日前，国家卫生健康委（以下简称卫健委）公布对全国政协委员涉受试者个人信息保护提案答复的函。该函件指出，卫健委已起草相关文件，对加强生命科学和医学研究领域生物样本、信息数据隐私保护，对医疗卫生机构开展的非注册类临床研究、数据管理等方面提出要求。

医疗行业的隐私信息保护问题在国家层面已经提上日程，昂楷科技在医疗行业数据安全方面实施了大量落地项目，在医疗行业隐私信息保护方面也积累不少实战经验医疗?数据安全?场景，今天分享给大家，一同讨论学习。

01

个人隐私信息泄露风险和挑战

医疗个人隐私信息安全面临的威胁

伴随着以人工智能、5G、云计算、大数据、区块链、物联网等为代表的新一代信息技术向医疗行业的不断渗透，医疗行业的信息安全问题日益凸显。医疗行业历来就需要采集、存储和使用个人隐私信息。

2020年初的新冠疫情，通过利用数字技术辅助流行病学调查，追踪疑似病例，而且还渗入了生活的方方面面，最大程度满足了疫情期间的工作生活。然而，数字技术的大范围应用对公民个人隐私信息的收集，这在一定程度上加大了数据泄露风险。

再者在医疗诊治过程中，构建了大量患者医疗记录，大量的个人信息数据被汇总和关联分析后，形成了对医疗机构、疾病控制、医学研究有价值的医疗大数据。在医疗信息数据中涉及大量患者个人特征数据。（如患者的真实身份、联系电话、家庭地址、生活轨迹、疾病信息、检查信息也涉及患者隐私，不希望被无关人员知晓，患者担心泄漏的信息包括个人信息、疾病信息和检查信息。）

医疗行业个人隐私信息泄漏风险分析

当前互联网大数据时代，各医疗机构之间高度共享各自医疗数据信息，实现医疗业务数据共享、发掘和利用，来获得更加准确、有价值的医疗信息，推进医疗业务水平的发展，但同时医疗隐私泄漏风险也将贯穿于医疗信息系统的全生命周期。

/

02

需求与问题

医疗行业个人隐私信息需求主要体现在三方面：

《个人信息保护法》合规要求

随着《个人信息保护法》正式公布实施，个人信息处理过程中的行为主体、相关违法行为及惩罚力度做出了明确的规定。政企机构将面对最高可达5000万元(或者不超过年营收5%)的罚款医疗?数据安全?场景，个人信息保护的压力陡然增加。

结合《个人信息保护法》合规要求总结如下：

个人隐私信息保护组织建设需求；

个人隐私信息保护制度及流程建设需求；

个人隐私信息全生命周期过程中的防护需求。

医疗行业个人隐私信息分类分级需求

2020年12月14日，国标委发布GB/T 39725-2020《信息安全技术 健康医疗数据安全指南》（简称“《指南》”），《指南》的发布实施可以帮助我们明确了医疗行业个人隐私信息。

医疗行业数据安全治理需求

由于医疗行业的个人隐私信息保护与业务息息相关，个人隐私信息和业务数据交叉整合，抛开业务数据只关注个人隐私信息安全不太现实。因此，个人隐私信息保护应该从数据安全治理的高度来统一规划，才能更好地解决需求。

数据库作为医疗行业应用系统数据的承载单元，在进行数据交互共享、数据统计等等场景时，需保障数据库系统自身的安全，防止数据被泄露破坏，当前医疗行业数据安全面临如下问题：

1）数据库自身审计不足：审计内容细粒度不够，是否产生违法操作数据库行为等；缺乏对信息中敏感的数据发现与检测的能力；缺乏独立的监控能力，传统审计只能依赖数据库日志系统，容易被篡改，不具备独立性。

2）数据库防护能力不足：无法对于恶意查询、删除、篡改数据的行为进行分析阻拦；连接数据库的系统多，获取数据、运维的单位多，获取数据的方法无法统一，因此对于交互中一些患者、医生的隐私信息敏感数据无法进行真正的有效保护，数据被窃取风险巨大。

3）数据安全联动联防能力不足：缺乏对整体数据交互情况及风险状况进行整体性监测。

4）数据库系统自身安全问题：数据库漏洞、数据库配置安全、弱口令等问题，缺乏针对数据库环境的检测或分析工具。

03

数据安全总体思路

随着医疗行业数字化进程在提速，出现了业务迭代快、互联网暴露面大的特征。因此，建议医疗行业的数据安全治理采用体系化方式进行建设，包括组织、制度流程、技术能力、安全审计四个维度，如下图所示：