售前電話
135-3656-7657
售前電話 : 135-3656-7657
國家高新技術企業 省級專精特新企業
咨詢熱線:135-3656-7657 400-6333-661
國家高新技術企業 省級專精特新企業
咨詢熱線:135-3656-7657 400-6333-661
日前,國家衛生健康委(以下簡稱衛健委)公布對全國政協委員涉受試者個人信息保護提案答復的函。該函件指出,衛健委已起草相關文件,對加強生命科學和醫學研究領域生物樣本、信息數據隱私保護,對醫療衛生機構開展的非注冊類臨床研究、數據管理等方面提出要求。
醫療行業的隱私信息保護問題在國家層面已經提上日程,昂楷科技在醫療行業數據安全方面實施了大量落地項目,在醫療行業隱私信息保護方面也積累不少實戰經驗醫療?數據安全?場景,今天分享給大家,一同討論學習。
01
個人隱私信息泄露風險和挑戰
醫療個人隱私信息安全面臨的威脅
伴隨著以人工智能、5G、云計算、大數據、區塊鏈、物聯網等為代表的新一代信息技術向醫療行業的不斷滲透,醫療行業的信息安全問題日益凸顯。醫療行業歷來就需要采集、存儲和使用個人隱私信息。
2020年初的新冠疫情,通過利用數字技術輔助流行病學調查,追蹤疑似病例,而且還滲入了生活的方方面面,最大程度滿足了疫情期間的工作生活。然而,數字技術的大范圍應用對公民個人隱私信息的收集,這在一定程度上加大了數據泄露風險。
再者在醫療診治過程中,構建了大量患者醫療記錄,大量的個人信息數據被匯總和關聯分析后,形成了對醫療機構、疾病控制、醫學研究有價值的醫療大數據。在醫療信息數據中涉及大量患者個人特征數據。(如患者的真實身份、聯系電話、家庭地址、生活軌跡、疾病信息、檢查信息也涉及患者隱私,不希望被無關人員知曉,患者擔心泄漏的信息包括個人信息、疾病信息和檢查信息。)
醫療行業個人隱私信息泄漏風險分析
當前互聯網大數據時代,各醫療機構之間高度共享各自醫療數據信息,實現醫療業務數據共享、發掘和利用,來獲得更加準確、有價值的醫療信息,推進醫療業務水平的發展,但同時醫療隱私泄漏風險也將貫穿于醫療信息系統的全生命周期。
/
02
需求與問題
醫療行業個人隱私信息需求主要體現在三方面:
《個人信息保護法》合規要求
隨著《個人信息保護法》正式公布實施,個人信息處理過程中的行為主體、相關違法行為及懲罰力度做出了明確的規定。政企機構將面對最高可達5000萬元(或者不超過年營收5%)的罰款醫療?數據安全?場景,個人信息保護的壓力陡然增加。
結合《個人信息保護法》合規要求總結如下:
個人隱私信息保護組織建設需求;
個人隱私信息保護制度及流程建設需求;
個人隱私信息全生命周期過程中的防護需求。
醫療行業個人隱私信息分類分級需求
2020年12月14日,國標委發布GB/T 39725-2020《信息安全技術 健康醫療數據安全指南》(簡稱“《指南》”),《指南》的發布實施可以幫助我們明確了醫療行業個人隱私信息。
醫療行業數據安全治理需求
由于醫療行業的個人隱私信息保護與業務息息相關,個人隱私信息和業務數據交叉整合,拋開業務數據只關注個人隱私信息安全不太現實。因此,個人隱私信息保護應該從數據安全治理的高度來統一規劃,才能更好地解決需求。
數據庫作為醫療行業應用系統數據的承載單元,在進行數據交互共享、數據統計等等場景時,需保障數據庫系統自身的安全,防止數據被泄露破壞,當前醫療行業數據安全面臨如下問題:
1)數據庫自身審計不足:審計內容細粒度不夠,是否產生違法操作數據庫行為等;缺乏對信息中敏感的數據發現與檢測的能力;缺乏獨立的監控能力,傳統審計只能依賴數據庫日志系統,容易被篡改,不具備獨立性。
2)數據庫防護能力不足:無法對于惡意查詢、刪除、篡改數據的行為進行分析阻攔;連接數據庫的系統多,獲取數據、運維的單位多,獲取數據的方法無法統一,因此對于交互中一些患者、醫生的隱私信息敏感數據無法進行真正的有效保護,數據被竊取風險巨大。
3)數據安全聯動聯防能力不足:缺乏對整體數據交互情況及風險狀況進行整體性監測。
4)數據庫系統自身安全問題:數據庫漏洞、數據庫配置安全、弱口令等問題,缺乏針對數據庫環境的檢測或分析工具。
03
數據安全總體思路
隨著醫療行業數字化進程在提速,出現了業務迭代快、互聯網暴露面大的特征。因此,建議醫療行業的數據安全治理采用體系化方式進行建設,包括組織、制度流程、技術能力、安全審計四個維度,如下圖所示:
