７月１１日，世界生命科學(xué)大會(huì)暨健康醫(yī)療大數(shù)據(jù)創(chuàng)新論壇在北京成功舉行。會(huì)上，世界中醫(yī)藥學(xué)會(huì)聯(lián)合會(huì)知識(shí)產(chǎn)權(quán)保護(hù)工作委員會(huì)副秘書(shū)長(zhǎng)、北京觀韜中茂律師事務(wù)所數(shù)字法律與網(wǎng)絡(luò)合規(guī)委員會(huì)秘書(shū)長(zhǎng)楊旭律師從法律規(guī)范的角度分析了當(dāng)前電子病歷和患者個(gè)人隱私保護(hù)的現(xiàn)狀，總結(jié)了目前電子病歷系統(tǒng)建設(shè)中存在的問(wèn)題，并給出了一系列合規(guī)建議。

以下文字根據(jù)楊旭演講內(nèi)容整理：

員在醫(yī)療活動(dòng)過(guò)程中，使用信息系統(tǒng)生成的文字、符號(hào)、圖表、圖形、數(shù)字、影像等數(shù)字化信息，并能實(shí)現(xiàn)存儲(chǔ)、管理、傳輸和重現(xiàn)的醫(yī)療記錄。電子病歷是信息技術(shù)和網(wǎng)絡(luò)技術(shù)在醫(yī)療領(lǐng)域的必然產(chǎn)物，是醫(yī)院病歷現(xiàn)代化管理的必然趨勢(shì)。

楊旭介紹，醫(yī)療衛(wèi)生信息與管理系統(tǒng)協(xié)會(huì)（ＨＩＭＳＳ）將電子病歷的功能特征概括為八個(gè)方面：

１．當(dāng)醫(yī)療需要時(shí)，隨時(shí)隨地提供安全、可靠、實(shí)時(shí)地訪問(wèn)病人健康記錄的能力；

２．采集和管理就診和長(zhǎng)期的健康記錄信息；

３．起到醫(yī)療服務(wù)過(guò)程中醫(yī)生的主要信息源作用；

４．輔助為病人或病人組制訂診療計(jì)劃和提供循證醫(yī)療；

５．采集用于持續(xù)質(zhì)量改進(jìn)、利用率調(diào)查、風(fēng)險(xiǎn)管理、資源計(jì)劃和業(yè)績(jī)管理的數(shù)據(jù)；

６．采集用于病案和醫(yī)療支付的病人健康相關(guān)信息；

７．提供縱向、適當(dāng)過(guò)濾的信息以支持醫(yī)療研究、公共衛(wèi)生報(bào)告和流行病學(xué)活動(dòng)；

８．支持臨床試驗(yàn)和循證研究。

電子病歷包括了臨床診療信息的全要素記錄，高度融合了患者在就診過(guò)程中所有的檢查、檢驗(yàn)等有價(jià)值的臨床診療信息。其中的隱私內(nèi)容可以概括為兩個(gè)方面：

一是患者的個(gè)人信息。包括姓名、性別、年齡等基本身份信息，父母、配偶、子女等家庭生活與社會(huì)關(guān)系的信息，教育程度、職業(yè)、政治面貌等社會(huì)政治信息，家族史、病史、過(guò)敏史等基本健康信息，新農(nóng)合、商業(yè)保險(xiǎn)、公費(fèi)等參保信息。

二是醫(yī)護(hù)人員記錄的診療信息。包括入院記錄、病程記錄、手術(shù)記錄、出院記錄、醫(yī)囑記錄、耗材記錄、生命征象記錄、會(huì)診記錄、相關(guān)的檢查資料與報(bào)告、醫(yī)生對(duì)患者的診斷結(jié)果以及治療的方案、知情告知書(shū)等方面的資料。

電子病歷涉及大量患者的個(gè)人信息，保護(hù)患者的隱私權(quán)尤為重要。

患者個(gè)人隱私保護(hù)存在隱患

當(dāng)前電子病歷和患者個(gè)人隱私保護(hù)的現(xiàn)狀呈現(xiàn)出以下幾個(gè)問(wèn)題：

第一，法律規(guī)定不明晰。電子病歷的隱私保護(hù)建設(shè)最為關(guān)鍵的是要建立適用于本國(guó)的隱私權(quán)法，明確個(gè)人對(duì)病歷檔案的控制權(quán)和知情權(quán)，并對(duì)相關(guān)的條文作出具體詳細(xì)的說(shuō)明，使法律的實(shí)施具有可操作性。

第二，標(biāo)準(zhǔn)缺失，無(wú)操作性，亟需確立電子病歷個(gè)人隱私保護(hù)標(biāo)準(zhǔn)規(guī)范。

第三，從業(yè)人員亟需培訓(xùn)。醫(yī)護(hù)人員是電子病歷檔案的首批接觸者，良好的執(zhí)業(yè)素養(yǎng)是做好電子病歷檔案隱私保護(hù)工作的首要條件。

第四，技術(shù)措施不完善。醫(yī)療機(jī)構(gòu)可以對(duì)患者的信息進(jìn)行加密儲(chǔ)存，這樣即便數(shù)據(jù)被不法分子截獲或下載了，他們得到的信息也無(wú)法正常打開(kāi)閱讀，毫無(wú)利用價(jià)值。

第五，不能互聯(lián)互通。在電子病歷共享平臺(tái)完善后，電子病歷中不只是門(mén)急診信息和出院患者信息，還會(huì)加入住院患者病歷的信息，甚至放射影像信息等，單純以是否為接診醫(yī)生加以區(qū)分，不利于患者個(gè)人信息的保護(hù)。另一方面，電子病歷互聯(lián)互通建設(shè)處于初級(jí)階段，醫(yī)護(hù)人員缺乏對(duì)患者信息保護(hù)的關(guān)注度，個(gè)人識(shí)別賬號(hào)存在交叉互用的現(xiàn)象，也會(huì)給電子病歷中的個(gè)人信息安全帶來(lái)隱患。

電子病歷系統(tǒng)建設(shè)遇難題

目前國(guó)內(nèi)電子病歷系統(tǒng)的建設(shè)主要存在兩大問(wèn)題：

一是醫(yī)療數(shù)據(jù)共享問(wèn)題，在醫(yī)療大數(shù)據(jù)共享系統(tǒng)下，患者每次就診便自動(dòng)將個(gè)人所有疾病信息共享給主治醫(yī)生，甚至是特殊敏感的疾病信息，如性病、艾滋病等。那么是否有必要如此共享？患者是否有權(quán)決定共享的范圍？某些醫(yī)院在給第三方機(jī)構(gòu)調(diào)取患者數(shù)據(jù)時(shí)，并沒(méi)有對(duì)患者個(gè)人的敏感信息進(jìn)行脫敏處理，這就違反了《網(wǎng)絡(luò)安全法》、《數(shù)據(jù)安全法》等相關(guān)法律。

二是有關(guān)數(shù)據(jù)處理問(wèn)題，醫(yī)院是患者個(gè)人信息處理的主要機(jī)構(gòu)。當(dāng)前，醫(yī)院尚未形成體系性的個(gè)人信息保護(hù)的管理制度，個(gè)人隱私保護(hù)措施主要體現(xiàn)在各個(gè)具體的信息系統(tǒng)管理制度中?；颊唠娮硬±龜?shù)據(jù)的保存、利用、共享、刪除、保密機(jī)制是否完善，這是一個(gè)全生命周期數(shù)據(jù)合規(guī)體系的搭建問(wèn)題。是否對(duì)數(shù)據(jù)安全、數(shù)據(jù)出境進(jìn)行評(píng)估，以及患者的個(gè)人信息安全如何影響評(píng)估機(jī)制，醫(yī)院是否對(duì)防火墻機(jī)制進(jìn)行了評(píng)估等，從這些角度來(lái)看，目前仍有所缺乏。

國(guó)內(nèi)亟需依法對(duì)患者隱私信息進(jìn)行嚴(yán)格管控保護(hù)，設(shè)立脫敏、去標(biāo)識(shí)化的具體標(biāo)準(zhǔn)和規(guī)定，這樣才能在促進(jìn)健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展過(guò)程中保護(hù)個(gè)人隱私和維護(hù)信息安全。

搭建數(shù)據(jù)合規(guī)管理體系

實(shí)現(xiàn)數(shù)據(jù)的全生命周期管理

針對(duì)電子病歷與患者個(gè)人隱私保護(hù)之間涌現(xiàn)的問(wèn)題，楊旭給出了一系列合規(guī)建議。

首先，醫(yī)院或醫(yī)生在使用數(shù)據(jù)系統(tǒng)里的電子病歷信息時(shí)，自己應(yīng)當(dāng)注意不要泄露患者的個(gè)人信息。

對(duì)于不同的健康醫(yī)療機(jī)構(gòu)而言，其所遵循的合規(guī)義務(wù)可能因其主體身份、業(yè)務(wù)或所收集數(shù)據(jù)的類(lèi)型而異。在我國(guó)目前的監(jiān)管框架下，健康醫(yī)療行業(yè)所處理數(shù)據(jù)不僅涉及到《個(gè)人信息保護(hù)法》中的個(gè)人信息和敏感信息，還可能涉及與健康醫(yī)療有關(guān)的其他數(shù)據(jù)類(lèi)型，在處理這些數(shù)據(jù)時(shí)應(yīng)當(dāng)在遵循《個(gè)人信息保護(hù)法》的同時(shí)參照原有要求對(duì)健康醫(yī)療數(shù)據(jù)進(jìn)行全生命周期的合規(guī)處理，可能涉及對(duì)健康數(shù)據(jù)的收集、存儲(chǔ)、加工、使用和傳輸?shù)拳h(huán)節(jié)。

其次，對(duì)于醫(yī)療機(jī)構(gòu)而言，質(zhì)量控制是十分重要的，電子病歷是質(zhì)量安全控制的重要內(nèi)容和環(huán)節(jié)。建立“事前預(yù)防，事中控制和事后評(píng)價(jià)”三位一體的數(shù)據(jù)合規(guī)管理體系，醫(yī)療機(jī)構(gòu)需要在整個(gè)過(guò)程中的每一個(gè)環(huán)節(jié)都加強(qiáng)質(zhì)量控制。

最重要的是，醫(yī)院需要搭建的數(shù)據(jù)合規(guī)管理體系，進(jìn)行醫(yī)療健康數(shù)據(jù)全生命周期的管理，才能避免信息泄露等安全問(wèn)題。目前，數(shù)據(jù)合規(guī)管理體系已經(jīng)有了國(guó)際化的認(rèn)證，包括ＩＳＯ３７３０１：２０２１《合規(guī)管理體系　要求及使用指南》及《ＧＢ／Ｔ３５７７０－２０２２　合規(guī)管理體系要求及使用指南》，這兩個(gè)標(biāo)準(zhǔn)體系要求任何組織、任何機(jī)構(gòu)都要搭建自己的合規(guī)管理體系，通過(guò)合規(guī)管理體系，醫(yī)院就能規(guī)避信息安全方面的問(wèn)題，保障好數(shù)據(jù)全生命周期的重點(diǎn)領(lǐng)域、重點(diǎn)環(huán)節(jié)，以保護(hù)患者的隱私安全。

展望未來(lái)

未來(lái)，健康醫(yī)療大數(shù)據(jù)的會(huì)朝著互通、互享、共治、共享的方向發(fā)展，數(shù)據(jù)流通會(huì)更加順暢，防止數(shù)據(jù)泄露也是很重要的議題。

因此，醫(yī)院醫(yī)生尤其注意對(duì)醫(yī)療健康數(shù)據(jù)的處理，建立全生命周期的數(shù)據(jù)合規(guī)管理體系，并進(jìn)行認(rèn)證，才能更好地規(guī)避信息安全的問(wèn)題。

注：文章來(lái)源于網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系刪除