浅谈医疗数据安全现状

       习近平总书记强调，在实现“两个一百年”奋斗目标的历史进程中，发展卫生健康事业始终处于基础性地位，同国家整体战略紧密衔接，发挥着重要支撑作用。医疗健康事业关系着人民群众的生命安全和身体健康，近年来，人工智能、移动互联网、物联网、大数据等新一代信息技术广泛应用于医疗健康行业，传统医疗信息化1.0时代快速向互联网医疗健康2.0时代、智慧健康3.0时代迈进行业快速转型的同时也引发了大量的数据风险，使得医疗健康行业面临更为严峻的安全形势。

       据Proterms发布的医疗行业数据安全报告显示：医疗行业自2016年起平均每天至少会发生一起患者数据泄漏事件，2019年，医疗行业黑客攻击事件较2018年猛增了48%,医疗数据持续“裸奔”。加拿大某医疗机构270万医疗录音文件遭黑客公开、印度1250万份孕妇医疗记录被泄露、中国某医学影像公AI辅助系统和训练数据被窃取并在暗网上公开出售等事件层出不穷，医疗行业已经成为数据泄露的重灾区。 卫生信息安全与新技术应用专业委员会主任委员宁义先生在第五届大数据产业峰会中指出医疗健康行业涉及到人的生命安全，有着更为严重的后果。相比于信息通信领域，医疗健康行业信息安全技术手段较为薄弱，不具备很强的对策方略，难以防护，首先，从技术发展趋势上看，医疗数据与应用服务由内网向公网、云融合转型升级的速度不断加快，医疗业务和数据的暴露而不断增多，新的威胁不断增加；其次，从行业内部而言，安全管理规范难以落实，适应性低，网络终端繁多，业务系统访问尤法限制，尤其是互联网医疗的开放与限制之间往往存在矛盾，并让限制成为了难题；再者，在医疗健康行业中，信息化部门还是偏弱势的，传统观念上，它仅仅是一个技术支撑部门，数据安全在协调上往往存在很大的难度。

       新型智能医疗设备及其应用软件存在安全风险隐患可穿戴医疗设备凭借其简易低廉的优势迎来产业的蓬勃发展，如智能手环、便携式血压仪、智能体温检测仪等，但在收集个人信息及生理数据的同时，也存在一定的安全隐患。2021年6月1日，国家互联网信息办公室针对违法违规收集使用个人信息情况通报了129款APP，其中健康类APP 39款，其中不乏用户群庞大、行业代表性产品，线上医疗、健康管理等智能移动终端APP普遍存在过渡索权、超范围收集个人信息、未经允许向第三方转移相关数据、过渡推荐医疗定向广告等问题。

       医疗机构内部数据泄露事件减少，但危害不断增加 根据Protenus调查数据显示，2016年以来，内部人员所导致的医疗数据泄漏事件逐渐减少，但平均每起内部数据泄漏所牵连的患者数量在成倍增长，多起数据泄漏事件多年后才被察觉。医疗行业的安全内部威胁主要包括：内部人员的恶意行为，即怀有恶意目的的员工访问并窃取用户的敏感信息；内部人员的无意行为，即正常员工的人为错误可能会给攻击者留下攻击人口。Protenus对美国卫生与公众服务部（HHS)等公开数据进行统计，2019年，共发生72起由内部人员无意行为造成的数据泄漏事件，至少涉及365万名患者;35起内部人员由内部人员恶意行为造成的数据泄漏事件，至少涉及13万名患者。内部人员无意行为所涉及的患者数量远大于内部人员恶意行为所涉及的患者数量。