互联网+医疗健康信息安全

来源：职称阁分类：医学论文时间：2020-06-19 10:20热度：

　　“互联网+医疗”在给患者就医带来便利的同时，其信息安全管理问题也越来越被关注。阐述了“互联网+”医疗健康信息安全的重要性，并对其存在的安全隐患进行分析，指出了“互联网+医疗”中存在的法律法规缺位、平台商业化利用风险、从业人员管理风险以及诊疗信息泄露风险等问题，同时提出了完善法律法规、树立从业人员安全意识、建立信息安全体系、强化医疗机构服务理念等对策，以期为加强互联网医疗健康信息安全提供借鉴。

互联网+医疗健康信息安全

　　【关键词】互联网+;医疗健康;信息安全;质量与信息化

　　1医疗健康信息安全的重要性

　　医疗产业和互联网技术相互融合形成“互联网+医疗”，它是医疗行业通过互联网技术的延伸。“互联网+医疗”因其方便快捷，提高了医疗资源的利用效率，缓解了人们“看病难、看病贵”的难题，也缓解了人民日益增长的医疗需求和医疗资源相对不足之间的矛盾，但在给人们带来便利的同时，也带来很多不可回避的问题，尤其是医疗数据信息安全问题。一般情况下，把公民个人信息会归纳为3个部分，即身份信息、账户信息、设备信息。其中，身份信息与账户信息最为重要，这也是信息安全中主要保护的对象[1]。个人信息关系到个人的隐私和财产安全，如何进行有效的管控不仅关系到信息提供者的切身利益，而且也关系到信息使用者的声誉。在有关法律法规还不完善的情况下，互联网医疗机构更应该重视患者的医疗信息安全。首要目标是保护患者的个人隐私和安全。在一个不确定且风险较大的信息平台上填写个人隐私，却没有保护个人信息的有效机制或法律规范，这在“互联网+医疗”高速发展的今天是客观存在的。每天都有大量的患者信息被存储到互联网医疗机构或者医疗信息企业的数据库中，这些信息不仅有患者的病例、治疗记录，而且还包含了大量的个人独有的隐私信息，比如基因、血型等。当不法分子入侵数据库并窃取到患者信息后，这些个人信息可能会被犯罪分子用来诈骗、推销甚至开立信用卡贷款，还可以利用数据来制造虚假的患者身份。有些互联网医疗机构安全系统更新不及时或者管理不到位，很容易遭受黑客攻击，造成信息系统瘫痪[2]。总之，医疗健康信息关系到个人隐私及财产安全，不断加强医疗健康信息安全研究，分析医疗健康信息泄露的各种风险，构建医疗健康信息安全体系，具有十分重要的现实意义。

　　2“互联网+”背景下医疗机构信息安全特点

　　2.1信息管理系统性增强

　　“互联网+医疗”是把传统的医疗服务和信息资源进行重新组合，形成的一个新的综合服务平台，可为用户提供更加便捷的医疗服务。为了更好地适应互联网医疗平台的智能化及信息化，医疗机构有必要对传统部门进行改组，以便多部门相互融合形成一个系统化的有机管理组织[3]。随着医疗机构信息管理系统化运作的逐渐开展，信息安全问题会更加突出。在系统化运作过程中，医疗信息会在不同部门之间相互传输，任何一个环节出现问题都可能导致整个系统崩溃。

　　2.2信息管理复杂性增强

　　随着医学检测不断精细化，会有越来越多的个人医疗信息存储在互联网机构数据库中，信息管理会越来越复杂。医院的各个子系统也需要不断接收外部信息，并不断进行信息交换。此外，随着医院内部管理的精细化和信息系统访问量的增加，信息安全管理的复杂性逐渐增强[4]。在这种情况下，如果互联网医疗机构未能建立健全管理系统以及信息安全体系，就不能保障患者的医疗信息安全。

　　2.3信息安全动态性凸显

　　可变性是信息时代的最大特征。信息流、人流和物流都是如此，尤其是医疗信息。医院信息管理系统的动态变化幅度相对较大。一些诊断信息、个人身份以及其他信息由于个人医疗条件的变化而不断变化[5]。医院内部也需要持续分配信息，所有这些都将带来一定的安全隐患。

　　2.4信息安全涉及范围更广

　　目前，很多医院为了有效管理患者的医疗信息，均建立了数据库。但是这些数据库一般安全性较差，而且数据覆盖面较窄。许多数据库在建立之初并未考虑是否会与互联网相连。随着互联网技术的发展，很多医疗机构已建立起了可与互联网连接的数据库，这样便可实现各医疗机构之间以及医疗机构与医保部门之间的数据共享。此外，医疗信息和数据变得越来越精细，信息安全的覆盖范围突然增加，信息安全成为至关重要的问题。

　　3“互联网+医疗”中的信息安全隐患

　　3.1法律法规缺位

　　目前，我国还没有颁布保护医疗信息安全的专项法律规范，特别是在隐私保护方面。这种现状不能形成对违法犯罪行为的威慑。相关法律法规的缺失，不仅不能打击医疗信息泄密者的行为，而且导致患者维护个人信息安全也没有法律依据。因此，有必要对互联网医疗信息安全进行专门研究，以便系统化建立我国医疗信息安全保护机制。

　　3.2平台商业化利用风险

　　目前，很多机构为了满足人们日益增加的卫生健康服务需求，推出了很多种医疗APP。这些平台在为患者提供便捷的同时，也会收集大量的个人医疗信息，这其中就包括大量的个人隐私信息[6]。但是这些平台在保护医疗信息安全方面很不理想，他们往往通过免责声明的方法为自己推脱责任。《中华人民共和国网络安全法》正式实施后，规定在涉及个人隐私时，数据在交易前必须进行脱敏和清理。因此，在“互联网+医疗”背景下，政府主管部门在监管时应确定信息安全保护的原则，以保障患者的信息安全权益。

　　3.3从业人员的管理风险

　　网络信息技术从业人员不仅是互联网产业创新发展的主力军，也是互联网信息安全隐患群体。目前，从事互联网医疗服务的机构水平和资质参差不齐，从业人员结构相对复杂。如果这些从业人员对信息安全面临的威胁了解不够，大量的医疗信息可能会被泄露甚至丢失。此外，少数互联网医疗从业者在利益驱动下进行健康信息的复制和销售也会导致患者隐私的泄露。

　　3.4移动医疗设备使用中的泄露风险

　　移动医疗设备主要用于远程医疗的监控、慢性病管理以及健康管理等。这些医疗设备是通过采集及分析患者的身体健康信息对患者进行健康管理的，其中包括患者的隐私。这些信息通过无线网络与医疗机构相连接，可以方便医务人员随时掌握患者的健康情况[7]。但是，这些移动医疗设备一般都具有数据汇总模块，它们在把患者个人信息传送给医疗机构的同时，也会把信息储存到互联网云端，以备用户随时查看。目前我国还没有建立对这些移动医疗设备管理的具体规范，这就给一些不法分子提供了可乘之机，他们可以通过黑客技术，非法入侵移动设备数据库，盗取患者的个人信息。另外，医疗机构内部也存在管理缺失。

　　3.5问诊内容的泄露风险

　　在“互联网+医疗”平台上，患者可以通过网站、手机应用或微信终端进行预约注册以及医疗咨询。他们还可以通过询问功能向医生咨询并与其他患者交流治疗信息。这种问诊形式也存在泄露相关隐私数据的风险，如患者的身份注册信息和查询记录等。一些互联网医疗平台还允许广告商或第三方公司在平台推送信息，当患者误点击进入后，便会进行定向广告推送。互联网的开放性使得患者难以发现这些个人信息泄漏行为。

　　3.6远程会诊中的泄露风险远程会诊是医生利用互联网通讯工具，通过对患者健康信息进行分析，判断其疾病情况并提供医治的方法。其在为患者提供便捷医疗服务的同时，也存在泄露患者个人信息的安全隐患。当患者通过互联网传输影像、病历或者图片时，诊断和治疗数据也存在被截取、窃听甚至篡改的风险。

　　4医疗健康信息安全对策

　　4.1完善法律法规，加强对互联网平台的监管

　　根据“互联网+医疗”行业特征，建议制定和完善相关法律法规，明确划分各医疗机构间保障医疗健康信息安全的责任，严厉惩罚购买和窃取医疗信息的行为，对违反医疗信息安全法律法规的行为落实处罚。政府相关执行部门可以通过与医疗机构的合作，发现行业内监管的薄弱环节，在明确重点监管内容和监管领域的同时，鼓励互联网医疗机构完善医疗信息数据库，开发更加强大的信息安全防御系统，促进互联网医疗产业不断健康发展。

　　4.2树立从业人员安全意识

　　互联网医疗信息从业人员能接触到大量的医疗健康信息，因此必须对其加强隐私保护教育，强化自我约束能力，从根本上保证患者隐私信息能够得到妥善的使用和保护。同时，还可建立全方位系统监控体系，针对特定人群实施重点监控，将消极被动监控变为主动积极监控，保障医疗数据安全，提升信息安全服务能力。

　　4.3建立信息安全体系

　　患者个人信息一般都存储在互联网医疗机构服务器之中，所以互联网医疗机构应该承担保障患者医疗健康信息安全的责任，建立起信息安全体系。互联网信息安全体系见图1。图1互联网信息安全体系4.3.1硬件基础架构与网络安全主要涉及设备安全、机房环境、防盗和防破坏安全、网络环境安全、访问控制、入侵防御等。互联网医疗机构应该有明确的网络边界和严格的网络接入机制。如通过安全网关和VLAN技术，微医疗集团的生产网络和办公网络被不同运营商隔离[8]。4.3.2人员安全管理在条件允许的情况下，全面调查了解应聘者的基本情况，包括犯罪史、职业史和信息安全等方面信息，确保加入互联网医疗机构后，其能够严格遵守相应的规则制度和信息保密协议。被聘用后，与其签署保密协议，并在入职培训中进一步强调医疗信息安全的重要性。当有人员离职时，及时终止离职人员的所有访问权限，并签署离职保密协议。4.3.3安全事件与应急保障如果发生网络出口中断、门户网站异常等重大事件，需要及时判断事件的重要程度和危害性，如有必要则启动三级响应机制，如图2所示.

　　4.4强化医疗机构服务理念

　　当前，互联网医疗行业竞争日益激烈，高质量的医疗服务成为行业竞争的焦点。互联网医疗机构应坚持现代化的服务理念，为患者提供高质量的医疗服务，提升医疗机构的社会形象。除了提供就诊服务以外，还应将保护患者隐私提升到战略发展层面，从患者角度考察医院服务质量，并作为制订改进措施和提升医疗服务发展策略的依据。

　　4.5提高患者信息安全保护意识

　　通过各种宣传教育的方式，让患者认识到个人信息的重要性，尽量避免在进行互联网医疗咨询时泄露个人信息。同时，一旦发现个人健康信息被泄露，要立即报警，以确保个人医疗信息安全[9]。

　　5小结

　　随着“互联网+医疗”行业的迅速崛起，其在为人们带来便捷医疗服务以及公平就医机会的同时，信息安全问题也越来越被重视。如何保护患者医疗信息，增强互联网医疗机构信息系统的安全性，是目前需要迫切解决的问题。随“互联网+医疗健康”事业的不断发展，在今后的研究中还应进一步对医疗健康信息安全存在的隐患进行分析，并针对不同的安全隐患提出不同的应对举措。

　　参考文献

　　[1]李璐，谢颖夫，胡光阔.“互联网+医疗”中信息安全的探讨[J].价值工程，2017，36(9)：49-50.

　　[2]胡建平，高晓飞，刘娟，等.移动互联网医院信息安全与监管平台[J].中国卫生信息管理杂志，2015，12(1)：14-19.

　　[3]马诗诗，于广军，崔文彬.互联网医疗的隐私保护与信息安全[J].上海医药，2017(9)：14-16.

　　[4]高玉平，李冰华，黄刊迪，等.区域医疗信息共享中健康档案安全与隐私保护的领域分析[J].中国数字医学，2013，8(11)：69-72.

　　[5]赵大仁，何思长，孙渤星，等.我国“互联网+医疗”的实施现状与思考[J].卫生经济研究，2016(7)：14-17.

　　[6]范雨雷.“互联网+医疗”中的医疗信息通信技术[J].医学信息学杂志，2016，37(6)：12-17.

　　[7]公安部信息安全等级保护测评中心.信息安全等级测评师培训教程(中级)[M].北京：电子工业出版社，2011.

　　[8]国家市场监督管理总局，国家标准化管理委员会.GB/T25058-2010信息安全技术信息系统安全等级保护实施指南[S].2010.

　　[9]李玉娇，王萍.电子病历中的患者信息安全研究[J].中国卫生质量管理，2019，26(5)：68-70.

　　作者：牛光宇纪淑君陈洁

文章名称：互联网+医疗健康信息安全