近年来,随着《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》《国务院办公厅关于促进“互联网+医疗健康”行业发展的意见》《关于深入推进“互联网+医疗健康”“五个一”服务行动的通知》等政策文件的出台,以及大数据、人工智能等新型技术的发展,健康医疗数据应用、“互联网+医疗健康”和智慧医疗迎来蓬勃发展,新的业务形态不断出现。与此同时,各类新型技术、应用的出现使得医疗行业数据安全治理面临越来越多的挑战。医疗数据天然的敏感性决定了有关方面必须采取有效措施来应对数据安全合规风险和各类内外部风险。
伴随着医疗信息化、智慧医疗的发展,具备网络连接功能以实现电子数据交换或远程控制的医疗器械种类及数量日益增多,互联网可以改善医疗服务,但是相应地也会面对网络安全风险。和其他的计算机系统一样,医疗器械也容易受到安全漏洞的影响。因此在提升诊断效率与质量的同时,带来了遭受网络攻击的风险,医疗器械网络安全逐渐成为国家必须面对的重要问题。
一、医疗器械数据概念
根据 2022 年 3 月国家药品监督管理局发布的《医疗器械网络安全注册审查指导原则(2022 年修订版)》定义,医疗器械中的数据可分为医疗数据和设备数据。医疗数据是指医疗器械所产生的、使用的与医疗活动相关的数据(含日志),从个人信息保护角度又可分为敏感医疗数据、非敏感医疗数据,其中敏感医疗数据是指含有个人信息的医疗数据,反之即为非敏感医疗数据。
个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者活动情况的各种信息。如自然人的姓名、出生日期、身份证件号码、个人生物识别信息(含容貌信息)、住址、电话号码等。设备数据是指记录医疗器械运行状况的数据(含日志),用于监视、控制医疗器械运行或者医疗器械的维护与升级,不得含有个人信息。
注册申请人需基于医疗器械相关数据的类型、功能、用途,结合网络安全特性考虑医疗器械网络安全要求。同时,保证敏感医疗数据所含个人信息免于泄露、滥用和篡改,以及医疗数据和设备数据的有效隔离(如访问权限控制等方法)。
医疗器械数据还包括医疗器械研发、产品生产、运输、经营管理、产品使用、产品售后以及相关产业链上中下游等信息。包括但不限于设计图纸,零部件清单、设计软件、客户订单、制造工艺、售后资料等。
医疗数据一是因其数据价值高、敏感程度高、数据体积大、覆盖范围广、应用场景杂等特点,针对医疗数据的窃取活动呈明显增加趋势,相关数据安全事件频发;二是伴随着网络技术的发展与业务数字化转型的深入,医疗数据逐步从以往局限于内网中使用向外网、云平台等处流通应用,相关数据安全风险进一步增加。
二、医疗器械数据应用安全场景
随着人们的健康保护意识不断提升,各种医疗健康设备也不断走向大众视野,根据医疗器械的用途和性质,可将目前医疗器械发展较快,潜力较大的八类细分领域进行研究:影像设备、体外诊断、监护设备、家用医疗器械、可穿戴设备、高值耗材、口腔设备、医用机器人。
| 医疗器械重点领域 | |
| 类别 | 主要产品 |
| 影像设备 | CT、核磁、超声、DR 血管造影机、乳腺机、胃肠机等 |
| 体外诊断 | 基因测序仪、生化分析仪、时间分辨荧光检测仪、酶标仪,和各类配套诊断试剂 |
| 监护设备 | 多参数监护仪、心电监护仪等 |
| 家用医疗器械 | 体温计、氧气囊、轮椅、血糖仪、血压计、急救箱等家用器械 |
| 智能可穿戴设备 | 智能眼镜、智能手表、智能腕带、智能跑鞋、智能戒指、智能腰带、智能头盔等 |
| 高值耗材 | 血管介入类、消化道介入类、骨科植入、颅内植入、起搏器等 |
| 口腔设备 | 口腔综合治疗设备、牙钻机及配件、牙科椅、补牙设备等 |
| 医用机器人 | 手术机器人、外骨骼机器人等 |
基于医疗器械数据在不同角色之间的流转,可以将以上八大细分领域的医疗器械数据应用安全场景分为以下几类。
2.1 互联互通数据安全
医院等医疗机构为实现跨机构、跨地域的健康诊疗信息交互、共享和医疗服务协同,需要在各医疗机构、医联体信息平台之间实现数据(电子病历、电子健康档案等)的互联互通与信息共享。
在此场景下,医院的医护人员、卫生机构管理人员、医院间联合体及医疗第三方服务机构人员在对相关系统文件、数据库资料以及医疗器械等敏感数据进行访问浏览,以及通过内部信息共享交换系统进行文件数据传输、存储等操作时,均可能导致医患隐私等重要信息面临泄露风险。
2.2 远程医疗数据安全
一方医疗机构为邀请其他医疗机构对其诊疗患者提供技术支持等医疗活动时,需要运用通讯、计算机及相关网络技术手段,过程中涉及近端/远端医院、患者,以及远程诊疗设备提供者、设备维护管理者、远程诊疗信息发布平台服务提供商、网络运营商等第三方参与。
在此场景下,近端医院需向远端医院出示患者的检验报告、诊断结果、用药信息、既往病史、家族病史、传染病史等涉及患者隐私的个人健康医疗信息。如果远程诊疗网络出现被不明身份人员接入、相关服务器和终端存在病毒或漏洞等问题,则数据在远程诊疗过程中将面临由非法接入、漏洞攻击、病毒感染等导致的敏感数据被非法访问、窃取篡改、恶意上传等风险。
2.3 汇聚中心数据安全
汇聚中心是指区域卫生信息平台、健康医疗大数据中心、学会数据中心、医院内部数据中心等为医生、患者、第三方的“诊疗参考、健康管理、分析利用”相关需求提供数据应用支撑的平台机构。
在此场景下,汇聚中心涉及跨机构数据汇聚,集中存储着包括基本人口学数据、病历数据、健康档案数据等大量数据信息,A 医院医生会通过汇聚中心调阅某患者在 B 医院就诊时的健康医疗信息。如果没有建立对中心数据分级标注以及颗粒度匹配等机制,将面临非法登录、越权访问、异常调阅、冒名查询、批量窃取、明文泄露等数据安全风险。
2.4 健康传感数据安全
健康传感数据是指通过健康传感器收集的如个人身份信息、生活方式等与被采集者个人属性及健康状况相关的数据,主要应用于健康监测、慢性疾病的治疗、康复护理等领域。一般是具备传感、无线通信等功能的、可直接穿戴在身上的医疗或者健康电子设备,通过软件,可以实现感知、记录、分析、调控、干预佩戴者的健康状态等功能。
在使用的过程中可能涉及对个人数据的处理。例如远程监护,利用健康传感器实时、持续地监测患者的生命体征,再将获取到的数据传送给医护人员,医护人员通过获取的信息可以及时对患者的情况进行判断与处理。在此过程中,会对患者的生命体征数据进行采集、计算和传输。
在此场景下,健康传感数据在采集、存储、使用阶段均存在着不同的安全隐患,应评估各个阶段的安全风险并针对安全风险建立安全防护手段以保证健康传感数据的安全。
2.5 移动应用数据安全
移动应用数据是指通过网络技术为个人提供的在线健康医疗服务(如在线问诊、在线处方)或健康医疗信息服务应用(如个人电子健康档案)中设涉及的个人属性数据、健康状况数据、医疗应用数据、医疗资金和支付数据、卫生资源数据以及公共卫生信息。
在此场景下,用户的隐私信息可能在经应用界面对外展示环节面临数据泄露风险;用户手机丢失、被窃后,其移动应用登录密码设置如过于简单,应用内数据可能被非授权人员登录浏览、截屏导致隐私信息泄露;同时,与应用程序相关的信息系统,因与大量移动设备进行数据传输,亦可能经移动端感染病毒或被植入恶意程序。
2.6 临床研究数据安全
临床研究数据一般是指由医院、学术研究机构和医疗企业发起的,以确认药物、医疗器械、医疗信息系统、诊断和治疗的安全性和有效性为目的的研究中,所涉及的基本人口学资料、检查信息、检验信息、药品医嘱、诊断信息、病例及患者报告等信息。
在此场景下,参与临床研究的医患及有关信息,在通过专线、互联网线路、VPN 等链路进行传输,被临床试验电子系统的用户进行访问或被交由医疗机构进行存储和使用等过程中面临诸多数据安全风险。
2.7 商保对接数据安全
商业保险公司通过与医疗机构建立连接的医疗信息系统,及时掌握个人健康医疗信息主体的诊疗情况及发生的相关费用信息,例如:个人属性信息、健康状况信息、医疗应用信息、医疗资金与支付信息、卫生资源信息等数据,从而根据商业保险机构的核赔规则自动进行支付结算等理赔业务。
在此场景下,投保用户的健康医疗信息将由医疗结构向商业保险机构进行披露,因而在系统对接、数据传输、数据使用、数据存储、数据销毁等环节面临安全风险。如果双方在数据对接的前、中、后三个阶段中,没有形成具有法律约束性的、权责分明的正式协议,没有建立起有效的数据管理机制,则可能导致商保对接数据的泄露。
2.8 器械维护数据安全
医疗器械维护的目标是确保器械安全、有效和功能正常。不同的医疗器械可能涉及不同的数据,影像系统可能涉及病人的影像和影像诊断报告,检验系统可能涉及病人的检验、检查报告及检验结果;此外,需保存的器械维护历史记录包括:维护的内容、维护的原因、维护的时间、维护的操作人员等信息。
在此场景下,医疗器械厂商在进行远程维护时,可能会读取器械的维护记录和日志报告,用以分析医疗器械失败原因;也可能读取医疗器械产生的数据,用以分析应用的安全性和有效性。在以上流程中, 数据将面临非授权访问、不安全链接、隐私数据泄露、维护记录保存不当等安全风险。
根据医疗器械的具体应用场景的不同,梳理了医疗器械中采集、处理数据需要注意的合规要点,通过医疗器械采集和处理患者信息需要获取个人同意,如涉及个人敏感信息,还应遵守《个保法》其他相关规定;医疗器械在远程维护时要做到设备数据和医疗数据的有效隔离以及个人信息去标识化;医疗器械中的医疗数据如涉及出境,须注意本地化存储和进行安全评估审核。
三、夯实医疗器械基础数据安全防护
3.1 医疗器械网络安全管理
随着《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》以及《医疗器械网络安全注册技术审查指导原则》等一系列法律法规和标准的出台,医疗器械网络安全越来越受到重视。伴随医疗云计算、远程医疗、人工智能技术的普及,越来越多医疗器械具备网络连接功能以进行电子数据交换或远程控制,这在提高医疗服务质量与效率同时也面临着网络攻击的威胁,导致患者隐私和生命安全受到威胁。据不完全统计,医疗器械越来越成为恶意网络攻击的目标,不仅导致数据泄露,还会增加医疗保健服务成本,并最终影响患者的健康状况。
为落实国家及行业主管部门关于医疗器械网络安全管理工作要求,医疗器械企业应加强网络安全管理:
- 一是结合医疗器械预期用途、使用场景、核心功能确定不同类型产品安全风险类型;
- 二是评估威胁和脆弱性对于医疗器械和患者的影响以及被利用的可能性,确定风险水平并采取充分、有效、适宜的风险控制措施;
- 三是加强医疗器械全生命周期质控工作,要做好上市前后各个阶段的质控工作,上市前结合质量管理体系要求和医疗器械产品特性开展网络安全质控工作,上市后根据网络安全更新情况开展更新请求评估、验证与确认、风险管理、用户告知等活动;
- 四是开展网络安全测试工作,定期开展医疗器械网络安全测试工作,包括源代码审核、漏洞扫描、渗透测试等,并将必要的网络安全相关信息以及应对措施告知用户;
- 五是及时清理过时医疗器械,进行网络隔离消除关键漏洞。
因此,在目前医疗器械日益数字化的趋势下,网络安全问题迫在眉睫。各大医疗器械企业应该高度重视网络安全问题,加强医疗器械网络安全管理,不断提高医疗器械的网络安全性能,以确保医疗器械的稳定性和可靠性。
3.2 医疗器械数据安全治理
企业应加强数据安全治理工作,围绕数据战略、数据标准、数据质量、数据架构、数据应用以及数据全生命周期开展治理工作,推动企业建立数据统一标准,促进数据应用,进一步提升数据资产价值创造。同时,数据全生命周期建立数据安全管理策略,针对数据收集、传输、存储、使用、交换和销毁等环节,采取相应的数据安全管控措施,强化数据全生命周期安全防护能力。
- 数据收集阶段,明确数据收集的目的和用途,确保满足数据源的真实性、有效性和最少够用原则要求,并明确数据收集渠道、规范数据格式以及相关的流程和方式,从而保证数据采集的合规性、正当性和一致性。在采集过程中采用数据加密、数据脱敏等技术手段,确认用户身份真实性和合法性,并确保数据收集过程中全流程可审计。
- 数据传输阶段,采用适当的加密保护策略和数据安全防护措施,防止传输过程中的数据泄露,并加强数据传输过程中接口安全控制,建立满足数据传输安全策略相适应的数据安全控制技术方案,包括通道安全、可信通道等。
- 数据存储阶段,根据组织内部数据存储介质的访问和使用场景,以及业务特性和数据存储安全要求,提供有效的技术和管理手段,防止对存储介质的不当使用而可能引发的数据泄漏风险,实现对数据逻辑存储、存储容器等的有效安全控制。选择合适的数据存储架构和介质在境内存储,采用敏感数据分类分级、数据库漏洞扫描、数据存储加密、身份权限控制、数据备份等安全防护措施防止数 据在存储时被非授权获取、篡改以及破坏。
- 数据使用阶段,采用终端防泄漏、数据安全访问控制、数据静态脱敏等技术,确保数据在使用过程中的安全,同时采用数据安全审计技术对数据的操作与访问等进行全方面的审计,确保使用过程留痕, 以便事后溯源。
- 数据交换阶段,采用终端防泄漏、API 审计、网络 DLP、水印技术、隐私计算、数据库访问控制技术等,实现数据敏感性识别、数据泄漏溯源、高危操作拦截等,保证数据使用安全和数据流向的可知可管可控。
- 数据销毁阶段,通过制定数据销毁机制,实现有效的数据删除管控,防止因对存储介质中的数据进行恢复而导致的数据泄漏风险。采取磁盘数据删除、加密数据删除和物理介质报废等技术,确保数据无法还原。
GE 医疗依据法律法规、国家标准及行业标准,围绕基础安全(包括数据资产识别、数据安全态势感知、数据安全审计、数据分类分级等)、数据全生命周期安全(包括数据采集、传输、存储、处理、交换、销毁等生命周期技术安全)、网络安全(包括入侵防御、防火墙、身份认证等),进一步提升数据安全管理、技术和运营三大方面能力, 形成覆盖多业务类型的数据安全管理体系,在满足安全合规的基础上, 实现数据有序流动,推动数据价值创造。
图:GE 数据安全治理体系框架
3.3 加强数据安全审计
应结合医疗卫生机构自身内部审计的需求,采取实现内部审计全流程管理、加强信息数据安全管理工作、建立内部审计信息化执行规范等一系列措施,提升公立医院内部审计信息化建设的质量。加快数据安全审计与监督检查机制建设,推动将数据安全审计纳入行业机构内部风险防控体系,明确数据安全审计开展的方式、频率、审计重点、审计程序等内容,定期开展数据安全审计工作,评估审核数据安全组织机构、数据生命周期安全。
3.4 提升数据安全应急响应能力
医疗器械企业应加强数据安全风险评估、风险监测与事件处置,从数据安全事前防御、事中监测和事后处置环节出发,建立数据安全应急响应管理机制。
- 一是明确数据安全事件管理和应急响应工作指南, 定义数据安全事件类型,明确不同类别事件处理流程,制定有针对性的应急预案,按照医疗器械安全风险分级,制定相应的数据安全应急预案;
- 二是建立对数据安全事件管理及执行的有效性量化评估规则,向管理层呈现数据安全事件应急处置效果,并建立数据安全事件复盘机制,总结应急管理经验;
- 三是在企业内部加强对应急响应、数据安全事件处置工作制度、策略和防范等方面工作培训宣传,培养相关人员的基本应急响应意识。
图:GE 数据全生命周期安全技术防护能力
GE 基于数据全生命周期安全防护要求,重点开展数据资产管理、数据权限、数据加密、数据脱敏、数据审计、数据防泄漏、数据备份恢复等安全技术能力建设,将数据安全技术嵌入到数据全生命周期管理全过程。
- 在数据保护方面,开展数据分类分级工作,建立数据分类分级管理流程,并将智能化数据分类分级工具纳入数据安全管理重点工作内容。
- 数据加密保护方面,加强数据存储和传输过程中安全管控,采用数据加密保护技术,为数据存储和传输过程提供安全通道,保护数据安全。
- 在数据访问控制方面,建立数据访问控制矩阵,明确主体访问数据范围,并通过技术手段对主体建立标签体系,建立形成以用户为中心的访问权限表。
本文摘编自人工智能医疗器械创新合作平台、中国信通院云大所、通用电气医疗、深圳迈瑞发布的《医疗器械数据安全白皮书(2023 年)》。
往期数治x医疗健康:
数治x医疗健康:公立医院科研数据资产化实现探析
由于数据权属不清、医疗数据开放共享法律政策规范不完善、医疗机构信息化建设技术不足等问题,导致其蕴含的价值也无法被挖掘,严重掣肘医疗数据的开发再利用。
在文末扫码关注官方微信公众号“idtzed”,回复“入”直通数治x医疗健康行业群,@老邪 免费获取。
在此声明以上观点和内容,仅代表原作者和出处,与数治网DTZed 无关,如有出错或侵犯到相关合法权益,请通过电邮与我们联系:cs@dtzed.com。
