周佳琳，韩傲雪，刘毓炜，郭琛，张晨

(中国信息通信研究院，北京 100191)

1 引言

习近平总书记强调，在实现“两个一百年”奋斗目标的历史进程中，发展卫生健康事业始终处于基础性地位，同国家整体战略紧密衔接，发挥着重要支撑作用[1]。医疗健康事业关系着人民群众的生命安全和身体健康，近年来，人工智能、移动互联网、物联网、大数据等新一代信息技术广泛应用于医疗健康行业，传统医疗信息化1.0时代快速向互联网医疗健康2.0时代、智慧健康3.0时代迈进。行业快速转型的同时也引发了大量的数据风险，使得医疗健康行业面临更为严峻的安全形势[2]。

本文将通过梳理医疗数据安全现状，探索新技术和新业态为医疗数据安全带来的挑战，挖掘和锁定安全风险来源。在此基础上，进一步梳理当前立法、标准制定和监管工作的开展现状，提出提升医疗数据安全性的建议。

2 医疗数据安全现状

2.1 数字化医疗给数据安全带来新挑战

2019年Protenus发布的医疗行业数据安全报告显示：医疗行业自2016年起平均每天至少会发生一起患者数据泄漏事件，2019年，医疗行业黑客攻击事件较2018年猛增了48%，医疗数据持续“裸奔”[3]。加拿大某医疗机构270万医疗录音文件遭黑客公开、印度1250万份孕妇医疗记录被泄露、中国某医学影像公司AI辅助系统和训练数据被窃取并在暗网上公开出售等事件层出不穷，医疗行业已经成为数据泄露的重灾区[4]。

卫生信息安全与新技术应用专业委员会主任委员宁义先生在第五届大数据产业峰会中指出医疗健康行业涉及到人的生命安全，有着更为严重的后果。相比于信息通信领域，医疗健康行业信息安全技术手段较为薄弱，不具备很强的对策方略，难以防护。首先，从技术发展趋势上看，医疗数据与应用服务由内网向公网、云融合转型升级的速度不断加快，医疗业务和数据的暴露面不断增多，新的威胁不断增加；其次，从行业内部而言，安全管理规范难以落实，适应性低，网络终端繁多，业务系统访问无法限制，尤其是互联网医疗的开放与限制之间往往存在矛盾，并让限制成为了难题；再者，在医疗健康行业中，信息化部门还是偏弱势的，传统观念上，它仅仅是一个辅助性行业，数据安全在协调上往往存在很大的难度。

2.2 新型智能医疗设备及其应用软件存在安全风险隐患

可穿戴医疗设备凭借其简易低廉的优势迎来产业的蓬勃发展，如智能手环、便携式血压仪、智能体温检测仪等，但在收集个人信息及生理数据的同时，也存在一定的安全隐患[5]。2021年6月11日，国家互联网信息办公室针对违法违规收集使用个人信息情况通报了129款APP，其中健康类APP 39款， 其中不乏Keep、悦动圈、小米运动、乐心健康等用户群庞大、行业代表性产品[6]，线上医疗、健康管理等智能移动终端APP普遍存在过渡索权、超范围收集个人信息、未经允许向第三方转移相关数据、过渡推荐医疗定向广告等问题。部分企业聚焦于技术实现，尚未建立完善的数据安全保护机制和风险管理措施，同时虚拟货币的匿名性和价格持续高涨，提高了追查难度，这些让黑客们趋之若鹜，攻击手段也越来越多样化，而这其中，勒索病毒对医疗行业数据安全的威胁与日俱增。2017年WannaCry勒索病毒重创欧洲最大的医疗服务体系——英国国民健康服务(National Health Service，简称NHS)，旗下248个医疗机构中有48个受到攻击，许多医院正常的治疗活动受到影响，部分病人被迫转院。2018年湖南省某医院感染Globelmposter勒索病毒，医院内部系统瘫痪，数据库文件被加密破坏，正常就医秩序受到严重影响。从数据泄漏所涉及的机构实体来看，商业合作伙伴/第三方服务供应商所引起的安全事件在不断跃入公众视野。在2019年572起泄露事件中，76%的事件与医疗单位有关，9%的事件与健康计划相关，9%的事件与商业合作伙伴有关。应用软件安全漏洞风险居高，81.2%的App存在高危漏洞，可被利用进行App仿冒、植入恶意程序、窃取敏感信息、攻击服务等，大部分App安装文件未进行安全加固，易被破解暴露源代码[3]。

2.3 医疗机构内部数据泄露事件减少，但危害不断增加

随着法规和监管措施不断完善，全国医疗系统普遍采用合规性分析平台。根据Protenus调查数据显示，2016年以来，内部人员所导致的医疗数据泄漏事件逐渐减少，但平均每起内部数据泄漏所牵连的患者数量在成倍增长，多起数据泄漏事件多年后才被察觉。

医疗行业的安全内部威胁主要包括：内部人员的恶意行为，即怀有恶意目的的员工访问并窃取用户的敏感信息；内部人员的无意行为，即正常员工的人为错误可能会给攻击者留下攻击入口。Protenus对美国卫生与公众服务部(HHS)等公开数据进行统计，2019年，共发生72起由内部人员无意行为造成的数据泄漏事件，至少涉及365万名患者；35起内部人员由内部人员恶意行为造成的数据泄漏事件，至少涉及13万名患者[3]。内部人员无意行为所涉及的患者数量远大于内部人员恶意行为所涉及的患者数量。

2.4 网络安全事故频发，容灾备份机制不完善

数据安全攻与防的发展是相辅相成的，医疗数据安全防护手段不断提升的同时，各种网络攻击的手段同样层出不穷。从目前网络安全发展的现状来看，这一场没有硝烟的非对等战争：病毒木马威胁代码等攻击工具已经趋于产业化，形成勒索、盗窃、销售的一整条产业链，在黑市中几百到几千块钱即可买到各种新型的攻击工具，从事数据破坏勒索的黑客甚至不需要很高的技术水准。同时，因为全国各地医疗行业信息化发展的不均衡，许多医院的网络安全机制建设不完善、缺乏相应的容灾备份等“兜底”机制，2020年中国评测网安中心分析了 35 家开展网络安全等级保护测评的医疗信息系统案例后发现，只有 2%的单位具有灾备服务器，大部分医疗信息系统没有完善的数据保护机制[7]。这在黑客看来成为了最好的攻击目标，一旦被攻破，比如植入勒索病毒，往往只能妥协付费解锁数据，但也不能保证可以恢复。

3 医疗行业数据安全风险来源

目前行业风险来源主要来自以下几个方面：一是数据管控制度相对滞后。尽管医疗组织在数据安全的威胁下逐渐增强数据安全意识，但是关于数据管控尚未建立统一管理机制，数据管控制度有待进一步完善；二是安全漏洞、僵木蠕毒、网站篡改等层出不穷的外部攻击。医疗数据作为一种高附加值的信息资产，很容易遭受黑客攻击。如果不采取措施及时修复漏洞，便会为外部攻击提供途径，因此急需采取有效措施应对外部攻击风险。三是数据交换风险。目前大量的医疗行业数据由第三方加工、分析及测试使用，在交换共享的过程中容易造成真实数据的泄露，需要建立科学合理的对外数据交换标准，尤其是需要提升病患敏感数据脱敏处理能力。四是内部及第三方运维人员造成的数据泄露风险，内部工作人员的权限管控制度有待进一步完善，很多非权限人员可以随意接触病患信息，加之内部人员监控手段不足，防范意识不足，造成很大泄露风险。

4 相关政策法规及标准规范

4.1 政策法规

我国自2017年网络安全领域的基础性法律《网络安全法》实施以来，对于信息安全的保护正式由行政法规上升到了法律层面，系列配套的法律法规逐渐发布实施，形成了极具协调性、整体性及可行性的网络安全保护法律体系[8]。相关政策法规总结如表1。

表1 相关政策法规

4.2 标准规范

在国家标准层面，2018年4月，国家卫生健康委员会规划与信息司、国家卫生健康委员会统计信息中心发布《全国医院信息化建设标准与规范(试行)》，以单独的章节重点阐述医院信息化建设的安全防护问题，包括数据中心安全、终端安全、网络安全、容灾备份四个大的方向，提出包含对于数据安全重点防护的技术保障机制[11]。2019年5月，公安部正式发布《信息安全技术网络安全等级保护基本要求》等网络安全等级保护制度相关的系列国家标准，对新一代信息技术和新应用领域提出了安全扩展要求，从而更加有效地保护等级保护对象[12]。2020年12月国家标准化管理委员会发布《信息安全技术 健康医疗数据安全指南》，从个人信息安全风险的角度出发划分数据分级，提出多场景下安全措施要点并给出安全指南[13]。

5 展望与建议

提升数据安全的防御力，保障医疗健康行业安全有序发展，需各行业主管部门形成监督领导有力、医疗机构落实有效、企业技术服务能力提升的工作格局。

健康医疗领域目前存在信息数据标准不统一的问题[14]，行业主管部门应优先推动标准化工作，补足互联网医疗、智慧医院等各类新场景下的安全标准和规范，以安全标准为建设基线和考评指标，进而在行业内落地实施，同时建立风险检测机制和预警手段，分散监管平台的安全风险。其次，主管部门应统筹行业内外资源，建设健康医疗行业的感知预警机制和手段，及时发现和预警安全风险，推动下属医疗机构进行整改，提升行业整体安全水平。

医疗机构的网络安全防护能力，很大程度上取决于机构从业人员的安全意识和安全能力，尽管医疗机构人员安全意识和安全能力有所提升，但仍处于较差水平[15]。医疗机构应着重加强从业人员数据安全教育培训，针对常见的钓鱼邮件、恶意网页、弱密码等典型问题重点讲解。同时，随着攻防技术的不断升级，医疗机构应培养或引入专业安全团队，定期进行网络安全扫描评估，及时解决安全漏洞、恶意程序等隐患，对单位的网络安全建设进行持续改进。

医疗健康行业安全技术水平的提升，依赖于信息化和安全厂商的服务能力和技术水平，在日趋复杂的国际环境下，应加大技术研发的投入，增强自主创新能力，提升安全服务水平和质量。同时切实理解医疗行业痛点，挖掘行业场景下的业务特点和安全需求，提供针对性的解决方案。

在提升医疗健康信息安全建设的同时，也需消费者提高自我防范意识，谨慎透漏个人信息，避免安装来历不明的软件和插件。使用健康类应用软件时，应了解相关的授权协议，结合自身需求，有限制的开放软件权限。