和医生谈谈临床数据安全

数据安全？那不是你们信息科管的事么！关我们医生什么事？！经常我们会听到这样的质疑。大家传统谈到信息安全，网络安全，数据安全，本能的都会想到信息科。的确在这个问题上信息科确实承担了主要的管理和运维工作。但在当前大数据时代，数据安全却也是我们每个人必须关注和了解的。临床数据安全更是我们每个医疗行业从业人员应该去维护的。临床数据因其所具有的巨大价值，已经成为大数据产业链上的一颗璀璨的钻石，而针对医疗数据的网络犯罪，近年来正向利益化、产业化、集团化转变，已经形成完整的利益链条和产业，给国家和个人安全带来很大威胁。因此有必要和大家聊聊临床数据安全的一些事。

1.与往昔不同的是，国家层面加强了网络安全建设，提出了网络边界和互联网主权的概念，强调在网络这个虚拟的环境下网络空间主权的概念。2017年6月1日实施的《网络安全法》、《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》以及2016年12月1日卫计委颁布的《涉及人的生物医学研究伦理审查办法》。都对数据安全提出了要求。

《网络安全法》是我国第一部全面规范网络空间安全管理方面问题的基础性法律，是依法治网、化解网络风险的法律重器，是让互联网在法治轨道上健康运行的重要保障。《网络安全法》第3条明确规定，国家坚持网络安全与信息化并重，遵循积极利用、科学发展、依法管理、确保安全的方针；既要推进网络基础设施建设，鼓励网络技术创新和应用，又要建立健全网络安全保障体系，提高网络安全保护能力，做到“双轮驱动、两翼齐飞”。

《网安法》坚持共同治理原则，要求采取措施鼓励全社会共同参与，政府部门、网络建设者、网络运营者、网络服务提供者、网络行业相关组织、高等院校、职业学校、社会公众等都应根据各自的角色参与网络安全治理工作。简单的说就是网络安全人人有责。

《网安法》确认了个人对其网络信息的删除权和更正权。该法规定，个人发现网络运营者违反法律、行政法规的规定或者双方的约定收集、使用其个人信息的，有权要求网络运营者删除其个人信息；发现网络运营者收集、存储的其个人信息有错误的，有权要求网络运营者予以更正。网络运营者应当采取措施予以删除或者更正。为严打出售贩卖个人信息行为，《网安法》第六十四条更是明确规定：对没有保护好个人信息安全，非法出售的情况，责令改正、罚款，情节严重的暂停业务或关闭网站。

《涉及人的生物医学研究伦理审查办法》适用于各级各类医疗卫生机构开展涉及人的生物医学研究伦理审查工作。办法指出，在开展临床研究时，需要关注七项内容：分别是知情同意；控制风险；免费和补偿；保护隐私原则，未经授权不得将受试者个人信息向第三方透露；依法赔偿；针对儿童、孕妇、智力低下、精神障碍患者的特殊保护原则；利益冲突；舆论风险。规定出现下列三种情况时需要再次获得知情同意书，①研究内容反思变化；②利用过去用于诊断、治疗的有身份识别的样本进行研究的；③生物样本库中有身份识别的人体生物样本或者相关临床病史资料，再次使用进行研究的。当然办法也对下列两种情况允许免签署知情同意书的：①无法再找到受试者，切不涉及个人隐私和商业利益的；②捐献者签署了知情同意书，同意样本和信息用于所有医学研究的。简单说就是需要告知受试者，与其有关的生物数据的使用，并征得同意。

最高法、最高检关于“打击办理侵犯公民个人信息刑事案件的司法解释”（下称司法解释）首次针对侵犯个人信息犯罪的定罪量刑明确标准。明确规定姓名、身份证件号码、通讯联系方式、住址、账号密码、财产状况、行踪轨迹等，这些都属于受法律保护的公民个人信息。根据司法解释，公民个人信息是指以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的各种信息。且司法解释就“情节严重”，明确了“违法所得5000元以上”等10项认定标准。同时根据不同类型公民个人信息的重要程度，设置了不同的数量标准。“情节特别严重”的数量和数额标准，是“情节严重”的10倍，即500条、5000条、5万条。此外，造成被害人死亡、重伤、精神失常或者被绑架等严重后果以及造成重大经济损失或者恶劣社会影响等，都属于“情节特别严重”的范畴。

来自工信部的消息显示，中国将建立网络数据安全管理体系，强化用户个人信息保护，建立完善数据与个人信息泄露公告和报告机制。从创新防范拦截技术、突破网络安全核心关键技术等方面加强信息安全保护。

既然国家的法律法规已经有明确规定，而信息化和安全管理又是发展的一体两翼，那么我们如何在日常工作中去把握临床数据安全呢。我认为至少需要关注一下几项内容。

1.作为医疗机构的管理者首先应该明确安全架构和安全组织，制定数据安全的相关制度，并将网络安全建设经费纳入医疗机构的日常经费预算，将临床数据安全的理念纳入医院文化建设，使得员工能够重视数据安全，做到人人知安全才能实现临床数据安全。

2.医务人员是临床数据的采集者和使用人。因此也是保障临床数据安全的重要一环。尤其是近年来，大数据项目宣传的绚烂夺目，也确实可以让临床数据去支撑临床科研、精准医疗等业务工作，需要注意的是：我们在与第三方机构合作时，需要明确几个问题。

1）合作时，数据安全条款签署没有？其内容应该涉及第三方不得将相关数据用于商业用途，承诺保护患者隐私，数据不得存放在国外的云服务器中，机构自建的存储设备或者机房应该满足等保要求等等。

2）利用数据时脱敏工作做了没有？在发表文章，学术交流时应做好数据脱敏处理。在设计临床试验时，应做好医学伦理审查。

3）在临床试验时数据安全有没有保障？尤其是在利用互联网进行多中心临床试验时，应有措施有手段确保收集的数据不被泄漏，做好数据安全保护工作。

4）数据共享时有没有利益交换？非法交易数据是犯罪行为，这点必须深入我们每个医务人员的脑海。《刑法司法解释》规定，非法贩卖50条以上个人信息可入罪，并对于不同信息区别对待，如对于行踪轨迹信息、通信内容、征信信息、财产信息，非法获取、出售或者提供50条以上即算“情节严重”；对于住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息，标准则是500条以上；对于其他公民个人信息，标准为5000条以上。而量刑可达7年。因此数据交换时需要想想清楚。

5）知情同意书签署没有？其实所有的法律法规都是希望在合法合规下有效利用数据，而不是禁止数据的利用。因此医疗机构可以在挂号时、入院时等采集患者信息处明确告知患者，医疗数据将被利用于科研和管理之用，并承诺做好数据保护和数据脱敏利用。

3.大数据和基因诊断公司的隐忧，近年来随着相关领域的火爆这两类公司迅速崛起，很多公司都只关注业务，而忽视了安全。尤其互联网模式一般都是以吸收用户数据为价值的增长点，公司在聚集用户大量数据的同时，其承担的数据安全风险也成指数倍增长。如果不关注数据安全，不及时进行必要的投入，可能老板还没有享受到IPO，就会因数据保管不善而遭受牢狱之灾，毕竟500条健康数据的案子就能入刑呀。公司内部员工监守自盗，将个人信息非法贩卖给第三方的案例也是经常发生的，所以各位老板别忽视了数据安全。

6月1日，两高的司法解释生效后的首例判决，在浙江省温州市永嘉县人民法院诞生。该案被告人樊某从2015年11月开始，利用QQ聊天软件购买、交换和收集公民个人信息，并进行售卖。据樊某交待，到案发为止，他共售卖信息20万条，涉及公民姓名、身份证号码、车牌号、地址、职业等，获利约2万元。经公开审理，樊某以侵犯公民个人信息罪被判处有期徒刑3年4个月，并处罚金5万元。

4.医院管理者需要加强对医院保洁外包等后勤服务人员的教育及管理。有调查发现这类人群是数据外泄的重要一环，大家可能都有这种体会，亲人住院，很快就有相关的产品及服务推销电话进行联系。曾经有机构进行过暗访发现，科室的工勤人员利用工作之便，能够轻易获取临床数据。比如查看护士站白板，通过与家属交流，听到医护人员讨论病情等等途径。再通过黑市进行交易，从而获得利益上回报。随着智能手机的普及，咔嚓一下，信息就能传递出去。而这些人法律观念淡漠，生活较为拮据。根本没有意识到贩卖信息是犯罪。因此医院管理部门有必要在签订劳务合同时，给予告知。并不断利用相关案例教育大家。形成一种保护临时数据安全的文化氛围。

在大数据时代，每个人都不可避免地留下“数据脚印”，尤其是在医疗过程中产生的临床数据。一旦将它们汇集整合，不但能产生巨大的价值，也会使得我们的人隐私无所遁形，因此在数据流转的各个环节都应该去做好数据保护，才能发挥出临床大数据的正能量。就算我们还没有很好的技术手段去解决安全问题时，每个从业人也应心中都怀有对临床数据的敬畏和对生命的尊重。