文/辛小天 杨雪娇

近年全球包括我国陆续出台网络安全、数据安全和个人信息保护相关法律法规,而医疗行业关系国计民生,医疗卫生机构数据一旦遭到篡改、破坏和泄露,势必对医疗卫生机构的声誉、医患双方的隐私及健康安全构成严重威胁,甚至影响社会的和谐稳定。

特别是在新冠疫情爆发后,全球医疗卫生行业遭受网络攻击数量倍增。在我国,抗击疫情期间,我国的卫生医疗系统、疫苗研究机构、科研院所也频繁遭遇网络入侵攻击。2020年4月,位于北京的慧影医疗技术公司的AI检测新冠病毒技术实验数据源代码被黑客窃取并出售,而疫情期间医疗卫生机构的患者信息泄露事件更是频发。

在这样的背景下,去年就有报道披露,有关部门正在起草全国医疗卫生机构网络信息安全管理办法并在不久之后出台。2022年8月29日,《医疗卫生机构网络安全管理办法》(以下简称“《办法》”)正式颁布,由国家卫生健康委、国家中医药局、国家疾控局制定印发,自印发之日起开始实施。

一、《办法》适用范围

《办法》共五章三十四条,分为总则、网络安全管理、数据安全管理、监督管理、管理保障五个大章节,适用于医疗卫生机构运营网络的安全管理,未纳入区域基层卫生信息系统的基层医疗卫生机构参照执行。

根据《基本医疗卫生与健康促进法》,医疗卫生机构是指基层医疗卫生机构、医院和专业公共卫生机构等。其中,基层医疗卫生机构是指乡镇卫生院、社区卫生服务中心(站)、村卫生室、医务室、门诊部和诊所等;专业公共卫生机构是指疾病预防控制中心、专科疾病防治机构、健康教育机构、急救中心(站)和血站等。

《办法》所称的“数据”涵盖了医疗卫生机构收集、存储、传输、处理和产生的各种电子数据,包括但不限于各类临床、科研、管理等业务数据、医疗设备产生的数据、个人信息以及数据衍生物。

二、《办法》的立法着力点

《办法》虽名为网络安全管理办法,但分别从网络安全管理和数据安全管理两个维度进行规范,体现了国家坚持安全可控和开放创新并重的监管思路,在网络安全基础上,加强数据安全管理,实现充分发挥健康医疗数据作为国家重要基础性战略资源的作用和促进“互联网+医疗健康”的战略布局。

(一)以责任制和制度保障,推动整体安全能力建设

《办法》要求医疗卫生机构坚持“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则建立和落实安全责任制,不管是在网络安全还是数据安全管理组织架构搭建中,都要求明确业务部门、管理部门、信息化部门、使用部门等在网络建设和数据安全活动中的主体责任,通过追责追究来确保单位真正落实网络安全和数据安全管理工作。

《办法》还要求医疗卫生机构通过制度保障,包括建立网络安全管理制度,建立健全数据安全管理制度、操作规程及技术规范,明确本单位的数据分类分级标准等来推动单位的整体安全能力建设。

(二)强调全生命周期的安全管理

在网络安全方面,《办法》围绕网络系统全生命周期,包括网络安全等级保护、监测预警、应急处置、安全自查整改、网络运维等,提出安全管理要求;在数据安全方面,《办法》要求医疗卫生机构加强数据收集、传输、存储、使用、交换、销毁等全生命周期的安全管理工作;在供应链安全方面,《办法》强调针对医疗设备建立覆盖其全生命周期的安全管理制度以及强化对整个网络全链条第三方参与者的安全管理。

(三)细化和强化医疗卫生机构的合规要求

2016年至今,国家相继出台《关于促进和规范健康医疗大数据应用发展的指导意见》《互联网诊疗管理办法》《互联网医院管理办法》《远程医疗服务管理规范》《国家健康医疗大数据标准、安全和服务管理办法(试行)》(以下简称为“《健康医疗大数据管理办法》”)《信息安全技术 健康医疗数据安全指南》(以下简称为“《健康医疗数据指南》”)等健康医疗数据政策、法规和国家标准进行规范。

《办法》以《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《密码法》《网络安全审查办法》等法律法规为依据,在通用网络安全和数据安全监管要求基础之上,还承袭了此前出台的一系列健康医疗数据政策、法规和国家标准中的规定,细化和强化了对医疗卫生机构的网络安全和数据安全管理的合规要求。

三、医疗卫生机构:网络安全和数据安全管理合规要求

我们围绕《办法》并结合此前出台的健康医疗数据政策、法规和国家标准,整理了对医疗卫生机构提出的超出通用监管要求或者对通用监管要求进行细化的合规要点供相关单位和人员参考:

(一)网络安全管理合规要点

1.组织架构和职责分工

✦ 成立网络安全和信息化工作领导小组,由单位主要负责人任领导小组组长。(《办法》第5条)

✦ 有二级及以上网络的应明确负责网络安全管理工作的职能部门,明确承担安全主管、安全管理员等职责的岗位。(《办法》第5条)

✦ 按照“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则,在网络建设过程中明确本单位各网络的主管部门、运营部门、信息化部门、使用部门等管理职责。(《办法》第5条)

2.制度体系和整体安全能力建设

✦ 对本单位运营范围内的网络进行等级保护定级、备案、测评、安全建设整改等工作,具体要求如下:

01定级:对新建网络,应在规划和申报阶段确定网络安全保护等级:三级甲等医院的核心业务信息系统应当实施不低于第三级安全等级保护;互联网医院信息系统应当实施第三级安全等级保护。

02备案:第二级以上网络应在网络安全保护等级确定后10个工作日内向公安机关备案,并将备案情况上报卫生健康行政部门。

03安全建设整改:按照按照“一个中心(安全管理中心),三重防护(安全通信网络、安全区域边界、安全计算环境)”的要求,制定符合网络安全保护等级要求的整体规划和建设方案。

04测评:新建网络上线运行前应进行安全性测试;第二级的网络应委托等级保护测评机构,定期开展网络安全等级测评,其中涉及10万人以上个人信息的网络,应至少3年开展1次网络安全等级测评,其他的网络至少5年开展1次网络安全等级测评;第三级或第四级的网络应委托等级保护测评机构,每年至少1次开展网络安全等级测评。(《办法》第6条、《《卫生行业信息安全等级保护工作的指导意见》(一)1(3)》、《互联网医院管理办法(试行)》第15条)

✦ 建设安全监测和预警系统,建立网络安全通报和应急处置联动机。(《办法》第7条)、《健康医疗大数据管理办法》第25条)鼓励三级医院探索建设态势感知平台,开展网络安全威胁分析和态势研判。(《办法》第7条)

每年对自身的网络安全情况进行安全自查、整改并将安全自查整改情况上报上级卫生健康行政部门。每年安全自查整改工作包括:

01 依据上级主管监管机构要求,完成信息资产梳理,摸清本单位网络定级、备案等情况,形成资产清单,组织安全自查。

02 依据上级主管监管机构要求,依据安全自查结果,对发现的问题和隐患进行整改,形成整改报告向有关主管监管机构报备。(《办法》第9条)

针对医疗设备,建立覆盖其全生命周期(招标采购、安装调试、运行使用、维护维修、报废处置等)的网络安全管理制度(《办法》第14条);与医疗设备生产经营企业书面约定各方的网络安全义务和违约责任。(《办法》第4条第2款)

✦ 加强对整个网络全链条(设计、建设、运行、维护等)第三方参与者的安全管理(《办法》第16条),与第三方信息化建设参与单位书面约定各方的网络安全义务和违约责任。(《办法》第4条第2款)

✦ 加强废止网络的安全管理,进行风险评估,及时对其采取封存或销毁措施,确保废止网络中的数据处置安全。(《办法》第17条)

3.管理保障

✦ 加强对网络运营相关人员管理。内部人员:明确入职、培训、考核、离岗全流程安全管理;外部人员:明确网络访问权限的申请及批准流程,做好实名登记、人员背景审查、保密协议签署等工作。(《办法》第10条)

✦ 执行网络安全继续教育制度,完善网络安全考核评价制度。(《办法》第29条、第31条)

✦ 经费保障:保障开展网络安全能力和教育培训的经费投入,新建信息化项目的网络安全预算不低于项目总预算的5%。(《办法》第30条)

(二)数据安全管理合规要点

1.组织架构和责任分工

✦ 建立数据安全管理组织架构,明确相应的数据安全管理部门和岗位。(《办法》第19条、《健康医疗大数据管理办法》第18条)

✦ 落实“一把手”责任制;明确数据管理部门、业务部门、信息化部门在数据安全管理全生命周期当中的权责,建立数据安全工作责任制。(《办法》第19条、《健康医疗大数据管理办法》第17条第1款)

✦ 具体的组织架构建设、各层级组织人员构成和工作职责划分可以参考《健康医疗数据指南》开展。(《健康医疗数据指南》第9.2条)

2.制度体系和整体安全能力建设

✦ 建立数据安全管理制度、操作规程和技术规范,涉及的管理制度每年至少修订一次。(《办法》第21条、《健康医疗大数据管理办法》第17条)

✦ 建立数据使用和申请审批流程,严格执行业务管理部门同意、医疗卫生机构领导核准的工作程序,确保数据活动流程合规。(《办法》第21条)

✦ 梳理数据资产,开展数据分类分级管理。(《办法》第20条、《健康医疗大数据管理办法》第18条)建议遵循健康医疗行业的数据分类要求,在此基础上从组织经营纬度结合自身数据管理和使用需要对数据进行分类,具体可参考《健康医疗数据指南》开展数据分类和定级工作,并针对不同级别数据采取不同的技术和管理措施。(《健康医疗数据指南》第6.1条、第6.2条、第8.1条)

每年对本单位数据开展数据安全风险评估。(《办法》第21条)我们理解这里的评估对象应当不局限于个人信息和重要数据,建议可以同本单位年度的个人信息保护影响评估和重要数据风险评估一同实施。

加强数据收集、存储、传输、处理、使用、交换、销毁全生命周期安全管理工作,并分别强调各个环节的管理要点。

数据收集:强调数据收集合法性管理,明确业务和管理部门在数据收集合法性的中的主体责任。(《办法》第21条(一))

数据存储:强调数据全生命周期活动应在境内开展,应业务确需向境外提供的,应遵循国家安全评估要求。(《人口健康信息管理办法》第10条第2款、《办法》第21条、《健康医疗大数据管理办法》第30条)

数据上报:由数据上报提出方负责解读上报要求,确定上报范围和上报规则,确保数据上报的安全可控。(《办法》第21条(五))

开展人脸识别:应当提供非人脸识别的身份识别方式,且人脸识别数据只能用于身份识别的目的。(《办法》第21条(五))

去年7月出台的《最高人民法院关于审理使用人脸识别技术处理个人信息相关民事案件适用法律若干问题的规定》禁止物业服务企业或者其他建筑物管理人在业主或者物业使用人不同意的情况下,将人脸识别作为出入物业服务区域的唯一验证方式。而去年4月公布的《信息安全技术 人脸识别数据安全要求》(征求意见稿)要求所有数据控制者在开展人脸验证或人脸辨识时应至少满足以下要求:

a) 非人脸识别方式安全性或便捷性显著低于人脸识别方式。

b) 原则上不应使用人脸识别方式对不满十四周岁的未成年人进行身份识别。

c) 应同时提供非人脸识别的身份识别方式,并提供数据主体选择使用

d) 应提供安全措施保障数据主体的知情同意权。

e) 人脸识别数据不应用于除身份识别之外的其他目的,包括但不限于评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等。

显然,《办法》参考吸收《信息安全技术 人脸识别数据安全要求》(征求意见稿)的规定,对医疗卫生机构开展人脸识别进行限制。

✦ 数据全生命周期的第三方参与者安全管理

选择健康医疗大数据服务提供商,应当确保其具备相应的数据安全能力,建立数据安全管理、个人隐私保护、应急响应管理等方面管理制度。(《健康医疗大数据管理办法》第31条)

声明:本文来自享法互联网JoyLegal,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。