2016年上半年开始,健康医疗大数据在中国骤然升温。6月下旬,《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》(国办发〔2016〕47号)(下文简称“47号文”)的出台,是一个具有里程碑意义的标志性事件。紧接着,8月19日-20日全国卫生与健康大会召开,习近平总书记发表重要讲话,指出“要完善人口健康信息服务体系建设,推进健康医疗大数据应用”。
卫生领域的大数据究竟有多热?8月29日-31日,2016年中国卫生信息技术交流大会在南京举行。国家卫生计生委副主任、中国卫生信息学会会长金小桃在开幕致辞中,重点阐述了正确把握健康医疗大数据的基本思路。此次会员代表大会还通过审议,拟将学会更名为“中国卫生信息与健康医疗大数据学会”。
可穿戴设备、互联网+健康医疗、分级诊疗、三医联动等,无不牵动着数据的互联互通和分析利用。2016年上半年,舆论关注的“魏则西”事件,更是暴露出互联网健康医疗信息的真实性不容乐观。在这样的大背景下,健康医疗数据的真实性、可靠性、安全性如何保证,将成为各级政府有效推动健康医疗大数据政策落地必须直面的重大命题。
47号文要求“推进网络可信体系建设”
对于47号文中的相关规定,执着耕耘医疗行业信息安全领域多年的北京数字认证股份有限公司(以下简称BJCA)有着深刻的认识与见解。
据BJCA医疗卫生事业部副总经理沈雷介绍,47号文第12条明确提出,要“推进网络可信体系建设”,并要求“强化健康医疗数字身份管理,建设全国统一标识的医疗卫生人员和医疗卫生机构可信医学数字身份、电子实名认证、数据访问控制信息系统,积极推进CA电子签名应用,逐步建立服务管理留痕可溯、诊疗数据安全运行、多方协作参与的健康医疗管理新模式。”
如果仔细通读47号文,就会发现,关键词“可信”、“安全”共出现了35次,是除“健康“、“医疗”、“数据”之外最多的强调词汇,凸显了中央政府希望强化安全的网络可信体系对于健康医疗大数据发展的重要保障作用。
健康医疗大数据利用的前提:对数据的控制和保护
在健康医疗大数据背景下,医疗信息化建设必然打破传统的数据孤岛,转而走向共享、开放。因此,健康医疗大数据将呈现日益活跃的“流动”趋势,在“流动”中发挥价值。比如,分级诊疗、远程医疗、健康管理等新业态的产生,必然驱动数据的有序流动、合理利用和安全分享。
但是,在数据“流动”的过程中,存在诸多隐患问题:对个体而言,特别关心数据的隐私泄露问题;对卫生医疗机构和主管部门来说,则关心数据是否“健康”,也即数据是否真实、完整、可信,关心敏感的大数据分析结果、政策依据等是否会泄露。安全,已经成为了健康医疗大数据的核心关切点。
当前,我国健康医疗大数据面临着前所未有的安全挑战。在互联共享的时代,数据全生命周期的每一个环节都无法独善其身,根据木桶效应,任何环节的短板都会导致全生命周期的崩溃。而互联网+时代导致数据的边界越来越模糊、越来越开放,进而导致各类网络攻击的手段越来越先进、越来越隐蔽、功利性越来越强。另一方面,业界的数据安全意识和保护手段还很薄弱,信息系统多采用用户名+口令等较弱的访问控制方式,对于数据更是无任何的保护措施,可以说,很多数据正在“裸奔”。
对以上的安全隐患进行归纳总结,沈雷指出,健康医疗大数据的安全需求有两类:
一是对数据进行控制:首先确定谁能访问,其次是对访问者身份进行认证,最后也是最重要的一点,是对访问者的权限控制和访问后的行为追溯,这是数据控制的重要目的。
二是对数据进行保护:也要做三个方面的工作,分别是对信息完整性的保护、防泄露的机密性保护、安全有序的可控“流动”。
网络可信体系是健康医疗大数据安全的关键保障
当前,在以“云-网-端”为主要建设思路的区域人口健康信息化网络可信体系中,主要包括“机构(系统)内”和“跨机构(系统)”两种应用场景。借助数字证书、CA电子签名等密码技术,构建基于CA电子认证的网络可信体系,是BJCA为47号文第12条提供的一份答卷。
据沈雷介绍,在机构(系统)内建设网络可信体系,核心是要保证数据来源安全、可信,保证数据真实、完整:应采用基于数字证书的身份认证和授权管理,保证身份真实、权限合理;采用CA电子签名,保障数据真实、完整、不可抵赖;采用加密技术,保证数据及隐私不被泄露。
而跨机构(系统)的网络可信体系建设,应首先在机构间建立多CA互信互认机制、制定共享安全技术标准,保证数据传输、共享和利用安全,保障数据不被泄露:针对“端”用户,采用基于数字证书或服务器证书的身份认证和数据电子签名,保障数据真实可信;针对“网”,采用CA电子签名和加密传输,保障数据的完整和不可抵赖、不可篡改;针对“云”端,采用数字身份管理和行为审计,保障数据可信。
沈雷认为,根据47号文第12条的要求,区域人口健康信息应紧紧抓住“可信医学数字身份”和“电子签名技术、加密技术”两大武器,保障健康医疗大数据的全生命周期安全:
“事前”,采用身份认证、授权控制,保证数据的控制身份真实、权限合理;
“事中”,采用传输加密、存储加密,保证数据的机密性、隐私的保密性;
“事后”,采用CA电子签名、安全审计,保证数据的完整性、真实性及行为的不可抵赖性。
而在“互联网+医疗”时代,仍然存在着如:在PC环境下数字证书介质无法迁移到移动互联网、文件证书无法合规和安全地在移动设备中使用等问题,数字身份管理和可靠CA电子签名服务同样面临挑战。
根据互联网医疗终端和使用场景的特点,BJCA提供了一款具备互联网特色的电子签名云服务:医网签。不需任何硬件介质,医网签即可实现可靠的身份认证和电子签名服务。它有两个特点:一是以移动终端为签名设备,与云服务进行互动,零介质成本和移动终端的方便性,实现了随时、随地、随签;二是该服务基于可信的第三方CA数字证书,是符合法律要求的、可靠的电子签名,同样符合47号文第12条对“可信医学数字身份”和“电子签名技术、加密技术”的安全要求。