医疗领域网络安全相关问题简析

作者：蔡荣伟

在数字化转型方面，医疗行业一直走在各行业的前列。特别是近两年，医疗和数据两者相结合的服务需求加大，在政策法规和标准方面，监管也在加强。年7月1日，《信息安全技术健康医疗数据安全指南》正式实施；年3月25日，《医药行业合规管理规范》发布；4月6日，国家医保局发布《关于加强网络安全和数据保护工作的指导意见》，专门就医保系统的网络安全和数据合规提出要求。本文将对中国医疗健康体系、数字医疗、以及互联网诊疗等模式及其监管作简要分析，对需要注意的网络安全法律问题进行提示。

一

我国医疗体系及监管介绍

我国的医疗健康体系监管主要是医疗服务、医药以及医保三类。医疗医院、卫生机构及医疗机构等；医药包括药品和医疗器械等在医疗服务过程中使用的产品；而医保则指包括社会医疗保险在内的一系列保障服务。

目前，医疗服务的监管部门为国家及各地卫生健康委员会（“卫健委”），主要涉及医疗服务市场的整体秩序，医疗服务资质的合法合规，医疗质量及其安全性等。国家药品监督管理局（“药监局”）则负责药品、医疗器械的监管，负责医保支付的是国家医疗保障局（简称“医保局”）。三者在实际执法中，可能有交叉协调的部分。

二

数字医疗介绍及监管

数字医疗，顾名思义，是把数字技术与医疗健康产业相结合，将整个医疗过程数字化、信息化的过程。广义范围上，医院诊疗流程的信息化，不仅包括了远程问诊、线上买药等，还包括了区域医疗协同、公共卫生防疫、甚至医保管理的信息化。数字医疗涉及范围之广，需要包括电子设备、计算机软件，以及互联网和移动物联网等多种数字技术的综合应用。

根据中国信息通信研究院、工业互联网创新中心（上海）有限公司联合36氪研究院在年9月发布的《人工智能医疗产业发展蓝皮书》，数字技术在医疗产业的应用具体场景分为以下几种：提供设备和数据平台以处理和储存数据的基础层服务，或是提供认知、感知、机器学习等人工智能的技术层服务，以及提供具体场景针对性及决策方案的应用层服务，例如医疗系统服务商等。

从年国务院机构改革至今，卫健委、医保局等部委出台了大量数字医疗相关产业政策，主要聚焦于五个领域：电子病历（EMR，ElectronicMedicalRecord）建设升级、医联体建设、互联网诊疗、医保信息标准化、疾病诊断相关分组DRGs（DiagnosisRelatedGroups）。而国家及地方医保局的信息系统建设也将是近两年重要需求的来源。

医疗服务机构有可能对各类软件产品、技术咨询服务、云服务等有采购需求，而此类采购将受制于医疗服务机构的采购规定。医院来说，医院系事业单位，适用政府采购的相关规定。比如软件产品等属于非医疗器械的产品或服务，如果被列入省级以上人民政府公布的集中采购目录，则需要走相关的政府采购流程。以北京为例，按照北京市财政局于年12月27日发布的《北京市-年政府采购集中采购目录及标准》，计算机基础软件、信息安全软件及云计算服务属政府采购品目分类目录的范围。凡纳入集中采购目录的品目均须按规定委托集中采购机构采购。再以上海市以例，上海市财政局于年9月27日发布的《上海市-年政府采购集中采购目录和采购限额标准》也规定，计算机软件（预算金额5万元以上的中间件软件等直接从市场可以购买的标准软件等非定制开发的商业软件。数据库软件、防病毒软件、操作系统、办公软件除外）、信息技术服务（预算金额50万元以上。包括软件开发、信息系统集成实施、数据处理、信息化工程监理、运行维护、信息技术咨询等服务）属应委托集中采购机构组织采购的项目。

三

互医院

目前，以“互联网+”的形式提供医疗服务的模式正在蓬勃发展，互联网诊疗、医院和远程医疗都是在现行体系下，面向个人开展线上问诊的主要模式。根据国家卫健委、国家中医药管理局于年7月17日发布的《互联网诊疗管理办法》《医院管理办法（试行）》等规定，大致可分为三种模式和准入要求，也涉及到不少数字服务。

（1）互联网诊疗

互联网诊疗是指医疗机构利用本机构注册的医师，通过互联网等信息技术开展部分常见病、慢性病复诊和“互联网＋”家庭医生签约服务。国家对互联网诊疗活动实行准入管理。互联网诊疗活动应当由取得《医疗机构执业许可证》的医疗机构提供。医疗机构开展互联网诊疗活动应当与其诊疗科目相一致。医疗机构不得对首诊患者开展互联网诊疗活动。未经卫生健康行政部门（即卫健委）核准的诊疗科目，医疗机构不得开展相应的互联网诊疗活动。

在互联网诊疗模式下，如果医疗机构需要与第三方机构合作建立互联网诊疗服务信息系统，应当向相关监管部门提交合作协议，在协议中明确各方在医疗服务、信息安全、隐私保护等方面的职责以及权利。

医疗机构开展互联网诊疗活动应当符合以下执业规则：

序号

类别

具体规则

1

数据保护

（1）医疗机构开展互联网诊疗活动应当具备互联网技术要求的设备设施、信息系统、技术人员以及信息安全系统，并实施第三级信息安全等级保护。

（2）医疗机构应当严格执行信息安全和医疗数据保密的有关法律法规，妥善保管患者信息，不得非法买卖、泄露患者信息。

（3）发生患者信息和医疗数据泄露后，医疗机构应当及时向主管的卫生健康行政部门（即卫健委）报告，并立即采取有效应对措施。

2

人员管理

（4）开展互联网诊疗活动的医师、护士应当能够在国家医师、护士电子注册系统中查询。

（5）医疗机构应当对开展互联网诊疗活动的医务人员进行电子实名认证，鼓励有条件的医疗机构通过人脸识别等人体特征识别技术加强医务人员管理。

（6）医师开展互联网诊疗活动应当依法取得相应执业资质，具有3年以上独立临床工作经验，并经其执业注册的医疗机构同意。

3

知情同意

基层医疗卫生机构实施“互联网＋”家庭医生签约服务，在协议中告知患者服务内容、流程、双方责任和权利以及可能出现的风险等，签订知情同意书。

4

电子病历

医疗机构开展互联网诊疗活动应当为患者建立电子病历。

5

在线处方

（1）医师掌握患者病历资料后，可以为部分常见病、慢性病患者在线开具处方。不得开具麻醉药品、精神药品等特殊管理药品的处方。

（2）在线开具的处方必须有医师电子签名，经药师审核后，医疗机构、药品经营企业可委托符合条件的第三方机构配送。

（3）为低龄儿童（6岁以下）开具互联网儿童用药处方时，应当确认患儿有监护人和相关专业医师陪伴。

（2）医院

医院医院，系具有咨询、随访、慢病医院。医院包括作为实体医疗机构第二名称的医院，以及依托实体医疗机构独立设置的医院。取得《医疗机构执业许可证》的医院，独立作为法律责任主体；实体医疗机构以医院作为第二名称时，实体医疗机构为法律责任主体。医院合作各方按照合作协议书承担相应法律责任。患者在实体医疗机构就诊，由接诊的医师通过医院邀请其他医师进行会诊时，会诊医师可以出具诊断意见并开具处方；患者未在实体医疗机构就诊，医师只能通过医院为部分常见病、慢性病患者提供复诊服务。

医院也应当符合以上一般医疗机构开展互联网诊疗活动时所需遵守的执业规则（详见上文所述的具体规则）。

（3）智慧医疗

目前，借助人工智能等技术开展的智慧医疗，特别是智慧病房、病区、慢性病管理平台、人口健康平台、重疾早筛等技术正在经历高速发展。但人工智能应用于医疗领域，需要以大量数据为基础，其涉及到的网络安全及数据保护问题同样值得

转载请注明：http://www.xibuniuzaiku.com/ylfz/10363.html