行业垂直领域首部网络安全管理办法落地,分等级保护医疗卫生机构网络安全
南方财经全媒体 记者李润泽子 实习生高艺 广州报道
最近,为了提升医疗机构网络安全的监管水平,推动“互联网+医疗健康”的进步,充分运用健康医疗数据作为国家关键战略资源,国家卫生健康委员会、国家中医药管理局、国家疾病预防控制局联合发布了《医疗机构网络安全管理措施》(简称《措施》)。目的是强化医疗机构网络安全的管控,预防网络安全事故的发生。
该文件界定了医疗机构网络及数据安全的指导方针、职责划分、实施规范、监管措施和惩处办法,包含五章三十四条内容,展现了兼顾安全与发展的整体思路,延续了先前发布的相关法规政策,为医疗机构的网络安全管理提供了根本遵循。
这是该专业领域的第一份关于网络安全的行政规章,一些被访谈的权威人士指出,随着国家“互联网+医疗健康”模式的迅猛推进,网络防护对于医疗单位而言具有关键意义。今后,各医疗机构需增强合规观念,强化网络信息安全防护;监管部门要持续开展《办法》执行情况的日常监督,借助常态化监管确保新规有效落地,并持续制定和完善配套细则、操作指引及规范,以促进行业安全稳定发展。
网络安全已经医疗互联网化中必不可缺的一环
医疗领域正经历一场由电子病历、在线诊疗、人工智能诊疗影像等引发的变革。不过,数字技术的应用也催生了新的安全隐患。近年来,针对医疗机构网络入侵的情况不断出现,信息资料外泄的现象也十分普遍。根据《2021年尖端威胁态势分析报告》的数据,在2021年全球发生的尖端威胁事件中,医疗机构成为了攻击者优先选择的目标。
我国医疗行业将逐步融入网络技术,医疗机构在推进数字化进程中,网络信息安全是其必须面对的关键环节。浙江垦丁律师事务所合伙人李晋沅向南方财经全媒体记者表示,由相关部门发布的《办法》是国内首个针对特定行业制定的网络安全规范。
根据了解,《办法》的制定基础包括《基本医疗卫生与健康促进法》《网络安全法》《密码法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》以及网络安全等级保护制度等相关的法律法规和标准规范。
李晋沅指出,《办法》参考了众多资料,表明当前医疗行业、网络安全等领域的需求很大,应当制定专门的法规来加以规范和监管。同时,这也反映出我国在医疗健康行业已经初步建立了网络安全管理的领导体系。
确实,众多关键领域正逐步增强对网络安全的关注,南方财经全媒体记者经过整理得知,今年四月电力与证券期货相关管理部门已经就行业网络安全管理措施向社会征集意见。
《办法》整体制度设计比较周全,基本上涉及了所有相关医疗卫生单位网络与数据安全构建的环节,特别要强调的是,该文件主张实施分级防护、着重关键点。这对实际工作中相关医疗卫生单位推进具体操作提供了指引和关键着力点,上海市汇业(深圳)律师事务所合伙人王小敏指出。
《办法》建议,所有医院单位需按级别划分进行安全防护爱游体育app下载官网,着重处理核心网络设施。必须确保关键信息基础架构、安全防护级别达到第三级(即第三级)或以上的网络,以及关键数据和个人隐私资料的安全。同时,必须实施网络安全防护的“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”策略。
依照《关键信息基础设施安全保护条例》的规定,关键信息基础设施涵盖公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等关键领域,此外还包括那些一旦遭遇损毁、失去作用或数据外泄,可能对国家安全、国家经济民生、社会公共利益造成重大损害的重要网络设施和信息系统。
王小敏强调,二级医院及以上的医疗机构,包括疾病预防控制中心,还有专科疾病防治机构,以及急救中心站和血站这类专业公共卫生机构,都可能被视为关键信息基础设施,不过最终认定工作,要由国家卫生健康委等相关部门牵头进行,并且会正式告知有关医疗单位。
这项制度特别阐述了与重要信息系统的相关条款,表明医疗单位所属行业领域具有特殊地位,极有可能被划定为重要信息系统,因此相关医疗机构必须提高警惕,切实做好信息系统和网络的安全防范措施。
李晋沅谈到,《关键基础信息设施安全保护条例》多年来是我国维护网络安全的核心法规,具有显著作用。现在《办法》的颁布,表明医疗行业的主管部门视医疗数据为我国关乎民众福祉与国家根基的领域,其信息设施的安全保障与国家经济民生紧密相连爱游戏登录入口网页版平台,对国家安全产生重大作用。实际情况确实如此,我们国家十多亿人的相关医疗健康信息,特别是在疫情过后,更需要加以严密看管。
保障数据安全和数据应用的有效平衡
这份《办法》中设有独立章节对数据安全进行规定,内容相当丰富。根据说明,《办法》所指的数据属于网络数据范畴,具体是指医疗机构借助网络平台收集、储存、输送、加工及生成的各类电子资料,涵盖但不限于各类诊疗、研究、管理等工作数据,医疗仪器设备生成的资料,个人隐私信息以及数据派生出来的其他资料。
中伦(上海)律师事务所的律师陈方强表示,相关资料囊括了《数据安全法》和《个人信息保护法》在医疗行业里涉及数据安全和个人信息保护的核心内容,这些资料对公共利益以及患者和医疗机构职员等个体权益都至关重要,一旦出现数据安全问题,必然会造成公共利益和个人信息权益的损害。
必须强调的是,《办法》里关于数据安全管理的部分特别指出,需要兼顾数据安全与事业发展,借助管理措施和技术方法,确保数据安全与数据利用之间实现有效协调。
维护是为了更充分的利用,国家秉持推动进步和规范管理相结合、兼顾稳定运行与探索创新的方针。王小敏强调爱游戏app入口官网首页,这就需要各医疗单位须依照相关法规的要求,对照国家网络防护准则,执行信息守护责任,注重安全维护与业务发展并驾齐驱。
数据安全与数据运用并非一对不可调和的矛盾。数据安全关注的不是约束数据的应用范围,而是确保数据在整个存在过程中得到妥善防护。这是李晋沅的观点。
另外,《办法》明确要求所有医疗机构在应用面部扫描技术时,必须配备替代的身份验证手段,不能因为个人不同意采集面部信息就阻止其使用核心服务,面部扫描资料仅能用于身份核实,禁止挪作他用,例如不能用来评价个人工作能力、经济水平、身体情况、个人喜好等。
推动行业安全健康有序发展
当前国家发展迈向更高水平阶段,社会医疗事业获得重大发展契机,数字化建设扮演着核心角色,由此积累的医疗信息不仅构成关键的经济资源,更上升为国家级别的核心战略资产,这使得网络保护工作变得愈发关键。在当前形势下,《办法》的推出,有助于更严格地管理医疗机构网络与数据安全,推动“互联网+医疗健康”服务进步,从而加速整个卫生健康领域的优质发展步伐。
不过接受调查的权威人士也强调,对于医疗保健单位来说,推行这项规定存在挑战。陈方强表示,进行网络安全级别评估和自我检查将变成医疗机构的强制性任务,鉴于本措施从公布日期起就正式执行,一些医疗机构需要一定过程并调配资源才能马上启动这项工作。另外,对于正在开展的网络设施和信息系统建设工作,标准有了明显提升,要求在建设初期就必须符合本规定,比如信息化项目的网络安全经费要达到项目总费用的百分之五,或许需要重新规划相关项目的具体执行方案。
未来如何持续促进“互联网+医疗健康”有序发展?
王小敏提出,医疗卫生单位需强化遵纪守法的自觉性,并着力提升网络信息安全防护能力,主管部门应持续开展该办法的执行情况监督,借助经常性监管确保新规切实产生效果,还要不断制定和完善配套操作规程、说明文件及规范,助力行业整体实现安全稳定与规范进步。
李晋沅注意到,医疗行业常与公司或社会团体联手,特别是在科研方面,比如药物制造等。他觉得,对医疗健康领域的管理规范,在医疗单位执行时,也需同步约束合作的公司和团体,如此才能实现社会整体监管。
