近年來，我國醫衛行業信息化全面發展，在線掛號、線上問診、電子病歷等數字化場景應用廣泛。老百姓就醫便捷，醫院運轉效率也得到提高。與此同時，大量數據匯入醫衛系統，醫療信息數據中涉及大量患者個人隱私（真實身份、電話、家庭地址、疾病信息、檢查信息等），如何保障老百姓就診信息安全，避免隱私外泄風險？

十三屆全國政協常委，九三學社中央常委、河南省委主委，河南省政協副主席張亞忠表示，“當前，我國醫衛行業網絡信息安全形勢較為嚴峻，有些醫衛單位的內網卻存在“僵木蠕”互聯網病毒”。

網絡安全隱患較多

據了解，醫療數據因隱私性強、可利用價值高、來源廣泛，容易成為黑客重點攻擊目標。僅從媒體公開報道即可看到，因醫衛信息安全問題導致的泄露事件多次發生，小到醫護人員轉賣患者信息牟利，大到第三方公司利用外包服務便利，竊取患者醫療數據。2017年杭州某公司在承接疾病預防控制部門網站信息化建設時，非法下載接種疫苗兒童及家長信息370余萬條，曾造成惡劣社會影響。

張亞忠委員認為，“由于我國醫衛行業信息安全工作起步較晚，整體風險較高且防護能力較低，網絡信息安全形勢較為嚴峻。主要存在三個問題：一是醫信系統存在安全隱患；二是安全管理建設不足，沒有真正施行《網絡安全法》要求的'三同步'建設原則；三是網絡安全專業人才稀缺。”

數據顯示，通過對我國醫衛行業相關單位開展調研發現，部分單位應用服務端口在沒有任何安全措施的情況下、直接暴露在公共互聯網，有些單位正常工作受到“僵木蠕”網絡病毒干擾，有些單位官方網站存在被篡改的安全隱患，甚至有單位網站已被篡改卻不自知。

張亞忠指出，“有些醫院的醫療信息系統（HIS）、電子病歷系統（EMRS）缺少有效安全措施和審查機制，系統賬號隨意借用、一號多用、使用簡單密碼等情況導致核心業務數據存在盜用風險，醫院內外網缺乏可靠的技術隔離措施、系統接口與合作單位及公共網絡未經安全規劃直接互聯導致網絡攻擊、重要業務數據泄密風險加劇。”

對此，張亞忠建議“完善安全防控體系”：

一是完善醫衛行業網絡信息安全相關政策法規和標準規范。建立符合醫衛行業特色的安全體系架構，制定具備行業特性的安全標準，出臺醫衛行業網絡信息系統設計、實施和運維規范。

二是加強健康醫療數字身份管理。建設全國統一標識的醫療衛生人員和醫療衛生機構可信醫學數字身份、電子實名認證、數據訪問控制信息系統，推進醫衛數據可信體系建設。

三是建立服務管理留痕可溯、診療數據安全運行、多方協作參與的健康醫療管理新模式。指導醫衛行業相關單位設置網絡信息安全管理專門機構和崗位，明確職責任務。

網絡安全管理建設不足

張亞忠指出，“有些醫衛單位投資網絡信息安全建設時缺乏統籌、規劃和審計，單純注重硬件設備建設，且購買、招標、利用、分配全過程缺少嚴格審計。對信息安全的建設投入和宣傳教育重視不足，安全管理機制不健全，忽視安全設備和專業人員的管理使用效能，發生安全事故無法高效啟動安全措施，追蹤溯源避免損失擴大。”

對此，張亞忠建議盡快“健全安全審查機制”，加強對醫療設備及商業化軟件的安全審查和安全檢測，制定設備遠程運維監管制度。嚴格落實內外網絡分離，嚴格落實系統用戶分級分類接入，改進安全感知、安全處置和安全審計等方面的數據防護能力，加強對第三方安全運維單位的監管。

網絡安全專業人才稀缺

醫衛行業網絡安全是我國網絡安全的重要組成部分，受到國家高度重視。黨中央、國務院及醫療監管部門陸續出臺相關政策法規，逐步完善行業網絡安全體系。但傳統醫院體系里缺少網絡安全人才，即使服務外包，也無法專業把控第三方公司所存在的安全風險。

張亞忠認為，應全力培養醫衛系統內部的網絡安全專家。“醫院里多以醫衛專業人員替代管理網絡信息系統，其專業性、敏感性較低，對網絡安全認知存在不足，易出現安全事故處置失當、人為加劇事故等情況。”

對此，張亞忠建議，“通過資質認證、教育培訓、攻防演練等方式，提升醫衛系統現行信息安全隊伍的專業技能，全力培養行業安全專家。建立行業網絡、信息系統及數據安全專控隊伍，定期開展行業重要信息系統的安全測評、風險評估以及安全應急演練等工作。對于醫療專業人員定期開展信息安全宣傳教育，有針對性的開展保護患者隱私、醫療數據安全、反釣魚、反欺詐宣傳，增強醫務人員的網絡信息安全意識和法制觀念。”

今年兩會，張亞忠已提交《關于加強醫衛行業網絡信息安全的提案》，他呼吁盡快“對癥下藥”完善安全防控體系、健全安全審查機制、強化專業隊伍建設。讓技術更好守護人民群眾健康，保障醫衛系統信息安全的全生命周期。

(李賢娜)