1.引言

现代医院高质量的发展对于信息化的依赖越来越高，智慧医院建设成为近年来各个医院以及卫生健康管理部门高度重视的医院信息化的主要内容[1-2]。智慧医院目前并没有一个准确的定义，从不同角度看也会有不同的看法，因此，也很难明确一个基本概念。但从目前大多数医院迫切需要解决的实际问题看，智慧医院的建设主要落实在3个方面：通过电子病历的应用提升医疗的安全、质量与效率；通过智慧服务系统处理患者服务信息以改善患者的就医体验，使患者能够方便快捷地就医；通过医院运营管理信息系统管理医疗质量，细化医院人财物管理，改善后勤服务，提升医院的运营效益。这也是当前管理部门重点推动智慧医院落地的主要内容，其核心是解决医院业务信息数字化、数据全面共享以及信息智能化处理的问题。尽管这些内容可能被一些人认为是医院信息化的基础，但是在当前医院的实际情况下，多数医院还需要做好基础建设工作才能够实现后续“高大上”的“智慧”化。

在信息技术发展的今天，互联网、移动应用、云计算、大数据的应用越来越普遍。智慧医院建设也大量使用了这些新的技术成果。为满足更高效的医疗、服务和管理需求，医疗、患者服务、运营管理信息不仅仅在医院内部网络中存储与传输，还在互联网、云存储的环境中流动，也由此引起了数据安全的风险变化。提升医疗服务的质量是医院高质量发展的刚性需求。如何在新的应用环境下既满足提升质量的应用需求，又能够符合国家信息安全法规要求，降低数据安全风险是各个医院需要面对的重要问题。

2.医疗机构中个人信息的相应法规要求

卫生健康管理部门根据医疗服务的特点制定了一系列保障医疗安全与质量的法规以规范医疗服务，对服务质量进行严格监管。在《中华人民共和国医师法》[3]的执业规则中明确要求医师亲自诊察并按照规范书写病历。医务人员在为患者提供诊疗服务过程中需要多次识别与核对患者信息，并对诊疗相关的信息进行记录与确认。在《病历书写基本规范》[4]中明确要求在门诊和住院病历中记录患者的姓名、性别、婚姻、住址等个人息，以及记录医疗过程的诊断与治疗的详细信息。因此，在诊疗过程中采集并使用了大量的患者个人及与健康相关的信息。

在信息化广泛应用前，已经形成一整套适应传统环境的管理方法，如《医疗机构病历管理规定》[5]对于医疗机构和医务人员记录的病历进行了严格管理，以保障相关信息的安全。随着信息化的发展，医疗机构大量应用了信息系统、网络等现代化的手段来采集、传输、存储和管理病历等信息。因此，管理方式在新的环境和工具下也需要有相应的完善和发展。随着信息化应用的普及，信息安全问题也越来越突出。国家在近几年持续发布了一系列网络、数据安全相关的法律，对于信息安全保障提出了明确要求。在2017年实施的《中华人民共和国网络安全法》[6]（以下简称《网络安全法》），对整体的信息安全保护、安全责任给出了明确要求。2021年实施的《中华人民共和国数据安全法》（以下简称《数据安全法》）、《中华人民共和国个人信息保护法》[7-8]（以下简称《个人信息保护法》），更加明确了对于网络中的数据、个人信息的保护责任主体，知情同意要求等内容。如在《数据安全法》中规定数据保护的责任是数据的采集与处理者，医务人员在医疗过程中采集与掌握了患者的相关信息，就同时需要承担保护的义务；在《个人信息保护法》中将健康信息列为敏感个人信息，要求进行单独确认，因此，医疗机构对于患者的知情同意告知需要进行相应的调整。2017年和2019年最高人民法院和最高人民检察院关于信息安全保护相关释法[9-10]细化了对相关法律责任的认定，结合《中华人民共和国民法典》《中华人民共和国刑法》[11-12]等法律，目前对于网络中的信息保护、责任认定、违法处置等都已有了明确的规定。“释法”中规定了非法提供或出售个人信息50条、500条相应的法律责任，以及泄露个人1 000条、5 000条法律性质的认定，这些详细的规定都提升了法律实施的可操作性。在国外，随着信息化手段在医疗健康领域的广泛应用，同样也遇到医疗健康服务中的数据应用需求与个人信息保护需要平衡的问题。通过立法的手段保护个人信息、促进数据的有效应用也已经成为目前许多国家正在应用的有效方法。如欧盟的GDPR（General Data Protection Regulation ），美国的HIPAA（Health Insurance Portability and Accountability Act），日本的“医疗大数据法”等[13-15]，这些国家都通过建立法规保护医疗活动中患者个人信息的安全，并且规定了具体的数据所有者、使用者的责任、处理的规则等内容。这些法规的应用也推动了医疗数据的利用。医院在利用网络、信息系统等手段辅助支持医疗活动提高质量与效率的同时，也需要符合国家法规对保护患者个人信息与医疗相关记录安全的要求。尽管许多医院在应用信息系统的同时对医院中相关医疗记录的管理制度有所调整，但随着我国新法律法规的实施，医院中的一些制度、流程等还需进行相应的完善，以满足医疗质量与信息安全保障两方面的要求。

3.智慧医院中的信息处理需求

对医院来说提升医疗工作质量与效率永远是第一位的需求，因此充分利用信息技术成为当前的一种必然选择。绝大多数医院使用医生站、护士站等信息系统在医疗服务过程中帮助处理各种记录。为满足医疗质量管理的要求，记录中含有大量涉及患者个人信息和健康记录的数据。当信息系统封闭在医院内部局域网中运行时，数据的安全比较容易控制，但在打通了院内的局域网与互联网后安全管理的难度随之增加。

通过互联网与移动端提供的预约和缴费服务大大方便了患者，但也使患者的个人信息、诊疗项目、费用明细表等敏感数据在互联网上进行传输。在开展互联网诊疗时，医院不仅通过互联网与患者进行文字、音视频沟通，还将处方信息、线下病历、多个医院的医疗记录通过互联网传输，有些数据还存储在互联网上的云端存储平台。这些都增加了患者个人信息、医疗信息泄露的安全风险。

医院的教学与科研是不断提升医疗质量与水平的重要方式，许多医院都需要开展大量的临床医学研究工作。这些研究对于临床医疗记录数据的依赖程度非常高。如对疗效的追踪、慢性疾病的病因调查等过程就需要长期追踪患者，还要对患者的基本情况、治疗、并发症、生活环境与习惯影响等数据进行综合分析，因而需要使用患者个人信息。此外，许多医学研究都是由医院、学校、科研单位、企业等组成的跨机构、跨学科的团队合作开展的，因此，对这些研究往往需要将所需的医疗记录共享给多个参与机构的各类研究人员，保护的难度也大大增加。

4.智慧医院建设中个人信息

数据安全风险应对应对上述信息安全的风险需要从管理和技术2个层面着手。通过管理层面的各种制度与措施使医院工作人员按照规范的要求采集与使用患者个人信息和各种医疗数据，通过技术层面的各种措施、工具来保障医院中各项制度与措施的落实。

4.1 从管理层面应对风险

4.1.1 建立制度与落实管理措施应对信息泄露风险 

医院作为服务提供者采集了患者的个人信息，就有保护信息安全的责任，所有员工都是承担这些责任的主体。管理制度使全体员工做好信息保护工作是保障医院中个人信息与医疗数据安全的基础。首先需要强化医院全体人员的信息安全意识，医疗服务过程中不仅要保证医疗质量，同时还要保护患者的个人信息和医疗数据。除了安全意识外，医院还需要有一整套保障患者个人信息和医疗数据安全的制度以及配套的落实执行措施。这些制度和措施最核心的要求就是让掌握信息的医院员工明确自己的责任，对于信息的获取、传递、使用都有记录并受到监督。通过这种方式使医院保护患者个人信息和医疗数据的法律责任得到落实。

4.1.2 改善医院的患者告知方式以满足个人信息保护法要求 

在2021年实施的《个人信息保护法》将医疗健康信息列为敏感个人信息，要求处理敏感个人信息需要单独同意。目前大多数医院在采集患者个人信息和记录医疗信息过程中主要是依据医疗管理部门对于保障医疗质量与安全相关的规定来执行的。许多医院是通过制定病历管理制度和公示管理规则等方式告知患者对医疗健康信息的保护，并没有直接显式地对患者进行告知。在管理部门新的行业管理规定没有出台之前，许多医院的线下医疗仍然沿用以往的方法。而在互联网医院和互联网诊疗中则实现了在患者注册和网上挂号预约时进行告知并要求患者在网上选择同意才能进行下一步的诊疗服务。为应对《个人信息保护法》中单独同意的要求，一些医院对线下医疗的患者也采用线上注册或预约挂号时告知并进行知情同意选择的方式，这是一种比较可行的方法，但对于一些老年人又存在困难。

4.1.3 患者信息及医疗数据共享需求的应对 

随着分级诊疗的普遍开展，患者的医疗健康信息在多个医疗机构之间共享需求越来越多。病历共享有多种方式，目前应用最多的是患者复制病历并带到就诊的医疗机构，这种方式自然解决了患者知情同意的问题但非常低效。一些城市的卫生管理部门建立了区域内的病历共享平台，这也是部分地区在使用的另一种共享方式：如患者就诊时同意，医院就可以从平台中获取病历资料。但目前许多医院要求患者的书面同意，这在实际应用中非常不便。而通过医院的App或微信公众号等电子服务平台取得患者的同意，则能够较好地解决这个问题。更加高效的解决方式是通过行业或地方的法规明确限定范围和用途的病历共享，免去每次就诊患者的知情同意。既方便患者就医，也能减少医院对每次就诊知情同意记录工作量。

4.2 技术层面的风险应对方法 

在数字化环境下，通过技术手段保护信息安全是使安全措施落实的主要手段。然而，保障信息安全各种措施的实施是需要付出相应的代价。这些代价包括：影响医疗工作的效率、需要投入资金和增加工作人员，也有可能会影响患者就医的方便性。此外，数据安全保障还需要具有高水平掌握信息安全技术的人员，这就需要医院能够拥有或利用企业的信息安全保护技术力量。通过选择合适的技术手段，可以使医院在保障医疗安全与质量的前提下，在一个可承受的代价范围内将信息安全风险降低到一个可接受的、最小的程度。

4.2.1 医疗信息系统被非法访问风险的防范 

医疗信息系统访问人员的管控就是让医院中的患者个人信息、医疗数据只供需要的人员使用，防止信息被无关人员非法获取和使用。管控的主要技术手段是在各个信息系统中设置人员身份鉴别的功能，即常用的用户认证与登录功能。这个功能最常用的是进入信息系统时的用户/口令登录体系。为保证系统的安全性，在国家制定的信息系统安全等级保护标准[16]中要求每个人必须使用自己的用户，且口令需要有一定的复杂度。一些高要求的系统还可采用物理认证手段，如装载数字证书的UKey、手机二维码或指纹等生物认证手段。

4.2.2 互联网环境下数据传输风险的防范 

互联网是一个开放的环境，其中传输的数据如果不加控制将很容易被无关人员获取。医院在通过互联网开展医疗服务、患者服务时，网络传输过程的信息保护是一项非常重要的内容。目前采用最多的是利用HTTPS（Hyper Text Transfer Protocol over Secure Socket Layer）协议进行互联网环境下的数据传输。HTTPS协议是通过SSL协议[17]对所传输的数据进行加密传输。在进行数据传输之前，HTTPS协议会先对两端的系统进行认证，利用系统中数字证书的识别与验证确认数据发送与接收者安全与可靠，然后再通过非对称加密方式交换数据加密的密钥，随后再利用密钥对传输的数据进行加密和解密。当医院通过HTTPS协议传输数据时，每次连接传输数据所采用的密钥都可不同，尽管数据传输效率会比直接传输明文低些，但能够较好地保护互联网传输的数据不被非法窃取。

4.2.3 互联网环境存储数据泄露风险的防范 

在许多医院的互联网患者服务系统和互联网诊疗系统中利用了互联网上的服务器来存储部分患者和医疗数据，一些公用的云环境也经常被用来存储这些内容。一些存储数据的环境并不受医院的控制。防范这种风险通常采用两类方法，这两类方法也可以并用。一类是加强数据存储环境的安全防护，与服务器或云环境管理者提出安全防护要求，通过强化数据存储环境的防护措施，加强访问者鉴别认证等手段防止数据被非法窃取。另一类是采用数据加密措施，将存储在医院控制区域以外的数据采用加密方式存储。这样即使存储数据的环境被非法入侵，其中存储的患者信息与医疗数据信息泄露风险也会降低。在互联网环境下应用的医疗信息系统应达到信息安全等级三级的要求，存储数据的环境也应满足相应的要求。加密方法可以参考《信息安全技术 信息系统密码应用基本要求》[18]中对数据加密存储以及加密算法应达到的安全等级给出的建议。加密存储的数据在访问时需要有加解密的过程，因此，整个系统的应用效率会有所降低，对于管理软件、应用软件的设计难度也会加大。

目前在实际的应用中，对医院外网所存储数据的加密应用还不够普遍。

4.2.4 医院科研数据安全风险的防范 

临床医学研究依赖大量的医疗记录数据。然而，许多应用数据进行的临床医学研究并不需要使用医疗记录中的患者个人信息，如姓名、地址、身份证号等识别患者的个人信息。因此，通常可以把这些敏感的信息去除或由其他信息替代。如用随机的代码替代患者的姓名，用年龄替代出生日期，用行政区域代码替代具体的地址等。一些医院中常将各个科室以及部门的数据集中生成一个数据仓库，这样方便了研究工作但同时也增加了数据泄露风险。如能够建立一个去除了患者个人信息的研究用数据仓库，那些不需要使用患者个人信息的研究项目就可以从没有患者信息的科研数据仓库中抽取数据，既方便了研究工作，又降低了信息泄露的风险。在医院中为临床研究、管理的数据分析建立专门的数据分析处理服务体系也是防范数据泄露风险的一种方法。临床研究和管理的主要目的是得到数据分析的结果，对于原始数据只是进行数据处理的基础条件。如医院有专门的数据处理工具或专业人员提供相应服务时，各个课题组就不需要将原始数据拿出医院所控制的环境，因而最大限度地降低了泄露风险。常用的服务体系包括：数据处理分析工具、上载数据分析软件接口、基础标准字典、专业的数据处理服务人员等。利用这个体中的数据进行分析研究时，数据可以不离开医院的管控，因而降低泄露可能性。国外的许多医院中有大量的信息技术人员，其中大部分人员是提供数据分析处理服务的人员，这些都值得借鉴。

4.2.5 健康医疗数据技术保护的一些参考规则 

对于医疗健康数据的应用是多方面的，保护这些信息安全的方法也需要有多种方式。其中对于医疗健康数据的分类分级管理是一种常用且可行的方法。这种方法就是根据医疗健康数据中涉及患者个人信息的多少进行分类管理。基本原则是包含患者个人信息越多的数据，就需要在越严格受控的环境下使用；当数据无法识别出患者个人信息时，就可以在比较宽松的环境中应用。在《网络安全法》和《数据安全法》等法规中，也明确对那些不能识别个人信息且不可恢复识别的数据可以按照不同的方式管理。国家标准《信息安全技术 健康医疗数据安全指南》[19]中给出了对患者个人信息的划分、去除规则、医疗数据分级以及分级应用范围等的具体处理方法建议。表1是对数据的划分与处理规则。医院在建设信息系统、建立科研和管理数据仓库、处理研究与管理应用数据时，可以参考标准所给出的这些分类分级方法。同时在这个标准中还提供了个人信息的去除、转换等相应的处理方法，可以作为医院进行信息安全建设的参考。

5.结论

医院越来越多地利用信息技术为患者提供优质高效的医疗服务已成为趋势。在利用信息技术的同时，信息安全保护也是不可或缺的内容。目前国家关于个人信息保护相关的法规越来越全面，医疗行业相关的实施细则也在不断完善。医院在建设医疗、患者服务、医院管理、科研与教学等方面的信息系统时，需要将信息安全保护的各项要求包括在建设内容中。在智慧医院建设中已经遇到的各类风险，目前也已经有许多相关的管理和技术手段进行管控。医院应该充分了解这些方法与手段，使医院的医疗服务与信息保护都能够符合国家的法规要求，以充分保障患者的各项权益。