【探討】論移動醫療APP的數據安全和隱私保護問題

1 評論 23250 瀏覽 15 收藏 11 分鐘

一、移動醫療APP的發展現狀

近幾年,隨著互聯網的發展和移動終端的普及,醫療類應用已不再是什么新鮮事物,移動醫療產業正處于爆發式增長的初期,據估計,到2015年全世界范圍內將有5億智能手機用戶使用醫療保健相關的應用程序;到2018年,將會有超過17億的智能手機與平板電腦用戶下載移動醫療應用程序。

《2012-2013中國移動醫療市場年度報告》顯示,我國已有2000多款移動醫療APP。隨著移動互聯網技術的發展,國內的移動醫療APP軟件正如雨后春筍搬的涌現出來。國內出現了幾大主流移動醫療APP,如春雨醫生、家庭醫生在線、好大夫在線、丁香醫生、快速問醫生、杏仁醫生等,更有百度、騰訊、阿里巴巴、平安集團等商業巨頭的強勢加入。

二、移動醫療APP存在的數據安全和隱私保護問題

國家衛計委近期公布了《遠程醫療信息系統建設技術指南(2014年版)》,遠程醫療中涉及到的患者電子病歷、健康檔案、會診信息、影像數據等,其安全性是業內普遍關注問題。但目前最大的障礙是:沒有統一的規范。

移動醫療火起來了,移動醫療時代的醫療信息安全問題也接踵而來,人們對于移動健康應用監管領域的擔憂也越發嚴重。移動醫療應用必將涉及大量新數據,其必將關系到用戶的隱私問題,一旦發生泄漏可能對移動醫療產業發展帶來毀滅性的打擊。移動醫療應該有效的保障用戶的醫療和健康數據安全,保護患者隱私。如何保障移動醫療的數據安全和數據隱私,成為了國內外移動醫療機構亟待解決的問題。

由于醫療行業自身的特點,醫療機構檔案的保留時間一般較長,且在線時間的要求也較其他行業高一些。

在醫院,門急診記錄保存時間不得少于15年,住院病歷的保存時間約為30年,名人病歷將無限期保存。一般的慣例為病歷、影像有條件的要無限期保存。影像數據在線時間3年,3年前的數據歸檔到離線服務存儲;

HIS生產系統服務器在線時間5年,5年前的數據歸檔歷史服務器;電子病歷無歸檔,全部在線。所有的數據中心存儲均擁有數據生命周期管理,特別是PACS系統建立了生命周期管理。

從應用現狀統計情況來看,各醫院的儲存系統一般2年擴容或者更新一次,服務器系統容量一般3~4年省級或者擴容一次。

而移動醫療APP是實時、動態、持續的搜集和接收用戶的整個健康過程的所有記錄,包括用戶個人信息、電子健康檔案、疾病咨詢記錄、疾病就醫記錄、慢病管理以及無線設備監測的生理指標和體征數據等,隨著用戶數量的不斷增長和數據的日積月累,服務器儲存的大數據將會越來越多。面對如此龐大的數據,如何才能保障數據的安全和保護患者的隱私呢?

三、數據安全與隱私保護受到重視

談到醫療信息安全隱私,就必須提及1996年美國的HIPAA法案(健康保險攜帶和責任法案)。該法案對多種醫療健康產業都具有規范作用,包括交易規則、醫療服務機構的識別、從業人員的識別、醫療信息安全、醫療隱私、健康計劃識別、第一傷病報告、病人識別等。

HIPAA明確表明,故意獲取或者違法公布揭露受保護醫療信息PHI將被處以5萬美元的罰款和最高1年的監禁。如果故意偷竊并出于商業用途、個人利益或惡意傷害等目的,對于受保護醫療信息進行交易、倒賣、或利用,違反者會面臨高達25萬美金的罰款和10年監禁。民事侵害的罰款從每年5萬美元開始,最高罰款150萬美元。HIPAA法案的處罰如此之重,為了減少因違反HIPAA而導致訴訟或巨額罰款發生的可能性,醫療機構可以在公司設立首席合規官,對員工進行全面積極的HIPAA培訓,隱私信息進行加密等操作。

世界上現在有很多國家已經有通過法律詳細規定了個人信息和個人隱私保護方面的法律。另外,也有越來越多的國家對移動醫療健康應用進行市場準入認證和監管,公眾認知度比較高的是美國和歐盟。

2011年7月,美國FDA發布了一份針對移動醫療APP的監管指導草案,是最早以保護消費者為主要職能的聯邦機構之一。FDA根據風險等級的不同,FDA將包括移動醫療APP在內的醫療設備分為三類(Ⅰ,Ⅱ,Ⅲ),Ⅲ類風險等級最高。FDA將每一種醫療設備都明確規定其產品分類和管理要求,主要集中于對那些非正常運行時會對病人存在較大安全隱患的移動醫療App,對于那些風險較小的絕大多數移動醫療App,FDA擬行使執法自由裁量權,這意味著它不會強制按照聯邦藥品與化妝品法案執行。對于移動醫療app是否應受監管,美國業界說法不一。許多人指責FDA的審批流程耗時過長,標準執行前后不一,稱其監管政策遏制了行業創新,限制了移動醫療app市場的發展。

然而,歐盟對移動健康應用的認真批準流程被廣泛贊譽。歐盟有超過70家認證機構,遍布其成員國。一旦一款醫療設備通過了任何一個機構的審核批準,該設備在整個歐盟都準許銷售。和美國相比,歐盟流程的權力集中程度較低,但是效率卻更高。歐盟將監管審批分散到更多的評審機構以加快審批進度,減少開發者的等待時間,增加監管執行的前后一致性。使得很多移動健康領域的開發者都懸著首先在歐盟發布產品,然后再用這筆收入去補貼更嚴格的美國監管審批流程的花費。

我國的移動醫療發展步伐稍后于歐、美等國,相關的監管亦不完善,但是政府對移動醫療持明確的支持態度,相關的國家部委出臺了系列文件和政策鼓勵、支持移動醫療的發展。例如:科技部在《醫療器械科技產業“十二五”專項規劃》中將移動醫療定為重點技術發展領域和重點產品開發領域;衛生部在《國家重大專項“區域協同醫療服務示范工程》中把移動醫療作為重點發展方向之一,發起并贊助一批醫療示范項目;工信部在《物聯網“十二五”規劃》中,將智能醫療作為九大重點領域之一,個人醫療監護和遠程診斷是發展重點。

上述的國家衛計委近期公布的《遠程醫療信息系統建設技術指南(2014年版)》也提出具體的安全措施,比如數據采集應采用統一的數據采集通道確保醫療信息資源數據的采集安全;數據存儲環節應采用碎片化分布式離散存儲技術保存醫療信息資源;在數據傳輸環節,應通過采用VPN和數據傳輸加密等技術,實現數據傳輸通道的安全;數據刪除應保證磁盤存儲空間被釋放或再分配給其他用戶前得到完全清除;完全數據備份至少每天一次,備份介質場外存放。

四、總結:

在移動醫療的大背景下,網絡信息的安全性和保證患者隱私對于醫療行業是至關重要的。在數據流及網絡通信中必須保證數據安全,保護患者的隱私。任何在互聯網上傳輸的數據都需要加密并且嚴格要求驗證用戶名、密碼等,任何下載行為需要符合醫療機構的網絡安全策略要求并且要求身份驗證,任何向第三方應用傳播數據的過程都需要用戶的親自授權。另外,國家應該及時出臺相關監管法律,明確各個監督主體的職責、構建專業人士資質審查機制、構建基于移動醫療APP所引發糾紛的處理機制、構建就醫用藥科普機制等。與此同時,各醫療機構應該制定相關的信息安全保障機制和加強內部運作的監控,無論是內聘的工作人員還是外招的醫療合作團隊和第三方合作機構,都應該進行相關的制度培訓。

#專欄作家#

雷華萍,微信公眾號:yidongyiliaoquan(移動醫療圈),人人都是產品經理專欄作家,家庭醫生在線運營總監,長期從事互聯網行業,非常喜歡研究移動互聯網相關業務,對APP運營有自己的獨特見解。

本文系作者授權發布,未經許可,不得轉載。

更多精彩內容,請關注人人都是產品經理微信公眾號或下載App
評論
評論請登錄
  1. 請問作者,我想引用你的這篇博文的部分內容可以嗎?

    來自江西 回復