2026年4月2日中央网信办、工业和信息化部、公安部联合发布《关于开展2026年个人信息保护系列专项行动的公告》,《公告》指出“《个人信息保护法》施行以来,中央网信办会同有关部门持续加大个人信息保护工作力度,查处各类违法违规处理个人信息行为,督促指导个人信息处理者不断提升合规水平,取得了积极成效。2026年,中央网信办、工业和信息化部、公安部将会同相关部门,进一步深入治理App、SDK等服务产品以及互联网广告、教育、交通、卫生健康、金融等重点领域违法违规收集使用个人信息典型问题,着力提升人民群众满意度、获得感。相关部门将围绕以下重点问题开展系列专项行动”,公告第五类“5.卫生健康领域违法违规收集使用个人信息专项治理”主要针对医院、卫生服务中心、卫生所、诊所、疾控中心等医疗卫生机构有关个人信息收集使用活动开展治理,重点治理问题包括“一是医疗卫生机构运营的网站、App超范围收集位置等个人信息,未采取有效验证方式核验用户身份导致未经授权的无关人员可查询他人病历等;二是医疗卫生机构未经患者同意公开包含患者个人信息的影像图片、文字描述等信息;三是医疗卫生机构运营的网站、App等使用非人脸识别技术方式可实现验证患者身份,将人脸识别技术作为唯一验证方式,未落实人脸识别技术应用安全管理相关要求;四是医疗卫生机构未建立专门的个人信息保护管理制度,未有效设置个人信息访问管理权限,未明确个人信息保护职责;五是医疗卫生机构内部信息管理系统未采取有效的技术防护手段,未对个人信息采取加密、去标识化等安全技术措施;六是医疗卫生机构对技术运维等第三方人员管理不到位,存在个人信息泄露风险隐患。”近年来,全球数据泄露事件中医疗数据泄露居高不下,从Verizon2023年-2025年的报告中,我们可以发现医疗相关安全事件直线上升,确认率日趋高涨。这说明医疗数据安全问题已经成为全球数据安全焦点。
| | | | | |
|---|
| | | | | |
| | | | | |
| | | | | 内部威胁占比 60%,远高于全行业均值 30%;单次勒索达数百万美元级 |
实际上医疗健康数据安全问题由来已久,早期在低互联,低交互的医疗领域中,医疗健康数据往往是封闭的,更多的泄露来自于内部人为行为,比如说:医护人员对病历的不当处理,受利益诱惑的护工、杂工产生的私自贩卖住院患者的个人信息产生精准的广告推送,当然,也会产生极少部分针对特定人员因个人纠纷、司法因素或保险公司在当年没有合规的健康信息获取渠道而产生的利益输送;另外一部分很难被定义在个人信息而更准确的叫做医疗健康信息中提供给药企的医院经营数据和临床数据;但是这种数据的传递受到技术限制、职业道德约束以及用途有限使其产生的社会影响并不高。当然涉及基因数据以及敏感人员的医疗健康数据不在本文中讨论,这本身涉及国家安全的层面而不是简单的CyberSecurity能够描述的问题。因此,医院虽然在使用信息化,但是医院的网络安全还是建立基于传统网络安全的机密性、完整性和保密性基础上确保业务连续性为核心。医疗信息化技术在没有完全与医技、ICU形成紧密相关的前提下,只是一个业务的附加载体,在整个医疗体系中形如鸡肋。随着互联网的发展,医疗信息化伴随着HIS/计费一体化、互联网收费、医保通道、互联网医院、医联体、医共体、云HIS的飞速发展,医院从一个封闭单元走向互联单元,在高度互联的场景下,数据也伴随着开始高速交互,这时候,医疗信息化成为医疗健康单位的命脉(当然,医院也规划了当信息化中断化牺牲收益保障重点医疗活动的开展)。这种场景下,在原有的孱弱的医疗信息化管理能力下,医疗健康数据成为重灾区。针对医疗健康机构的各种外部攻击、内部危害(除针对医疗健康数据的泄露之外,可能的篡改也是伤害医疗伦理和公正性的重要问题)、供应链攻击、近场攻击等问题愈发突出,尤其是勒索病毒的出现,成为医疗健康机构的噩梦。传统的网络/数据安全公司针对医院的安全架构依据强调于边界防范,终端保护合规建设,但是这些工作并没有有效的遏制医疗健康机构的风险。这一切并不是专业的网络/数据安全公司不专业的问题,而是医疗健康机构本身的业务特殊性、技术特殊性和数据特殊性所产生的误区。在整个医疗健康组织中,依据CSF框架我们可以做一个简单的分析:传统的医疗健康机构的业务是相对恒定的,但每个医疗健康机构的业务存在巨大的差异化。三甲、二甲、专科医院、中医院、保健医院以及精神病院所开设的医疗业务存在差异,这还不包括疾控、医保、医疗器械机构以及医疗健康产品机构、药企等;这种差异决定了医疗健康领域的业务识别、资产识别、边界识别、数据识别、人员识别等一系列问题存在不可复用,因此会产生的风险不可复用、方案不可复用,传统的修改标题式的咨询对医疗健康领域是一种无以名状的灾难。因此在整个医疗健康行业中应建立明确的分类关系,梳理其医疗健康业务交互能力,比如:社区医疗、医联体、医共体所依托的不同互联平台;融合挂号平台带来的患者信息管理问题等等;识别是整个医疗健康数据安全保障的前提,没有明确的识别能力,整个医疗健康数据安全无从谈起。但是从专业医疗健康角度而言,我们看到的仅仅是一个表面;更核心的数据会随着医技设备,如:B超、CT、核磁共振、脑电图等技术设备附加的云计算平台产生的数据问题。我们能否确保我们所有的医技设备(包括放疗和化疗)与未知的互联网是隔离的?当这种隔离被打破,影像数据和有影像产生的分析数据去了哪里?2022年某境外大型医疗设备厂商被国家卫健委通报不是个案,而只是显露的冰山一角而已。最大的基因数据出口检验检疫部门与疾控中心所形成的边界识别、业务识别并没有被真正纳入传统医疗健康数据安全保护领域,这就使得我们需要更多了解医疗健康知识的网络数据安全专家和机构积极参与在这个领域;同时,当各种穿戴式健康设备与医疗机构形成互联互通后,医疗健康信息又增加了更多的控制节点。数字化带来了便捷,但数字化也带来了更多的风险成因;数据安全风险评估是一种针对风险的重要识别手段,客观的风险评估能为组织带来有效的风险治理途径和依据;针对医疗健康业务流的识别和风险评估是整个组织最核心的环节,避免盲目建设、无效投入的最佳实践。有效的识别为防御带来了依据。防御该如何构建?传统的医疗健康机构由于业务单一,逻辑简单,很容易通过最基础的防火墙在边界通过白名单建立防护;但是随着医疗业务的数字化依赖,这种防御已经无法适应新的形势变化。这使得更精细化的边界隔离技术成为一种必然。现代数字化医疗健康领域已经很难通过传统的物理隔离实现可靠隔离,那么更多的时候可信的逻辑隔离成为救命稻草;然而,原本静态医疗健康业务为适应数字化发展不断变革,使得边界的策略变更成为信息科和厂商的梦魇,最终粗犷型策略替代精细化策略,医疗终端成为藏污纳垢的场所。从深度防御的角色,医疗健康网络的焦点逐渐从服务器向终端设备迁移,尤其是智能终端设备的大量使用,导致整个防御体系千疮百孔。从大的架构层面,医疗健康的防御可以分为基础设施防御(包括信息化基础设施、服务器、终端、网络、应用);供应链管理(包含医技设备的设备设施供应链;供应商管理;软件供应链管理);人员意识和能力管理;在此基础上搭建数据安全管理,将零信任融入访问控制,通过隐私计算构建数据处理全过程管理。传统的网络数据安全策略和产品对不同医疗健康领域所产生的作用并不是很大,不是产品问题,而是医疗健康领域数据本身的特殊性和对完整性的极度苛刻要求。一个影像中由于延时或者丢包产生的一个细微的阴影都可能改变整个诊疗结果甚至危及生命,这也许是很多医疗健康机构不愿意更多的使用相关技术干预诊疗活动的一个重要因素。而片面的强调网络和数据安全问题,对医疗健康单位并不一定是有促进作用的。在完整的数据防御中,针对DLP、加密技术的应用将成为医疗健康机构的双刃剑,既要保护又要不影响业务,因为我们必须考虑到整个医疗健康机构的信息化使用水平和能力的问题以及医疗健康机构终端设备的性能问题。检测什么?从数据安全角度出发,首先应对所有访问患者信息的行为进行检测;那么患者信息又会有多少呢?从哪里访问?访问业务需求有哪些?比如:保险公司在承保健康保险时,他需要投保人提供并核实医疗健康信息,而这个信息核对的源头在医疗健康机构;这时候就会产生一个简单的业务链:早期现场查阅医疗健康机构提供的材料,该阶段弱检测,只能通过记录知道曾经查询过,无法对查询内容、数量给出很好的识别和发现,个人舞弊、串谋都可能导致数据过量获取或泄露;后期通过技术手段查询,但是如果对查询条件没有形成精细化约束同样可能产生超量获取问题;虽然检测活动可以对整个查询过程形成记录,但是在未形成损害时,难以对查询是否违规做出响应;以后,应该是由保险管理机构提供标准的查询条件表单,在查询平台提供表单,表单返回“T”和“F”的判定值,而不显示任何实质数据。从而满足业务需求。对于检测而言,更多的是对查询量、途径、实体身份、行为进行检测和分析。实际上,在整个检测中,随着数据的开放,针对所有访问数据的源建立检测是一切检测能力的基础;其次,组织必须明确数据的“取”与“予”的关系,在检测中明确“取”和“予”的动作发生的条件、成因、途径符合用户行为准则。检测需要驱动数据安全事件管理的预警机制,从积极方面而言,数据的检测还能对数据的完整性和数据质量建立深度分析,从而提高医院对数据所产生的高质量数据集的辅助。针对数据检测和传统网络安全的检测存在很大的不同,传统的网络安全检测基于OSI的四层之下建立检测识别,通常我们可以将检测机制部署在网关、旁路挂载等多种方式;但是,数据需要从四层之上建立包的分析,从而减低由拆包过程带来的检测消耗,因此,数据的检测机制部署往往需要在数据库服务器前端和终端部署,才能有效实现数据行为检测和数据安全检测;在云平台中,受容器和租户的影响,检测能力会受到相应影响,因此需要综合测试验证之后方能讨论检测技术;同时需要注明的是,检测技术不能对加密流进行识别。医疗健康机构随着数字化的发展,还面临一类重要的检测能力-API检测;所有的数据流转都可能需要不同的API接口承载,这使得API检测能力将成为医疗健康机构重要的检测能力要求。医疗健康行业需要建立的检测能力包括网络检测、终端检测、应用检测和威胁情报;威胁情报应由医疗健康机构管理部门统一建设和统一管理。事件响应是事件管理的重要活动。响应是建立在检测基础之上;通过检测产生的主动响应是医疗健康机构最佳时间;而上级主管部门和行政执法部门通报事件的被动响应对医疗健康机构而言并不是一个最佳选择;响应能力不仅是一个简单的文件化的预案,而是需要针对各种可能针对医疗健康机构产生数据妥协的行动和能力。比如:利用数据备份对抗被勒索后的快速恢复和财务损失;通过有效的数据资产清单可以快速的溯源数据泄露事件的发生已经沦陷的主机、接口、账号等;通过人员意识能够准确判断钓鱼攻击等等;响应能力还需要构建完整的流转机制,使得处理事件可以在不影响医疗健康机构正常业务执行情况下完成,一旦对业务产生影响,根据影响的程度基于预案降低影响的范围和程度等;这需要各个部门之间形成密切的配合和协作,同时也需要服务商能够在充分理解医疗业务风险的前提下提出合理的解决方案。恢复是应对整个数据安全事件最后的环节,恢复不仅仅是业务的恢复,而是将业务和数据形成的综合恢复。医疗健康数据具有完整的逻辑性和闭环效应,也就是说,患者的完整诊疗记录不得缺失,这就使得数据的备份和数据的恢复能力是在一个极度严谨的环节中形成的。而在整个恢复过程中,对数据的验证也是需要极度苛刻。越是规格高的医院,对恢复的要求要严格。对于云环境的备份与恢复还应该考虑到整个资源池崩溃后带来的数据恢复能力和业务恢复能力的实现。曾经有朋友问我,医疗健康数据是不是比其他行业复杂。其实任何行业领域在数据安全保障中都存在着本质的区别和不同,没有谁更复杂的说法。只是医疗健康数据所涉及的部门、接口、流程、类型随着数字化的需求变得更加复杂,这是从传统的封闭式医疗环境到互联化医疗环境产生变革的必然。比如计费:传统的计费完成缴交计费即可,现在的计费需要把计费结果通过HIS分发到药房、药库、手术室、ICU、住院部等等一系列的内部部门,还要同步医保、税务数据,任何一个环节产生中断都会给业务带来不同的影响;比如:计费不能和税务同步,医保不能确认,医保缴费失败,缴费失败;缴费失败同步所有诊疗活动都可能暂停,因为我没有收到缴费确认,药房开不了药,手术室拿不到器械和准备药品、血浆;这就使得以前单一的业务关联被强制构成强关联。数据的复杂不在于数据自身而是数据驱动业务活动中的作用和结果。随着AI技术的应用,相信医疗健康数据泄露将走向新的高点,这本身不是排除AI,而是希望医疗健康机构能够合理、有效、安全的使用AI。行业AI小模型的建设迫在眉睫,利用小模型的有限访问是制约AI数据泄露的必由之路。
特别声明:智慧医疗网转载其他网站内容,出于传递更多信息而非盈利之目的,内容仅供参考。版权归原作者所有,若有侵权,请联系我们删除。
凡来源注明智慧医疗网的内容为智慧医疗网原创,转载需获授权。
