《数据安全法》发布,医院要如何应对?

对数据保护加大投入、对现有数据进行分类、制定相应管理制度和权限……医院要做的事还真不少。

6月11日,科大讯飞股价盘中突然闪崩,一度逼近跌停。贝壳财经称,讯飞输入法因违法收集非业务相关用户信息,被各大App应用商店下线。在苹果、华为等应用商店搜索讯飞输入法,均显示已下架。

就在一天前的6月10日,十三届全国人大常委会第二十九次会议通过了《中国人民共和国数据安全法》(下称《数据安全法》)。

我国对医疗信息安全历来重视,行政部门要求三级医院通过“信息安全等级保护”三级,该级别对应的内容是:信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。

因此,《数据安全法》发布后,引发了医疗行业的热烈关注和讨论。

把数据安全上升至法律层面

新华社称,《数据安全法》是数据领域的基础性法律,也是国家安全领域的一部重要法律。业界均对《数据安全法》的出台,给予高度评价。

上海社科院互联网研究中心主任惠志斌在接受央广网采访时表示,《数据安全法》的出台,与此前出台的《中华人民共和国网络安全法》,以及将要出台的《个人信息保护法》前后呼应,奠定了我国网络空间安全发展的基本框架。

重庆大坪医院信息科主任黄昊告诉健康界,《数据安全法》的出台,是一个具有里程碑意义的事件。此前,关于危害医院数据安全的处罚规定,只是在2013年的《加强医疗卫生行风建设“九不准”》中提及“不准为商业目的统方”,且该文件只是一个行业规定,而《数据安全法》则将其上升至法律层面。

成都市律师协会医事法律专业委员会主任委员、健康界专栏作者邓明攀持类似观点,“以前国家有健康医疗大数据标准,但它属于部门规定,效力不高。这一次是基础的,以数据为核心的法律。”

解读

《数据安全法》对监管责任、合规采集和使用、数据出境等均作了明确规定。

  • 明确监管责任

《数据安全法》第六条明确,各地区、各部门对本地区、本部门工作中收集和产生的数据及数据安全负责,……卫生健康等主管部门承担本行业、本领域数据安全监管职责。

黄昊表示,有些公司和单位,此前出于各种需要,收集很多数据,觉得可以做很多工作。但现在看来,这未必是一件好事,因为要承担很大责任。

  • 促进合规收集和使用

《数据安全法》第32条规定,任何组织、个人在收集数据时,应采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。

黄昊介绍,在医院实际工作中,临床医生体会到了数据的价值,在数据收集上可以说不遗余力,也有很多产出。但是对于数据的保护较少,甚至不知道怎么保护,有不少超范围使用的情况。

他认为,《数据安全法》的出台,有利于更好地向临床医生做宣教,数据不能随便收集,也不能随意使用。很多在建设大数据中心的地方卫生行政部门,同样需要重视这个问题。

重庆大坪医院信息科主任黄昊:医疗机构未来在数据保护上的投入应会加大

  • 出境数据要审批

医疗行业涉及国际合作较多,如专家到国外医疗机构做访问学者,参与国际药企的多中心临床药物试验等,都会涉及数据出境问题

《数据安全法》对数据出境着墨颇多,第一、第三、第四章均有涉及,其中第二十五条规定,国家对与维护国家安全和利益、履行国际义务相关的属于管制物项的数据依法实施出口管制。

“以前大家缺少数据安全意识,现在则明确,数据出境要报告,获批准后才能出境。”黄昊说。

  • 安全与利用并重

《数据安全法》在突出安全重要性的同时,同样强调数据的利用。第十五条规定,国家支持开发利用数据提升公共服务的智能化水平;第十六条规定,国家支持数据开发利用和数据安全技术研究,鼓励数据开发利用和数据安全等领域的技术推广和商业创新,培育、发展数据开发利用和数据安全产品、产业体系。

“不是说你把数据用‘保险柜’或者离线的方式存起来就可以了,而是要把它用好。”黄昊说,这对于数据的合规使用,对于推动数字经济的发展,是一个很好的助推剂。

  • 行业配套规范会跟进

《数据安全法》毕竟是基础性法律,配套的实施细则会陆续出台。

《数据安全法》要求,相关行业组织依法制定数据安全行为规范和团体标准,制定数据开发利用技术、产品和数据安全相关标准,建立数据分类分级保护制度、数据安全机制、数据安全应急处置机制、数据安全审查制度等。

黄昊预测,在未来较短时间内,卫生行政部门会出台相应的行业规范,“比如,对数据安全的风险评估,什么规模的医院满足什么条件等。”

邓明攀表示认同,他认为,尤其在数据的交易、开发利用、重要数据目录制定等方面,都需要行业层面进行细化和配套。

医院接下来要怎么做

智慧医院建设涉及数据的采集、使用、存储、传输、公开,医疗机构需要把握边界,梳理数据,并制定相应的措施。

邓明攀盘点了医院涉及安全的数据:互联网医院中的患者个人健康信息、临床试验中心的受试者数据、直报系统填报数据、财务数据、随访/体检等经营数据、病案数据、HIS/LIS/PACS数据等。

“医院应按照数据目录,依据重要、一般、敏感对数据进行分类,根据不同的分类来制定不同的管理制度和权限,并定期对数据进行评估。”

邓明攀举例,医院需要向互联网医院开放接口,CT、核磁等大型设备厂商和系统供应商会对医院设备和系统进行维护,这些环节都需要明确相应权限,确保医院数据安全。

医院管理者应该结合《数据安全法》相关规定相应调整并完善医院内部管理制度,根据每一个岗位设定职责、权利、保密协议,与第三方合作的协议要进行修订。”邓明攀建议。

成都市律师协会医事法律专业委员会主委邓明攀:医院应按数据目录对数据分类,根据不同类别制定不同的管理制度和权限

《数据安全法》第二十七条规定,重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任。

医疗行业的数据价值和隐私程度较高,以前少有医院对数据安全给予充分重视。黄昊判断,医疗机构未来在数据保护上的投入应该会加大,而《数据安全法》则可以成为信息部门获得领导支持的重要砝码。

医院可围绕三点建立数据安全管控策略

5月13日,重庆大坪医院信息中心主任黄昊在健康界《连线CIO》节目中建议,医院应围绕三个中心建立数据安全管控策略。

在数据安全管控策略上,黄昊认为,要以“人”“数据”“业务”为中心,建立数据安全管控策略,建立数据安全策略的集中管控中心和可视中心。

以“人”为中心:建立基于行为场景的访问控制策略;以“业务”为中心:建立基于数据的业务访问、业务接口、业务互联的安全管控策略;以“数据”为中心:建立数据发现、分级分类、数据脱敏、水印、数据加密管理策略。

同时,为加强数据安全,可以建立以“数据”为中心的数据风险分析中心,全面深度分析数据安全风险状态、数据流转状态、数据安全态势。

内容主要包括行为画像,以“人”为中心刻画“数据”行为画像,依托行为基线分析评估数据的异常访问行为;数据流转,以“数据”为中心建立数据流转态势,对数据流转过程进行分析,对流转过程进行监控;泄漏建模,提供数据泄露风险场景建模能力,为数据泄露场景进行建模分析,发现数据泄露风险。

扫码看节目回放

      中国网是国务院新闻办公室领导,中国外文出版发行事业局管理的国家重点新闻网站。本网通过10个语种11个文版,24小时对外发布信息,是中国进行国际传播、信息交流的重要窗口。

      凡本网注明“来源:中国网”的所有作品,均为中国互联网新闻中心合法拥有版权或有权使用的作品,未经本网授权不得转载、摘编或利用其它方式使用上述作品。

电话:0086-10-88828000

传真:0086-10-88828231

媒体合作:0086-10-88828175

品牌活动合作:0086-10-88828063

广告合作:0086-10-88825964