随着《2024年中国AI医疗行业全景图谱》的权威发布,中国AI医疗的浪潮正以前所未有的速度席卷而来。技术创新的累积与资本市场的青睐,共同推动了AI医疗服务从理论走向实践,深刻改变着医疗健康的每一个角落。然而,在这场科技盛宴的背后,是海量健康医疗数据的汇聚,它们既是推动医疗进步的宝贵财富,也是数据安全与隐私保护的新挑战。
一、AI医疗下的隐忧:数据安全重重考验
AI技术在健康医疗领域的应用使得我国健康医疗产业汇聚了大量健康医疗数据,包括患者病历数据、临床诊断数据、人类基因遗传数据、医学生物实验数据等。例如,药物和医疗器械的研发需要收集、分析和处理大量药品试验数据和群体医疗器械试验数据;基因测序需要分析和测算大量的人类遗传资源信息;大规模公共卫生事件防治时需要追踪病原并收集、分析公众的健康医疗数据;AI辅助诊疗需要分析和处理大量的诊疗数据和健康管理数据。这种“泛在化”的数据采集必然会加剧健康医疗数据泄露或被非法使用的风险。同时,健康医疗大数据的多样性、敏感性和高风险性等特征决定了其一旦泄露或被非法使用,将会对个体、组织或国家造成侵害。 在个体权益层面,健康医疗数据的泄露或被非法使用极易导致患者隐私和个人信息权益受到侵害。诊疗过程中的患者病历信息、不良反应报告信息、临床试验数据等均可归属于《个人信息保护法》所指向的“敏感个人信息”的范畴,一旦被泄露或非法使用,极易导致个体的人格尊严受到侵害或者人身、财产安全受到危害。 在国家或社会公共利益层面,一些涉及群体的高度敏感的数据(如人类遗传资源数据、群体医疗数据、基因、疾病防治统计数据等)关乎生物安全,一旦泄露或被非法使用,可能会导致“基因歧视”“生物恐怖袭击”等严重后果,甚至可能会导致他国利用这些群体数据非法研制针对特定族裔的生化武器,进而危害国家或社会公共利益。 事实上,健康医疗数据的合法合规使用是发展“AI+医疗”的关键和保障,该问题的解决不仅需要国家立法层面的完善,还需要回应公众对于健康医疗数据泄露或被非法使用的担忧,从而确保健康医疗数据运用的自主性和合法性。
二、政策引领AI医疗数据安全健康发展
为了促进医疗行业的转型升级,中国政府及相关主管机构出台了多项政策措施,致力于构建完善的AI医疗应用标准体系。这些措施不仅支持了AI医疗技术的发展,也为探索更广泛的智能医疗服务提供了指导方向。 2024年7月,《健康中国行动--慢性呼吸系统疾病防治行动实施方案(2024-2030 年)》提出加强规范化诊疗和健康管理。完善慢性呼吸系统疾病相关诊疗指南、临床路径。探索应用人工智能、大数据等新一代信息技术建立规范化基层诊疗辅助系统。 2024年6月,《2024-2025 年持续开展”公立医疗机构经济管理年“活动》指出强化人工智能、大数据、云计算等现代信息技术应用加快内部各类信息系统互通互联、各类数据共享共用,充分发挥信息化在业务管理与经济管理融合发展中的重要支撑作用,显著提升运营管理精细化水平和效率效益。 2023年12月,《全面推进紧密型县域医疗卫生共同体建设》提出统一县域医共体内信息系统,加强数据互通共享和业务协同推动人工智能辅助诊断技术在县域医共体内的应用。将远程医疗延伸到乡村,推行基层检查、上级诊断、结果互认。加强网络信息安全。
三、挑战依旧,数据安全任重道远
尽管政策法规体系不断完善,但AI医疗领域的数据安全和隐私保护仍面临诸多挑战。技术的快速迭代、数据流通的复杂性以及监管能力的建设等,都是亟待解决的问题。如何在保障数据安全与隐私的前提下,促进AI医疗技术的创新与应用,成为摆在我们面前的重要课题。 数据安全合规挑战 我国形成了以《网络安全法》《数据安全法》《个人信息保护法》为代表的数据安全顶层监管框架。医疗行业也出台了《医疗卫生机构网络安全管理办法》等各项监管政策,监管要求日趋精细化,网络和数据安全监管要求越来越多,满足监管的难度越来越大。 数据分类分级挑战 数据分类分级是构建完善数据要素市场的必要前提。基础制度建设相对滞后,无法有效支撑数据分类分级工作;传统数据分类分级工具在敏感数据的宽度、精度识别率不高;面向海量数据的数据资产分类分级,专业人员数量缺口巨大。 数据流动监测挑战 业务对数据流动性要求日益增加,使得数据流动路径变长,给监测带来困难。 数据泄露和信息安全威胁挑战 在数字经济时代,数据泄露和信息安全威胁是最主要的挑战之一。黑客入侵和网络攻击频繁发生,企业面临着盗窃、勒索和恶意软件等多种风险。 数据安全保障体系建设滞后 随着大数据、云计算等新技术的应用,医疗数据安全面临新的威胁。传统的安全防护措施可能无法应对复杂多变的攻击手段,如数据泄露、篡改、勒索等。同时,数据安全风险感知、监控、预警和应急响应能力不足,使得在发生安全事件时,难以及时、有效地进行处置。
四、全流程治理体系保障医疗数据安全
面对日益严峻的数据安全环境,道普信息风险管控专家倡导构建全面的构建动态安全防护体系,积极跟踪国内主要政策,切实落实数据安全要求,建立起可信赖的医疗领域数据安全环境。 强化数据资产管理 01应用数据资产发现工具:部署数据发现产品,通过预配置数据分类分级模板,自动化识别数据业务类型,对数据含义进行标识,从而全面、准确地掌握医疗数据资产状况。 02统一分类分级标准:结合国家和地方发布规范,梳理并制定适用于本地实际情况的分类分级参考规范,确保数据管理的标准化、一致性。 构建全方位数据安全防护体系 01建立数据安全风险感知平台:实现数据安全的“六个统一”管理,即统一账户、统一监控、统一展示、统一分析、统一告警、统一配置,提升数据安全防护的主动性和整体性。 02加强技术防护措施:采用数据加密、访问控制、身份鉴别、数据脱敏、安全审计等技术手段,确保数据在采集、传输、存储、处理、交换、销毁等全生命周期各环节的安全。 03完善数据安全运营与风险监控机制:实施安全合規管理,定期进行安全审计,强化医疗数据防泄漏措施,确保数据备份恢复系统的有效性,以应对潜在安全风险。 规范数据共享与开放流程 01建立健全数据共享管理制度:明确数据内外共享交换管理细则,严格账号权限管理,实施共享操作审计,对合作方进行背景资质审查,确保数据在共享过程中的安全可控。 02严格执行数据去标识化和标签化:在数据对外开放时,严格执行数据脱敏和标签化处理,遵循开放流程,加强对合作方的数据安全管理,防范数据滥用和隐私泄露风险。 注重多规管理融合 基于网络安全责任制、等级保护、关基保护、密码应用、数据安全、个人信息保护等监管要求,一次测评,多规满足,针对风险提出改进建议,实现合规工作的规范化,降低合规管理成本,满足监管部门各项数据安全要求,减少监管部门的通报,实现医疗领域全面合规。 《2024年中国AI医疗行业全景图谱》的发布,再次强调了AI医疗行业正处于快速发展期。未来,数据安全和隐私保护将成为影响AI医疗乃至整个数字经济可持续发展的核心要素。我们期待在各方共同努力下,能够构建一个既充满活力又安全可靠的AI医疗生态。
