在当今数字化浪潮中,健康医疗数据的价值日益凸显,其安全共享与高效利用成为推动医疗行业创新与发展的重要驱动力。近日,《健康医疗数据要素安全共享技术要求》标准正式发布,这一里程碑式的举措不仅为健康医疗数据的流通设立了明确的规则与指导,更为行业的未来发展铺设了坚实的基石。
一、标准引领数据安全共享新篇章
《健康医疗数据要素安全共享技术要求》标准主要关注健康医疗数据共享准备、共享运营、共享保障三个环节。 在健康医疗数据共享准备方面,重点关注数据分级、去标识化、质量管理、标注管理; 在健康医疗数据共享运营方面,重点关注基础管理能力、数据应用管理、数据使用管理、场景授权管理、数据伦理要求、数据血缘存证、流通效果追踪、运营退出管理; 在健康医疗数据共享保障方面,重点关注系统安全、传输安全、存储安全、计算安全、应用安全、运维及操作管理、应急管理等。 通过上述三个环节,重点解决数据使用过程中的个人信息“匿名化”问题,在健康医疗大数据回顾性统计应用等群体研究场景下免除个人授权,规范健康医疗数据安全共享流程,保障健康医疗数据要素高效流通。
二、政策引领医疗数据要素市场蓬勃发展
医疗数据的独特价值,在于它不仅仅是数字的集合,更是个体健康的生动写照,是医疗决策的重要依据。近年来,我国政府敏锐地捕捉到了医疗数据要素的潜力,相继出台了一系列政策文件,旨在构建健康有序的医疗数据市场。 《关于促进“互联网+医疗健康”发展的意见》和《关于促进和规范健康医疗大数据应用发展的指导意见》基本确定了医疗行业的两大方向:互联网医疗和大数据应用。随后,《医疗卫生机构网络安全管理办法》《关于进一步完善医疗卫生服务体系的意见》《国家健康医疗大数据标准、安全和服务管理办法》《互联网诊疗管理办法(试行)》《互联网医院管理办法(试行)》《远程医疗服务管理规范(试行)》等规章制度的出台保障了相关指导意见的落地实施。分析来看,医疗行业重点关注可信体系建设、个人隐私信息保护、网络安全等级保护、安全管理监督、健康医疗信息化复合型人才队伍建设等重点方向。 这些政策不仅为医疗数据要素的安全流通提供了法律保障,也为行业创新发展注入了强劲动力。 三、医疗数据要素面临多维度挑战
随着各项行业监管政策和标准陆续发布实施,医疗行业完善数据应用的安全性与合规性迫在眉睫,因此势必要加强医疗数据安全保护。 1.数据要素安全合规风险 我国形成了以《网络安全法》《数据安全法》《个人信息保护法》为代表的数据安全顶层监管框架。医疗行业也出台了《医疗卫生机构网络安全管理办法》等各项监管政策,监管要求日趋精细化,网络和数据安全监管要求越来越多,满足监管的难度越来越大。 2. 数据资产发现与分类分级难题 医疗数据资源庞大且分散,缺乏有效的数据资产发现工具和技术,导致难以全面掌握数据分布、性质和敏感程度,这直接影响数据分类分级工作的准确性。数据分类分级是构建完善数据要素市场的必要前提。基础制度建设相对滞后,无法有效支撑数据分类分级工作;传统数据分类分级工具在敏感数据的宽度、精度识别率不高;面向海量数据的数据资产分类分级,专业人员数量缺口巨大。 3.数据安全保障体系建设滞后 随着大数据、云计算等新技术的应用,医疗数据要素面临新的安全威胁。传统的安全防护措施可能无法应对复杂多变的攻击手段,如数据泄露、篡改、勒索等。同时,数据安全风险感知、监控、预警和应急响应能力不足,使得在发生安全事件时,难以及时、有效地进行处置。 4. 数据共享与开放的风险 医疗现有数据共享与开放的管理制度可能存在不足,如权限管理不严、数据去标识化处理不彻底、对外合作方监管不力等,导致数据在流转过程中易受攻击。 5.数据要素流通风险 医疗数据要素流通使用环境复杂,涉及多方主体、多个环节,同时数据产品具有极易复制、非排他性、难追溯等特征,均使数据流通使用面临安全风险、隐私泄漏挑战等问题。这不仅威胁国家数据安全,也不利于企业和个人数字权益的保护,严重阻碍数据要素流通使用市场化配置。
四、全流程治理体系保障医疗数据安全
面对日益严峻的数据安全环境,道普信息风险管控专家倡导构建全面的构建动态安全防护体系,积极跟踪国内主要政策,切实落实数据安全要求,建立起可信赖的医疗领域数据安全环境。 1、强化数据资产管理 01应用数据资产发现工具:部署数据发现产品,通过预配置数据分类分级模板,自动化识别数据业务类型,对数据含义进行标识,从而全面、准确地掌握医疗数据资产状况。 02统一分类分级标准:结合国家和地方发布规范,梳理并制定适用于本地实际情况的分类分级参考规范,确保数据管理的标准化、一致性。 2、构建全方位数据安全防护体系 01建立数据安全风险感知平台:实现数据安全的“六个统一”管理,即统一账户、统一监控、统一展示、统一分析、统一告警、统一配置,提升数据安全防护的主动性和整体性。 02加强技术防护措施:采用数据加密、访问控制、身份鉴别、数据脱敏、安全审计等技术手段,确保数据在采集、传输、存储、处理、交换、销毁等全生命周期各环节的安全。 03完善数据安全运营与风险监控机制:实施安全合規管理,定期进行安全审计,强化医疗数据防泄漏措施,确保数据备份恢复系统的有效性,以应对潜在安全风险。 3.规范数据共享与开放流程 01建立健全数据共享管理制度:明确数据内外共享交换管理细则,严格账号权限管理,实施共享操作审计,对合作方进行背景资质审查,确保数据在共享过程中的安全可控。 02严格执行数据去标识化和标签化:在数据对外开放时,严格执行数据脱敏和标签化处理,遵循开放流程,加强对合作方的数据安全管理,防范数据滥用和隐私泄露风险。 4、注重多规管理融合 基于网络安全责任制、等级保护、关基保护、密码应用、数据安全、个人信息保护等监管要求,一次测评,多规满足,针对风险提出改进建议,实现合规工作的规范化,降低合规管理成本,满足监管部门各项数据安全要求,减少监管部门的通报,实现医疗领域全面合规。 在国家政策的推动下,持续关注并加强医疗数据要素安全已成为不可回避的任务。道普信息的全流程数据治理体系解决方案,通过技术与管理的双重保障,为医疗数据的安全流通提供了有力支撑。这不仅将推动医疗行业的创新与发展,更为数字经济的繁荣贡献了重要力量。展望未来,随着技术的不断进步和政策的不断完善,医疗数据要素安全的前景一片光明,期待着更多基于数据驱动的医疗突破,为公众健康带来更多福祉。