在《中共中央关于进一步全面深化改革、推进中国式现代化的决定》审议通过的浪潮中,构建全国统一大市场与加快医疗体系现代化建设的号角已经吹响。这一重大决策不仅为医疗行业描绘了宏伟蓝图,更是指明了医疗信息化作为关键驱动力的发展方向,其中数据要素的互联互通成为了新时代的热点与焦点。
随着《决定》的深入实施,医疗领域迎来了前所未有的发展机遇。方正证券的最新报告《政策顶层设计引领医疗信息化科技新内需,重点关注数据要素互联互通》深刻揭示了我国医疗信息化正从区域信息化迈向智能化发展的新阶段。这一转变的核心在于医疗数据的互联互通,它如同医疗体系的血脉,将有效提升诊疗效率,减轻患者负担,为健康中国战略的实施注入强劲动力。
一、国家对于医疗信息化在政策端层层加码
近年来,国家层面对于医疗信息化的支持力度持续加大,一系列政策的密集出台彰显了国家对这一领域的重视。从鼓励医疗机构信息化建设,到推动电子病历系统应用水平分级评价,再到加强医疗数据资源管理和安全保护,每一项政策都精准地指向了数据互联互通这一目标。
2016年10月,《“健康中国2030”规划纲要》指出建设互联互通的国家、省、市、县四级人口健康信息平台,实现公共卫生计划生育、医疗服务、医疗保障、药品供应、综合管理等应用信息系统互联互通和业务协同。
2018年4月,《全国医院信息化建设标准与规范(试行)》指出对二级医院、三级乙等医院和三级甲等医院的临床业务医院管理等工作需要给出明确规定。
2018年8月,《进一步推进以电子病历为核心的医疗机构信息化建设工作》强调了促进医疗机构之间的信息化系统实现互联互通,消除信息孤岛,实现医疗信息在医疗机构之间、在区域内的共享和交换。
2019年4月,《全国基层医疗卫生机构信息化建设标准与规范(试行)》着眼未米5-10年全国基层医疗卫生机构信息化建设应用和发展要求,满足全国社区卫生服务中心(站)乡镇卫生院(村卫生室)的服务业务、管理业务等。
2021年10月,《公立医院高质量发展促进行动(2021-2025年)》提出将信息化作为医院基本建设的优先领域,建设电子病历、智慧服务、指挥管理“三位一体”的智慧医院信息系统完善智慧医院分级评估顶层设计。
2022年5月,《“十四五”国民健康规划》提出要促进全民健康信息联通应用,落实医疗卫生机构信息化建设标准与规范,依托实体医疗机构建设互联网医院,支持医疗联合体运用互联网技术便捷开展预约诊疗、双向转诊、远程医疗等服务,优化“互联网+”签约服务。
2022年11月,《“十四五”全民健康信息化规划》提出8个方面主要任务。
2023年11月,《卫生健康统计工作管理办法》要求各级卫生健康主管部门应当积极推广应用信息技术,大力加强统计信息化建设。
2024年1月,《“数据要素x”三年行动计划(2024-2026年)》提出提升群众就医便捷度,探索推进电子病历数据共享,在医疗机构间推广检查检验结果数据标准统一和共享互认。
2024年1月,《“优质服务基层行”活动和社区医院建设三年行动方案》提出要加快基层信息化建设。
2024年3月,《关于进一步推进医师电子化信息管理工作的通知》提出了各级卫生健康行政部门进一步推进医师电子化信息管理工作的具体措施和要求
2024年6月,《深化医药卫生体制改革2024年重点工作任务》要求“推进数字化赋能医改”。
2024年7月,《关于2024—2025年持续开展“公立医疗机构经济管理年”活动的通知》调了信息化建设的重要性,要求各地积极搭建信息化管理平台。
这些政策的密集出台表明,在“十四五”期间,国家正积极推进建设智慧化的医疗卫生体系,对数字化和互联互通的需求正在显著增加。
二、医疗数据安全存在诸多挑战
然而,在医疗数据互联互通带来巨大机遇的同时,数据安全保护的新挑战也随之而来。随着医疗信息化政策法规体系的不断完善,如何确保医疗数据在流通中的安全性、完整性和隐私保护,成为了亟待解决的问题。医疗数据涉及个人隐私和公共卫生安全,一旦发生泄露或被滥用,后果不堪设想。
1.数据安全合规风险
我国形成了以《网络安全法》《数据安全法》《个人信息保护法》为代表的数据安全顶层监管框架。医疗行业也出台了《医疗卫生机构网络安全管理办法》等各项监管政策,监管要求日趋精细化,网络和数据安全监管要求越来越多,满足监管的难度越来越大。
2. 数据资产发现与分类分级难题
医疗数据资源庞大且分散,缺乏有效的数据资产发现工具和技术,导致难以全面掌握数据分布、性质和敏感程度,这直接影响数据分类分级工作的准确性。数据分类分级是构建完善数据要素市场的必要前提。基础制度建设相对滞后,无法有效支撑数据分类分级工作;传统数据分类分级工具在敏感数据的宽度、精度识别率不高;面向海量数据的数据资产分类分级,专业人员数量缺口巨大。
3.数据安全保障体系建设滞后
随着大数据、云计算等新技术的应用,医疗数据要素面临新的安全威胁。传统的安全防护措施可能无法应对复杂多变的攻击手段,如数据泄露、篡改、勒索等。同时,数据安全风险感知、监控、预警和应急响应能力不足,使得在发生安全事件时,难以及时、有效地进行处置。
4. 数据共享与开放的风险
医疗现有数据共享与开放的管理制度可能存在不足,如权限管理不严、数据去标识化处理不彻底、对外合作方监管不力等,导致数据在流转过程中易受攻击。
5.数据流通风险
医疗数据要素流通使用环境复杂,涉及多方主体、多个环节,同时数据产品具有极易复制、非排他性、难追溯等特征,均使数据流通使用面临安全风险、隐私泄漏挑战等问题。这不仅威胁国家数据安全,也不利于企业和个人数字权益的保护,严重阻碍数据要素流通使用市场化配置。
三、全流程治理体系保障医疗数据安全
面对日益严峻的数据安全环境,道普信息风险管控专家倡导构建全面的构建动态安全防护体系,积极跟踪国内主要政策,切实落实数据安全要求,建立起可信赖的医疗领域数据安全环境。
01
1、强化数据资产管理
01应用数据资产发现工具:部署数据发现产品,通过预配置数据分类分级模板,自动化识别数据业务类型,对数据含义进行标识,从而全面、准确地掌握医疗数据资产状况。
02统一分类分级标准:结合国家和地方发布规范,梳理并制定适用于本地实际情况的分类分级参考规范,确保数据管理的标准化、一致性。
02
构建全方位数据安全防护体系
01建立数据安全风险感知平台:实现数据安全的“六个统一”管理,即统一账户、统一监控、统一展示、统一分析、统一告警、统一配置,提升数据安全防护的主动性和整体性。
02加强技术防护措施:采用数据加密、访问控制、身份鉴别、数据脱敏、安全审计等技术手段,确保数据在采集、传输、存储、处理、交换、销毁等全生命周期各环节的安全。
03完善数据安全运营与风险监控机制:实施安全合規管理,定期进行安全审计,强化医疗数据防泄漏措施,确保数据备份恢复系统的有效性,以应对潜在安全风险。
03
规范数据共享与开放流程
01建立健全数据共享管理制度:明确数据内外共享交换管理细则,严格账号权限管理,实施共享操作审计,对合作方进行背景资质审查,确保数据在共享过程中的安全可控。
02严格执行数据去标识化和标签化:在数据对外开放时,严格执行数据脱敏和标签化处理,遵循开放流程,加强对合作方的数据安全管理,防范数据滥用和隐私泄露风险。
04
注重多规管理融合
基于网络安全责任制、等级保护、关基保护、密码应用、数据安全、个人信息保护等监管要求,一次测评,多规满足,针对风险提出改进建议,实现合规工作的规范化,降低合规管理成本,满足监管部门各项数据安全要求,减少监管部门的通报,实现医疗领域全面合规。
随着医疗信息化的深入发展,数据互联互通为医疗行业带来了前所未有的机遇。然而,随之而来的数据安全挑战也不容忽视。只有通过建立健全的数据安全治理体系,才能充分挖掘健康医疗数据的价值,使其在生产力要素市场中发挥更大的作用,最终实现社会效益和经济效益的双丰收。未来,医疗行业的数字化转型之路将更加稳健、安全、高效。
