随着移动互联网技术的发展,医疗APP在提供便捷服务的同时,也带来了个人信息安全问题。用户在享受服务时,往往不自觉地提交了大量个人信息,而这些信息的流向和使用途径对用户来说是不可见的。尤其是医院涉及的个人信息数量庞大,管理和保护面临巨大挑战,数据泄露和滥用的风险增加。
一、医院个人信息保护的必要性
医院积累了大量患者个人信息和诊疗数据,这些信息隐私程度高,一旦泄露或滥用,可能导致患者名誉受损、经济损失甚至生命健康受到威胁。相关法律法规如《中华人民共和国个人信息保护法》和《网络数据安全管理条例》对医院的信息保护提出了严格要求。个人信息泄露还可能引发医疗纠纷和社会不稳定因素,对医疗秩序造成不良影响。
所以,从医院个人信息保护场景来分析,涉及到医院个人信息处理活动的各个阶段,包括收集、传输、存储、使用/加工、提供/公开、删除/销毁等,在全域、全生命周期、全链路上都需有相应的个人信息保护措施。
下面举例来说:
- 隐私政策协议:确保用户在使用服务前了解其个人信息的收集和使用情况。
- 绑定固定终端的用户访问:限制用户只能通过指定的终端访问个人信息,以减少信息泄露的风险。
- 身份识别和访问控制:通过验证用户身份来控制对个人信息的访问权限。
- 分级差异化脱敏去标识化:对不同级别的个人信息进行不同程度的脱敏处理,以降低敏感信息泄露的风险。
- 分级差异化运维审批管控:根据信息的重要性和敏感性,实施不同级别的运维审批和控制措施。
- 数据共享水印可溯源:在共享数据时添加水印,以便在数据泄露时追踪来源。
- 数据处理审计留痕:记录数据处理过程,以便在出现问题时进行审计和追溯。
- 健康状况、患者个人信息等:对健康状况和患者个人信息等敏感数据进行特别保护。
- 内部审批流程:在处理个人信息前,需通过内部的审批流程。
- 数据安全风险评估:定期对个人信息的安全风险进行评估。
- 共享接口API监控留痕:监控和记录通过API共享数据的活动。
- 虚拟化:使用虚拟化技术提高系统的安全性和灵活性。
- 数据加密:对存储和传输的个人信息进行加密处理。
二、国内个人信息保护合规审计
《个人信息保护法》要求处理个人信息应在事先充分告知的前提下取得个人同意,并规定了敏感个人信息的单独同意要求。2024年7月发布的《数据安全技术 个人信息保护合规审计要求》提供了国家标准参考,明确了审计原则、要求和流程。2023年8月3日发布的《个人信息保护合规审计管理办法(征求意见稿)》进一步细化了合规审计的具体要求和操作流程。
1、基本概念和适用情形
合规审计是对被审计单位及其员工的个人信息保护行为是否合规的监督活动,旨在防范风险和促进个人信息的社会价值。审计触发情形包括定期自主审计和不定期强制审计,具体频率和要求根据个人信息处理者的处理活动规模而定。
核心内容包括个人信息权益保障和个人信息处理者基本义务两方面。审计重点关注个人信息处理的合法性、执行情况、个人权益保障、自动化决策的公平性等。
2、合规审计的具体要求
《个人信息保护法》规定的定期自主审计和不定期强制审计:根据处理个人信息的规模和风险程度,个人信息处理者需进行定期的合规审计,或在监管部门认为有必要时进行强制审计。
《数据安全技术 个人信息保护合规审计要求》:提供了个人信息保护合规审计的国家标准参考,包括审计原则、总体要求、流程、证据、内容、方法、底稿模板和报告模板等。
《个人信息保护合规审计管理办法(征求意见稿)》:明确了合规审计的目的、原则、程序和要求,强调了审计活动的独立性和客观性,并提供了具体的参考依据和评判标准。
审计机构的推荐和选择要求:对开展合规审计的专业机构提出了要求,并规定了个人信息处理者在专业机构开展审计时的协助配合义务。
三、分级差异化落地
实际落地来看,医院在进行个人信息处理时,应对个人信息进行分级差异化脱敏去标识化处理先开始。具体做法可以包括:
- 根据信息的敏感程度,对个人信息进行不同程度的脱敏处理,例如对姓名、身份证号等直接标识符进行替换或隐藏。
- 对于非直接标识符,如健康状况、诊断结果等,可以根据需要进行部分脱敏,保留一定的匿名性,同时不影响信息的统计和分析价值。
- 脱敏处理应遵循相关法律法规和技术标准的要求,确保处理后的信息既能保护个人隐私,又能满足医疗数据的使用需求。
之后再到分级差异化运维审计,是指根据不同级别和类型的数据,采取不同的运维审计策略和控制措施。具体来说,对于敏感度较高的数据,如患者的健康状况、个人病历等,会实施更严格的审计措施,包括但不限于更频繁的审计频率、更详细的审计内容以及更高级别的审计权限控制。这样可以确保对敏感数据的处理过程进行严密监控,防止数据泄露或被不当使用。
分级差异化运维审计的具体实施步骤包括:
首先,对信息系统进行分级,根据信息的重要性和敏感性确定不同的安全级别;
其次,根据不同级别的信息系统,制定差异化的运维审计策略和措施;
然后,实施定期的运维审计活动,包括对系统访问、数据修改、权限变更等操作的监控和记录;
接着,对审计结果进行分析,发现异常行为或潜在风险;
最后,根据审计结果采取相应的整改措施,优化运维流程和安全防护。
四、确保访问传输安全和隐私
特别是医院绑定固定终端的用户访问操作可能存在着多种风险,一是如果终端设备丢失或被盗,可能会导致未经授权的人员访问系统;二是固定终端可能更容易受到针对性攻击,如恶意软件感染,从而威胁系统安全;三是如果终端设备的安全防护措施不足,可能会成为攻击者入侵网络的跳板。
绑定固定终端的用户访问操作通常包括:
- 用户在注册或登录时,选择使用固定终端进行访问。
- 系统记录用户使用的终端信息,如设备型号、操作系统、IP地址等。
- 在用户后续访问时,系统会检查当前访问设备的信息是否与之前绑定的终端信息一致。
- 如果不一致,系统可能会要求用户重新验证身份或拒绝访问,以此来增强安全性。
医院在个人信息传输过程中,就应采取多种措施以确保信息安全。这包括但不限于:
- 使用互联网+医疗平台时,通过公网闸进行隔离,确保数据传输的安全性。
- 对于敏感信息的传输,应采取数据加密措施,以防止数据在传输过程中被截获或篡改。
- 实施身份识别和访问控制,确保只有授权人员才能访问和传输个人信息。
- 对于不同级别的信息,采取分级差异化的脱敏去标识化处理,减少信息泄露的风险。
而在确保隐私政策协议的合法性和有效性时,通常需要以下几个步骤:
- 合规性审查:隐私政策协议的内容需要符合相关的法律法规要求,如《个人信息保护法》等。
- 明确告知:协议中应明确告知用户个人信息的收集、使用、存储、共享和保护方式,确保用户对信息的处理有充分的了解。
- 用户同意:在收集和使用用户个人信息前,需要获得用户的明确同意,用户应有机会查看和修改自己的隐私设置。
- 定期更新:隐私政策协议应定期更新,以反映最新的法律法规变化和公司政策调整,并通知用户。
- 可访问性:用户应能够轻松访问到隐私政策协议,通常在网站或应用的显眼位置提供链接。
来源:CCIA数据安全工作委员会,《深度分析 | 医院个人信息保护合规审计实践研究》,作者:谭峻楠,本篇针对全文由生成式 AI 做出的核心摘要和解答,仅作为参考,请以原文为准。
领取数字人才中国方案,直通数治x行业社群、AIGC+X 成长营,一起产研内训、知识平台共建!
请在页面底部扫码关注我们的微信公众号“idtzed”,对话框内发送“入”添加老邪企业微信获取。
》公开征求意见-228x171.jpg)