一、医疗电子数据的概述
(一)“医疗电子数据”概念
医疗电子数据是基于互联网为媒介的信息技术在医疗领域中不断运用而产生的新事物。目前法学界对于“医疗电子数据”没有明确的定义,但对于“电子数据”的概念比较清晰。
1.“电子数据”概念。
“电子数据”是指基于计算机应用、通信和现代管理技术等电子化技术手段而形成的,包括文字、图形符号、数字、字母等在内的客观资料。
2.“医疗电子数据”概念。
医疗电子数据,本质上来说与电子数据没有不同,只是基于医疗领域,具有某种特殊性。本文引用“特征等效法”,对比了电子数据和医疗电子数据的等效特征,把“医疗电子数据”概念界定为:是指 在医疗领域基于计算机的应用、通信和现代技术等电子化技术手段而形成的,包括文字、图形符号、数字、字母等在内的有关于医疗诊断与服务的客观资料。
(二)医疗电子数据的特点
1.便捷性。
基于互联网平台,三维和四维医学影像及远程会诊信息等全部能够以数据的形式,通过医院的数据库来记录、存储、处理、传输和呈现。基于互联网平台的医疗电子数据,可以精简患者到医院就诊的流程、优化医院信息管理以及提升临床服务水平,极大地节约使用者的时间成本与经济成本。
2.稳定性。
在传统医疗活动中,病历、处方都书写在纸张上,极易受到损坏,且由于其依附载体的限制而不能长久保存。而在信息技术的今天,医疗电子数据被保存在计算机硬盘或者云计算储存中心中,除非人为原因,永远不会消失。这不仅有利于各种医疗信息的保存,也能够保证医疗电子证据存储的稳定性。
3.敏感性、保密性。
医疗电子数据涵盖了公民所有非常敏感性、保密要求度高的基本信息,如身体、疾病信息,个人生活轨迹,家庭住址、医疗保险、个人账户和财产等信息。
4.脆弱性。
在医疗电子数据的生成、收集、储存乃至共享过程中,由于操作人员的失误、供电系统和通信系统的故障,都可能导致数据的丢失和损毁。另外,医疗电子数据容易被复制、删除、篡改,而且不易留痕,技术越发达,伪造的可能性越大。
(三)医疗电子数据主要类型
1.电子病历数据。
电子病历数据是医疗机构对门诊、住院患者(或保健对象)临床诊疗和指导干预的、数字化的医疗服务工作记录。
2.电子处方数据。
电子处方数据是医疗机构为患者开具的可以实现存储、传输的电子数据通过网络、移动通信、数据储存传输到药房,由药师进行审核、调配、核对,并最后作为患者用药凭证的数字化医疗文书数据。
3.医学检验数据。
医学检验数据是通过各种医学检验设备的检查所形成的数据,诸如心电图、肝功能检查、血常规等,也包括医生或者护士对患者进行检查诊断的所生成的电子记录。
4.医学影像数据。
医学影像数据是在以计算机为主的专门诊断治疗的信息辅助设计而形成的影像数据。通过影像数据,医生可以更直观清楚地了解患者的各种诊断治疗信息,从而使复杂的诊断治疗信息变得生动清晰。其主要有CT、X 射线、MR 核磁共振、B 超影像、血管摄影等。
二、医疗电子数据安全中存在的隐患
(一)医疗电子数据遭泄漏
患者个人信息及隐私遭泄漏。
随着信息时代的到来,黑客们侵入医疗机构和相关行政管理机构的计算机网络,窃取有价值个人信息以图谋不轨。由于医疗电子数据除了包含用户健康信息、诊疗记录和病历资料等医疗信息外,还有个人财务信息等重要信息;这些信息拼凑起来,就可以组成一幅完整的个人信息图谱,一旦这些医疗数据被非法获取,就会被不法分子拿来进行违法犯罪活动,例如通过信用卡信息、支付宝账户信息等进行金融诈骗、窃取账户财产,假冒患者、利用其身份信息领取管制药物等。
2017 年10 月为浙江杭州警方所破获的一起侵犯公民个人信息案,就是一家主要业务范围为0~6 岁儿童的健康管理和移动医疗信息服务的科技公司因利益驱使,在承接了某疾病预防控制部门网站信息化建设项目时,从杭州某疾病预防控制部门网站非法下载接种疫苗儿童及其家长个人信息后贩卖获利。杭州警方成功侦破该案,抓获嫌疑人 39 名,查获其所非法获取的公民个人信息370 万余条。
尤其值得警惕的是,这种安全隐患,不仅仅限于数据泄露本身,还在于在此数据的基础上可以对用户的下一步行为的预测与判断。例如,获取患者的某个检验指标,便可以对其的健康状况进行判断,并对其下一步医疗行为进行预判。
2.医务人员个人信息及隐私遭泄漏。
网络环境下,医疗电子数据中涉及医务人员的个人信息及隐私也存在着泄露风险。如2017 年5 月17 日发生的“广州市仪器侵犯个人信息案件”,有近35 万名医生的个人信息和其他隐私信息被窃取。
尤其值得警惕的是,这种安全隐患,不仅仅限于数据泄露本身,还在于在此数据的基础上可以对用户的下一步行为的预测与判断。
(二)医疗网络系统被入侵
医疗网络系统是保证医疗工作顺利进行的关键,一旦受到攻击和入侵,后果不堪设想,损失难以计量。2016 年2 月,美国好莱坞长老教会纪念医学中心因为遭到黑客攻击而致电脑系统无法使用,从此陷入停摆之中:期间,医院的电脑无法正常工作, 医疗工作者不得不进行手写;系统内病人的病历等资料根本无法访问,医院的工作受到了极大的干扰。2018 年1 月-3 月,我国就发生了三起医疗网络系统入侵事件,分别是江西省妇幼保健院遭遇勒索病毒、上海某公立医院信息系统被黑客勒索价值2 亿元以太币,以及湖南省儿童医院服务器疑似中了某种勒索病毒——所有数据文件被强行加密,导致系统瘫痪,患者一度无法正常就医。
(三)医疗电子数据遭篡改及滥用
医疗电子数据不同于记载在纸张上的传统医疗数据,是借助计算机技术和信息技术,通过二进制代码来保存各种医疗信息。无论是医疗电子数据的生成还是储存,其所设置的密码安全系数都比较低,很容易被攻破而被任意篡改;而一旦被篡改,就使得医疗信息的时间及内容真实可靠性大大降低,无法客观真实反映医疗过程,而且也会严重影响医疗纠纷中其作为证据的资格,使负有举证证明责任的一方有可能因为举证不能而承担败诉的风险。
不仅如此,还存在“内部滥用”的现象,其中有的还与有组织的犯罪团体相关。比如在美国,有的医疗机构工作人员被犯罪团体招募,也有犯罪团体成员专门被送到医疗机构工作,这些“内部的人”最终帮助获得易被货币化的敏感信息。由于利益的驱使,互联网平台内部人员非法传输、篡改电子数据的风险,早已是事实存在。
由于利益的驱使,互联网平台内部人员非法传输、篡改电子数据的风险,早已是事实存在。
三、我国医疗电子数据安全保障中存在的问题
(一)相关法律法规不健全
1.刑事立法与实践中所存在的问题。
(1)侵犯公民信息罪量刑较轻。
2015 年《刑法修正案(九)》加强公民个人信息保护,明确了特殊主体从重处罚原则,扩大了侵犯个人信息行为的范围。
2017 年《最高人民法院、最高人民检察院关于办理侵犯公民个人信息事案件适用法律若干问题的解释》进一步从严设置定罪量刑标准,明确了《刑法》第二百五十三条中情节严重及特别严重的情形,便于对此类犯罪定罪量刑;对于罚金数额,也规定了“一般在违法所得的一倍以上五倍以下”限度。
依据《刑法》第二百五十三条规定,
“......情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒 刑,并处罚金”。
而美国的《健康保险可携带性和责任法案》规定,提供医疗保险一方、医疗保险的运营方及其雇员如果是有意泄露患者健康隐私信息,造成严重后果的,对于其所属机构的罚款每年可达到150 万美元;如果出卖或者是转售患者健康隐私信息,个人最高罚款可达25 万美元,还将面临十年监禁。
与美国相比,我国刑法在对侵犯公民信息的犯罪,虽然也是自由刑和财产刑并用,但量刑偏轻;而这种较低的犯罪成本与数据买卖灰色产业链所带来的利益诱惑,都会使行为人罔顾法律,重复作案。
(2)司法判例显示既判案件的量刑在法定刑内属于偏低范畴。笔者从在裁判文书网检索到的86 份裁判文书中发现,所有案件的量刑都在“三年以下有期徒刑或者拘役”的法定刑档次内,最重的是“有期徒刑二年,缓刑二年”;有的被告所非法获取的公民个人信息达几十万甚至及几百万条,但却都没有出现“三年以上有期徒刑,七年以下有期徒刑”的判决。可见在刑法规定量刑偏轻的情形下,司法机关在判决中认定的法定刑档次也较低。
从刑事立法的主旨和目前的社会情形看,对于侵犯公民个人信息的犯罪行为是持从重处罚的态度,目的是保护公民个人信息安全,有效保障公民人身、财产安全。为什么对该类案件的处罚偏轻?因为人民法院对案件事实认定存在一定的难度,进而影响危害后果的认定。2015 年上海市浦东新区法院审理过一起侵犯公民个人信息案件,被告通过互联网非法购买公民个人信息3 万余条,经查证信息真实有效的只有100 多条,法院依法判处被告人拘役五个月,缓刑五个月,罚金人民币一千元。
可见, 由于对此类案件中不法行为的社会危害性难以准确评估,涉案公民个人信息数量认定难,因此量刑中需考虑的“情节严重”和“情节特别严重”情形也就难以客观准确认定,进而在量刑问题上便趋于偏轻。
这种较低的犯罪成本与数据买卖灰色产业链所带来的利益诱惑,都会使行为人罔顾法律,重复作案。
2.个人信息及隐私权立法保护不足。
(1)法律未明确承认个人信息权。
虽然《民法总 则》在民事权利部分规定了“自然人的个人信息受法律保护”,但是并未以“个人信息权”来表述,可见并未明确个人信息权是一项具体的民事权利。
民法上的请求权基于“权利-义务-责任”体系,如果个人信息权不是一项具体的民事权利,无法确定其具体内容,就不利于明确义务主体所负担义务的内容以及对侵害个人信息权应当承担何种民事责任,如何承担民事责任、全面充分的保护个人信息也就难以实现。
(2)未明确界定隐私与个人信息的界限。
“隐私” 与“个人信息”是两个不同的概念,存在一定的区别。明晰个人信息权和隐私权界分,对于创设个人信息保护的具体规则,规范个人信息的收集、利用、存储、加工、共享等行为,建立国家、社会层面个人信息保护和利用的良好秩序,发挥个人信息的价值,都具有重大意义。
《网络信息保护决定》第一条中个人信息和个人隐私都有所提及,可以说已经初步形成个人信息权和隐私权并存的法律基本框架。但是,该法没有提出界分两者的具体标准,使得对隐私权与个人信息权关系界定变得困难。
虽然先后有《侵权责任法》和《民法总则》将隐私权作为一项具体人格权类型予以确定,对个人信息也明确提出保护,但是这两部高位阶的规范性文件流于形式或者仅为宣示性规定,缺乏可操作的具体规则,权利内容仍不清晰。
“隐私” 与“个人信息”是两个不同的概念。
3.关键基础设施数据安全保护机制不健全。
根据我国《网络安全法》第三十一条所划定的——包括公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域的关键信息基础设施范围——涉及公共医疗服务的医疗领域当属其中。该法虽明确了关键信息基础设施运行安全具体保护要求,从国家、行业、运营者三个角度划定了各方的职责与义务,但是对关键基础设施具体范围并未有进一步细化,也并未设计一整套体系完整的相关配套制度。如旨在制定风险的事先预防的安全测评制度、旨在防止数据安全事件扩散的安全监测预警和信息通报制度,以及行业、领域各自应急、补救措施以及事后总结报告制度等。
(二)相关主体数据安全意识和保护措施薄弱
医疗电子数据与其他多数行业相比更为复杂和多元,大量医疗信息数据存储、处理、接入等工作也为数据安全带来新的挑战。相关行业数据安全意识和保护措施薄弱,也是导致医疗电子数据安全隐患的重要原因。
1.医疗行业的问题表现。
2014 年美国排名第一的运营商威瑞森(Verizon)曾发布 2014数据泄密报告,其显示医疗行业在安全方面“落后于形势”。
医疗机构网络一般分为内网和外网,外网是给系统外的机构和个人提供的查询和咨询平台,而内网则是由内部相关人员使用的信息化网络体系。患者通过互联网接入医院信息系统进行预约挂号、查询报告、缴费等操作,海量个人信息和隐私信息就在医院内网与互联网之间交互。安全意识薄弱加上传统的医院网络系统缺少相应的应对能力,一旦系统处于被攻击和非法侵入状态,将会导致接入网络的医疗设备全部处于危险之中,大量医疗电子数据也面临泄露、篡改、滥用的巨大风险。
医疗机构内网链接多个客户端的 MAC地址,由于未经严密审查,在很多未授权的情况下计算机并入了医疗机构的网络,从而极大地增加了被入侵的风险。有的医疗机构网络系统仍在采用“用户名+口令”等加密层级极低的访问控制方式,对于数据缺乏有效的保护措施,使数据处于“裸奔”状态,安全堪忧。
另外,一些医疗机构计算机设备陈旧,软件也长期没有更新,未装订相关的杀毒软件和防火墙,其区域网漏洞得不到及时填补。
“有的医疗机构网络系统...对于数据缺乏有效的保护措施,使数据处于“裸奔”状态,安全堪忧。”
2.医药领域互联网企业的问题表现。随着互联网的深入发展,远程医疗、线上问诊已融入到人们的日常生活之中。尤其是近年来移动医疗APP、微信公众号预约挂号、互联网医院等迅猛发展,出现了许多新型医疗模式。但是,一些医疗领域的互联网企业数据安全意识缺失,信息安全建设资金投入困难,只有在安全事件产生严重后果后,才会意识到安全的重要性。这就造成数据信息安全建设缺乏总体规划,“头痛医头,脚痛医脚”的状况在现实中大量存在。
另外,企业人员整体安全意识不平衡,安全制度或安全流程流于形式,导致用户个人信息和隐私泄露;有的企业内部甚至还存在窃取数据,贩卖个人信息的违法行为。
“头痛医头,脚痛医脚”的状况在现实中大量存在。
四、应对我国医疗电子数据安全问题的建议
(一)完善相关法律法规1.完善罚金刑,增加资格刑。目前我国刑法是以是否以牟利为目的来区分罚金的数额,而且也规定了“一般在违法所得的一倍以上五倍以下”数额限度。但是,如果侵犯公民个人信息的犯罪目的并不是牟利,那么罚金数额就应依据受害人精神损害程度予以确定。正如前文所述,对于侵犯公民个人信息罪,刑法规定了自由刑和财产刑,而且量刑较轻,也未规定资格刑。但是,犯罪的低成本以及犯罪行为容易成瘾才导致现在该类犯罪案件频发,有的造成了严重的损害后果。因此,建议将资格刑引入到刑事立法当中,在一定时间内限制或者禁止犯罪行为人从事与公民个人信息有关的行业。
2.加快制定《个人信息保护法》。1976 年,德国《联邦数据保护法》从数据收集、储存等这个层面保护个人信息。1974 年,美国《隐私法》对政府机构收集、储存、公开个人信息以及信息主体的权利等有详细规定。个人信息权内容丰富,大量技术性规定无法被纳入到人格权法之中,可以通过制定特别法予以补充。单独制定《个人信息保护法》的另一个理由在于,侵犯个人信息权可能涉及到多种责任,不是民事责任所能涵盖的,如果将其规定在人格权法中,对导致法律体系的不协调。综上,进行综合立法有利于个人信息权的全方位保护。
3.细化隐私权的具体内容。目前,我国民法典的编纂工作已进入第二阶段-各分编的制定,对于人格权是否独立成编在学界的讨论也非常的热烈。无论是否独立成编,在民法典的分编中应进一步细化隐私权的内容和相关法律保护,形成隐私权与个人信息权之间的相互协调。
4.成立专门数据保护机构。目前世界上很多国家均设置有专门数据保护机构对数据资源开发与利用过程中的信息隐私进行保护。该机构除了有对数据隐私保护的指导、建议权,还能够对信息市场的进行执法监管。在必要时,该机构可以作为独立诉讼主体,代表公民利益,提起公益诉讼。
5.关键信息基础设施保护规则应细化。建议出台《关键信息基础设施保护条例》,针对监测预警、数据安全、应急处置、监管措施等方面应作出具体、细化的规定。另外,地方各级人民政府也应结合本地情况制定行政区域内实施细则,有关关键基础设施数据安全保护的科学研究和经费拨款等相关配套制度也应同期完成。
(二)革新技术手段1.采用数字签名和时间戳。“数字签名”(又称公匙数字签名或电子签章),就是只有信息发布者才能产生的他人无法伪造或篡改的一段数字串,是一种用于鉴别数字信息的方法;同时也是对信息真实性的有效证明之一。相关法律已经明确,数字签名与手写签名和盖章一样,具有同等的法律效力。而且数字签名签署之后,若再次对其和医疗电子病历之内的电子数据进行修改,会留下改动痕迹。“可信时间戳”,是权威服务中心签发,可记录和证明电子数据产生的准确时间。把数字签名和时间戳统一结合的运用在医疗电子数据中,可以保障医疗电子数据生成时间的唯一性、完整性以及可验证性。
2.采用PKI加密技术。PKI加密技术是一种遵循标准的利用公匙加密技术为电子商务的开展提供一套安全基础平台的技术和规范。电子病历等文件正是基于这种加密技术来保障信息的安全的,且多采用指纹和密码的双重设置来认证,可以大大减少医疗系统内部的医生随意查看和调动患者病历等个人信息的可能性,从而降低内部泄密的风险。
3.加强医疗机构网络系统安全技术保障。一是医疗机构应该采用区域网络,绑定客户端MAC地址,防止未授权的计算机并入医院的网络医院。
二是对医院区域网络进行安全分级,确立安全分级系数,安全系数低的PC端应该提高安全系数。三是不同地域、不同级别的医疗机构之间,应该和医保中心联网,进行医疗电子数据的共享。四是规定电脑应该安装杀毒软件和防火墙,定期进行安检和杀毒。五是对于数据的安全防护及备份要及时,保证重要的医疗数据在交互共享时不被破坏,同时还应不断完善数据备份的相关管理流程。六是准备应急备案,若遇到断电断网等特殊情况,应该保证医疗电子数据正常录入储存,不受毁坏,保证医疗电子数据的完整性。
(三)增强医疗相关行业的安全意识1.增强医疗行业的安全意识。医疗行业要加强对从业人员法律意识的培养,严格控制数据的使用权限和遵循最小范围使用原则。医疗机构、疾控部门等要重视数据安全风险评估的工作,事前有效预防安全风险。另外,信息安全培训计划应严格执行并落实到位。2.增强医药领域互联网企业的安全意识。医药领域的互联网企业要切实提高数据安全意识,进行有效的数据安全管理,积极维护系统和更新升级,防止黑客恶意攻击。要有严格的数据分级机制,从信息产生、存储、传输、访问、销毁等诸多环节要有完备的安全运营体系,充分保证数据完整性和可靠性。还应依照相关法律法规,制定行业保密协议,防止内部人员泄漏和贩卖医疗电子数据。