信息技術(shù)的發(fā)達(dá)在某種程度上徹底改變了人們的生活和思想，對網(wǎng)銀賬號非常不信任、只認(rèn)存折現(xiàn)金的老人們已經(jīng)學(xué)會了使用社保卡系統(tǒng)，認(rèn)為“網(wǎng)絡(luò)購物都是騙人”的如今也已經(jīng)學(xué)會了淘寶和微店。幾年前堅(jiān)持“病歷必須手寫”的老醫(yī)生們也隨著大流漸漸習(xí)慣了電子病歷，學(xué)會了使用醫(yī)療信息系統(tǒng)。醫(yī)療信息化的突飛猛進(jìn)改變著固有的醫(yī)療方式，醫(yī)療大數(shù)據(jù)的采集、分析、共享顯得愈加重要，與此同時，醫(yī)療數(shù)據(jù)安全的問題也逐漸凸顯。

銀行以牢固的防火墻系統(tǒng)給予用戶安全感，淘寶微店以穩(wěn)定的支付系統(tǒng)讓用戶安心地“買買買”，在人的固有思維里，金錢往往比其他信息要重要得多，這導(dǎo)致了醫(yī)療信息系統(tǒng)與“金錢系統(tǒng)”比起來，顯得十分不牢固，而醫(yī)療信息泄露的代價卻在其含金量不斷的提升中超出了人們的想象。

Part ?1

針對醫(yī)療數(shù)據(jù)的犯罪攻擊成倍上升

電影《阿甘正傳》中有一句名言，“生活就像一盒巧克力，你永遠(yuǎn)不知道下一塊會是什么味道”，用淺顯的語言道出了未來的無限可能。而在2015年5月美國獨(dú)立研究機(jī)構(gòu)波萊蒙研究所（Ponemon Institute）舉辦的第五屆年度醫(yī)療數(shù)據(jù)隱私及安全基準(zhǔn)研究會上，給人們帶來的驚詫卻遠(yuǎn)遠(yuǎn)超過了一盒美味的巧克力。研究其中一項(xiàng)重要的發(fā)現(xiàn)是，目前針對醫(yī)療數(shù)據(jù)的犯罪攻擊已經(jīng)上升了125%，且已成為醫(yī)療數(shù)據(jù)泄露的主要原因。除此之外，其他的研究結(jié)果也同樣令人不安。

三大驚詫結(jié)果，

醫(yī)療數(shù)據(jù)安全堪憂

驚詫1

65%的醫(yī)療機(jī)構(gòu)沒有為信息丟失或被盜的患者提供任何保護(hù)服務(wù)。隨著醫(yī)療數(shù)據(jù)網(wǎng)絡(luò)威脅的愈演愈烈，這種情況無疑是不可取的。諷刺的是，Ponemon研究還發(fā)現(xiàn)，同樣亦有65%的醫(yī)療機(jī)構(gòu)相信，信息丟失或被盜的患者更易受醫(yī)療身份被盜之苦。

驚詫2

醫(yī)療數(shù)據(jù)泄露的平均成本在過去五年中一直保持著一致，為210萬美元。而與之相對的是，根據(jù)Ponemon最近的另一份報告，《2015年數(shù)據(jù)泄露成本研究：全球分析》顯示，數(shù)據(jù)泄露的平均成本在過去兩年中已經(jīng)上漲了23%，達(dá)到379萬美元。網(wǎng)絡(luò)責(zé)任保險覆蓋通知成本、更好的身份監(jiān)控手段、更多能提供幫助的隱私律師等等措施，在一段時間后能減少醫(yī)療數(shù)據(jù)泄露的成本。

驚詫3

很多醫(yī)療機(jī)構(gòu)采取專門方法來進(jìn)行事故風(fēng)險評估。研究中，只有50%的醫(yī)療機(jī)構(gòu)依據(jù)HIPAA Final Rule的要求，對每個安全事件執(zhí)行四大因素的風(fēng)險評估。在另50%中，34%的機(jī)構(gòu)使用專門的風(fēng)險評估程序，而27%使用的是內(nèi)部開發(fā)的手動程序或工具。

黑客比以往更為青睞

醫(yī)療數(shù)據(jù)

若論近年美國的科技熱點(diǎn)事件，無疑是索尼影業(yè)被黑一案，并且這一事件也在不斷地發(fā)酵，波及的范圍也越來越廣，許多機(jī)密郵件、敏感信息都被泄露。這也可能是近年來引起關(guān)注最多的黑客事件。那么，黑客的目標(biāo)是不是已經(jīng)轉(zhuǎn)向了電影行業(yè)呢？答案不太明確，更多的，索尼影業(yè)被黑的導(dǎo)火索是在政治上有些敏感的《刺殺金正恩》。

黑客們的行為難以琢磨，誰都不知道下一個遭殃的是誰。不過根據(jù)MIT Technology review的消息，在2015年，黑客們的目光將會集中在醫(yī)療數(shù)據(jù)這塊領(lǐng)域。這一結(jié)論的來源出自多位安全研究人員的調(diào)查。

Carl Leonard是Websense的資深安全分析師，Websense是著名的信息和數(shù)據(jù)安全防護(hù)解決方案提供商，他表示，黑客侵入醫(yī)療保健機(jī)構(gòu)的計(jì)算機(jī)網(wǎng)絡(luò)，竊取有價值個人信息的可能性越來越高。去年八月，Websense 研究人員報告稱，之前的十個月里，醫(yī)院遭受的網(wǎng)絡(luò)攻擊增長了600%，這是一個非常顯著的信號，預(yù)示著在2015年，醫(yī)療保健相關(guān)機(jī)構(gòu)的數(shù)據(jù)信息安全正面臨這前所未有的挑戰(zhàn)。

這種數(shù)據(jù)安全受威脅程度的提高的原因是雙向的，一方面是黑客的攻擊更為頻繁，另一方面，世界范圍內(nèi)，醫(yī)療機(jī)構(gòu)的病歷，數(shù)據(jù)等等信息在電子化，但是對于一般醫(yī)療機(jī)構(gòu)而言，對計(jì)算機(jī)安全的重視程度還不夠。許多人的想法是，更快更容易地訪問醫(yī)療數(shù)據(jù)要比繁瑣的安全步驟更為重要。

支撐Carl Leonard看法的還有他的同行們，The Ponemon Institute（波耐蒙研究所），一家隱私問題智庫，他們的研究發(fā)現(xiàn)，2014年里，研究中有 40% 的醫(yī)療機(jī)構(gòu)遭受了惡意軟件的侵?jǐn)_，試圖盜竊其中的數(shù)據(jù)。而在2010年，這一比例為 20%。另一個專門追蹤計(jì)算機(jī)安全漏洞的機(jī)構(gòu)The Privacy Rights Clearinghouse發(fā)現(xiàn)，今年已經(jīng)有400萬條記錄被盜竊，這比往年都要多。

為何黑客們比以往更為青睞醫(yī)療數(shù)據(jù)呢？只是因?yàn)榧w興趣改變了嗎？

安全公司PhishLabs的威脅情報總監(jiān)Don Jackson發(fā)現(xiàn)，以往黑客們愛好的信用卡信息盜竊正在降溫，市場開始飽和，這是因?yàn)橛行┬庞每▽Σ簧嫌脩魝€人信息，沒什么價值。

而醫(yī)療數(shù)據(jù)則不一樣，我們?nèi)メt(yī)院看醫(yī)生的時候，往往會透露社保帳號、個人財務(wù)信息等等關(guān)鍵信息，黑客們通過這些信息的拼湊，就可以勾畫出一幅完整的個人信息圖譜來。在黑市中，這些信息如果能夠讓不法分子侵入到個人銀行帳號，那么這些信息賣出個幾百美元也很正常。

與此同時，還有一個值得注意的趨勢是，手機(jī)、平板等等設(shè)備在接入互聯(lián)網(wǎng)的同時，也在配合一些醫(yī)療保健設(shè)備將醫(yī)療數(shù)據(jù)上傳到醫(yī)療機(jī)構(gòu)，或者其他機(jī)構(gòu)的云端，這種趨勢讓醫(yī)療數(shù)據(jù)安全變得更為漏洞百出。

安全專家們的預(yù)測和目前大熱的“量化自我”等概念也有著不可割裂的關(guān)系，很難說我們在互聯(lián)網(wǎng)上分享的各種自身數(shù)據(jù)不會被用來構(gòu)建個人信息圖譜。

Part ?2

醫(yī)療數(shù)據(jù)泄露造成什么？

今年以來，醫(yī)療保健行業(yè)發(fā)生了多起“毀滅性”的數(shù)據(jù)泄露事件，比如美國第二大醫(yī)療保險服務(wù)商Anthem公司信息系統(tǒng)被黑客攻破，超過7800萬客戶信息泄露，而美國健康保險公司“Premera Blue Cross”的信息系統(tǒng)遭到網(wǎng)絡(luò)攻擊，則造成了1100萬客戶信息泄露。根據(jù)美國衛(wèi)生部民權(quán)辦公室的數(shù)據(jù)，單單在今年第一季度全美就報告發(fā)生了87起數(shù)據(jù)泄露事件，受影響醫(yī)療機(jī)構(gòu)達(dá)500多家，共計(jì)9230萬個人信息泄露，同比上升了3709%。無怪乎有專家把今年稱為“黑客之年”。

論成本：

會損失多少銀子？

根據(jù)美國獨(dú)立研究機(jī)構(gòu)波萊蒙研究所（Ponemon Institute）一份有關(guān)數(shù)據(jù)風(fēng)險的最新研究報告，醫(yī)療保健信息泄露的補(bǔ)救成本最高，而且這一情況逐年加劇。在《2015年數(shù)據(jù)泄露成本研究》報告中，波萊蒙研究所研究人員下結(jié)論說，全世界范圍內(nèi)醫(yī)療保健信息泄露的平均成本是每條記錄363美元，而在美國這一數(shù)字為398美元。波萊蒙研究所開展的該最新研究由IBM公司資助，共涵蓋11個國家的350家公司，涉及到16個行業(yè)。該研究在2014年從美國、英國、德國、澳大利亞、法國、巴西、日本、意大利、印度、阿聯(lián)酋和沙特收集到的數(shù)據(jù)基礎(chǔ)上進(jìn)行的。

形成對比的是，全球范圍內(nèi)各行業(yè)數(shù)據(jù)泄露的平均成本為每條記錄154美元，而公共部門每條信息記錄泄露的平均成本為68美元，各行業(yè)最低。零售行業(yè)數(shù)據(jù)泄露的平均成本居中，達(dá)165美元，比前年的105美元驟增57%。所有國家各行業(yè)的人均數(shù)據(jù)泄露成本同期內(nèi)上升了12%。

《2015年數(shù)據(jù)泄露成本研究》是波萊蒙研究所推出的第五本數(shù)據(jù)泄露年度研究報告。該研究所指出，由黑客和作者所稱的"內(nèi)部犯罪者"所導(dǎo)致的數(shù)據(jù)泄露占到今年報告中數(shù)據(jù)泄露總起數(shù)的47%，而去年報告中這一數(shù)字為42%。而和犯罪相關(guān)聯(lián)的數(shù)據(jù)泄露的修補(bǔ)費(fèi)用從159美元上升至170美元。根據(jù)該最新報告，美國的數(shù)據(jù)泄露成本最高，各行業(yè)數(shù)據(jù)泄露的平均成本為每條記錄217美元，其次是德國，為211美元。

目前，美國對丟失病人個人信息和醫(yī)療數(shù)據(jù)課以重罰，并要求所有醫(yī)療健康機(jī)構(gòu)遵守HIPAA的隱私和安全規(guī)定，對所有員工進(jìn)行安全培訓(xùn)以保護(hù)患者隱私數(shù)據(jù)，并向用戶及時通報數(shù)據(jù)泄漏事件。

論個人信息：

會有多大影響？

醫(yī)療大數(shù)據(jù)的建立的確給居民健康和醫(yī)療研究帶來了極大的便利，但是，同時必須考慮由此帶來的一系列隱私保護(hù)問題。隨著醫(yī)療數(shù)據(jù)采集、加工和應(yīng)用，數(shù)據(jù)泄露時有發(fā)生，進(jìn)而帶來患者隱私的泄露。數(shù)據(jù)泄露會危及患者個人隱私，如孕婦個人信息的泄露，可能帶來的一系列推銷、詐騙等問題。

而在大數(shù)據(jù)環(huán)境下隱私泄露的危險，不僅僅限于泄露本身，還在于在此數(shù)據(jù)的基礎(chǔ)上對于下一步行為的預(yù)測與判斷。例如，成功入侵意味著犯罪分子可以利用這些數(shù)據(jù)破壞受害者醫(yī)療記錄，試想一下：一個不知自己醫(yī)保ID號被盜的受害者突發(fā)疾病，需要緊急切除膽囊，而病人病歷上寫的卻是膽囊已于去年切除掉了。那么問題來了，是醫(yī)生誤診還是有其他的情況呢？醫(yī)生會出于安全考慮重新檢查，這樣就會延誤手術(shù)時間，對病人生命帶來一定的危害。當(dāng)然，情況還可能會更糟糕——如果攻擊者把病人病歷上的血型和過敏藥物也涂改掉的話，就會造成更為嚴(yán)重的后果，甚至危及生命。

前車之覆，后車之鑒。在多數(shù)國人的眼里，安全管理并不能帶來直接的利潤收入，因此非IT互聯(lián)網(wǎng)公司中，IT系統(tǒng)和網(wǎng)絡(luò)部門乃至前后端開發(fā)往往被邊緣化。但有些地方的成本是容不得壓縮的，特別是當(dāng)公司成長起來以后，對安全的漠視可能致命?？梢韵胂螅坏┖诳蛡冮_始把目光轉(zhuǎn)向中國醫(yī)療市場，現(xiàn)有的多數(shù)互聯(lián)網(wǎng)+醫(yī)療系統(tǒng)將毫無招架之力，造成巨大經(jīng)濟(jì)損失和社會負(fù)面影響，甚至出現(xiàn)毀滅性的信息安全事故。

今年全國兩會期間，多位全國人大代表呼吁應(yīng)加強(qiáng)醫(yī)療大數(shù)據(jù)背景下的隱私保護(hù)，正在推進(jìn)中的分級診療、社區(qū)醫(yī)療，更加凸顯患者隱私保護(hù)的重要性。醫(yī)療行業(yè)必須覺醒，同時意識到他們正在面臨與金融服務(wù)行業(yè)相同的威脅，及時發(fā)現(xiàn)數(shù)據(jù)庫危機(jī)，采取有效的解決機(jī)制是十分必要的。

論數(shù)據(jù)庫：會有多恐怖？

案例一：

2014年，澤西城醫(yī)療中心的患者非常詫異的收到了一封郵件，告知他們醫(yī)院丟失了一個載有未加密患者敏感信息的光盤。

郵件中稱被發(fā)現(xiàn)的丟失信息包括醫(yī)保患者的社會保險號、支付信息以及入院日期。任何人都有可能獲取這些信息。

無獨(dú)有偶，新澤西的一家媒體對患者信息泄露事件進(jìn)行了調(diào)查，發(fā)現(xiàn)即使加密、數(shù)據(jù)完整性以及安全措施越來越高端，醫(yī)療健康行業(yè)還是在保護(hù)患者敏感信息方面一次又一次遇挫。

美國衛(wèi)生和公眾服務(wù)部存檔數(shù)據(jù)顯示，從2009年開始，新澤西醫(yī)療機(jī)構(gòu)約有一百萬患者的數(shù)據(jù)泄漏。

2013年泄漏信息的患者總數(shù)為850000——這是自2009年強(qiáng)制申報以來最多的一次。

從2009年開始，新澤西發(fā)生了14起患者敏感信息泄密事件，包括17個不同的機(jī)構(gòu)，影響了將近一百萬患者。

新澤西最大的醫(yī)療數(shù)據(jù)泄漏事件于2013年11月發(fā)生在Horizon Blue Cross Blue Shield，兩臺未加密的筆記本電腦從其紐瓦克總部被盜。該醫(yī)療健康供應(yīng)商在2008年經(jīng)歷了一次相似的數(shù)據(jù)泄密事件。

州際衛(wèi)生部門也不能幸免。新澤西公眾服務(wù)部也遭受過一次泄密，第三方供應(yīng)商的一位雇員丟了個U盤，可能包含超過9000名醫(yī)療補(bǔ)助計(jì)劃患者的姓名和社會保險號。

利文斯頓的巴拿馬健康醫(yī)療集團(tuán)兒科分支以及瓦恩蘭的印斯皮瑞醫(yī)療中心在2013年也出現(xiàn)過泄密時間。巴拿馬健康系統(tǒng)的8個機(jī)構(gòu)也有過類似遭遇，而紐瓦克貝斯以色列醫(yī)療中心在過去四年經(jīng)歷了三次泄密。

小型醫(yī)療機(jī)構(gòu)也容易泄漏數(shù)據(jù)。11月，韋恩的足病醫(yī)生Paul G. Klein辦公室報告丟失了一臺筆記本電腦，其中包含了2500名患者的信息。

12月，當(dāng)Jor Rodriguez收到Blue Cross Blue Shield的郵件時感到很震驚：他的信息泄漏是由于筆記本電腦被盜造成的。

在新澤西醫(yī)療數(shù)據(jù)泄漏案件統(tǒng)計(jì)顯示，5年影響百萬患者。

案例二：

2014年，醫(yī)療部門看到在內(nèi)部濫用類別中自身第二高的數(shù)字：基于內(nèi)部濫用而發(fā)生的醫(yī)療安全事件高達(dá)15%，這個數(shù)字也高于其他13個行業(yè)。只有行政、礦業(yè)、公共部門、房地產(chǎn)和交通運(yùn)輸行業(yè)比例更高一點(diǎn)。

威瑞森風(fēng)險小組高級分析師Suzanne Widup說，他們目睹了“不少”的內(nèi)部濫用，尤其是與有組織的犯罪團(tuán)體相關(guān)，比如他們中或者有人被招募為內(nèi)部人員，或者專門被送到醫(yī)療機(jī)構(gòu)工作，最終幫助獲得易被貨幣化的敏感信息，正如社會保險號與患者病歷相關(guān)一樣。

Widup指出，稅務(wù)欺詐也在這一類，特別是在佛羅里達(dá)州。她說：“佛羅里達(dá)處于這種攻擊的最前沿?！?/p>

此外，還有員工窺探問題，Widup表示該問題實(shí)際上是被低估了，因?yàn)樗狈ο穸悇?wù)欺詐那樣的財務(wù)支持。

Widup表示，控制這些事情發(fā)生最有效的方法是審計(jì)你的用戶和數(shù)據(jù)。“你需要知道誰有這些數(shù)據(jù)，誰能訪問這些數(shù)據(jù)，而且你需要監(jiān)控它。當(dāng)你看到某機(jī)構(gòu)實(shí)施某種形式的審計(jì)計(jì)劃，突然之間他們就能開始找到很多以前看不到東西?！?/p>

醫(yī)療行業(yè)在混雜錯誤分類中也很“突出”，該類別在行業(yè)安全事件中占到12%。

這種一般在以下情況發(fā)生：員工把文件或電子郵件發(fā)錯了收件人，或發(fā)布了他們認(rèn)為是受到保護(hù)的數(shù)據(jù)，但事實(shí)證明，這些數(shù)據(jù)通過簡單的谷歌搜索就能找到。

去年在three-hospital Cottage醫(yī)療機(jī)構(gòu)發(fā)生了一起典型案例，由于電子安全保護(hù)的移除，患者數(shù)據(jù)在谷歌中被發(fā)現(xiàn)，導(dǎo)致近3.3萬名患者健康信息被盜用。

最近，田納西州納什維爾為基地的Cogent Healthcare也報道了一次類似事件，該醫(yī)院正在使用的儲存的患者數(shù)據(jù)網(wǎng)站防火墻倒塌，使約3.2萬名患者受保護(hù)的健康信息被泄露。

Widup強(qiáng)調(diào)，通過一個簡單的質(zhì)量抽樣過程通常就能避免這種類型事件的發(fā)生。在啟動整個系統(tǒng)之前先抽查一下。這種類型的質(zhì)量保險事件對很多行業(yè)來說都是最基本的，但他們就不考慮這樣的事情?！?/p>

Widup指出，銷售點(diǎn)入侵是該行業(yè)的另一種安全失敗，大概會有 9%的發(fā)生率。

Widup說：“雖然很多醫(yī)療機(jī)構(gòu)高管和醫(yī)護(hù)人員確實(shí)意識到保護(hù)患者隱私非常重要，但在他們心目中，這還沒有達(dá)到像保護(hù)財務(wù)信息那樣的重要程度?！逼鋵?shí)他們查看每天的收入、甚至在醫(yī)院食堂買東西的時候就能看到很多電腦設(shè)備處于危險狀態(tài)。Widup表示，通常醫(yī)療機(jī)構(gòu)會將銷售網(wǎng)點(diǎn)系統(tǒng)外包，而銷售商一般都能對此通過互聯(lián)網(wǎng)訪問，而密碼方案也是“非常簡單”。

【編后】

澤西城的醫(yī)療數(shù)據(jù)泄露事件在整個數(shù)據(jù)安全中只是冰山一角。此事發(fā)生后，甚至有患者表示“你甚至都不會想到這種事會發(fā)生在自己身上，但它真的發(fā)生了?！闭麄€數(shù)據(jù)庫的泄露和被攻擊造成的后果會有多恐怖，大部分信息在庫中的患者能直接想象到的最終后果可能僅止于澤西城事件，并不會考慮更深層的內(nèi)容。

相對于美國來說，我國的醫(yī)療數(shù)據(jù)庫在管理上的基本漏洞更大：基層的數(shù)據(jù)混亂，真假難辨，即使是三甲的數(shù)據(jù)也有不少錯誤，健康管理的數(shù)據(jù)挖掘沒有統(tǒng)一標(biāo)準(zhǔn)，各系統(tǒng)互聯(lián)共享難度大，大量的離散數(shù)據(jù)無法有效分析和利用，在病人的電子信息庫中甚至?xí)袕埞诶畲鞯那闆r出現(xiàn)。

現(xiàn)有的醫(yī)療大數(shù)據(jù)已不僅僅是數(shù)據(jù)的采集，還包括數(shù)據(jù)的分析和共享，在這類分析共享資料中，勢必會有很大一部分有關(guān)全民的健康信息，甚至是我國疾病的分布、遺傳病的特性等，這部分?jǐn)?shù)據(jù)若泄露，造成的影響也許遠(yuǎn)超澤西城事件的百萬患者。

再者，當(dāng)患者的信息大量泄露時，患者對醫(yī)院系統(tǒng)的信任度會迅速降低，這種不信任感難免會使患者“諱疾忌醫(yī)”，對醫(yī)院進(jìn)行采集數(shù)據(jù)的行為懷有抵觸心態(tài)，一旦患者不合作，必將為大數(shù)據(jù)的采集和分析增加許多不必要的難度。

Part ?3

防止醫(yī)療健康數(shù)據(jù)“云”變“霾”

健康管理行業(yè)正在向信息化、移動化方向邁進(jìn)，健康數(shù)據(jù)云悄然形成，如何有效保護(hù)個人隱私、加強(qiáng)信息安全，如何形成統(tǒng)一的信息挖掘標(biāo)準(zhǔn)，保證數(shù)據(jù)有效、可用，是該行業(yè)面臨的主要問題。加強(qiáng)信息安全和數(shù)據(jù)挖掘標(biāo)準(zhǔn)化工作，云平臺、大數(shù)據(jù)等信息技術(shù)才能真正有效共享，服務(wù)公眾健康，數(shù)據(jù)“云”才不會變成“霾”。

醫(yī)療信息安全問題

仍未得到足夠重視

醫(yī)療信息的安全為什么重要，有兩方面原因：第一，只有安全的數(shù)據(jù)才能提供更好的價值，醫(yī)院里面有存量的數(shù)據(jù)、電子病歷、健康檔案，還有遠(yuǎn)程醫(yī)療過程中的會診信息。例如，對于制藥公司來說，臨床研究的數(shù)據(jù)在存儲、使用過程中如果不是安全的，就不能提供更好的價值。第二，有了安全性的保障，數(shù)據(jù)才能夠高效的流通。比如遠(yuǎn)程醫(yī)療中，數(shù)據(jù)一定有發(fā)送方和接收方。如果兩者之間沒有一個信任的關(guān)系，沒有一個安全的措施保障，發(fā)送方對接收方不了解不信任，這將導(dǎo)致數(shù)據(jù)不能有效的流通。

醫(yī)療信息的安全有三個要素：第一個是實(shí)現(xiàn)安全的技術(shù)。在實(shí)現(xiàn)安全的過程中，這些技術(shù)規(guī)范就像是戰(zhàn)爭中的堅(jiān)固城墻，抵擋黑客的進(jìn)攻。第二是有關(guān)醫(yī)療信息安全的法律法規(guī)，作為有據(jù)可依的根本內(nèi)容。第三則是實(shí)現(xiàn)安全的意識，因?yàn)榧词褂懈玫挠布?，更好的法律法?guī)，如果使用這些技術(shù)和執(zhí)行這些法規(guī)的人員的意識缺失的話，仍然是非常不利于醫(yī)療信息安全的保護(hù)的。舉例來說，如果用以發(fā)送重要信息的郵箱密碼設(shè)的是123456，或者設(shè)的是某一個人的生日，這樣的安全意識下，技術(shù)和法律顯然并不能起到多大的作用。

醫(yī)療行業(yè)在數(shù)據(jù)安全保護(hù)方面非常落后，在很多醫(yī)療機(jī)構(gòu)高管和醫(yī)護(hù)人員心目中，保護(hù)患者隱私還沒有達(dá)到像保護(hù)財務(wù)信息那樣的重要程度。

2014年美國排名第一的運(yùn)營商威瑞森（Verizon）曾發(fā)布2014數(shù)據(jù)泄密報告。這份報告顯示，醫(yī)療行業(yè)在安全方面“落后于形勢”。

醫(yī)療行業(yè)在隱私和安全領(lǐng)域有幾件不同的事情要做，其中之一就是必須認(rèn)真對待醫(yī)療隱私安全——這是根據(jù)威瑞森2014年度數(shù)據(jù)泄密報告得出的結(jié)論。

2014年新的威瑞森數(shù)據(jù)泄密調(diào)查報告凸顯了很多行業(yè)在隱私和安全方面的粗心大意，其中尤以醫(yī)療行業(yè)為甚。

威瑞森風(fēng)險小組高級分析師Suzanne Widup在接受Healthcare IT News 網(wǎng)站采訪時，就報告中提到的問題談到：“醫(yī)療行業(yè)在安全意識上似乎有些落后，比如我們目睹的其他行業(yè)早已實(shí)施有關(guān)安全的各種管制，而醫(yī)療行業(yè)現(xiàn)在才開始著手應(yīng)用?！?/p>

國外的經(jīng)驗(yàn)

新澤西的應(yīng)對

在澤西城事件發(fā)生后，相關(guān)專業(yè)人士認(rèn)為，醫(yī)院通常是一個巨大的醫(yī)療健康網(wǎng)絡(luò)，其中有無數(shù)的科室、員工和銷售商每日與成千的患者打交道。這就是為什么有時候系統(tǒng)的缺陷很難抓住。

Carr 說：“為了給你的雇員和醫(yī)生充電、再充電，你費(fèi)盡全力，但只消一個雇員做了件蠢事，你就要變熊貓眼了?！?/p>

這就是為何很多機(jī)構(gòu)一直致力于幫助醫(yī)院解決保持安全工具隨時升級的問題，以確保數(shù)據(jù)安全的最佳措施長久有效。他表示，這是個長青話題。

位于莫里斯敦、薩米特和牛頓的大西洋健康系統(tǒng)（Atlantic Health System），2013年再次被醫(yī)院和網(wǎng)絡(luò)雜志（Hospitals & Networks magazine）評為“年度最安全健康系統(tǒng)”，這也是該機(jī)構(gòu)連續(xù)四年榮膺此項(xiàng)榮譽(yù)。該機(jī)構(gòu)擁有幾種靠譜的數(shù)據(jù)安全工具，其中包括患者數(shù)據(jù)加密術(shù)。

使用該系統(tǒng)的醫(yī)院沒有一家遭受過影響超過500人的電子數(shù)據(jù)泄密事件。而且，該健康系統(tǒng)的首席信息官Linda Reed有一個簡單法則：

道高一尺魔高一丈。對Reed來說，僅僅擁有最新的防泄密技術(shù)是不夠的。培訓(xùn)員工和醫(yī)生，讓其掌握處理患者數(shù)據(jù)的最佳措施——特別是存在很多泄密事件都是由于設(shè)備從員工手上丟失或被盜的情況下，醫(yī)院就應(yīng)該更加重視員工與醫(yī)生的安全培訓(xùn)。最終總結(jié)就是醫(yī)療設(shè)施保證患者隱私足夠?qū)I(yè)，以及手上的資源足夠充分。

HHS的OCR發(fā)言人Rachel Seeger 表示：“技術(shù)業(yè)已成為醫(yī)療健康的中堅(jiān)，醫(yī)療設(shè)施必須采取有意義的措施來保護(hù)其患者信息，他們在確?；颊呱眢w安全方面謹(jǐn)慎和勤勉，在保護(hù)信息安全上也是如此?！?/p>

個人隱私的法律制定

每每談到醫(yī)療信息安全隱私的時候，繞不過的一個話題就是1996年美國的HIPAA（《健康保險可攜帶性和責(zé)任法案》）。健康保險隱私及責(zé)任法案分為兩個部分，其中第二個部分之中詳細(xì)描述了醫(yī)療保險的提供方、醫(yī)療保險的運(yùn)營方以及雇員在保護(hù)個人健康隱私中的一些責(zé)任。2009年美國通過的新法案包含了三個方面：向上報告和向下告知的一些義務(wù)，還有個人健康信息隱私之間的分享，如哪些場合是能分享，哪些場合是不能分享的界定。美國的HIPAA在實(shí)際執(zhí)行過程中是非常嚴(yán)格的，違反HIPAA的后果非常嚴(yán)重。如果是由于有意且造成嚴(yán)重后果的，對于這個單位的罰款每年可以達(dá)到150萬美元。如果違法意圖是想出賣或者是轉(zhuǎn)售這樣一些商業(yè)信息的話，個人最高罰款可以達(dá)到25萬美元，十年監(jiān)禁。這些細(xì)則，都是HIPAA和HITECH的法案中明確規(guī)定的內(nèi)容。

世界上現(xiàn)在大約有80個國家已經(jīng)有通過法律詳細(xì)規(guī)定了個人信息和個人隱私保護(hù)方面的法律。美國、加拿大和一些拉丁美洲國家，所有的歐洲國家以及亞洲也一些國家都有這方面的法律。美國最大的連鎖藥店去年在印地安納州被罰140萬美元，東得克薩斯州有一個醫(yī)院因?yàn)椴划?dāng)獲取了并且透露了醫(yī)療信息的隱私，導(dǎo)致可能面臨最高十年的刑期，所以違反法律的后果是非常嚴(yán)重的。需要注意的是，即使有非常嚴(yán)格的法律界定，泄漏數(shù)據(jù)的事件還是非常多。

反觀中國還沒有專門保護(hù)個人信息和個人隱私保護(hù)方面的法律，在此方面需要完善的條款仍然非常多。雖然在憲法的第38、39、40條有關(guān)于公民的隱私不受侵犯的法律精神;在民法通則140條里面規(guī)定公民的隱私權(quán)，侵權(quán)責(zé)任法里面有一些相關(guān)規(guī)定;但是當(dāng)涉及到具體的情況并沒有足夠詳盡的法律條款支撐，例如在醫(yī)療數(shù)據(jù)隱私問題中，幾乎沒有明確的條款可循。

應(yīng)同時解決技術(shù)、法律、

意識三方面的問題

在澤西城事件中，行業(yè)內(nèi)最大的失誤是什么？加密、加密、還是加密。但是是否提高加密技術(shù)就夠了？

參與應(yīng)對報告的威瑞森研究人員考察了大約6.3萬個安全事件，同時還審查了50個數(shù)據(jù)共享合作伙伴身上超過 1300起泄密事件，最終他們發(fā)現(xiàn)46%的數(shù)據(jù)泄露事件源于物理盜竊或加密設(shè)備的丟失。這是該報告19個行業(yè)分析中最高的百分比。值得一提的是，不僅各醫(yī)療機(jī)構(gòu)未能加密移動設(shè)備和筆記本電腦，醫(yī)療員工也對如何加強(qiáng)這些設(shè)備的安全性顯得特別隨意，比如讓設(shè)備毫無安全性的留在個人住宅或私人車輛中。

在很多人還沒意識到的時候，物理盜竊和數(shù)據(jù)丟失竟然已經(jīng)成為醫(yī)療領(lǐng)域最大、最常見的問題。這個事實(shí)讓研究人員感到了驚詫，因?yàn)槠渌袠I(yè)對此已經(jīng)相當(dāng)熟悉了，而且這件事情做起來非常簡單。然而醫(yī)療行業(yè)卻對此相當(dāng)疏忽。

“雖然聯(lián)邦政府讓各醫(yī)療機(jī)構(gòu)強(qiáng)制執(zhí)行HIPAA（《健康保險可攜帶性和責(zé)任法案》）中有關(guān)隱私和安全漏洞的通知要求，但這并不能改變以下現(xiàn)實(shí)，即這些機(jī)構(gòu)仍然未能實(shí)施基本的加密實(shí)踐。”

經(jīng)過多個前車之鑒，醫(yī)療數(shù)據(jù)安全的技術(shù)方面已經(jīng)有了初步的探索和嘗試，并且已經(jīng)取得一定的效果，但是法律意識方面仍然薄弱，法律法規(guī)方面還有很多需要完善，同時醫(yī)療界對醫(yī)療數(shù)據(jù)安全的保護(hù)意識仍然不夠強(qiáng)，需要政府和行業(yè)的共同重視和協(xié)作。

移動醫(yī)療的快速普及中，醫(yī)療數(shù)據(jù)逐漸實(shí)現(xiàn)了在云端取、在云端讀，甚至計(jì)算也在云端，在此形勢下，更加注重云數(shù)據(jù)的安全性是移動醫(yī)療能夠進(jìn)一步順利發(fā)展的重要內(nèi)容?！爱?dāng)前信息安全是最敏感的話題，健康信息化涉及面廣、信息量大，且信息共享需求高、隱私保護(hù)要求高，亟須建立健全的數(shù)據(jù)采集、使用、管理和保護(hù)相關(guān)制度，建立信息安全審查機(jī)制等。”國家衛(wèi)生計(jì)生委規(guī)劃信息司副司長張鋒指出，政府需要不斷完善信息規(guī)范標(biāo)準(zhǔn)，加強(qiáng)系統(tǒng)互聯(lián)共享以及隱私保護(hù)等方面的標(biāo)準(zhǔn)制定和修訂工作，健全標(biāo)準(zhǔn)測試、安全審查，加強(qiáng)等級保護(hù)，優(yōu)化電子認(rèn)證服務(wù)體系，切實(shí)提高信息安全防護(hù)能力、隱患發(fā)現(xiàn)能力和應(yīng)急處置能力。

同時，在醫(yī)療數(shù)據(jù)的規(guī)范問題上，政府需要不斷完善信息規(guī)范標(biāo)準(zhǔn)，加強(qiáng)系統(tǒng)互聯(lián)共享以及隱私保護(hù)等方面的標(biāo)準(zhǔn)制定和修訂工作，健全標(biāo)準(zhǔn)測試、安全審查，加強(qiáng)等級保護(hù)，優(yōu)化電子認(rèn)證服務(wù)體系，切實(shí)提高信息安全防護(hù)能力、隱患發(fā)現(xiàn)能力和應(yīng)急處置能力;充分發(fā)揮規(guī)劃職能，制定數(shù)據(jù)挖掘標(biāo)準(zhǔn)，并做好監(jiān)管;健康服務(wù)機(jī)構(gòu)則應(yīng)多方協(xié)同，遵循市場規(guī)律，形成可持續(xù)發(fā)展的、具有內(nèi)生動力的協(xié)作機(jī)制，突破數(shù)據(jù)挖掘和整合的障礙。

此外，要防止“云”變成“霾”，數(shù)據(jù)挖掘具體實(shí)施中也需要機(jī)制創(chuàng)新，如何建立各機(jī)構(gòu)間的授權(quán)機(jī)制，保證數(shù)據(jù)共享和交換順暢;如何做好用戶隨訪管理，保證數(shù)據(jù)的連續(xù)性;如何加強(qiáng)移動終端app采集數(shù)據(jù)的適配性和粘性等，都是需要思考的問題。

來源：動脈網(wǎng)、健康界、中國數(shù)字醫(yī)療網(wǎng)、健康報