医疗器械的网络安全与健康数据保护
互联网可以改善医疗服务,但是相应地也会面对网络安全风险。和其他的计算机系统一样,医疗设备也容易受到安全漏洞的影响。
为加强医疗卫生机构互联网医疗服务的平台、智能医疗的设备以及关键信息基础设施和数据应用的安全防护,国家市场监管总局(原国家食品药品监管总局)在2018年1月1日起开始施行《医疗器械网络安全注册技术审查指导原则》(下简称《指导原则》)。其中明确指出,医疗器械安全出现问题不仅会侵犯患者的隐私,而且可能会产生医疗器械非预期运行的风险,导致患者或使用者受到伤害或死亡。
根据2017年的数据显示,美国2010-2015年医疗信息泄露事件次数每年发生200多起。而今,形势甚至变得更为严峻,2018年就发生503起医疗保健数据泄露事件。
在国内,情况也不容乐观,2017年一篇名为《7亿条个人信息遭泄露 浙江判决特大侵犯公民信息案》的报道,曝出黑客侵入了某部委的医疗服务信息系统,大量孕检信息遭到泄露和买卖;雀巢员工从多家医院医务人员手中非法获取公民个人信息被处以刑事处罚。
《杨某、杨某、郑某出售、非法提供公民个人信息罪一审刑事判决书》((2016)甘0102刑初605号)和《杨某、杨某、郑某出售、非法提供公民个人信息罪二审刑事裁定书》((2017)甘01刑终89号)
健康数据的界定
《指导原则》:健康数据:标明生理、心理健康状况的私人数据(“Private Data”,又称个人数据“Personal Data”、敏感数据“Sensitive Data”,指可用于人员身份识别的相关信息),涉及患者隐私信息。
保护主体
依据2011年卫生部发布的《卫生行业信息安全等级保护工作的指导意见》,其中明确了网络安全负责的责任主体是“谁主管、谁负责,谁运营、谁负责”。
医疗器械生产厂商也负有保证医疗器械网络安全的责任。在《指导原则》明确写道:“医疗器械产品在使用过程中常与非注册申请人预期的设备或系统相连接,这就使得注册申请人自身难以控制和保证医疗器械产品的网络安全。因此,医疗器械的网络安全需要注册申请人、用户和信息技术服务商的共同努力和通力合作才能得以保障。但是这并不意味着注册申请人可以免除医疗器械网络安全的相关责任,注册申请人应当保证医疗器械产品自身的网络安全,并明确与其预期相连设备或系统的接口要求,从而保证医疗器械产品的安全性和有效性”。
《指导原则》还指出注册人应当结合医疗器械相关数据的类型、功能、用途、交换方式及要求来考虑医疗器械产品的网络安全问题。对于健康数据,注册人应当遵循患者隐私保护相关法律法规的规定。
医疗行业信息安全现状
根据腾讯智慧安全、中国医院协会信息管理专业委员会(CHIMA)联合研究发布《医疗行业安全指数报告》中指出,在卫健委指导下,全国医院信息安全建设水平不断提升。《报告》显示,国内38%的医院指数值处于良好水平,22%的医院处于优秀水平,显示出在卫健委的指导下,全国医院信息安全建设水平正在不断提升。
但也有一些问题暴露:
1.网络空间资产端口开放较多,隐患大,如开放远程登录服务的比例高达50%;
2.外网电脑的安全风险较多,可能会给不法访问者以可乘之机;
3.线上服务平台及第三方医疗服务平台脆弱性会提升医疗数据泄露的风险;
4.医疗行业已经成为勒索病毒攻击的主要目标,医疗业务连续性受到挑战。
法律责任
健康数据属于个人信息的一个分支,具备个人信息的一般属性。
随着科技的发展,越来越多的医疗器械具备上网功能,通过网络提供相关服务,因而。此种情形下,运行该等医疗器械的企业则需要履行《中华人民共和国网络安全法》(下简称《网络安全法》)及配套规定、标准之下的诸多义务。
根据《网络安全法》
第四十条 网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
第四十一条 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。 网络运营者不得收集与其提供的服务无关的个人信息,不得违反法律、行政法规的规定和双方的约定收集、使用个人信息,并应当依照法律、行政法规的规定和与用户的约定,处理其保存的个人信息。
第四十二条 网络运营者不得泄露、篡改、毁损其收集的个人信息;未经被收集者同意,不得向他人提供个人信息。网络运营者应当采取技术措施和其他必要措施,确保其收集的个人信息安全,防止信息泄露、毁损、丢失。
第六十四条 网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十三条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。
保护措施建议
医院
1.建立医院信息安全管理组织机构,明确各安全管理员、机房管理员、网络管理员、应用管理员、主机管理员等安全管理相关岗位及职责,建立健全信息安全管理责任者,使得信息安全各项职责落实到人。
2.对医院信息安全管理体系进行定期地内审核管理评审,对各项安全控制措施实施后的有效性进行测量,并实施相应的纠正和预防措施,以保证信息安全管理体系持续的充分性、适宜性、有效性。
3.医院业务信息系统分等级保护。按照国家等级保护有关要求,对医院信息系统及信息确定安全等级,并根据不同的安全等级实施分等级保护
4.在医院网络中统一部署网络防恶意代码软件,并进行恶意代码库的统一更新,防范恶意代码、木马等恶意代码对业务信息系统的影响。
5.采用技术和管理两方面的控制措施,加强对网络的安全控制。医院办公网络与互联网进行逻辑隔离。通过实施网络访问控制等技术防范措施,对接入进行严格审批。
6.对所适用的国家信息安全相关法律法规进行定期的识别、记录和更新,并对医院信息安全管理现状与法律法规的符合性进行检查,确保各项信息安全工作负荷国家信息安全相关法律法规要求。
注册人
1.注册人应当结合自身质量管理体系的要求和医疗器械产品特点来保证其网络安全,包括上市前和上市后的要求。注册人还可采用信息安全领域良好工程实践来完善医疗器械产品的网络安全管理
2.注册人应当结合医疗器械产品的预期用途、使用环境、核心功能以及相连设备的情况来确定其网络安全特性,并采用基于风险管理的方法保证其网络安全。
3.注册人应当结合医疗器械相关数据的类型、功能、用途、交换方式及要求来考虑医疗器械产品的网络安全问题。对于健康数据,注册人应当遵循患者隐私保护相关法律法规的规定。对于设备数据,注册人应当保证其与健康数据的有效隔离。
4.注册人应当根据医疗器械的产品特性考虑其网络安全能力的要求,可参照IEC/TR 80001-2-2完善其网络安全能力建设,保证医疗器械产品对于网络安全威胁具备必要的识别、保护能力和适当的探测、响应、恢复能力。
5.注册人应当重视现成软件的网络安全问题,结合质量管理体系的要求和现成软件的类型,采用基于风险管理的方法保证现成软件的网络安全。
6.注册人应当区分医疗器械网络安全更新的类型,根据网络安全更新对于医疗器械产品的影响程度,结合质量管理体系的要求开展相应质量保证工作,并按《指导原则》要求提交相应注册申报资料。软件版本命名规则应考虑网络安全更新的情况。
7.注册人应当遵循网络安全相关国家法律法规和有关部门规章的规定,如《网络安全法》、《人口健康信息管理办法(试行)》《国家卫生计生委关于推进医疗机构远程医疗服务的意见》等。
8.注册人可参考与网络安全相关的国际标准及技术报告的要求来保证医疗器械产品的网络安全,完善质量管理体系关于网络安全体系的要求,如IEC80001系列标准及技术报告、IEC 60601-1第三版、IEC 82304-1、IEC 27000系列标准及技术报告、ISO/DIS 27799等。
来源:医合网
【本文内容为转载,我公司不对本文所包含内容的准确性、可靠性或者完整性提供任何明示或暗示的保证,不对本文观点负责。如转载内容涉及版权等问题,请立即与我们联系,我们将迅速采取适当措施,以保障双方权益,谢谢。】