【探讨】论移动医疗APP的数据安全和隐私保护问题

20150526131820430

一、移动医疗 APP 的发展现状

近几年,随着互联网的发展和移动终端的普及,医疗类应用已不再是什么新鲜事物,移动医疗产业正处于爆发式增长的初期,据估计,到2015年全世界范围内将有5亿智能手机用户使用医疗保健相关的应用程序;到2018年,将会有超过17亿的智能手机与平板电脑用户下载移动医疗应用程序。

《2012-2013中国移动医疗市场年度报告》显示,我国已有2000多款移动医疗APP。随着移动互联网技术的发展,国内的移动医疗APP软件正如雨后春笋搬的涌现出来。国内出现了几大主流移动医疗APP,如春雨医生、家庭医生在线、好大夫在线、丁香医生、快速问医生、杏仁医生等,更有百度腾讯阿里巴巴、平安集团等商业巨头的强势加入。

二、 移动医疗 APP 存在的数据安全和隐私保护问题

国家卫计委近期公布了《远程医疗信息系统建设技术指南(2014年版)》,远程医疗中涉及到的患者电子病历、健康档案、会诊信息、影像数据等,其安全性是业内普遍关注问题。 但目前最大的障碍是:没有统一的规范。

移动医疗火起来了,移动医疗时代的医疗信息安全问题也接踵而来,人们对于移动健康应用监管领域的担忧也越发严重。移动医疗应用必将涉及大量新数据,其必将关系到用户的隐私问题,一旦发生泄漏可能对移动医疗产业发展带来毁灭性的打击。移动医疗应该有效的保障用户的医疗和健康数据安全,保护患者隐私。如何保障移动医疗的数据安全和数据隐私,成为了国内外移动医疗机构亟待解决的问题。

由于医疗行业自身的特点,医疗机构档案的保留时间一般较长,且在线时间的要求也较其他行业高一些。

在医院,门急诊记录保存时间不得少于15年,住院病历的保存时间约为30年,名人病历将无限期保存。一般的惯例为病历、影像有条件的要无限期保存。影像数据在线时间3年,3年前的数据归档到离线服务存储;

HIS生产系统服务器在线时间5年,5年前的数据归档历史服务器;电子病历无归档,全部在线。所有的数据中心存储均拥有数据生命周期管理,特别是PACS系统建立了生命周期管理。

从应用现状统计情况来看,各医院的储存系统一般2年扩容或者更新一次,服务器系统容量一般3~4年省级或者扩容一次。

而移动医疗APP是实时、动态、持续的搜集和接收用户的整个健康过程的所有记录,包括用户个人信息、电子健康档案、疾病咨询记录、疾病就医记录、慢病管理以及无线设备监测的生理指标和体征数据等,随着用户数量的不断增长和数据的日积月累,服务器储存的大数据将会越来越多。面对如此庞大的数据,如何才能保障数据的安全和保护患者的隐私呢?

三、数据安全与隐私保护受到重视

谈到医疗信息安全隐私,就必须提及1996年美国的HIPAA法案(健康保险携带和责任法案)。该法案对多种医疗健康产业都具有规范作用,包括交易规则、医疗服务机构的识别、从业人员的识别、医疗信息安全、医疗隐私、健康计划识别、第一伤病报告、病人识别等。

HIPAA明确表明,故意获取或者违法公布揭露受保护医疗信息PHI将被处以5万美元的罚款和最高1年的监禁。如果故意偷窃并出于商业用途、个人利益或恶意伤害等目的,对于受保护医疗信息进行交易、倒卖、或利用,违反者会面临高达25万美金的罚款和10年监禁。民事侵害的罚款从每年5万美元开始,最高罚款150万美元。HIPAA法案的处罚如此之重,为了减少因违反HIPAA而导致诉讼或巨额罚款发生的可能性,医疗机构可以在公司设立首席合规官,对员工进行全面积极的HIPAA培训,隐私信息进行加密等操作。

世界上现在有很多国家已经有通过法律详细规定了个人信息和个人隐私保护方面的法律。另外,也有越来越多的国家对移动医疗健康应用进行市场准入认证和监管,公众认知度比较高的是美国和欧盟。

2011年7月,美国FDA发布了一份针对移动医疗APP的监管指导草案,是最早以保护消费者为主要职能的联邦机构之一。FDA根据风险等级的不同,FDA将包括移动医疗APP在内的医疗设备分为三类(Ⅰ,Ⅱ,Ⅲ),Ⅲ类风险等级最高。FDA将每一种医疗设备都明确规定其产品分类和管理要求,主要集中于对那些非正常运行时会对病人存在较大安全隐患的移动医疗App,对于那些风险较小的绝大多数移动医疗App,FDA拟行使执法自由裁量权,这意味着它不会强制按照联邦药品与化妆品法案执行。对于移动医疗app是否应受监管,美国业界说法不一。许多人指责FDA的审批流程耗时过长,标准执行前后不一,称其监管政策遏制了行业创新,限制了移动医疗app市场的发展。

然而,欧盟对移动健康应用的认真批准流程被广泛赞誉。欧盟有超过70家认证机构,遍布其成员国。一旦一款医疗设备通过了任何一个机构的审核批准,该设备在整个欧盟都准许销售。和美国相比,欧盟流程的权力集中程度较低,但是效率却更高。欧盟将监管审批分散到更多的评审机构以加快审批进度,减少开发者的等待时间,增加监管执行的前后一致性。使得很多移动健康领域的开发者都悬着首先在欧盟发布产品,然后再用这笔收入去补贴更严格的美国监管审批流程的花费。

我国的移动医疗发展步伐稍后于欧、美等国,相关的监管亦不完善,但是政府对移动医疗持明确的支持态度,相关的国家部委出台了系列文件和政策鼓励、支持移动医疗的发展。例如:科技部在《医疗器械科技产业“十二五”专项规划》中将移动医疗定为重点技术发展领域和重点产品开发领域;卫生部在《国家重大专项“区域协同医疗服务示范工程》中把移动医疗作为重点发展方向之一,发起并赞助一批医疗示范项目;工信部在《物联网“十二五”规划》中,将智能医疗作为九大重点领域之一,个人医疗监护和远程诊断是发展重点。

上述的国家卫计委近期公布的《远程医疗信息系统建设技术指南(2014年版)》也提出具体的安全措施,比如数据采集应采用统一的数据采集通道确保医疗信息资源数据的采集安全;数据存储环节应采用碎片化分布式离散存储技术保存医疗信息资源;在数据传输环节,应通过采用VPN和数据传输加密等技术,实现数据传输通道的安全;数据删除应保证磁盘存储空间被释放或再分配给其他用户前得到完全清除;完全数据备份至少每天一次,备份介质场外存放。

四、总结:

在移动医疗的大背景下,网络信息的安全性和保证患者隐私对于医疗行业是至关重要的。在数据流及网络通信中必须保证数据安全,保护患者的隐私。任何在互联网上传输的数据都需要加密并且严格要求验证用户名、密码等,任何下载行为需要符合医疗机构的网络安全策略要求并且要求身份验证,任何向第三方应用传播数据的过程都需要用户的亲自授权。另外,国家应该及时出台相关监管法律,明确各个监督主体的职责、构建专业人士资质审查机制、构建基于移动医疗APP所引发纠纷的处理机制、构建就医用药科普机制等。与此同时,各医疗机构应该制定相关的信息安全保障机制和加强内部运作的监控,无论是内聘的工作人员还是外招的医疗合作团队和第三方合作机构,都应该进行相关的制度培训。

#专栏作家#

雷华萍,微信公众号:yidongyiliaoquan(移动医疗圈),人人都是产品经理专栏作家,家庭医生在线运营总监,长期从事互联网行业,非常喜欢研究移动互联网相关业务,对APP运营有自己的独特见解。

本文系作者授权发布,未经许可,不得转载。

随意打赏

提交建议
微信扫一扫,分享给好友吧。