医院信息系统中的隐私保护研究

凌之晞

摘要：随着医疗信息化的快速发展，医院信息系统已经成为医疗机构的重要基础设施，贯穿于患者挂号、诊疗记录、检查结果、医嘱执行、出院结算等各个环节。当前，医院信息系统中大量敏感的个人医疗信息被电子化，其在为相关工作提供极大便利的同时，也带来了隐私泄露等问题。文章通过分析医院信息系统中影响数据隐私保护的内外因素，提出了有针对性的隐私保护措施，以促进医院信息系统性能在此方面的提高。

关键词：医院信息系统；数据隐私保护；隐私安全

doi：10.3969/J.ISSN.1672-7274.2024.03.020

中图分类号：TP 309          文献标志码：A           文章编码：1672-7274（2024）03-00-03

在数据安全重要性日益凸显的当下，医院信息系统由于涉及大量敏感的患者隐私信息和医疗信息，隐私保护的重要性尤为突出。隐私保护不仅会影响患者的个人健康与财产安全，而且也会影响医院的服务质量与医患关系。

1   医院信息系统中隐私保护的概念和重

要性

隐私保护一般指采取技术和管理措施来保障个人隐私数据的安全，防止数据未经授权被访问、使用、泄露、篡改或销毁。具体到医院信息系统这一语境，隐私保护意味着通过一系列的技术和措施来增强患者个人信息以及相关医疗记录等数据的安全性、完整性、可用性和保密性，避免隐私信息泄露。患者的医疗信息通常包含非常敏感和私密的信息，这些信息一旦泄露，可能会造成患者身份被盗用、医疗欺诈等一系列问题，存在严重的医患纠纷风险，影响医院医疗服务质量。从法律法规和社会责任的角度来说，《中华人民共和国刑法》《民法典》《医疗机构病历管理规定》等法律法规均明确规定对患者医疗隐私的保护，这也是医院提供医疗服务的基本原则与重要义务。因此，有效的隐私保护对患者、医院以及社会都具有十分重大的意义。

2   医院信息系统隐私保护的需求与挑战

2.1 医院信息系统的隐私保护需求

按照《信息技术服务 运行维护 第8部分：医院信息系统管理要求》（GB/T 28827.8—2022）中的业务影响度分级与数据安全性定级标准，医院信息系统数据涵盖从医院各级系统中产生的患者识别信息、医院运营情况和主客观诊疗记录等数据，具有高度敏感性。由此，医院信息系统的隐私保护工作应满足以下三点需求。一是对数据安全保护高标准的需求。由于医院信息系统涵盖医院运营和诊疗各个环节，医疗数据则涉及患者的健康情况、病史、遗传信息等极为敏感的个人隐私信息，因此面临着比其他相对不敏感的信息更为严峻的安全压力，对数据的安全保护要求更为严格。

二是对数据完整性和准确性的需求。一方面，由于医疗信息系统中包含的信息直接关系到患者的生命健康与合法权益，因此需要数据在保存和修改时全程具备可验证、可追溯的功能。另一方面，系统又必须能够通过交叉验证或备份存储的方式来防止因不可抗力、外部破坏等原因导致的数据灭失、数据被篡改，以保证数据完整、准确。

三是对数据共享和大规模数据处理能力的需求。在医院实际诊疗的使用环境中，患者信息的处理涉及患者诊前预约系统、医护系统诊疗端、医技平台、医保监管平台以及诊后随访系统等多元主体，这需要医院信息系统在保护患者隐私的前提下，实现系统平台间数据的有效共享和脱敏处理。

此外，随着各医院对医疗大数据的投入加大，医疗数据总量不断膨胀。根据中国医院协会信息专业委员会2023年2月发布的涵盖全国31个省级行政区、1 062家医院的研究报告《2021—2022年度中国医院信息化状况调查》（下称《状况调查》），2021—2022年度业务数据存储总量较大的（100 TB以上）医院数量较2019-2020年度上升幅度为5.92%[1]。因此，医院信息系统需要具备处理和存储大规模数据并同时保证数据安全性和隐私性的能力[2]。

2.2 影响医院信息系统中隐私保护的内部因素

2.2.1 医院管理体系

从内部因素来看，对医院信息系统中隐私保护影响最大的是医院的管理体系与人员培训水平。在医疗数据隐私安全需求持续提升的大环境下，通过建立科学、完整、有效的管理体系，运用规章制度、角色分级授权以及流程审批等管理手段，可以有效规避因人员的错误操作或不当行为造成的数据泄露、数据丢失或系统损坏。另外，由于医院工作强度大、人员数量多以及各人员对隐私保护的重视程度不同等原因，目前针对医院信息系统开展的数据安全保护培训在强度、内容时效性以及参与率等方面存在不足，开展频率较低，导致部分人员对数据安全的重要性理解不够，对防护技术掌握程度不高，继而导致患者隐私数据被泄露。

2.2.2 技术因素

信息防护技术水平也是一个重要的影响因素。比如信息系统的软硬件质量、所采取的系统防护策略以及系统更新周期等都可能對隐私数据的安全性产生影响，形成风险点。根据《调查报告》，截至2022年度，我国各大医院采用防火墙、入侵检测、网闸、数据库审计等方式作为网络安全防护措施的比例分别为98.31%、78.34%、76.37%和71.56%，而防毒墙、态势感知、WAF等措施的配置率相对较低，分别为47.08%、42.75%和35.97%。此外，仍有占比约0.75%的医院未采用任何有效的数据安全防护措施[1]。除此以外，大部分医院所使用的安全防护设备以月、季度为周期更新安全策略，导致防护策略及防毒库在一定程度上较为滞后，影响系统安全防护性能。

2.2.3 数据保护与管理策略

数据保护与管理策略主要涉及数据设备管理、访问权限设置以及数据备份机制。相当比例的医院由于技术和资金限制，信息系统仍在使用过时的数据设备，也未对数据存储设备进行足够强度的加密，因此攻击者可以通过常见的安全漏洞轻易获取存储设备中的隐私信息。而在数据访问权限设置方面，很多医院信息系统使用账号加弱口令形式进行访问，未采用双因素或者多因素身份验证。同时，系统在数据访问控制方面的精细化程度不足，存在越权访问的情况，如医生能够访问所有患者病历而非其负责的患者病历。两个问题互相叠加产生了更高的非法数据访问风险。在数据备份机制方面，《调查报告》显示被调研的医院中56.97%的医院仍采用单一机房双机冷热备份或单机数据备份的方式，未进行异地灾备及冗余存储。35.88%的医院在系统故障后无法恢复或仅能恢复核心系统至备份点或任意时间点，当因备份机制配置不到位导致数据损毁时，无法及时恢复缺失的隐私数据，存在安全隐患。

2.3 影响医院信息系统隐私保护的外部因素

在外部因素中，网络攻击是对医院信息系统的最大威胁。随着技术的发展，网络攻击的方式呈现多元化的趋势，非授权用户通过系统漏洞非法入侵、截取网络数据包以及针对特定目标采取隐私推理攻击、信息聚集攻击等，都可能对医院信息系统造成严重的破坏，窃取患者隐私信息[3]。同时，物联网等网络技术的兴起一方面为医疗设备与信息系统提供更多互联互通可能性，另一方面也带来了更多的可攻击风险点，这要求医院必须及时更新数据隐私保护策略与安全防护技术，对医院信息系统进行更新迭代，以应对新的挑战。

3   优化医院信息系统的隐私保护策略

3.1 依照政策开展等级保护工作

依照政策开展等级保护工作，可有效提高医院信息系统的隐私保护等级，降低数据泄露风险。2011年原国家卫生部印发《卫生行业信息安全等级保护工作的指导意见》，要求重要卫生信息系统的安全保护等级原则上不低于第三级。等级保护涉及的内容包括5个等级保护安全技术标准和5个安全管理要求，以及包含隐私保护、安全审计和通信保密在内的近300个指导要求，为隐私保护工作的开展指明了方向。

3.2 加强内部隐私安全管理

围绕医院信息系统中的隐私保护建立并完善相应的制度体系和监督机制。首先，在权限上针对系统使用者和维护者等不同角色做出区分，将隐私保护职责明确到岗位和个人。其次，建立应对外部攻击、硬件损毁、隐私信息泄露等安全事件的应急预案和备份恢复机制，作为医院处理隐私泄露相关安全事件的制度依据。再次，加强对医院人员的隐私保护意识、数据安全意识的培养和相关技能培训，紧密结合前沿技术和安全风险典型案例以提升培训效果。建立专门的工作队伍负责数据和隐私信息安全管理，跟踪可疑数据访问记录，指导安全事件处置，并将职责的履行情况与激励机制相结合，根据责任落实成效给予激励，形成良好的隐私保护与安全管理氛围[4]。

3.3 引入主流隐私保护技术

将当前主流的隐私保护技术引入医院信息系统，可在技术层面有效降低隐私信息泄露风险。当前主流的隐私保护技术主要有隐私信息访问技术、隐私信息加密技术以及隐私信息匿名技术等。

3.3.1 隐私信息访问控制技术

此类技术通过限制用户或角色的访问权限，来防止非授权用户或角色获取隐私信息。采用此技术的医院信息系统可通过规则引擎按照用户职责、科室甚至用户的具体行为等建立规则，为不同职责的人员分配具有细分数据访问权限的角色，准确控制用户的访问边界[5]。此外，在用户身份识别方面引入CA电子签名、指纹、ID芯片卡等验证方式，作为传统账号口令组合的补充，防止越权访问。

3.3.2 隐私信息加密技术

该技术通过对隐私信息本身或者信息传输过程中的网络通道进行加密，防止非法用户对窃取到的隐私数据进行再利用。在隐私信息加密方面，引入DES、RSA等加密算法对医院信息系统中诸如数值、文本、图像、影像等多种类型的数据进行加密存储，在网络通道加密方面，采用VPN进行点对点的加密传输，加密远程医疗、远程随访或院间数据交换过程中交互的隐私数据包。加密后，非授权用户即使窃取了隐私数据，也无法将数据解密为可理解的明文再利用[6]。

3.3.3 隐私信息匿名技术

该技术对隐私信息本身进行处理，将隐私信息中的精确身份信息匿名化脱敏处理或加入随机化干扰数据，避免真实数据泄露[5]。这类技术将数据导入k-匿名算法模型或l-多样性算法模型处理后，真实的身份标识会被泛化为模糊的或抽象的数据，部分信息则会被隐藏，从而降低非授权用户通过隐私推理攻击或信息聚集攻击等手段窃取真实隐私信息的可能性。

3.4 加快安全防护技术迭代

对处理隐私数据所涉及的软硬件进行技术迭代，结合人工智能、大数据等手段提高医院信息系统的智能化、自动化水平，减少人工参与。加快医院信息系统所使用的各类防护手段的更新迭代，确保病毒库、漏洞补丁保持最新版本，降低利用系统漏洞、程序问题进行隐私信息窃取攻击的可能性[7]。引入数据追踪技术对医院信息系统中的数据访问、提取、修改等行为进行追踪和分析，监测和排查异常行为，前移发现隐私信息泄露的时间节点，进一步强化数据隐私保护和安全管理成效。

3.5 推进容灾体系和一体化平台构建

提升容灾系统在数据备份和恢复方面的效能，进一步推进异地容灾和远程备份的构建，增强医院信息系统防范隐私信息丢失的能力。深入探索医院不同信息系统间的数据共享与标准统一，加快一体化平台开发建设，借助平台统一的数据处理机制和备份策略实现医院信息系統隐私信息的集中管理和共融互通。

4   结束语

随着各级医院对信息化建设投入的持续增加，隐私保护作为医院承担的义务和责任必须得到高度重视。依据政策开展等级保护测评，加强医院内部隐私数据管理，建立并完善相应的隐私保护制度体系和监督机制，引入隐私信息保护技术并提升安全管理水平，才能有效降低隐私信息泄露风险，最大化发挥医院信息系统的综合效益。

参考文献

[1] 徐渭，张骞峰．医院信息化发展现状及对策[J]．计算机与网络，2021，47（10）：38.

[2] 张舒．网络环境下医院信息系统数据安全保障体系构建研究[J]．网络安全技术与应用，2023（2）：60-61.

[3] 陈磊．医疗数据隐私保护研究综述[J]．中国数字医学，2013（11）：95-98.

[4] 李文钰．浅谈医院信息系统的网络安全管理与维护[J]．数字技术与应用，2023（4）：222-224.

[5] 赵蓉，何萍．医疗大数据应用中的个人隐私保护体系研究[J]．中国卫生信息管理杂志，2016（2）：191-196.

[6] 史婷瑶，马金刚，曹慧，等．医疗大数据隐私保护技术的研究进展[J]．中国医疗设备，2019（5）：163-166.

[7] 王雅枫．医院信息系统的维护策略分析[J]．电子技术，2023（4）：198-199.