2022-10-08 17:00:40
生命科学与医疗健康月刊
守护网络数据安全,促进医疗健康发展——《医疗卫生机构网络安全管理办法》对医疗卫生机构的影响及建议
2022-10-08 17:00:40

守护网络数据安全,促进医疗健康发展——《医疗卫生机构网络安全管理办法》对医疗卫生机构的影响及建议

作者:王艺、赵艳明、戴佳兵

观点摘要

01:国家高度重视“互联网+医疗健康”工作,医疗健康领域的网络、数据安全问题也呈现多元化发展态势,为加强医疗卫生机构网络安全管理,进一步促进“互联网+医疗健康”发展,《医疗卫生机构网络安全管理办法》正式出台。

02:《办法》相关上位法的规定,结合医疗健康行业的特点,就医疗卫生机构的网络安全管理做出了更加明确、细致的规定,主要规定了医疗卫生机构在网络安全管理、数据安全管理、监督管理、管理保障等方面的义务。

03:《办法》对医疗卫生机构的影响包括:内外部网络安全管理义务加重、网络数据安全管理难度加大、需尽快落实网络安全等级测评工作、自查整改及自评估场景细化导致义务加重、网络数据全生命周期活动或将面临重大调整。

04:针对《办法》的影响,本所提出了六个方面的建议:一是明确本单位各方主体角色及其权责;二是梳理数据资产清单,匹配对应管理规则;三是梳理不同网络安全等级对应义务,制定相应计划;四是结合《办法》规定,梳理“自查整改”、“自评估”清单;五是建立全生命周期安全管理体系;六是与医疗卫生机构合作的相关企业也需加强自身网络、数据安全能力建设。

一、 《办法》出台背景和主要内容

(一)出台背景

自《国务院办公厅关于促进“互联网+医疗健康”发展的意见》发布以来,“互联网+医疗健康”多次出现在政府工作报告之中,国家高度重视“互联网+医疗健康”工作。

近年来,随着云计算、物联网、区块链、5G、大数据等新技术在医疗健康领域的广泛应用,医疗健康领域的网络、数据安全问题也呈现多元化发展态势,对“互联网+医疗健康”的发展造成了严重威胁。

为加强医疗卫生机构网络安全管理,进一步促进“互联网+医疗健康”发展,充分发挥健康医疗大数据作为国家重要基础性战略资源的作用,国家卫生健康委、国家中医药局、国家疾控局于2022年8月8日联合印发了《医疗卫生机构网络安全管理办法》(以下简称“《办法》”),《办法》自印发之日起实施。

(二)主要内容

《办法》根据《基本医疗卫生与健康促进法》《网络安全法》《密码法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》以及网络安全等级保护制度等相关上位法的规定,结合医疗健康行业的特点,就医疗卫生机构的网络安全管理做出了更加明确、细致的规定。

《办法》的适用对象主要为医疗卫生机构,根据《基本医疗卫生与健康促进法》的规定,医疗卫生机构包括基层医疗卫生机构、医院、专业公共卫生机构等,其中基层医疗卫生机构是指乡镇卫生院、社区卫生服务中心(站)、村卫生室、医务室、门诊部和诊所等;专业公共卫生机构是指疾病预防控制中心、专科疾病防治机构、健康教育机构、急救中心(站)和血站等。同时,未纳入区域基层卫生信息系统的基层医疗卫生机构亦需参照执行。

《办法》共六章三十四条,包括总则、网络安全管理、数据安全管理、监督管理、管理保障和附则,主要规定了医疗卫生机构在网络安全管理、数据安全管理、监督管理、管理保障等方面的义务。

本文将重点分析《办法》对医疗卫生机构的影响,并提出针对性的合规建议。

二、 《办法》对医疗卫生机构的影响

(一)医疗卫生机构内外部网络安全管理义务加重

《办法》第二条第四款规定,网络安全管理责任的落实需依据“谁主管谁负责、谁运营谁负责、谁使用谁负责”的原则。《办法》第五条规定医疗卫生机构应成立网络安全和信息化工作领导小组。若有二级以上网络的医疗卫生机构应明确网络安全管理工作相关的职能部门,并明确安全主管、安全管理员等职责。同时,第六条规定医疗卫生机构需明确在网络建设过程中本单位各网络的主管部门、运营部门、信息化部门、使用部门等管理职责。我们认为,医疗卫生机构本单位内但凡涉及到网络建设、运营、使用、管理等相关部门以及关键岗位人员都需肩负网络安全管理职责。因此,医疗卫生机构需进一步明确其内部负责网络安全管理职责的职能部门、相关人员及其职责分工,并做好规划及培训。

另外,《办法》第四条第二款规定,医疗卫生机构对本单位的网络安全管理负主体责任,并应与信息化建设参与单位及相关医疗设备生产经营企业书面约定各方的网络安全义务和违规责任;第十条规定,医疗卫生机构要加强网络运营相关人员管理,针对第三方应明确人员接触网络时的申请及批准流程,做好实名登记、人员背景审查、保密协议签署等工作。医疗卫生机构不仅仅需要厘清并确定其内部相关部门、人员的职责分工,还应当与其在网络安全建设、网络数据处理等场景下有合作关系的第三方约定好相应的义务与责任以及加强外部人员管理,并依据《办法》第十六条的规定,对非本单位的第三方的设计、建设、运行、维护等服务实施安全管理,以防发生安全事故。

(二)网络数据范围较广,医疗卫生机构安全管理难度加大

根据《办法》的规定,网络数据范围较广且未限制数据主体的范围,这对医疗卫生机构而言数据安全管理成本及难度将加大。

《办法》第三条第二款规定,医疗卫生机构所需要管理的网络数据包含了通过网络收集、存储、传输、处理和产生的各种电子数据,包括但不限于各类临床、科研、管理等业务数据、医疗设备产生的数据、个人信息以及数据衍生物。仅就医疗设备产生的数据场景而言,医疗卫生机构与医疗设备厂商就可能存在共同处理、委托处理、数据共享等多个场景。另外,《办法》并未对网络数据主体进行明确和划分,我们理解这里的网络数据不仅仅是指医疗卫生机构通过网络收集的患者数据,还包括医护人员的数据,医疗卫生机构不仅需要注意保护患者数据,还需注意对医护人员数据处理的合法合规性。这将导致医疗卫生机构的数据处理场景更加复杂,无疑加大了医疗卫生机构管理网络数据的难度。

(三)医疗卫生机构需尽快落实网络安全等级测评工作

《办法》进一步落实了医疗卫生机构的网络安全等级测评义务,其中对网络安全等级的定级备案及等级测评要求与《网络安全等级保护条例(征求意见稿)》中的规定保持了一致。具体内容如下表所示:

保护等级对应义务

第二级

第三级

第四级

定级备案

在网络安全保护等级确定后10个工作日内,由其运营者向公安机关备案,并将备案情况报上级卫生健康行政部门,因网络撤销或变更安全保护等级的,应在10个工作日内向原备案公安机关撤销或变更,同步上报上级卫生健康行政部门。

等级测评

应委托等级保护测评机构定期开展网络安全等级测评,其中涉及10万人以上个人信息的网络应至少三年开展一次网络安全等级测评,其他至少五年开展一次等级测评。

应委托等级保护测评机构,每年至少一次开展网络安全等级测评。

需注意的是,《办法》对定级备案、等级测评进行了不同等级上的义务区分,但并未对不同网络安全等级的其他义务进行明确规定。因此,医疗卫生机构在遵循《办法》的相关规定时,还需注意依据现行有效的网络安全等级保护相关的规定履行对应的义务。

此外,《办法》还规定了医疗卫生机构需对大数据、人工智能、区块链、云计算等新兴技术进行安全评估,在医疗卫生机构面临大量的数据的基础上,涉及到的数据处理场景复杂多样,同时也会影响到网络安全等级测评。因此要确保网络建设的安全,保障网络数据的安全性,医疗卫生机构还需对网络安全、数据安全管理投入较大的资源支持。

(四)自查整改、自评估场景细化,医疗卫生机构义务加重

《办法》对医疗卫生机构所需进行的自查整改及安全评估场景进行了细化,加大了医疗卫生机构的安全管理义务。如各医疗卫生机构在网络运营过程中,应每年开展文档核验、漏洞扫描、渗透测试等多种形式的安全自查,并对其中发现的问题进行及时整改。自查整改所针对的内容主要是对网络技术、网络设备、网络运行环境、医疗设备、供应链安全、网络安全保障技术以及相关人员、组织的安全管理。同时,各医疗卫生机构还需定期对网络安全等级进行评估,检查其网络环境,及时测评、调整备案情况等。

此外,《办法》还要求各医疗卫生机构对远程运维、新兴技术、云上存储、医疗设备、废止网络相关设备进行安全评估,保障数据的安全性,防止数据泄露的事件发生。这进一步加重了各医疗卫生机构对网络安全的日常管理及运营维护的义务。

(五)网络数据全生命周期活动或将面临重大调整

《办法》第二十二条规定,各医疗卫生机构应对网络数据的收集、存储、传输、处理、使用、交换、销毁等全生命周期的处理活动进行安全管理,加强数据收集的合法性管理,明确数据存储期限,采取脱敏、加密等保护措施防止数据泄露。

另外,《办法》明确要求数据全生命周期活动应在境内开展,因业务确有需要向境外提供的,应当按照相关的规定完成安全评估或审核,针对影响或者可能影响国家安全的数据处理活动需提交国家安全审查。在实践中,医疗卫生机构在开展临床研究、医疗大数据分析等活动时,可能会有较多涉及向境外提供医疗数据的情况。我们理解,医疗卫生机构可能会因此需要对网络数据的处理行为进行调整,需尽快梳理出必要的数据出境场景及数据清单,尽快完成自评估,做好相关的准备工作,以免影响相关的研究、诊疗活动。虽然《办法》没有明确规定相关数据出境的评估、审查方式,但我们认为各医疗卫生机构需依据当前现行有效的数据出境相关的政策及规范,完成数据出境程序,落实数据安全保护义务。

还需注意的是,《办法》对人脸识别数据的使用目的进行了要求,明确规定人脸识别数据的使用场景仅限于身份识别,并且应同时提供非人脸识别的身份识别方式,不得因数据主体不同意收集人脸识别数据而拒绝数据主体使用其基本业务功能。

三、合规建议

(一)明确本单位各方主体角色及其权责

各医疗卫生机构在对内部进行管理时,首先需明确其所需的网络安全管理组织体系,在满足《办法》所要求的人员、组织的基础上,明确其对应的权责,并对组织、个人进行及时的培训。在对非本单位的第三方的管理上,要注意审查、监督第三方的网络安全及数据安全管理体系,可通过建立“白名单”的方式,在对第三方进行有效管理的基础上,减低管理成本。

(二)梳理数据资产清单,匹配对应管理规则

由于各医疗卫生机构所需管理的网络数据范围较广,数据应用场景复杂多变,各医疗卫生机构可结合具体的应用场景梳理对应的数据并明确所需履行的相关职责和义务。具体而言,首先,需明确本单位有哪些业务场景;再梳理该场景下涉及到的数据类型、数据体量、数据主体以及数据处理的方式;梳理相关的法律法规要求,匹配对应的管理规则以及相关的负责人、部门,并落实其权责,保障数据安全和数据应用的动态平衡。

(三)梳理不同网络安全等级对应义务,制定相应计划

各医疗卫生机构需尽快制定其网络安全等级备案、测评计划,确定相关负责的部门及责任人。同时,还需梳理出不同网络安全等级对应的义务清单,制定相应的计划,及时备案、测评,并履行对应等级的义务,保证网络环境的安全性。

(四)结合《办法》规定,梳理“自查整改”、“自评估”清单

我们根据《办法》的规定,梳理出了以下“自查整改、自评估清单”参考样例,各医疗卫生机构可根据其实际情况整理相应的自查整改及自评估清单。

医疗卫生机构自查整改、自评估清单

自查整改

梳理信息资产;

梳理各类网络、技术的基本情况;

监测网络运行状态;

定期检查医疗设备安全、网络链路安全;

定期检查本单位的网络测评定级、备案情况,若情况发生变化应及时调整定级及备案;

检查本单位网络安全信息监测机制相关功能及监测内容;

关键信息基础设施运营者应对安全管理机构负责人和关键岗位人员进行安全背景审查;

自评估

应用大数据、人工智能、区块链等新技术开展服务时,上线前应评估新技术的安全风险并进行安全管控;

涉及到云上存储数据时,应当评估可能带来的安全风险;

涉及到数据出境场景应根据数据出境相关规定进行评估;

对废止网络的相关设备进行风险评估,及时对其采取封存或销毁措施;

评估第三方网络安全与数据安全管理体系。

(五)建立全生命周期安全管理体系

《办法》旨在从网络安全、数据安全、监督管理、管理保障四个维度全面保障医疗卫生机构网络运营管理的安全性。因此,医疗卫生机构可结合这四个维度以及事前防御、事中处理、事后检查、动态监测全生命周期的安全管理,建立起网络安全管理矩阵。投入人力、资源、经费保障安全体系的建设。在实践中,根据本单位实际情况,基于网络和数据的全生命周期制定安全策略,梳理出具体的业务场景,设计有针对性的安全管理规则及技术保护措施。从制度建设、流程规范、人员管理、技术支撑、安全培训、应急演练、安全整改、供应链管理等多个方面形成有效的网络安全管理体系。

(六)与医疗卫生机构合作的相关企业也需加强自身网络、数据安全能力建设

如前文所述,《办法》不仅对医疗卫生机构提出了诸多网络、数据安全管理要求,同时以医疗卫生机构的网络、数据安全管理为切入点,间接规范整个网络全链条参与者的安全管理。因此,与医疗卫生机构合作(包括但不限于信息系统开发维护合作、医疗设备供应合作、网络服务和技术服务、数据处理合作等)的相关企业也需加强自身网络、数据安全能力建设,否则可能因网络、数据安全能力不符合要求而面临终止合作的风险。