随着医疗机构业务的长期发展，医疗数据不断产生，并持续积累。近年来国家健康行政部门推出了 200多项卫生信息标准，并利用互联互通标准化成熟度测评、电子病历系统功能应用水平分级评价等手段,推动医院数据质量治理。目前，医疗数据的可用度较高，应用范围较广，在物联网、大数据、人工智能等信息技术推动下，已经成为惠民便民服务、临床研究、运营决策、医疗行为监管、卫生政策制定的重要基础。

在数字经济时代,医疗数据因其价值巨大而被不法分子所觊觎。目前涉及医院的网络安全事件频发，不仅窃取、出售或提供患者信息的违法犯罪行为时有耳闻，甚至还出现了医院核心数据库遭黑客接管后加锁、致使医院运营停顿而被勒索的案件。这些都给医院的正常运转与患者的合法权益造成损失,影响非常恶劣。目前医院在信息安全建设方面的投入远低于医疗业务方面信息系统建设的投入。

医疗数据的构成

医疗数据主要由患者个人信息结合其接受医疗服务过程中产生的数据组成。医疗数据：数据和信息是紧密结合、不可分离的。数据是信息的表现形式和载体，而信息是数据的内涵。信息加载于数据之上，对数据作有意义的解释。对同一数据的不同解释,可以传递不同的信息,影响信息接受者对客观世界的判断。医疗机构所产生的医疗数据一般分为临床服务类、管理类和运营类。临床服务类数据以患者为核心展开,贯穿整个诊疗过程。它包括病程记录、检验检査结果、临床诊断、医嘱、手术、治疗、会诊、出院小结等。医疗管理类数据主要是医疗机构服务于患者过程中的数据,包括患者基本信息、专家排班表、各类代码字典、医疗服务及药品耗材价目表、费用明细表、各类推送与提醒信息等。运营类数据主要是医疗机构运行过程中产生的数据，包括机构基本信息、组织架构与人员信息、房屋土地与固定资产信息、供应链与各类采购进销存信息、财务与后勤保障信息等。这些信息与数据交叉融合,互为依赖,且不同的排列组合表达不同的含义。

患者信息：在医疗数据中，患者信息占据着重要的地位。患者信息是指以电子或者其他方式记录的、能够单独或者与其他信息结合,可识别特定自然人身份或者反映特定自然人活动情况的各种信息,包括姓名、身份证件号码、通讯联系方式、住址、账号密码、财产状况、活动轨迹等。医疗机构所需的患者信息是所有行业中最全的,除了身份识别信息，还包括指纹、虹膜、人脸等生物识别信息，甚至还有保险、金融等支付信息、精准医疗所需的基因信息等。患者在医疗机构接受医疗服务所产生的数据,与其基本信息相结合,以其居民健康卡号为唯一主索引，构成留存于医疗机构的患者信息。患者健康信息是医疗数据最重要组成部分,也是数字经济时代医院的核心资产之一。

频发的医疗数据安全事件

尽管医疗数据如此重要，但近年来医疗数据安全事件频繁发生，具体有如下种类。

违规统方：药品和医用耗材每个月的使用量，以及在医务人员中的分布量,是一些药品、医用耗材等供应商所关注的数据。他们根据相关数据，按一定的销售比例，给医务人员发放红包或提供回扣，以利诱少数医务人员超量使用相关药品材料,加重患者负担。这些数据的统计，有些是医务人员、管理人员从业务系统中手工记录、加工获得，有些则是医疗机构信息部门工作人员、第三方驻场工程师或非法入侵者，利用技术手段而取得的。

隐私泄露：患者的健康状况属于自身的隐私，只有在其知情同意的情况下,才能在一定范围内依法使用,否则很可能使患者遭受不公正待遇,严重影响其工作和日常生活,特别是一些患有传染性或特殊类疾病，如肝炎、性病、艾滋病等疾病的患者。然而，有些医疗机构的信息系统缺乏安全保护设计,普通工作人员可以随意检索,获取隐私信息。

信息倒卖：一些不法分子千方百计从医疗机构或与医疗机构合作的第三方互联网医疗平台中，通过短信截取、非法入侵等手段,获取患者信息,如姓名、性别、住址、联系方式等，并在互联网上公开叫卖，牟取利益。一些婴儿用品、保健品、陪护、康复器械商贩不断地向信息被泄露的患者推销其产品，使人不胜其烦。诈骗分子利用这些信息实施诈骗犯罪，使患者及其家属遭受经济损失。还有些不法分子,利用这些信息制作虚假证照、冒用身份，从事套取信用资金等不法活动。

数据篡改：极少数的从业人员,利用职务之便，非法篡改实验室数据或检査报告结果,致使医院提供虚假医学诊断证明。也有不法人员钻业务流程空子,内外勾结，以虚假退费等方式，骗取医院资金。甚至还有内部人员直接修改挂号信息,从而帮助黄牛非法牟利。

数据脱离监管：越来越多的临床专家们与第三方大数据公司合作,提供医院的全量数据，开展专科病种的回顾性、前瞻性研究或机器阅片等人工智能诊断方面的研究。这些数据传输并存储到第三方系统，脱离了医院的监管，导致出现医院数据与患者隐私泄露的现象。甚至还有部分人员违反国家有关规定，私自将数据传输到境外,结果由于严重危害国家安全受到处理。