全部商品分類
7月11日,世界生命科學大會暨健康醫療大數據創新論壇在北京成功舉行。會上,世界中醫藥學會聯合會知識產權保護工作委員會副秘書長、北京觀韜中茂律師事務所數字法律與網絡合規委員會秘書長楊旭律師從法律規范的角度分析了當前電子病歷和患者個人隱私保護的現狀,總結了目前電子病歷系統建設中存在的問題,并給出了一系列合規建議。
以下文字根據楊旭演講內容整理:
員在醫療活動過程中,使用信息系統生成的文字、符號、圖表、圖形、數字、影像等數字化信息,并能實現存儲、管理、傳輸和重現的醫療記錄。電子病歷是信息技術和網絡技術在醫療領域的必然產物,是醫院病歷現代化管理的必然趨勢。
楊旭介紹,醫療衛生信息與管理系統協會(HIMSS)將電子病歷的功能特征概括為八個方面:
1.當醫療需要時,隨時隨地提供安全、可靠、實時地訪問病人健康記錄的能力;
2.采集和管理就診和長期的健康記錄信息;
3.起到醫療服務過程中醫生的主要信息源作用;
4.輔助為病人或病人組制訂診療計劃和提供循證醫療;
5.采集用于持續質量改進、利用率調查、風險管理、資源計劃和業績管理的數據;
6.采集用于病案和醫療支付的病人健康相關信息;
7.提供縱向、適當過濾的信息以支持醫療研究、公共衛生報告和流行病學活動;
8.支持臨床試驗和循證研究。
電子病歷包括了臨床診療信息的全要素記錄,高度融合了患者在就診過程中所有的檢查、檢驗等有價值的臨床診療信息。其中的隱私內容可以概括為兩個方面:
一是患者的個人信息。包括姓名、性別、年齡等基本身份信息,父母、配偶、子女等家庭生活與社會關系的信息,教育程度、職業、政治面貌等社會政治信息,家族史、病史、過敏史等基本健康信息,新農合、商業保險、公費等參保信息。
二是醫護人員記錄的診療信息。包括入院記錄、病程記錄、手術記錄、出院記錄、醫囑記錄、耗材記錄、生命征象記錄、會診記錄、相關的檢查資料與報告、醫生對患者的診斷結果以及治療的方案、知情告知書等方面的資料。
電子病歷涉及大量患者的個人信息,保護患者的隱私權尤為重要。
患者個人隱私保護存在隱患
當前電子病歷和患者個人隱私保護的現狀呈現出以下幾個問題:
第一,法律規定不明晰。電子病歷的隱私保護建設最為關鍵的是要建立適用于本國的隱私權法,明確個人對病歷檔案的控制權和知情權,并對相關的條文作出具體詳細的說明,使法律的實施具有可操作性。
第二,標準缺失,無操作性,亟需確立電子病歷個人隱私保護標準規范。
第三,從業人員亟需培訓。醫護人員是電子病歷檔案的首批接觸者,良好的執業素養是做好電子病歷檔案隱私保護工作的首要條件。
第四,技術措施不完善。醫療機構可以對患者的信息進行加密儲存,這樣即便數據被不法分子截獲或下載了,他們得到的信息也無法正常打開閱讀,毫無利用價值。
第五,不能互聯互通。在電子病歷共享平臺完善后,電子病歷中不只是門急診信息和出院患者信息,還會加入住院患者病歷的信息,甚至放射影像信息等,單純以是否為接診醫生加以區分,不利于患者個人信息的保護。另一方面,電子病歷互聯互通建設處于初級階段,醫護人員缺乏對患者信息保護的關注度,個人識別賬號存在交叉互用的現象,也會給電子病歷中的個人信息安全帶來隱患。
電子病歷系統建設遇難題
目前國內電子病歷系統的建設主要存在兩大問題:
一是醫療數據共享問題,在醫療大數據共享系統下,患者每次就診便自動將個人所有疾病信息共享給主治醫生,甚至是特殊敏感的疾病信息,如性病、艾滋病等。那么是否有必要如此共享?患者是否有權決定共享的范圍?某些醫院在給第三方機構調取患者數據時,并沒有對患者個人的敏感信息進行脫敏處理,這就違反了《網絡安全法》、《數據安全法》等相關法律。
二是有關數據處理問題,醫院是患者個人信息處理的主要機構。當前,醫院尚未形成體系性的個人信息保護的管理制度,個人隱私保護措施主要體現在各個具體的信息系統管理制度中。患者電子病例數據的保存、利用、共享、刪除、保密機制是否完善,這是一個全生命周期數據合規體系的搭建問題。是否對數據安全、數據出境進行評估,以及患者的個人信息安全如何影響評估機制,醫院是否對防火墻機制進行了評估等,從這些角度來看,目前仍有所缺乏。
國內亟需依法對患者隱私信息進行嚴格管控保護,設立脫敏、去標識化的具體標準和規定,這樣才能在促進健康醫療大數據應用發展過程中保護個人隱私和維護信息安全。
搭建數據合規管理體系
實現數據的全生命周期管理
針對電子病歷與患者個人隱私保護之間涌現的問題,楊旭給出了一系列合規建議。
首先,醫院或醫生在使用數據系統里的電子病歷信息時,自己應當注意不要泄露患者的個人信息。
對于不同的健康醫療機構而言,其所遵循的合規義務可能因其主體身份、業務或所收集數據的類型而異。在我國目前的監管框架下,健康醫療行業所處理數據不僅涉及到《個人信息保護法》中的個人信息和敏感信息,還可能涉及與健康醫療有關的其他數據類型,在處理這些數據時應當在遵循《個人信息保護法》的同時參照原有要求對健康醫療數據進行全生命周期的合規處理,可能涉及對健康數據的收集、存儲、加工、使用和傳輸等環節。
其次,對于醫療機構而言,質量控制是十分重要的,電子病歷是質量安全控制的重要內容和環節。建立“事前預防,事中控制和事后評價”三位一體的數據合規管理體系,醫療機構需要在整個過程中的每一個環節都加強質量控制。
最重要的是,醫院需要搭建的數據合規管理體系,進行醫療健康數據全生命周期的管理,才能避免信息泄露等安全問題。目前,數據合規管理體系已經有了國際化的認證,包括ISO37301:2021《合規管理體系 要求及使用指南》及《GB/T35770-2022 合規管理體系要求及使用指南》,這兩個標準體系要求任何組織、任何機構都要搭建自己的合規管理體系,通過合規管理體系,醫院就能規避信息安全方面的問題,保障好數據全生命周期的重點領域、重點環節,以保護患者的隱私安全。
展望未來
未來,健康醫療大數據的會朝著互通、互享、共治、共享的方向發展,數據流通會更加順暢,防止數據泄露也是很重要的議題。
因此,醫院醫生尤其注意對醫療健康數據的處理,建立全生命周期的數據合規管理體系,并進行認證,才能更好地規避信息安全的問題。
注:文章來源于網絡,如有侵權,請聯系刪除
