【探討】論移動醫(yī)療APP的數(shù)據(jù)安全和隱私保護問題

1 評論 23504 瀏覽 15 收藏 11 分鐘

一、移動醫(yī)療APP的發(fā)展現(xiàn)狀

近幾年,隨著互聯(lián)網(wǎng)的發(fā)展和移動終端的普及,醫(yī)療類應用已不再是什么新鮮事物,移動醫(yī)療產(chǎn)業(yè)正處于爆發(fā)式增長的初期,據(jù)估計,到2015年全世界范圍內(nèi)將有5億智能手機用戶使用醫(yī)療保健相關(guān)的應用程序;到2018年,將會有超過17億的智能手機與平板電腦用戶下載移動醫(yī)療應用程序。

《2012-2013中國移動醫(yī)療市場年度報告》顯示,我國已有2000多款移動醫(yī)療APP。隨著移動互聯(lián)網(wǎng)技術(shù)的發(fā)展,國內(nèi)的移動醫(yī)療APP軟件正如雨后春筍搬的涌現(xiàn)出來。國內(nèi)出現(xiàn)了幾大主流移動醫(yī)療APP,如春雨醫(yī)生、家庭醫(yī)生在線、好大夫在線、丁香醫(yī)生、快速問醫(yī)生、杏仁醫(yī)生等,更有百度、騰訊、阿里巴巴、平安集團等商業(yè)巨頭的強勢加入。

二、移動醫(yī)療APP存在的數(shù)據(jù)安全和隱私保護問題

國家衛(wèi)計委近期公布了《遠程醫(yī)療信息系統(tǒng)建設(shè)技術(shù)指南(2014年版)》,遠程醫(yī)療中涉及到的患者電子病歷、健康檔案、會診信息、影像數(shù)據(jù)等,其安全性是業(yè)內(nèi)普遍關(guān)注問題。但目前最大的障礙是:沒有統(tǒng)一的規(guī)范。

移動醫(yī)療火起來了,移動醫(yī)療時代的醫(yī)療信息安全問題也接踵而來,人們對于移動健康應用監(jiān)管領(lǐng)域的擔憂也越發(fā)嚴重。移動醫(yī)療應用必將涉及大量新數(shù)據(jù),其必將關(guān)系到用戶的隱私問題,一旦發(fā)生泄漏可能對移動醫(yī)療產(chǎn)業(yè)發(fā)展帶來毀滅性的打擊。移動醫(yī)療應該有效的保障用戶的醫(yī)療和健康數(shù)據(jù)安全,保護患者隱私。如何保障移動醫(yī)療的數(shù)據(jù)安全和數(shù)據(jù)隱私,成為了國內(nèi)外移動醫(yī)療機構(gòu)亟待解決的問題。

由于醫(yī)療行業(yè)自身的特點,醫(yī)療機構(gòu)檔案的保留時間一般較長,且在線時間的要求也較其他行業(yè)高一些。

在醫(yī)院,門急診記錄保存時間不得少于15年,住院病歷的保存時間約為30年,名人病歷將無限期保存。一般的慣例為病歷、影像有條件的要無限期保存。影像數(shù)據(jù)在線時間3年,3年前的數(shù)據(jù)歸檔到離線服務存儲;

HIS生產(chǎn)系統(tǒng)服務器在線時間5年,5年前的數(shù)據(jù)歸檔歷史服務器;電子病歷無歸檔,全部在線。所有的數(shù)據(jù)中心存儲均擁有數(shù)據(jù)生命周期管理,特別是PACS系統(tǒng)建立了生命周期管理。

從應用現(xiàn)狀統(tǒng)計情況來看,各醫(yī)院的儲存系統(tǒng)一般2年擴容或者更新一次,服務器系統(tǒng)容量一般3~4年省級或者擴容一次。

而移動醫(yī)療APP是實時、動態(tài)、持續(xù)的搜集和接收用戶的整個健康過程的所有記錄,包括用戶個人信息、電子健康檔案、疾病咨詢記錄、疾病就醫(yī)記錄、慢病管理以及無線設(shè)備監(jiān)測的生理指標和體征數(shù)據(jù)等,隨著用戶數(shù)量的不斷增長和數(shù)據(jù)的日積月累,服務器儲存的大數(shù)據(jù)將會越來越多。面對如此龐大的數(shù)據(jù),如何才能保障數(shù)據(jù)的安全和保護患者的隱私呢?

三、數(shù)據(jù)安全與隱私保護受到重視

談到醫(yī)療信息安全隱私,就必須提及1996年美國的HIPAA法案(健康保險攜帶和責任法案)。該法案對多種醫(yī)療健康產(chǎn)業(yè)都具有規(guī)范作用,包括交易規(guī)則、醫(yī)療服務機構(gòu)的識別、從業(yè)人員的識別、醫(yī)療信息安全、醫(yī)療隱私、健康計劃識別、第一傷病報告、病人識別等。

HIPAA明確表明,故意獲取或者違法公布揭露受保護醫(yī)療信息PHI將被處以5萬美元的罰款和最高1年的監(jiān)禁。如果故意偷竊并出于商業(yè)用途、個人利益或惡意傷害等目的,對于受保護醫(yī)療信息進行交易、倒賣、或利用,違反者會面臨高達25萬美金的罰款和10年監(jiān)禁。民事侵害的罰款從每年5萬美元開始,最高罰款150萬美元。HIPAA法案的處罰如此之重,為了減少因違反HIPAA而導致訴訟或巨額罰款發(fā)生的可能性,醫(yī)療機構(gòu)可以在公司設(shè)立首席合規(guī)官,對員工進行全面積極的HIPAA培訓,隱私信息進行加密等操作。

世界上現(xiàn)在有很多國家已經(jīng)有通過法律詳細規(guī)定了個人信息和個人隱私保護方面的法律。另外,也有越來越多的國家對移動醫(yī)療健康應用進行市場準入認證和監(jiān)管,公眾認知度比較高的是美國和歐盟。

2011年7月,美國FDA發(fā)布了一份針對移動醫(yī)療APP的監(jiān)管指導草案,是最早以保護消費者為主要職能的聯(lián)邦機構(gòu)之一。FDA根據(jù)風險等級的不同,F(xiàn)DA將包括移動醫(yī)療APP在內(nèi)的醫(yī)療設(shè)備分為三類(Ⅰ,Ⅱ,Ⅲ),Ⅲ類風險等級最高。FDA將每一種醫(yī)療設(shè)備都明確規(guī)定其產(chǎn)品分類和管理要求,主要集中于對那些非正常運行時會對病人存在較大安全隱患的移動醫(yī)療App,對于那些風險較小的絕大多數(shù)移動醫(yī)療App,F(xiàn)DA擬行使執(zhí)法自由裁量權(quán),這意味著它不會強制按照聯(lián)邦藥品與化妝品法案執(zhí)行。對于移動醫(yī)療app是否應受監(jiān)管,美國業(yè)界說法不一。許多人指責FDA的審批流程耗時過長,標準執(zhí)行前后不一,稱其監(jiān)管政策遏制了行業(yè)創(chuàng)新,限制了移動醫(yī)療app市場的發(fā)展。

然而,歐盟對移動健康應用的認真批準流程被廣泛贊譽。歐盟有超過70家認證機構(gòu),遍布其成員國。一旦一款醫(yī)療設(shè)備通過了任何一個機構(gòu)的審核批準,該設(shè)備在整個歐盟都準許銷售。和美國相比,歐盟流程的權(quán)力集中程度較低,但是效率卻更高。歐盟將監(jiān)管審批分散到更多的評審機構(gòu)以加快審批進度,減少開發(fā)者的等待時間,增加監(jiān)管執(zhí)行的前后一致性。使得很多移動健康領(lǐng)域的開發(fā)者都懸著首先在歐盟發(fā)布產(chǎn)品,然后再用這筆收入去補貼更嚴格的美國監(jiān)管審批流程的花費。

我國的移動醫(yī)療發(fā)展步伐稍后于歐、美等國,相關(guān)的監(jiān)管亦不完善,但是政府對移動醫(yī)療持明確的支持態(tài)度,相關(guān)的國家部委出臺了系列文件和政策鼓勵、支持移動醫(yī)療的發(fā)展。例如:科技部在《醫(yī)療器械科技產(chǎn)業(yè)“十二五”專項規(guī)劃》中將移動醫(yī)療定為重點技術(shù)發(fā)展領(lǐng)域和重點產(chǎn)品開發(fā)領(lǐng)域;衛(wèi)生部在《國家重大專項“區(qū)域協(xié)同醫(yī)療服務示范工程》中把移動醫(yī)療作為重點發(fā)展方向之一,發(fā)起并贊助一批醫(yī)療示范項目;工信部在《物聯(lián)網(wǎng)“十二五”規(guī)劃》中,將智能醫(yī)療作為九大重點領(lǐng)域之一,個人醫(yī)療監(jiān)護和遠程診斷是發(fā)展重點。

上述的國家衛(wèi)計委近期公布的《遠程醫(yī)療信息系統(tǒng)建設(shè)技術(shù)指南(2014年版)》也提出具體的安全措施,比如數(shù)據(jù)采集應采用統(tǒng)一的數(shù)據(jù)采集通道確保醫(yī)療信息資源數(shù)據(jù)的采集安全;數(shù)據(jù)存儲環(huán)節(jié)應采用碎片化分布式離散存儲技術(shù)保存醫(yī)療信息資源;在數(shù)據(jù)傳輸環(huán)節(jié),應通過采用VPN和數(shù)據(jù)傳輸加密等技術(shù),實現(xiàn)數(shù)據(jù)傳輸通道的安全;數(shù)據(jù)刪除應保證磁盤存儲空間被釋放或再分配給其他用戶前得到完全清除;完全數(shù)據(jù)備份至少每天一次,備份介質(zhì)場外存放。

四、總結(jié):

在移動醫(yī)療的大背景下,網(wǎng)絡信息的安全性和保證患者隱私對于醫(yī)療行業(yè)是至關(guān)重要的。在數(shù)據(jù)流及網(wǎng)絡通信中必須保證數(shù)據(jù)安全,保護患者的隱私。任何在互聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)都需要加密并且嚴格要求驗證用戶名、密碼等,任何下載行為需要符合醫(yī)療機構(gòu)的網(wǎng)絡安全策略要求并且要求身份驗證,任何向第三方應用傳播數(shù)據(jù)的過程都需要用戶的親自授權(quán)。另外,國家應該及時出臺相關(guān)監(jiān)管法律,明確各個監(jiān)督主體的職責、構(gòu)建專業(yè)人士資質(zhì)審查機制、構(gòu)建基于移動醫(yī)療APP所引發(fā)糾紛的處理機制、構(gòu)建就醫(yī)用藥科普機制等。與此同時,各醫(yī)療機構(gòu)應該制定相關(guān)的信息安全保障機制和加強內(nèi)部運作的監(jiān)控,無論是內(nèi)聘的工作人員還是外招的醫(yī)療合作團隊和第三方合作機構(gòu),都應該進行相關(guān)的制度培訓。

#專欄作家#

雷華萍,微信公眾號:yidongyiliaoquan(移動醫(yī)療圈),人人都是產(chǎn)品經(jīng)理專欄作家,家庭醫(yī)生在線運營總監(jiān),長期從事互聯(lián)網(wǎng)行業(yè),非常喜歡研究移動互聯(lián)網(wǎng)相關(guān)業(yè)務,對APP運營有自己的獨特見解。

本文系作者授權(quán)發(fā)布,未經(jīng)許可,不得轉(zhuǎn)載。

更多精彩內(nèi)容,請關(guān)注人人都是產(chǎn)品經(jīng)理微信公眾號或下載App
評論
評論請登錄
  1. 請問作者,我想引用你的這篇博文的部分內(nèi)容可以嗎?

    來自江西 回復