數(shù)據(jù)安全？那不是你們信息科管的事么！關(guān)我們醫(yī)生什么事？！經(jīng)常我們會(huì)聽到這樣的質(zhì)疑。大家傳統(tǒng)談到信息安全，網(wǎng)絡(luò)安全，數(shù)據(jù)安全，本能的都會(huì)想到信息科。的確在這個(gè)問題上信息科確實(shí)承擔(dān)了主要的管理和運(yùn)維工作。但在當(dāng)前大數(shù)據(jù)時(shí)代，數(shù)據(jù)安全卻也是我們每個(gè)人必須關(guān)注和了解的。

　　臨床數(shù)據(jù)安全更是我們每個(gè)醫(yī)療行業(yè)從業(yè)人員應(yīng)該去維護(hù)的。臨床數(shù)據(jù)因其所具有的巨大價(jià)值，已經(jīng)成為大數(shù)據(jù)產(chǎn)業(yè)鏈上的一顆璀璨的鉆石，而針對醫(yī)療數(shù)據(jù)的網(wǎng)絡(luò)犯罪，近年來正向利益化、產(chǎn)業(yè)化、集團(tuán)化轉(zhuǎn)變，已經(jīng)形成完整的利益鏈條和產(chǎn)業(yè)，給國家和個(gè)人安全帶來很大威脅。因此有必要和大家聊聊臨床數(shù)據(jù)安全的一些事。

　　與往昔不同的是，國家層面加強(qiáng)了網(wǎng)絡(luò)安全建設(shè)，提出了網(wǎng)絡(luò)邊界和互聯(lián)網(wǎng)主權(quán)的概念，強(qiáng)調(diào)在網(wǎng)絡(luò)這個(gè)虛擬的環(huán)境下網(wǎng)絡(luò)空間主權(quán)的概念。2017年6月1日實(shí)施的《網(wǎng)絡(luò)安全法》、《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息刑事案件適用法律若干問題的解釋》以及2016年12月1日衛(wèi)計(jì)委頒布的《涉及人的生物醫(yī)學(xué)研究倫理審查辦法》。都對數(shù)據(jù)安全提出了要求。

　　《網(wǎng)絡(luò)安全法》是我國第一部全面規(guī)范網(wǎng)絡(luò)空間安全管理方面問題的基礎(chǔ)性法律，是依法治網(wǎng)、化解網(wǎng)絡(luò)風(fēng)險(xiǎn)的法律重器，是讓互聯(lián)網(wǎng)在法治軌道上健康運(yùn)行的重要保障。《網(wǎng)絡(luò)安全法》第3條明確規(guī)定，國家堅(jiān)持網(wǎng)絡(luò)安全與信息化并重，遵循積極利用、科學(xué)發(fā)展、依法管理、確保安全的方針；既要推進(jìn)網(wǎng)絡(luò)基礎(chǔ)設(shè)施建設(shè)，鼓勵(lì)網(wǎng)絡(luò)技術(shù)創(chuàng)新和應(yīng)用，又要建立健全網(wǎng)絡(luò)安全保障體系，提高網(wǎng)絡(luò)安全保護(hù)能力，做到“雙輪驅(qū)動(dòng)、兩翼齊飛”。

　　《網(wǎng)安法》堅(jiān)持共同治理原則，要求采取措施鼓勵(lì)全社會(huì)共同參與，政府部門、網(wǎng)絡(luò)建設(shè)者、網(wǎng)絡(luò)運(yùn)營者、網(wǎng)絡(luò)服務(wù)提供者、網(wǎng)絡(luò)行業(yè)相關(guān)組織、高等院校、職業(yè)學(xué)校、社會(huì)公眾等都應(yīng)根據(jù)各自的角色參與網(wǎng)絡(luò)安全治理工作。簡單的說就是網(wǎng)絡(luò)安全人人有責(zé)。

　　《網(wǎng)安法》確認(rèn)了個(gè)人對其網(wǎng)絡(luò)信息的刪除權(quán)和更正權(quán)。該法規(guī)定，個(gè)人發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者違反法律、行政法規(guī)的規(guī)定或者雙方的約定收集、使用其個(gè)人信息的，有權(quán)要求網(wǎng)絡(luò)運(yùn)營者刪除其個(gè)人信息；發(fā)現(xiàn)網(wǎng)絡(luò)運(yùn)營者收集、存儲(chǔ)的其個(gè)人信息有錯(cuò)誤的，有權(quán)要求網(wǎng)絡(luò)運(yùn)營者予以更正。網(wǎng)絡(luò)運(yùn)營者應(yīng)當(dāng)采取措施予以刪除或者更正。為嚴(yán)打出售販賣個(gè)人信息行為，《網(wǎng)安法》第六十四條更是明確規(guī)定：對沒有保護(hù)好個(gè)人信息安全，非法出售的情況，責(zé)令改正、罰款，情節(jié)嚴(yán)重的暫停業(yè)務(wù)或關(guān)閉網(wǎng)站。

　　《涉及人的生物醫(yī)學(xué)研究倫理審查辦法》適用于各級各類醫(yī)療衛(wèi)生機(jī)構(gòu)開展涉及人的生物醫(yī)學(xué)研究倫理審查工作。辦法指出，在開展臨床研究時(shí)，需要關(guān)注七項(xiàng)內(nèi)容：分別是知情同意；控制風(fēng)險(xiǎn)；免費(fèi)和補(bǔ)償；保護(hù)隱私原則，未經(jīng)授權(quán)不得將受試者個(gè)人信息向第三方透露；依法賠償；針對兒童、孕婦、智力低下、精神障礙患者的特殊保護(hù)原則；利益沖突；輿論風(fēng)險(xiǎn)。規(guī)定出現(xiàn)下列三種情況時(shí)需要再次獲得知情同意書，①研究內(nèi)容反思變化；②利用過去用于診斷、治療的有身份識別的樣本進(jìn)行研究的；③生物樣本庫中有身份識別的人體生物樣本或者相關(guān)臨床病史資料，再次使用進(jìn)行研究的。當(dāng)然辦法也對下列兩種情況允許免簽署知情同意書的：①無法再找到受試者，切不涉及個(gè)人隱私和商業(yè)利益的；②捐獻(xiàn)者簽署了知情同意書，同意樣本和信息用于所有醫(yī)學(xué)研究的。簡單說就是需要告知受試者，與其有關(guān)的生物數(shù)據(jù)的使用，并征得同意。

　　最高法、最高檢關(guān)于“打擊辦理侵犯公民個(gè)人信息刑事案件的司法解釋”（下稱司法解釋）首次針對侵犯個(gè)人信息犯罪的定罪量刑明確標(biāo)準(zhǔn)。明確規(guī)定姓名、身份證件號碼、通訊聯(lián)系方式、住址、賬號密碼、財(cái)產(chǎn)狀況、行蹤軌跡等，這些都屬于受法律保護(hù)的公民個(gè)人信息。根據(jù)司法解釋，公民個(gè)人信息是指以電子或者其他方式記錄的能夠單獨(dú)或者與其他信息結(jié)合識別特定自然人身份或者反映特定自然人活動(dòng)情況的各種信息。且司法解釋就“情節(jié)嚴(yán)重”，明確了“違法所得5000元以上”等10項(xiàng)認(rèn)定標(biāo)準(zhǔn)。同時(shí)根據(jù)不同類型公民個(gè)人信息的重要程度，設(shè)置了不同的數(shù)量標(biāo)準(zhǔn)。“情節(jié)特別嚴(yán)重”的數(shù)量和數(shù)額標(biāo)準(zhǔn)，是“情節(jié)嚴(yán)重”的10倍，即500條、5000條、5萬條。此外，造成被害人死亡、重傷、精神失常或者被綁架等嚴(yán)重后果以及造成重大經(jīng)濟(jì)損失或者惡劣社會(huì)影響等，都屬于“情節(jié)特別嚴(yán)重”的范疇。

　　來自工信部的消息顯示，中國將建立網(wǎng)絡(luò)數(shù)據(jù)安全管理體系，強(qiáng)化用戶個(gè)人信息保護(hù)，建立完善數(shù)據(jù)與個(gè)人信息泄露公告和報(bào)告機(jī)制。從創(chuàng)新防范攔截技術(shù)、突破網(wǎng)絡(luò)安全核心關(guān)鍵技術(shù)等方面加強(qiáng)信息安全保護(hù)。

　　既然國家的法律法規(guī)已經(jīng)有明確規(guī)定，而信息化和安全管理又是發(fā)展的一體兩翼，那么我們?nèi)绾卧谌粘９ぷ髦腥グ盐张R床數(shù)據(jù)安全呢。我認(rèn)為至少需要關(guān)注一下幾項(xiàng)內(nèi)容。

　　1.作為醫(yī)療機(jī)構(gòu)的管理者首先應(yīng)該明確安全架構(gòu)和安全組織，制定數(shù)據(jù)安全的相關(guān)制度，并將網(wǎng)絡(luò)安全建設(shè)經(jīng)費(fèi)納入醫(yī)療機(jī)構(gòu)的日常經(jīng)費(fèi)預(yù)算，將臨床數(shù)據(jù)安全的理念納入醫(yī)院文化建設(shè)，使得員工能夠重視數(shù)據(jù)安全，做到人人知安全才能實(shí)現(xiàn)臨床數(shù)據(jù)安全。

　　2.醫(yī)務(wù)人員是臨床數(shù)據(jù)的采集者和使用人。因此也是保障臨床數(shù)據(jù)安全的重要一環(huán)。尤其是近年來，大數(shù)據(jù)項(xiàng)目宣傳的絢爛奪目，也確實(shí)可以讓臨床數(shù)據(jù)去支撐臨床科研、精準(zhǔn)醫(yī)療等業(yè)務(wù)工作，需要注意的是：我們在與第三方機(jī)構(gòu)合作時(shí)，需要明確幾個(gè)問題。

　　1）合作時(shí)，數(shù)據(jù)安全條款簽署沒有？其內(nèi)容應(yīng)該涉及第三方不得將相關(guān)數(shù)據(jù)用于商業(yè)用途，承諾保護(hù)患者隱私，數(shù)據(jù)不得存放在國外的云服務(wù)器中，機(jī)構(gòu)自建的存儲(chǔ)設(shè)備或者機(jī)房應(yīng)該滿足等保要求等等。

　　2）利用數(shù)據(jù)時(shí)脫敏工作做了沒有？在發(fā)表文章，學(xué)術(shù)交流時(shí)應(yīng)做好數(shù)據(jù)脫敏處理。在設(shè)計(jì)臨床試驗(yàn)時(shí)，應(yīng)做好醫(yī)學(xué)倫理審查。

　　3）在臨床試驗(yàn)時(shí)數(shù)據(jù)安全有沒有保障？尤其是在利用互聯(lián)網(wǎng)進(jìn)行多中心臨床試驗(yàn)時(shí)，應(yīng)有措施有手段確保收集的數(shù)據(jù)不被泄漏，做好數(shù)據(jù)安全保護(hù)工作。

　　4）數(shù)據(jù)共享時(shí)有沒有利益交換？非法交易數(shù)據(jù)是犯罪行為，這點(diǎn)必須深入我們每個(gè)醫(yī)務(wù)人員的腦海?！缎谭ㄋ痉ń忉尅芬?guī)定，非法販賣50條以上個(gè)人信息可入罪，并對于不同信息區(qū)別對待，如對于行蹤軌跡信息、通信內(nèi)容、征信信息、財(cái)產(chǎn)信息，非法獲取、出售或者提供50條以上即算“情節(jié)嚴(yán)重”；對于住宿信息、通信記錄、健康生理信息、交易信息等其他可能影響人身、財(cái)產(chǎn)安全的公民個(gè)人信息，標(biāo)準(zhǔn)則是500條以上；對于其他公民個(gè)人信息，標(biāo)準(zhǔn)為5000條以上。而量刑可達(dá)7年。因此數(shù)據(jù)交換時(shí)需要想想清楚。

　　5）知情同意書簽署沒有？其實(shí)所有的法律法規(guī)都是希望在合法合規(guī)下有效利用數(shù)據(jù)，而不是禁止數(shù)據(jù)的利用。因此醫(yī)療機(jī)構(gòu)可以在掛號時(shí)、入院時(shí)等采集患者信息處明確告知患者，醫(yī)療數(shù)據(jù)將被利用于科研和管理之用，并承諾做好數(shù)據(jù)保護(hù)和數(shù)據(jù)脫敏利用。

　　3.大數(shù)據(jù)和基因診斷公司的隱憂，近年來隨著相關(guān)領(lǐng)域的火爆這兩類公司迅速崛起，很多公司都只關(guān)注業(yè)務(wù)，而忽視了安全。尤其互聯(lián)網(wǎng)模式一般都是以吸收用戶數(shù)據(jù)為價(jià)值的增長點(diǎn)，公司在聚集用戶大量數(shù)據(jù)的同時(shí)，其承擔(dān)的數(shù)據(jù)安全風(fēng)險(xiǎn)也成指數(shù)倍增長。如果不關(guān)注數(shù)據(jù)安全，不及時(shí)進(jìn)行必要的投入，可能老板還沒有享受到IPO，就會(huì)因數(shù)據(jù)保管不善而遭受牢獄之災(zāi)，畢竟500條健康數(shù)據(jù)的案子就能入刑呀。公司內(nèi)部員工監(jiān)守自盜，將個(gè)人信息非法販賣給第三方的案例也是經(jīng)常發(fā)生的，所以各位老板別忽視了數(shù)據(jù)安全。

　　6月1日，兩高的司法解釋生效后的首例判決，在浙江省溫州市永嘉縣人民法院誕生。該案被告人樊某從2015年11月開始，利用QQ聊天軟件購買、交換和收集公民個(gè)人信息，并進(jìn)行售賣。據(jù)樊某交待，到案發(fā)為止，他共售賣信息20萬條，涉及公民姓名、身份證號碼、車牌號、地址、職業(yè)等，獲利約2萬元。經(jīng)公開審理，樊某以侵犯公民個(gè)人信息罪被判處有期徒刑3年4個(gè)月，并處罰金5萬元。

　　4.醫(yī)院管理者需要加強(qiáng)對醫(yī)院保潔外包等后勤服務(wù)人員的教育及管理。有調(diào)查發(fā)現(xiàn)這類人群是數(shù)據(jù)外泄的重要一環(huán)，大家可能都有這種體會(huì)，親人住院，很快就有相關(guān)的產(chǎn)品及服務(wù)推銷電話進(jìn)行聯(lián)系。曾經(jīng)有機(jī)構(gòu)進(jìn)行過暗訪發(fā)現(xiàn)，科室的工勤人員利用工作之便，能夠輕易獲取臨床數(shù)據(jù)。比如查看護(hù)士站白板，通過與家屬交流，聽到醫(yī)護(hù)人員討論病情等等途徑。再通過黑市進(jìn)行交易，從而獲得利益上回報(bào)。隨著智能手機(jī)的普及，咔嚓一下，信息就能傳遞出去。而這些人法律觀念淡漠，生活較為拮據(jù)。根本沒有意識到販賣信息是犯罪。因此醫(yī)院管理部門有必要在簽訂勞務(wù)合同時(shí)，給予告知。并不斷利用相關(guān)案例教育大家。形成一種保護(hù)臨時(shí)數(shù)據(jù)安全的文化氛圍。

　　在大數(shù)據(jù)時(shí)代，每個(gè)人都不可避免地留下“數(shù)據(jù)腳印”，尤其是在醫(yī)療過程中產(chǎn)生的臨床數(shù)據(jù)。一旦將它們匯集整合，不但能產(chǎn)生巨大的價(jià)值，也會(huì)使得我們的人隱私無所遁形，因此在數(shù)據(jù)流轉(zhuǎn)的各個(gè)環(huán)節(jié)都應(yīng)該去做好數(shù)據(jù)保護(hù)，才能發(fā)揮出臨床大數(shù)據(jù)的正能量。就算我們還沒有很好的技術(shù)手段去解決安全問題時(shí)，每個(gè)從業(yè)人也應(yīng)心中都懷有對臨床數(shù)據(jù)的敬畏和對生命的尊重。