電子發(fā)燒友App
一、醫(yī)療電子數(shù)據(jù)的概述
(一)“醫(yī)療電子數(shù)據(jù)”概念
醫(yī)療電子數(shù)據(jù)是基于互聯(lián)網(wǎng)為媒介的信息技術(shù)在醫(yī)療領(lǐng)域中不斷運(yùn)用而產(chǎn)生的新事物。目前法學(xué)界對(duì)于“醫(yī)療電子數(shù)據(jù)”沒有明確的定義,但對(duì)于“電子數(shù)據(jù)”的概念比較清晰。
1.“電子數(shù)據(jù)”概念。
“電子數(shù)據(jù)”是指基于計(jì)算機(jī)應(yīng)用、通信和現(xiàn)代管理技術(shù)等電子化技術(shù)手段而形成的,包括文字、圖形符號(hào)、數(shù)字、字母等在內(nèi)的客觀資料。
2.“醫(yī)療電子數(shù)據(jù)”概念。
醫(yī)療電子數(shù)據(jù),本質(zhì)上來說與電子數(shù)據(jù)沒有不同,只是基于醫(yī)療領(lǐng)域,具有某種特殊性。本文引用“特征等效法”,對(duì)比了電子數(shù)據(jù)和醫(yī)療電子數(shù)據(jù)的等效特征,把“醫(yī)療電子數(shù)據(jù)”概念界定為:是指 在醫(yī)療領(lǐng)域基于計(jì)算機(jī)的應(yīng)用、通信和現(xiàn)代技術(shù)等電子化技術(shù)手段而形成的,包括文字、圖形符號(hào)、數(shù)字、字母等在內(nèi)的有關(guān)于醫(yī)療診斷與服務(wù)的客觀資料。
(二)醫(yī)療電子數(shù)據(jù)的特點(diǎn)
1.便捷性。
基于互聯(lián)網(wǎng)平臺(tái),三維和四維醫(yī)學(xué)影像及遠(yuǎn)程會(huì)診信息等全部能夠以數(shù)據(jù)的形式,通過醫(yī)院的數(shù)據(jù)庫來記錄、存儲(chǔ)、處理、傳輸和呈現(xiàn)。基于互聯(lián)網(wǎng)平臺(tái)的醫(yī)療電子數(shù)據(jù),可以精簡(jiǎn)患者到醫(yī)院就診的流程、優(yōu)化醫(yī)院信息管理以及提升臨床服務(wù)水平,極大地節(jié)約使用者的時(shí)間成本與經(jīng)濟(jì)成本。
2.穩(wěn)定性。
在傳統(tǒng)醫(yī)療活動(dòng)中,病歷、處方都書寫在紙張上,極易受到損壞,且由于其依附載體的限制而不能長(zhǎng)久保存。而在信息技術(shù)的今天,醫(yī)療電子數(shù)據(jù)被保存在計(jì)算機(jī)硬盤或者云計(jì)算儲(chǔ)存中心中,除非人為原因,永遠(yuǎn)不會(huì)消失。這不僅有利于各種醫(yī)療信息的保存,也能夠保證醫(yī)療電子證據(jù)存儲(chǔ)的穩(wěn)定性。
3.敏感性、保密性。
醫(yī)療電子數(shù)據(jù)涵蓋了公民所有非常敏感性、保密要求度高的基本信息,如身體、疾病信息,個(gè)人生活軌跡,家庭住址、醫(yī)療保險(xiǎn)、個(gè)人賬戶和財(cái)產(chǎn)等信息。
4.脆弱性。
在醫(yī)療電子數(shù)據(jù)的生成、收集、儲(chǔ)存乃至共享過程中,由于操作人員的失誤、供電系統(tǒng)和通信系統(tǒng)的故障,都可能導(dǎo)致數(shù)據(jù)的丟失和損毀。另外,醫(yī)療電子數(shù)據(jù)容易被復(fù)制、刪除、篡改,而且不易留痕,技術(shù)越發(fā)達(dá),偽造的可能性越大。
(三)醫(yī)療電子數(shù)據(jù)主要類型
1.電子病歷數(shù)據(jù)。
電子病歷數(shù)據(jù)是醫(yī)療機(jī)構(gòu)對(duì)門診、住院患者(或保健對(duì)象)臨床診療和指導(dǎo)干預(yù)的、數(shù)字化的醫(yī)療服務(wù)工作記錄。
2.電子處方數(shù)據(jù)。
電子處方數(shù)據(jù)是醫(yī)療機(jī)構(gòu)為患者開具的可以實(shí)現(xiàn)存儲(chǔ)、傳輸?shù)碾娮訑?shù)據(jù)通過網(wǎng)絡(luò)、移動(dòng)通信、數(shù)據(jù)儲(chǔ)存?zhèn)鬏數(shù)剿幏浚伤帋熯M(jìn)行審核、調(diào)配、核對(duì),并最后作為患者用藥憑證的數(shù)字化醫(yī)療文書數(shù)據(jù)。
3.醫(yī)學(xué)檢驗(yàn)數(shù)據(jù)。
醫(yī)學(xué)檢驗(yàn)數(shù)據(jù)是通過各種醫(yī)學(xué)檢驗(yàn)設(shè)備的檢查所形成的數(shù)據(jù),諸如心電圖、肝功能檢查、血常規(guī)等,也包括醫(yī)生或者護(hù)士對(duì)患者進(jìn)行檢查診斷的所生成的電子記錄。
4.醫(yī)學(xué)影像數(shù)據(jù)。
醫(yī)學(xué)影像數(shù)據(jù)是在以計(jì)算機(jī)為主的專門診斷治療的信息輔助設(shè)計(jì)而形成的影像數(shù)據(jù)。通過影像數(shù)據(jù),醫(yī)生可以更直觀清楚地了解患者的各種診斷治療信息,從而使復(fù)雜的診斷治療信息變得生動(dòng)清晰。其主要有CT、X 射線、MR 核磁共振、B 超影像、血管攝影等。
二、醫(yī)療電子數(shù)據(jù)安全中存在的隱患
(一)醫(yī)療電子數(shù)據(jù)遭泄漏
患者個(gè)人信息及隱私遭泄漏。
隨著信息時(shí)代的到來,黑客們侵入醫(yī)療機(jī)構(gòu)和相關(guān)行政管理機(jī)構(gòu)的計(jì)算機(jī)網(wǎng)絡(luò),竊取有價(jià)值個(gè)人信息以圖謀不軌。由于醫(yī)療電子數(shù)據(jù)除了包含用戶健康信息、診療記錄和病歷資料等醫(yī)療信息外,還有個(gè)人財(cái)務(wù)信息等重要信息;這些信息拼湊起來,就可以組成一幅完整的個(gè)人信息圖譜,一旦這些醫(yī)療數(shù)據(jù)被非法獲取,就會(huì)被不法分子拿來進(jìn)行違法犯罪活動(dòng),例如通過信用卡信息、支付寶賬戶信息等進(jìn)行金融詐騙、竊取賬戶財(cái)產(chǎn),假冒患者、利用其身份信息領(lǐng)取管制藥物等。
2017 年10 月為浙江杭州警方所破獲的一起侵犯公民個(gè)人信息案,就是一家主要業(yè)務(wù)范圍為0~6 歲兒童的健康管理和移動(dòng)醫(yī)療信息服務(wù)的科技公司因利益驅(qū)使,在承接了某疾病預(yù)防控制部門網(wǎng)站信息化建設(shè)項(xiàng)目時(shí),從杭州某疾病預(yù)防控制部門網(wǎng)站非法下載接種疫苗兒童及其家長(zhǎng)個(gè)人信息后販賣獲利。杭州警方成功偵破該案,抓獲嫌疑人 39 名,查獲其所非法獲取的公民個(gè)人信息370 萬余條。
尤其值得警惕的是,這種安全隱患,不僅僅限于數(shù)據(jù)泄露本身,還在于在此數(shù)據(jù)的基礎(chǔ)上可以對(duì)用戶的下一步行為的預(yù)測(cè)與判斷。例如,獲取患者的某個(gè)檢驗(yàn)指標(biāo),便可以對(duì)其的健康狀況進(jìn)行判斷,并對(duì)其下一步醫(yī)療行為進(jìn)行預(yù)判。
2.醫(yī)務(wù)人員個(gè)人信息及隱私遭泄漏。
網(wǎng)絡(luò)環(huán)境下,醫(yī)療電子數(shù)據(jù)中涉及醫(yī)務(wù)人員的個(gè)人信息及隱私也存在著泄露風(fēng)險(xiǎn)。如2017 年5 月17 日發(fā)生的“廣州市儀器侵犯?jìng)€(gè)人信息案件”,有近35 萬名醫(yī)生的個(gè)人信息和其他隱私信息被竊取。
尤其值得警惕的是,這種安全隱患,不僅僅限于數(shù)據(jù)泄露本身,還在于在此數(shù)據(jù)的基礎(chǔ)上可以對(duì)用戶的下一步行為的預(yù)測(cè)與判斷。
(二)醫(yī)療網(wǎng)絡(luò)系統(tǒng)被入侵
醫(yī)療網(wǎng)絡(luò)系統(tǒng)是保證醫(yī)療工作順利進(jìn)行的關(guān)鍵,一旦受到攻擊和入侵,后果不堪設(shè)想,損失難以計(jì)量。2016 年2 月,美國(guó)好萊塢長(zhǎng)老教會(huì)紀(jì)念醫(yī)學(xué)中心因?yàn)樵獾胶诳凸舳?a target="_blank">電腦系統(tǒng)無法使用,從此陷入停擺之中:期間,醫(yī)院的電腦無法正常工作, 醫(yī)療工作者不得不進(jìn)行手寫;系統(tǒng)內(nèi)病人的病歷等資料根本無法訪問,醫(yī)院的工作受到了極大的干擾。2018 年1 月-3 月,我國(guó)就發(fā)生了三起醫(yī)療網(wǎng)絡(luò)系統(tǒng)入侵事件,分別是江西省婦幼保健院遭遇勒索病毒、上海某公立醫(yī)院信息系統(tǒng)被黑客勒索價(jià)值2 億元以太幣,以及湖南省兒童醫(yī)院服務(wù)器疑似中了某種勒索病毒——所有數(shù)據(jù)文件被強(qiáng)行加密,導(dǎo)致系統(tǒng)癱瘓,患者一度無法正常就醫(yī)。
(三)醫(yī)療電子數(shù)據(jù)遭篡改及濫用
醫(yī)療電子數(shù)據(jù)不同于記載在紙張上的傳統(tǒng)醫(yī)療數(shù)據(jù),是借助計(jì)算機(jī)技術(shù)和信息技術(shù),通過二進(jìn)制代碼來保存各種醫(yī)療信息。無論是醫(yī)療電子數(shù)據(jù)的生成還是儲(chǔ)存,其所設(shè)置的密碼安全系數(shù)都比較低,很容易被攻破而被任意篡改;而一旦被篡改,就使得醫(yī)療信息的時(shí)間及內(nèi)容真實(shí)可靠性大大降低,無法客觀真實(shí)反映醫(yī)療過程,而且也會(huì)嚴(yán)重影響醫(yī)療糾紛中其作為證據(jù)的資格,使負(fù)有舉證證明責(zé)任的一方有可能因?yàn)榕e證不能而承擔(dān)敗訴的風(fēng)險(xiǎn)。
不僅如此,還存在“內(nèi)部濫用”的現(xiàn)象,其中有的還與有組織的犯罪團(tuán)體相關(guān)。比如在美國(guó),有的醫(yī)療機(jī)構(gòu)工作人員被犯罪團(tuán)體招募,也有犯罪團(tuán)體成員專門被送到醫(yī)療機(jī)構(gòu)工作,這些“內(nèi)部的人”最終幫助獲得易被貨幣化的敏感信息。由于利益的驅(qū)使,互聯(lián)網(wǎng)平臺(tái)內(nèi)部人員非法傳輸、篡改電子數(shù)據(jù)的風(fēng)險(xiǎn),早已是事實(shí)存在。
由于利益的驅(qū)使,互聯(lián)網(wǎng)平臺(tái)內(nèi)部人員非法傳輸、篡改電子數(shù)據(jù)的風(fēng)險(xiǎn),早已是事實(shí)存在。
三、我國(guó)醫(yī)療電子數(shù)據(jù)安全保障中存在的問題
(一)相關(guān)法律法規(guī)不健全
1.刑事立法與實(shí)踐中所存在的問題。
(1)侵犯公民信息罪量刑較輕。
2015 年《刑法修正案(九)》加強(qiáng)公民個(gè)人信息保護(hù),明確了特殊主體從重處罰原則,擴(kuò)大了侵犯?jìng)€(gè)人信息行為的范圍。
2017 年《最高人民法院、最高人民檢察院關(guān)于辦理侵犯公民個(gè)人信息事案件適用法律若干問題的解釋》進(jìn)一步從嚴(yán)設(shè)置定罪量刑標(biāo)準(zhǔn),明確了《刑法》第二百五十三條中情節(jié)嚴(yán)重及特別嚴(yán)重的情形,便于對(duì)此類犯罪定罪量刑;對(duì)于罰金數(shù)額,也規(guī)定了“一般在違法所得的一倍以上五倍以下”限度。
依據(jù)《刑法》第二百五十三條規(guī)定,
“......情節(jié)嚴(yán)重的,處三年以下有期徒刑或者拘役,并處或者單處罰金;情節(jié)特別嚴(yán)重的,處三年以上七年以下有期徒 刑,并處罰金”。
而美國(guó)的《健康保險(xiǎn)可攜帶性和責(zé)任法案》規(guī)定,提供醫(yī)療保險(xiǎn)一方、醫(yī)療保險(xiǎn)的運(yùn)營(yíng)方及其雇員如果是有意泄露患者健康隱私信息,造成嚴(yán)重后果的,對(duì)于其所屬機(jī)構(gòu)的罰款每年可達(dá)到150 萬美元;如果出賣或者是轉(zhuǎn)售患者健康隱私信息,個(gè)人最高罰款可達(dá)25 萬美元,還將面臨十年監(jiān)禁。
與美國(guó)相比,我國(guó)刑法在對(duì)侵犯公民信息的犯罪,雖然也是自由刑和財(cái)產(chǎn)刑并用,但量刑偏輕;而這種較低的犯罪成本與數(shù)據(jù)買賣灰色產(chǎn)業(yè)鏈所帶來的利益誘惑,都會(huì)使行為人罔顧法律,重復(fù)作案。
(2)司法判例顯示既判案件的量刑在法定刑內(nèi)屬于偏低范疇。筆者從在裁判文書網(wǎng)檢索到的86 份裁判文書中發(fā)現(xiàn),所有案件的量刑都在“三年以下有期徒刑或者拘役”的法定刑檔次內(nèi),最重的是“有期徒刑二年,緩刑二年”;有的被告所非法獲取的公民個(gè)人信息達(dá)幾十萬甚至及幾百萬條,但卻都沒有出現(xiàn)“三年以上有期徒刑,七年以下有期徒刑”的判決。可見在刑法規(guī)定量刑偏輕的情形下,司法機(jī)關(guān)在判決中認(rèn)定的法定刑檔次也較低。
從刑事立法的主旨和目前的社會(huì)情形看,對(duì)于侵犯公民個(gè)人信息的犯罪行為是持從重處罰的態(tài)度,目的是保護(hù)公民個(gè)人信息安全,有效保障公民人身、財(cái)產(chǎn)安全。為什么對(duì)該類案件的處罰偏輕?因?yàn)槿嗣穹ㄔ簩?duì)案件事實(shí)認(rèn)定存在一定的難度,進(jìn)而影響危害后果的認(rèn)定。2015 年上海市浦東新區(qū)法院審理過一起侵犯公民個(gè)人信息案件,被告通過互聯(lián)網(wǎng)非法購買公民個(gè)人信息3 萬余條,經(jīng)查證信息真實(shí)有效的只有100 多條,法院依法判處被告人拘役五個(gè)月,緩刑五個(gè)月,罰金人民幣一千元。
可見, 由于對(duì)此類案件中不法行為的社會(huì)危害性難以準(zhǔn)確評(píng)估,涉案公民個(gè)人信息數(shù)量認(rèn)定難,因此量刑中需考慮的“情節(jié)嚴(yán)重”和“情節(jié)特別嚴(yán)重”情形也就難以客觀準(zhǔn)確認(rèn)定,進(jìn)而在量刑問題上便趨于偏輕。
這種較低的犯罪成本與數(shù)據(jù)買賣灰色產(chǎn)業(yè)鏈所帶來的利益誘惑,都會(huì)使行為人罔顧法律,重復(fù)作案。
2.個(gè)人信息及隱私權(quán)立法保護(hù)不足。
(1)法律未明確承認(rèn)個(gè)人信息權(quán)。
雖然《民法總 則》在民事權(quán)利部分規(guī)定了“自然人的個(gè)人信息受法律保護(hù)”,但是并未以“個(gè)人信息權(quán)”來表述,可見并未明確個(gè)人信息權(quán)是一項(xiàng)具體的民事權(quán)利。
民法上的請(qǐng)求權(quán)基于“權(quán)利-義務(wù)-責(zé)任”體系,如果個(gè)人信息權(quán)不是一項(xiàng)具體的民事權(quán)利,無法確定其具體內(nèi)容,就不利于明確義務(wù)主體所負(fù)擔(dān)義務(wù)的內(nèi)容以及對(duì)侵害個(gè)人信息權(quán)應(yīng)當(dāng)承擔(dān)何種民事責(zé)任,如何承擔(dān)民事責(zé)任、全面充分的保護(hù)個(gè)人信息也就難以實(shí)現(xiàn)。
(2)未明確界定隱私與個(gè)人信息的界限。
“隱私” 與“個(gè)人信息”是兩個(gè)不同的概念,存在一定的區(qū)別。明晰個(gè)人信息權(quán)和隱私權(quán)界分,對(duì)于創(chuàng)設(shè)個(gè)人信息保護(hù)的具體規(guī)則,規(guī)范個(gè)人信息的收集、利用、存儲(chǔ)、加工、共享等行為,建立國(guó)家、社會(huì)層面?zhèn)€人信息保護(hù)和利用的良好秩序,發(fā)揮個(gè)人信息的價(jià)值,都具有重大意義。
《網(wǎng)絡(luò)信息保護(hù)決定》第一條中個(gè)人信息和個(gè)人隱私都有所提及,可以說已經(jīng)初步形成個(gè)人信息權(quán)和隱私權(quán)并存的法律基本框架。但是,該法沒有提出界分兩者的具體標(biāo)準(zhǔn),使得對(duì)隱私權(quán)與個(gè)人信息權(quán)關(guān)系界定變得困難。
雖然先后有《侵權(quán)責(zé)任法》和《民法總則》將隱私權(quán)作為一項(xiàng)具體人格權(quán)類型予以確定,對(duì)個(gè)人信息也明確提出保護(hù),但是這兩部高位階的規(guī)范性文件流于形式或者僅為宣示性規(guī)定,缺乏可操作的具體規(guī)則,權(quán)利內(nèi)容仍不清晰。
“隱私” 與“個(gè)人信息”是兩個(gè)不同的概念。
3.關(guān)鍵基礎(chǔ)設(shè)施數(shù)據(jù)安全保護(hù)機(jī)制不健全。
根據(jù)我國(guó)《網(wǎng)絡(luò)安全法》第三十一條所劃定的——包括公共通信和信息服務(wù)、能源、交通、水利、金融、公共服務(wù)、電子政務(wù)等重要行業(yè)和領(lǐng)域的關(guān)鍵信息基礎(chǔ)設(shè)施范圍——涉及公共醫(yī)療服務(wù)的醫(yī)療領(lǐng)域當(dāng)屬其中。該法雖明確了關(guān)鍵信息基礎(chǔ)設(shè)施運(yùn)行安全具體保護(hù)要求,從國(guó)家、行業(yè)、運(yùn)營(yíng)者三個(gè)角度劃定了各方的職責(zé)與義務(wù),但是對(duì)關(guān)鍵基礎(chǔ)設(shè)施具體范圍并未有進(jìn)一步細(xì)化,也并未設(shè)計(jì)一整套體系完整的相關(guān)配套制度。如旨在制定風(fēng)險(xiǎn)的事先預(yù)防的安全測(cè)評(píng)制度、旨在防止數(shù)據(jù)安全事件擴(kuò)散的安全監(jiān)測(cè)預(yù)警和信息通報(bào)制度,以及行業(yè)、領(lǐng)域各自應(yīng)急、補(bǔ)救措施以及事后總結(jié)報(bào)告制度等。
(二)相關(guān)主體數(shù)據(jù)安全意識(shí)和保護(hù)措施薄弱
醫(yī)療電子數(shù)據(jù)與其他多數(shù)行業(yè)相比更為復(fù)雜和多元,大量醫(yī)療信息數(shù)據(jù)存儲(chǔ)、處理、接入等工作也為數(shù)據(jù)安全帶來新的挑戰(zhàn)。相關(guān)行業(yè)數(shù)據(jù)安全意識(shí)和保護(hù)措施薄弱,也是導(dǎo)致醫(yī)療電子數(shù)據(jù)安全隱患的重要原因。
1.醫(yī)療行業(yè)的問題表現(xiàn)。
2014 年美國(guó)排名第一的運(yùn)營(yíng)商威瑞森(Verizon)曾發(fā)布 2014數(shù)據(jù)泄密報(bào)告,其顯示醫(yī)療行業(yè)在安全方面“落后于形勢(shì)”。
醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)一般分為內(nèi)網(wǎng)和外網(wǎng),外網(wǎng)是給系統(tǒng)外的機(jī)構(gòu)和個(gè)人提供的查詢和咨詢平臺(tái),而內(nèi)網(wǎng)則是由內(nèi)部相關(guān)人員使用的信息化網(wǎng)絡(luò)體系。患者通過互聯(lián)網(wǎng)接入醫(yī)院信息系統(tǒng)進(jìn)行預(yù)約掛號(hào)、查詢報(bào)告、繳費(fèi)等操作,海量個(gè)人信息和隱私信息就在醫(yī)院內(nèi)網(wǎng)與互聯(lián)網(wǎng)之間交互。安全意識(shí)薄弱加上傳統(tǒng)的醫(yī)院網(wǎng)絡(luò)系統(tǒng)缺少相應(yīng)的應(yīng)對(duì)能力,一旦系統(tǒng)處于被攻擊和非法侵入狀態(tài),將會(huì)導(dǎo)致接入網(wǎng)絡(luò)的醫(yī)療設(shè)備全部處于危險(xiǎn)之中,大量醫(yī)療電子數(shù)據(jù)也面臨泄露、篡改、濫用的巨大風(fēng)險(xiǎn)。
醫(yī)療機(jī)構(gòu)內(nèi)網(wǎng)鏈接多個(gè)客戶端的 MAC地址,由于未經(jīng)嚴(yán)密審查,在很多未授權(quán)的情況下計(jì)算機(jī)并入了醫(yī)療機(jī)構(gòu)的網(wǎng)絡(luò),從而極大地增加了被入侵的風(fēng)險(xiǎn)。有的醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)系統(tǒng)仍在采用“用戶名+口令”等加密層級(jí)極低的訪問控制方式,對(duì)于數(shù)據(jù)缺乏有效的保護(hù)措施,使數(shù)據(jù)處于“裸奔”狀態(tài),安全堪憂。
另外,一些醫(yī)療機(jī)構(gòu)計(jì)算機(jī)設(shè)備陳舊,軟件也長(zhǎng)期沒有更新,未裝訂相關(guān)的殺毒軟件和防火墻,其區(qū)域網(wǎng)漏洞得不到及時(shí)填補(bǔ)。
“有的醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)系統(tǒng)...對(duì)于數(shù)據(jù)缺乏有效的保護(hù)措施,使數(shù)據(jù)處于“裸奔”狀態(tài),安全堪憂。”
2.醫(yī)藥領(lǐng)域互聯(lián)網(wǎng)企業(yè)的問題表現(xiàn)。隨著互聯(lián)網(wǎng)的深入發(fā)展,遠(yuǎn)程醫(yī)療、線上問診已融入到人們的日常生活之中。尤其是近年來移動(dòng)醫(yī)療APP、微信公眾號(hào)預(yù)約掛號(hào)、互聯(lián)網(wǎng)醫(yī)院等迅猛發(fā)展,出現(xiàn)了許多新型醫(yī)療模式。但是,一些醫(yī)療領(lǐng)域的互聯(lián)網(wǎng)企業(yè)數(shù)據(jù)安全意識(shí)缺失,信息安全建設(shè)資金投入困難,只有在安全事件產(chǎn)生嚴(yán)重后果后,才會(huì)意識(shí)到安全的重要性。這就造成數(shù)據(jù)信息安全建設(shè)缺乏總體規(guī)劃,“頭痛醫(yī)頭,腳痛醫(yī)腳”的狀況在現(xiàn)實(shí)中大量存在。
另外,企業(yè)人員整體安全意識(shí)不平衡,安全制度或安全流程流于形式,導(dǎo)致用戶個(gè)人信息和隱私泄露;有的企業(yè)內(nèi)部甚至還存在竊取數(shù)據(jù),販賣個(gè)人信息的違法行為。
“頭痛醫(yī)頭,腳痛醫(yī)腳”的狀況在現(xiàn)實(shí)中大量存在。
四、應(yīng)對(duì)我國(guó)醫(yī)療電子數(shù)據(jù)安全問題的建議
(一)完善相關(guān)法律法規(guī)1.完善罰金刑,增加資格刑。目前我國(guó)刑法是以是否以牟利為目的來區(qū)分罰金的數(shù)額,而且也規(guī)定了“一般在違法所得的一倍以上五倍以下”數(shù)額限度。但是,如果侵犯公民個(gè)人信息的犯罪目的并不是牟利,那么罰金數(shù)額就應(yīng)依據(jù)受害人精神損害程度予以確定。正如前文所述,對(duì)于侵犯公民個(gè)人信息罪,刑法規(guī)定了自由刑和財(cái)產(chǎn)刑,而且量刑較輕,也未規(guī)定資格刑。但是,犯罪的低成本以及犯罪行為容易成癮才導(dǎo)致現(xiàn)在該類犯罪案件頻發(fā),有的造成了嚴(yán)重的損害后果。因此,建議將資格刑引入到刑事立法當(dāng)中,在一定時(shí)間內(nèi)限制或者禁止犯罪行為人從事與公民個(gè)人信息有關(guān)的行業(yè)。
2.加快制定《個(gè)人信息保護(hù)法》。1976 年,德國(guó)《聯(lián)邦數(shù)據(jù)保護(hù)法》從數(shù)據(jù)收集、儲(chǔ)存等這個(gè)層面保護(hù)個(gè)人信息。1974 年,美國(guó)《隱私法》對(duì)政府機(jī)構(gòu)收集、儲(chǔ)存、公開個(gè)人信息以及信息主體的權(quán)利等有詳細(xì)規(guī)定。個(gè)人信息權(quán)內(nèi)容豐富,大量技術(shù)性規(guī)定無法被納入到人格權(quán)法之中,可以通過制定特別法予以補(bǔ)充。單獨(dú)制定《個(gè)人信息保護(hù)法》的另一個(gè)理由在于,侵犯?jìng)€(gè)人信息權(quán)可能涉及到多種責(zé)任,不是民事責(zé)任所能涵蓋的,如果將其規(guī)定在人格權(quán)法中,對(duì)導(dǎo)致法律體系的不協(xié)調(diào)。綜上,進(jìn)行綜合立法有利于個(gè)人信息權(quán)的全方位保護(hù)。
3.細(xì)化隱私權(quán)的具體內(nèi)容。目前,我國(guó)民法典的編纂工作已進(jìn)入第二階段-各分編的制定,對(duì)于人格權(quán)是否獨(dú)立成編在學(xué)界的討論也非常的熱烈。無論是否獨(dú)立成編,在民法典的分編中應(yīng)進(jìn)一步細(xì)化隱私權(quán)的內(nèi)容和相關(guān)法律保護(hù),形成隱私權(quán)與個(gè)人信息權(quán)之間的相互協(xié)調(diào)。
4.成立專門數(shù)據(jù)保護(hù)機(jī)構(gòu)。目前世界上很多國(guó)家均設(shè)置有專門數(shù)據(jù)保護(hù)機(jī)構(gòu)對(duì)數(shù)據(jù)資源開發(fā)與利用過程中的信息隱私進(jìn)行保護(hù)。該機(jī)構(gòu)除了有對(duì)數(shù)據(jù)隱私保護(hù)的指導(dǎo)、建議權(quán),還能夠?qū)π畔⑹袌?chǎng)的進(jìn)行執(zhí)法監(jiān)管。在必要時(shí),該機(jī)構(gòu)可以作為獨(dú)立訴訟主體,代表公民利益,提起公益訴訟。
5.關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)規(guī)則應(yīng)細(xì)化。建議出臺(tái)《關(guān)鍵信息基礎(chǔ)設(shè)施保護(hù)條例》,針對(duì)監(jiān)測(cè)預(yù)警、數(shù)據(jù)安全、應(yīng)急處置、監(jiān)管措施等方面應(yīng)作出具體、細(xì)化的規(guī)定。另外,地方各級(jí)人民政府也應(yīng)結(jié)合本地情況制定行政區(qū)域內(nèi)實(shí)施細(xì)則,有關(guān)關(guān)鍵基礎(chǔ)設(shè)施數(shù)據(jù)安全保護(hù)的科學(xué)研究和經(jīng)費(fèi)撥款等相關(guān)配套制度也應(yīng)同期完成。
(二)革新技術(shù)手段1.采用數(shù)字簽名和時(shí)間戳。“數(shù)字簽名”(又稱公匙數(shù)字簽名或電子簽章),就是只有信息發(fā)布者才能產(chǎn)生的他人無法偽造或篡改的一段數(shù)字串,是一種用于鑒別數(shù)字信息的方法;同時(shí)也是對(duì)信息真實(shí)性的有效證明之一。相關(guān)法律已經(jīng)明確,數(shù)字簽名與手寫簽名和蓋章一樣,具有同等的法律效力。而且數(shù)字簽名簽署之后,若再次對(duì)其和醫(yī)療電子病歷之內(nèi)的電子數(shù)據(jù)進(jìn)行修改,會(huì)留下改動(dòng)痕跡。“可信時(shí)間戳”,是權(quán)威服務(wù)中心簽發(fā),可記錄和證明電子數(shù)據(jù)產(chǎn)生的準(zhǔn)確時(shí)間。把數(shù)字簽名和時(shí)間戳統(tǒng)一結(jié)合的運(yùn)用在醫(yī)療電子數(shù)據(jù)中,可以保障醫(yī)療電子數(shù)據(jù)生成時(shí)間的唯一性、完整性以及可驗(yàn)證性。
2.采用PKI加密技術(shù)。PKI加密技術(shù)是一種遵循標(biāo)準(zhǔn)的利用公匙加密技術(shù)為電子商務(wù)的開展提供一套安全基礎(chǔ)平臺(tái)的技術(shù)和規(guī)范。電子病歷等文件正是基于這種加密技術(shù)來保障信息的安全的,且多采用指紋和密碼的雙重設(shè)置來認(rèn)證,可以大大減少醫(yī)療系統(tǒng)內(nèi)部的醫(yī)生隨意查看和調(diào)動(dòng)患者病歷等個(gè)人信息的可能性,從而降低內(nèi)部泄密的風(fēng)險(xiǎn)。
3.加強(qiáng)醫(yī)療機(jī)構(gòu)網(wǎng)絡(luò)系統(tǒng)安全技術(shù)保障。一是醫(yī)療機(jī)構(gòu)應(yīng)該采用區(qū)域網(wǎng)絡(luò),綁定客戶端MAC地址,防止未授權(quán)的計(jì)算機(jī)并入醫(yī)院的網(wǎng)絡(luò)醫(yī)院。
二是對(duì)醫(yī)院區(qū)域網(wǎng)絡(luò)進(jìn)行安全分級(jí),確立安全分級(jí)系數(shù),安全系數(shù)低的PC端應(yīng)該提高安全系數(shù)。三是不同地域、不同級(jí)別的醫(yī)療機(jī)構(gòu)之間,應(yīng)該和醫(yī)保中心聯(lián)網(wǎng),進(jìn)行醫(yī)療電子數(shù)據(jù)的共享。四是規(guī)定電腦應(yīng)該安裝殺毒軟件和防火墻,定期進(jìn)行安檢和殺毒。五是對(duì)于數(shù)據(jù)的安全防護(hù)及備份要及時(shí),保證重要的醫(yī)療數(shù)據(jù)在交互共享時(shí)不被破壞,同時(shí)還應(yīng)不斷完善數(shù)據(jù)備份的相關(guān)管理流程。六是準(zhǔn)備應(yīng)急備案,若遇到斷電斷網(wǎng)等特殊情況,應(yīng)該保證醫(yī)療電子數(shù)據(jù)正常錄入儲(chǔ)存,不受毀壞,保證醫(yī)療電子數(shù)據(jù)的完整性。
(三)增強(qiáng)醫(yī)療相關(guān)行業(yè)的安全意識(shí)1.增強(qiáng)醫(yī)療行業(yè)的安全意識(shí)。醫(yī)療行業(yè)要加強(qiáng)對(duì)從業(yè)人員法律意識(shí)的培養(yǎng),嚴(yán)格控制數(shù)據(jù)的使用權(quán)限和遵循最小范圍使用原則。醫(yī)療機(jī)構(gòu)、疾控部門等要重視數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估的工作,事前有效預(yù)防安全風(fēng)險(xiǎn)。另外,信息安全培訓(xùn)計(jì)劃應(yīng)嚴(yán)格執(zhí)行并落實(shí)到位。2.增強(qiáng)醫(yī)藥領(lǐng)域互聯(lián)網(wǎng)企業(yè)的安全意識(shí)。醫(yī)藥領(lǐng)域的互聯(lián)網(wǎng)企業(yè)要切實(shí)提高數(shù)據(jù)安全意識(shí),進(jìn)行有效的數(shù)據(jù)安全管理,積極維護(hù)系統(tǒng)和更新升級(jí),防止黑客惡意攻擊。要有嚴(yán)格的數(shù)據(jù)分級(jí)機(jī)制,從信息產(chǎn)生、存儲(chǔ)、傳輸、訪問、銷毀等諸多環(huán)節(jié)要有完備的安全運(yùn)營(yíng)體系,充分保證數(shù)據(jù)完整性和可靠性。還應(yīng)依照相關(guān)法律法規(guī),制定行業(yè)保密協(xié)議,防止內(nèi)部人員泄漏和販賣醫(yī)療電子數(shù)據(jù)。
工商網(wǎng)監(jiān)
評(píng)論