文/王哲 邓勇

    大数据时代，医院开展相关数据业务要采取合规措施，规避数据利用过程中的法律风险。

    健康医疗数据，是人们在疾病防治、健康管理的过程中所产生的与健康医疗有关的数据。信息时代，随着健康监测设备、线上诊疗平台、电子病历等技术的推广应用，健康医疗数据内涵也得以大大延伸。同时，伴随以“大数据”为代表的信息处理技术更加广泛地应用于疫情防控、健康管理、诊疗服务等健康医疗场景，健康医疗数据的社会价值与经济价值不断提高。

    2016年国务院在《关于促进和规范健康医疗大数据应用发展的指导意见》中指出，健康医疗大数据是国家重要的基础性战略资源，医疗大数据的开放共享、深度应用也被纳入《“健康中国2030”规划纲要》以及《“十三五”卫生与健康发展规划》当中。以《人口健康信息管理办法(试行)》《关于促进和规范健康医疗大数据应用发展的指导意见》为代表的法律规范、政策文件方面的探索也体现着党和政府对健康医疗数据的高度重视。

    数据被称作信息时代的石油，一方面是健康医疗数据所蕴含的巨大现实价值，一方面又是不断出台的规范文件，这无疑使医院在健康医疗数据的相关服务上陷入两难的境地。医院对健康医疗数据的合规利用、合法开发就显得尤为重要。《中华人民共和国数据安全法》作为数据安全领域最新出台的一般法，所提出的规制要求对数据利用业务的开展具有极强的指导意义，结合健康医疗领域的具体规范性文件及政策要求，可以为医院的相关数据业务开展提供更明确的合规措施，规避数据利用过程中的法律风险。

    暗流涌动：医院数据安全风险现状

    实践中，大部分医院的网络安全建设几乎是空白，高度依赖提供系统的合作单位，数据安全意识薄弱，保护措施不足。中国医院协会信息管理专业委员会(CHIMA)发布的《2017—2018年度中国医院信息化调查报告》显示：调查的484家医院中，仅有36.16%通过了等级保护测评，《2018—2019年度中国医院信息化调查报告》显示：参与调查的839家医院中仅有43.95%通过了等级保护测评，两次数据均明显低于金融、电信、能源等领域，且其中三级医院比例明显大于三级以下医院，三级以下医院75%未开展过等级保护测评(图1)。2019年，中国信息通信研究院联合腾讯等机构对15339家医疗行业单位进行观测，撰写《2019健康医疗行业观测报告》，数据显示：通过对15339家医疗行业相关单位的观测，存在僵尸、木马或蠕虫等恶意程序的单位共计1029家，应用服务端口暴露在公共互联网中的单位有6446家，4546家单位网站存在被篡改安全隐患，其中261家单位已发生网站被篡改情况 ......