“涉疫病历防泄露”是一个医疗新课题

2021-01-19 22:25:41 涉疫病历防泄露

近日,陕西白水县林皋镇郭某在白水县医院就诊病历的照片在微信群内被转发,引起网民关注。经查,1月14日,白水县医院工作人员李某某在工作期间汇总患者就诊病历时,为展示其正在加班,将病历资料拍照并通过微信发至同办公室工作人员楚某某。楚某某将病历资料照片通过微信发于自己的家庭群,致使该病历照片在微信等社交平台中大量被转发传播。1月15日,白水县公安局对违法嫌疑人楚某某处以行政拘留9日、并处500元罚款。


涉疫个人信息一旦遭到泄露,患者轻则受到歧视,重则受到骚扰,并可能造成一定社会影响,妨碍当地疫情防控大局。此前,成都20岁确诊女孩因信息泄露遭到网暴等事件,说明涉疫个人信息比其他涉及患者的信息更加敏感,理应得到更强有力的保护。而实际情况是,正因为涉疫个人信息更敏感,也就更容易被泄露,近期多地出现涉疫个人信息被泄露事件,已有多人因泄露他人涉疫隐私被罚款、解聘、行政拘留。在这些隐私当中,有不少属于涉疫病历和流调信息,泄密人员不少属于医疗机构工作人员。

文件加密

防止涉疫个人信息包括涉疫病历被泄露,是一个十分严肃的新课题。传统的纸质和电子病历都有相应的防泄露规则,比如纸质病历允许复印的内容和审批流程、电子病历系统的进入权限等,都有明确规定。长期以来,受行业规范的约束,医务人员对传统病历的保护意识普遍较高,但汇总的涉疫信息属于纸质和电子病历之外的内容,容易出现麻痹思想。疫情不常有,流调不常进行,防疫期间这类工作突然增多,医疗系统还没有构筑起足够坚固的数据安全堤坝。在这起案件当中,涉事工作人员虽然如此随意处理涉疫病历,但对于传统病历,或许仍会有很强的保护意识。

在处罚方面,对于病历泄露也有了新规定。《治安管理处罚法》第四十二条明确了对散布公民个人隐私违法行为的处罚标准,但这属于老规定;而刚刚通过的《民法典》第六章第一千二百六十二条明确,医疗机构及其医务人员泄露患者隐私和个人信息或者未经患者同意公开其病历资料的,应当承担侵权责任。此条款二审时删去了“造成患者损害”这一前提条件,因而与过去有了很大的不同。根据这一条款,医务人员泄露患者隐私,无论造成损害与否均应担责。陕西白水县的这次泄露案件虽然还没有对患者造成直接影响,但根据新的《民法典》,在民事方面,涉事人员也要担责。

针对这个新课题,医疗系统要强化医务人员对涉疫病历的保护意识,使严守涉疫隐私成为医务人员的基本素养。要筑牢医院信息系统的技术防线,对于统计涉疫信息的电脑,应确保专人专用,最好不允许安装聊天软件,并使用无法复制粘贴的专用报表与文件来汇总信息。处罚力度也应加强,在给予行政拘留和罚款处罚之后,应鼓励民事维权和索赔。

对新现象、新课题要有新对策,方能快速顺应变化,补齐涉疫个人信息包括涉疫病历保护不力的短板。


针对医疗行业的数据安全需求,信护宝提供以下解决方案:

1. 分类分级
在医疗信息系统中存储着大量且不同类型的数据,其所面临的数据安全风险和重要性存在差异性。医院可从数据的机密程度进行分类分级,结合智能识别加密功能,对含敏感词的文件资料强制加密,而不含敏感词且公开的文件,不做加密处理。
2. 流动安全
信护宝对医疗数据从产生到场景化使用的全生命周期进行流向监控与精准分析。当数据被合规用户通过U盘拷贝带走时,没有上级领导审批解密的情况下,是无法在非授权环境下打开或打开乱码的。
3. 集中管控
信护宝对医疗信息系统内的数据资源和用户权限进行统一管控,针对不同访问需求,规范划分医护人员、IT信息人员、第三方运维人员、医学科研人员等的访问权限;同时,对人员的数据访问行为进行全面审计,并对审计日志进行详细分析,生成审计报告,实现医疗数据安全防护的集中管理、风险预知、严密监控。

方案优势

1. 信护宝采用文件过滤驱动层加密技术实现数据加解密,安全、稳定、效率高;
2. 全面覆盖Mac、Windows以及Linux系统,在多个系统之间实现文档的统一加密,无缝管控;
3. 全方位实现内部文档的流转、存储、使用、外发等过程中的安全管控。
4. 所有操作记录可查可审,方便医院管理及审计。