当前位置: 主页 > 杏彩登入资讯 > 正文

移动医学与数据安全:先进国家的经验

作者:admin时间:2019-03-28 03:09:13原创文章

我想在这里讨论的主要问题是在远程医疗和移动医疗技术的应用中出现的一些数据安全和数据隐私问题。任何新技术,在其应用过程中,都会出现一些不可预见和意想不到的问题。这里的主要目的是提醒你,我们将能够意识到我们正在应用这些新技术,如果事先对这些潜在的问题有一个预期,那么新技术的推广将减少一些障碍,让用户、监管者和制造商在监管过程中得到更好的合作。

一般来说,医疗信息的安全性有两个重要的原因。首先,只有安全数据才能提供更好的价值。数据存储在医院、电子病历和健康档案中。在远程医疗过程中也有咨询信息。例如,对于制药公司来说,临床研究数据的存储和使用方式如果不安全,就不会提供更好的价值。另一种是,有了安全保护,这些数据可以有效地传播。例如,当我们谈论远程医疗时,数据必须同时有发送方和接收方。如果两者之间没有信任关系,没有安全措施来保证,发送方不理解收件人不信任,这就会导致数据的有效流动。

提出了医疗信息安全的三个要素:一是实现安全的技术。在实现安全的过程中,这些技术规范就像抵御黑客攻击的坚固墙。第二个问题是发现了与今天最相关的安全条例。三是实现安全意识。因为及时更好的硬件,更好的法律法规,如果这些技术的使用和对这些条例的执行缺乏认识,它实际上是非常有害的安全保护。如果你们中的一个有123456电子邮件密码,或者某人的生日,安全意识显然是不够的。

在医疗信息的安全和隐私方面,1996年的“HIPAA法”是不能回避的问题之一。“医疗保险隐私权和责任法”分为两部分,第二部分详细介绍了医疗保险的提供者。健康保险经营者和雇员在保护个人健康隐私方面的一些责任。2009年,提出了一项新法案,涉及三个主要方面:报告义务和通知义务。还有私人分享个人健康信息,例如哪些场合可以共享,哪些场合不能共享。在美国HIPAA的实际执行过程中非常严格,违反HIPAA的后果非常严重。如果该单位是故意的,并造成严重后果,可处以每年150万美元的罚款。如果其意图是出售或转售此类商业信息,个人可被处以最高25万美元的10年监禁。这是HIPAA和HITECH法案中的规定。

目前,世界上约有80个国家制定了详细保护个人信息和隐私的法律。美国、加拿大和一些拉丁美洲国家、所有欧洲国家以及亚洲一些国家都有这方面的法律。这家美国最大的连锁药店去年在印第安纳州被罚款140万美元,东德克萨斯州的一家医院可能因不当获取和披露医疗信息的隐私而面临长达10年的监禁。所以违法的后果是非常严重的。虽然有一个非常严格的法律定义,但仍有许多泄漏数据的事件。

移动医学与数据安全:先进国家的经验

就中国而言,仍然没有保护个人信息和隐私的法律,还有很多工作要做。虽然“宪法”第38、39和40条具有关于公民隐私不可侵犯的宪法法律精神;“民法通则”第140条规定了公民的隐私权,“侵权责任法”中也有一些相关规定;但主体指的是医疗机构和医务人员,因此这一主体的规定相对狭窄。在国家法规方面,我们已经有了远程医疗的技术准则,主要是在技术层面上界定的,在刚才提到的三个要素中,包括技术要素、管理要素和人类意识要素。在这三方面,我们在技术上是比较完善的,但在法律方面仍有很多事情可以做。例如,个人信息保护指南这份指导文件,标准比较难澄清。与西方发达国家相比,我国的法律法规比较零散,处罚机制不够完善。例如,2009年宪法修正案规定了非法买卖公民个人信息罪和非法提供公民个人信息罪,但主体相对狭窄,难以实现。

互联网上有一些著名的泄密事件。例如,支付宝用户信息泄漏到2013年底,总金额可达2500万。刘总经理刚才提到的美国退伍军人部泄露了7000名用户信息。中国由于人口相对较多,在出现问题时显得非常严重。但是,美国的HIPAA和HITECH有义务向每一个可能受到影响的用户报告,只要有500个用户泄露信息。中国没有这种惩罚的机制和声音,也许是因为法律方面并不特别完善。这里有一个问题,我想和大家谈谈:虽然中国没有足够的法律法规来保护信息安全,但为什么我们没有听说过大规模的医疗信息泄露呢?我有三种看法:一是医院他的PACS信息主要是封闭的,神康内的PACS数据医院可以共享,但是这些公共信息的医疗记录在互联网上是看不见的。一个是公共卫生制造商收集关于运动和睡眠的数据,与碎片相比没有什么商业价值。另一种,虽然我们没有听说过,但并不意味着它没有发生。在数据安全的世界里,如去年的携程信息披露,12306的信息。实际上,整个数据库都是提取出来的,中间的一些有用的信息字段,如联系人、一些联系信息、信用卡信息等,都需要使用这些信息,所以需要对图书馆进行一点清洗。还没有暴露,并不意味着没有,这样的情况其实更严重。在一年或三、五年内,中国什么时候会发生一场具有国家影响的重大医疗泄漏事件,还是每个人都很有信心它永远不会发生?我希望它永远不会发生,但这是非常不可能的。

远程医疗指导文件在技术上得到了很好的探索和尝试,但在这三个要素的其他两个方面,即法律和法规方面,仍有许多工作要做。一般来说,这方面的法律法规需要与业界共同努力,才能更有效。随着移动医疗的迅速普及,我们的数据被收集在云中,在云中读取,甚至计算也在云中。我们是否应该更多地关注数据安全问题?在这种情况下,只有政府和行业才能合作。以形成一个相对执行力较高的行业共识。

我们的建议是:在技术层面,以医院为代表的服务提供者、东软等信息系统建设者,以及范围广泛的移动、互联网医疗制造商在目前技术准则的框架内共同努力,形成某种行业共识。在规管层面,我们希望委员会及其他有关部门和业界,能在这个共识的架构内,制订一些详细和可强制执行的强制性标准,以保障我们的安全。在这种强制性标准的情况下,当然,这是一个相对长期的目标,我们希望有一些法律和法规来保护个人隐私。例如,个人信息保护法,个人隐私保护法。这些法律中有一些是法律界长期以来一直要求制定的,但执行速度缓慢,我们希望会有一些类似HIPAA的法案。

总之,有三个要求,法律法规需要政策和产业的合作,意识需要全社会的共同努力,谢谢。

相关文章