)據(jù)合規(guī)共享與安全防護(hù)建設(shè)實(shí)踐方案。

1.基于自研的數(shù)據(jù)支撐平臺(tái)，實(shí)時(shí)、準(zhǔn)確的將結(jié)構(gòu)化數(shù)據(jù)，半結(jié)構(gòu)化數(shù)據(jù)、非結(jié)構(gòu)化數(shù)據(jù)采集抽取至ODS數(shù)據(jù)湖、以及半結(jié)構(gòu)化、非結(jié)構(gòu)化文件庫(kù)中，數(shù)據(jù)支撐平臺(tái)采用基于數(shù)據(jù)庫(kù)日志文件的無(wú)侵入式增量采集技術(shù)，采集過(guò)程不影響生產(chǎn)系統(tǒng)的穩(wěn)定運(yùn)行，并保證數(shù)據(jù)的一致性。

2.通過(guò)暗數(shù)據(jù)發(fā)現(xiàn)與分類分級(jí)系統(tǒng)進(jìn)行數(shù)據(jù)的自動(dòng)化發(fā)現(xiàn)和分類分級(jí)，建立數(shù)據(jù)目錄，并提供豐富的API接口，實(shí)現(xiàn)與資產(chǎn)管理平臺(tái)、數(shù)據(jù)安全管控平臺(tái)、第三方數(shù)據(jù)安全產(chǎn)品對(duì)接，為后續(xù)數(shù)據(jù)資產(chǎn)合規(guī)管理、數(shù)據(jù)安全防護(hù)提供基礎(chǔ)支撐。

3.最終，整體方案基于數(shù)據(jù)分類分級(jí)結(jié)果進(jìn)行數(shù)據(jù)合規(guī)共享(臨床業(yè)務(wù))、敏感資產(chǎn)安全防護(hù)(內(nèi)部管理)。

● 在臨床數(shù)據(jù)合規(guī)共享場(chǎng)景中，幫助用戶在醫(yī)生畫(huà)像、數(shù)據(jù)合規(guī)性檢查、臨床數(shù)據(jù)共享、政府?dāng)?shù)據(jù)上報(bào)等維度實(shí)現(xiàn)數(shù)據(jù)的合規(guī)性應(yīng)用。

● 在敏感資產(chǎn)安全防護(hù)(內(nèi)部管理)中，依據(jù)數(shù)據(jù)分類分級(jí)結(jié)果，建立相適應(yīng)的安全管控策略。如在醫(yī)療運(yùn)維側(cè)，通過(guò)分類分級(jí)結(jié)果有效管控運(yùn)維側(cè)工作人員對(duì)核心數(shù)據(jù)、重要數(shù)據(jù)的訪問(wèn)權(quán)限，對(duì)于一般數(shù)據(jù)中的敏感個(gè)人信息與特殊病種在訪問(wèn)時(shí)可以進(jìn)行差異化訪問(wèn)控制。在醫(yī)療審計(jì)側(cè)，原有數(shù)據(jù)審計(jì)只能審計(jì)到表、字段、數(shù)據(jù)與時(shí)間，基于數(shù)據(jù)分類分級(jí)結(jié)果后，除了能滿足原有的審計(jì)對(duì)象外，還能審計(jì)數(shù)據(jù)的敏感度，對(duì)于核心數(shù)據(jù)、重要數(shù)據(jù)、敏感個(gè)人數(shù)據(jù)與特殊病種數(shù)據(jù)能實(shí)現(xiàn)更加精確化審計(jì)并告警。

數(shù)據(jù)分類分級(jí)結(jié)果在臨床科研與醫(yī)學(xué)論文應(yīng)用場(chǎng)景

醫(yī)療數(shù)據(jù)天然帶有業(yè)務(wù)屬性，做好數(shù)據(jù)安全分類分級(jí)工作，首先必須是數(shù)據(jù)安全專家其次也需要是醫(yī)療行業(yè)的業(yè)務(wù)專家，美創(chuàng)科技已在人社、大數(shù)據(jù)局、公安、醫(yī)療、金融等行業(yè)積累了成功的數(shù)據(jù)分類分級(jí)項(xiàng)目落地經(jīng)驗(yàn)，形成專業(yè)咨詢團(tuán)隊(duì)和自動(dòng)化工具支撐。

趨勢(shì)展望

《中國(guó)醫(yī)院》雜志社社長(zhǎng)、CHIMA主任委員王才有

2022年12月19日，中共中央國(guó)務(wù)院發(fā)布《關(guān)于構(gòu)建數(shù)據(jù)基礎(chǔ)制度更好發(fā)揮數(shù)據(jù)要素作用的意見(jiàn)》(即：“數(shù)據(jù)二十條”)。作為關(guān)于數(shù)據(jù)要素資源的基礎(chǔ)制度，盤活數(shù)字經(jīng)濟(jì)、推動(dòng)數(shù)據(jù)要素市場(chǎng)化創(chuàng)新發(fā)展的基礎(chǔ)性文件，開(kāi)啟了我們國(guó)家數(shù)據(jù)資源開(kāi)放和流通的閘門。

基礎(chǔ)制度的建立，也為破解醫(yī)療健康數(shù)據(jù)開(kāi)放與保護(hù)的“兩難困境”帶來(lái)期望，對(duì)促進(jìn)數(shù)據(jù)的流通和交易活動(dòng)開(kāi)展帶來(lái)動(dòng)力，對(duì)數(shù)據(jù)提供者和開(kāi)發(fā)者提供了新的動(dòng)能，隨著我國(guó)數(shù)據(jù)基礎(chǔ)制度的建立，醫(yī)療健康行業(yè)部門也必然會(huì)根據(jù)這個(gè)基本制度的要求，細(xì)化和規(guī)范醫(yī)療健康數(shù)據(jù)的制度體系，但同時(shí)，這也對(duì)醫(yī)療行業(yè)數(shù)據(jù)安全提出新的挑戰(zhàn)和新的要求。

當(dāng)數(shù)據(jù)由靜止轉(zhuǎn)向動(dòng)態(tài)流動(dòng)，數(shù)據(jù)安全場(chǎng)景發(fā)生了改變，保護(hù)對(duì)象在發(fā)生變化，數(shù)據(jù)安全不再僅僅是要保護(hù)數(shù)據(jù)實(shí)體，還要在數(shù)據(jù)流轉(zhuǎn)基礎(chǔ)之上做動(dòng)態(tài)的防護(hù)，加工后的數(shù)據(jù)以及數(shù)據(jù)衍生品，包括數(shù)據(jù)模型、數(shù)據(jù)核驗(yàn)產(chǎn)品等都需進(jìn)行切實(shí)有效的保護(hù)，為此這需要醫(yī)療行業(yè)采取新的防御措施和手段，做好數(shù)據(jù)安全防護(hù)工作，使這些數(shù)據(jù)發(fā)揮出它應(yīng)有的價(jià)值。

解放軍總醫(yī)院醫(yī)學(xué)大數(shù)據(jù)研究中心原主任 薛萬(wàn)國(guó)

1.在政策法規(guī)方面：期待醫(yī)療行業(yè)管理部門在國(guó)家相關(guān)法律和機(jī)制框架下，加速制定醫(yī)療行業(yè)數(shù)據(jù)安全法規(guī)實(shí)施細(xì)則，更好地承接《數(shù)據(jù)安全法》在行業(yè)的實(shí)施落地。如：對(duì)醫(yī)療行業(yè)數(shù)據(jù)明確分類分級(jí)，制定重要數(shù)據(jù)目錄，提出具體的保護(hù)技術(shù)和管理要求;對(duì)醫(yī)療數(shù)據(jù)采集和使用中的個(gè)人知情同意方式進(jìn)行明確;對(duì)于醫(yī)療數(shù)據(jù)流通中的數(shù)據(jù)匿名化、去標(biāo)識(shí)化要求進(jìn)一步明確;明確醫(yī)療行業(yè)數(shù)據(jù)交易規(guī)則等。

2.在數(shù)據(jù)安全技術(shù)方面：針對(duì)醫(yī)療行業(yè)典型業(yè)務(wù)信息系統(tǒng)和數(shù)據(jù)利用場(chǎng)景，在數(shù)據(jù)防損壞(如勒索病毒)、防流失、防不正當(dāng)使用、訪問(wèn)追溯等方面，期望開(kāi)發(fā)出示范性解決方案;大力發(fā)展和推廣應(yīng)用標(biāo)準(zhǔn)化醫(yī)療數(shù)據(jù)模型和術(shù)語(yǔ)，為分布式數(shù)據(jù)研究提供基礎(chǔ)，開(kāi)發(fā)分布式數(shù)據(jù)統(tǒng)計(jì)、建模方法與算法，支持“數(shù)據(jù)可用不可見(jiàn)”的共享利用模式。

3.系統(tǒng)應(yīng)用與建設(shè)方面：面對(duì)數(shù)據(jù)安全法規(guī)和行業(yè)規(guī)范，越來(lái)越多的醫(yī)療單位會(huì)通過(guò)改造既有系統(tǒng)強(qiáng)化患者信息保護(hù)，同時(shí)加強(qiáng)系統(tǒng)性技術(shù)防護(hù)，強(qiáng)固安全基礎(chǔ)，實(shí)施系統(tǒng)性數(shù)據(jù)安全保護(hù)方案，完善防勒索病毒破壞的數(shù)據(jù)備份機(jī)制，建立數(shù)據(jù)訪問(wèn)審計(jì)、運(yùn)維監(jiān)控審計(jì)等系統(tǒng)。

4.數(shù)據(jù)產(chǎn)品化方面：隨著國(guó)家、地方就醫(yī)療數(shù)據(jù)要素市場(chǎng)化陸續(xù)出臺(tái)相應(yīng)的布局規(guī)劃并逐步落實(shí)，在明確了數(shù)據(jù)安全和個(gè)人信息保護(hù)要求前提下，將進(jìn)一步調(diào)動(dòng)醫(yī)療數(shù)據(jù)加工利用的積極性，醫(yī)療數(shù)據(jù)市場(chǎng)有望逐漸形成，數(shù)據(jù)價(jià)值將由隱形向顯性轉(zhuǎn)變。

田平

《數(shù)據(jù)安全法》的正式實(shí)施，數(shù)據(jù)安全建設(shè)路徑就發(fā)生了很大變化。原來(lái)是以網(wǎng)絡(luò)安全法與等保條例作為數(shù)據(jù)安全建設(shè)的法規(guī)條律，主要以邊界防護(hù)與全面防護(hù)為主，通俗一點(diǎn)講就是“寧可錯(cuò)殺一千絕不放過(guò)一個(gè)”，一條數(shù)據(jù)中發(fā)現(xiàn)有敏感數(shù)據(jù)原來(lái)的方式就是直接把這條數(shù)據(jù)進(jìn)行阻斷，但從結(jié)果上來(lái)說(shuō)屬于阻住數(shù)據(jù)流動(dòng)，在《數(shù)據(jù)安全法》實(shí)施后，數(shù)據(jù)作為第五生產(chǎn)要素，讓數(shù)據(jù)依法、有序流動(dòng)勢(shì)不可擋。

因此，對(duì)于數(shù)據(jù)安全建設(shè)，醫(yī)療機(jī)構(gòu)應(yīng)基于法律要求，開(kāi)展數(shù)據(jù)分類分級(jí)，對(duì)級(jí)別較高，類別較敏感的數(shù)據(jù)，進(jìn)行分級(jí)防護(hù)。同時(shí)，數(shù)據(jù)安全建設(shè)應(yīng)圍繞應(yīng)用場(chǎng)景進(jìn)行開(kāi)展，同一份數(shù)據(jù)在不同的應(yīng)用場(chǎng)景進(jìn)行不同顆粒度的安全防護(hù)措施。如：醫(yī)療數(shù)據(jù)出境與醫(yī)療數(shù)據(jù)應(yīng)用于科研屬于兩種不同的應(yīng)用場(chǎng)景，采用的安全防護(hù)也應(yīng)有所差異，數(shù)據(jù)出境累計(jì)到一定量后需要向網(wǎng)信辦申報(bào)，但當(dāng)數(shù)據(jù)用于醫(yī)療科研，就沒(méi)有數(shù)據(jù)量的要求，反而應(yīng)側(cè)重病人個(gè)人隱私的保護(hù)。

未來(lái)，在整體行業(yè)的倡導(dǎo)下和數(shù)字化轉(zhuǎn)型的大方向下，數(shù)據(jù)分類分級(jí)，包括數(shù)據(jù)安全，數(shù)據(jù)安全治理、數(shù)據(jù)治理等工作，一定會(huì)在各醫(yī)療機(jī)構(gòu)逐漸地展開(kāi)，數(shù)據(jù)分類分級(jí)是目前也是未來(lái)醫(yī)療機(jī)構(gòu)開(kāi)展數(shù)據(jù)安全工作的基礎(chǔ)工程。

原文來(lái)源：CHIMA