大數(shù)據(jù)背景下的基層醫(yī)院信息安全

石航 李志敏 羅淼

摘要：目的：為了解居民在進(jìn)入基層醫(yī)院或者小區(qū)過程中如需對外來人員進(jìn)行個人信息登記時，部分居民由于擔(dān)心個人信息的泄露而可能出現(xiàn)抵觸情緒，通過討論居民在進(jìn)行個人信息登記時的擔(dān)憂，發(fā)現(xiàn)問題并且提出一些切合實際的解決方法;方法：自行設(shè)計調(diào)查問卷，對目標(biāo)醫(yī)院及所處社區(qū)進(jìn)行調(diào)查，采取線上線下同時發(fā)放調(diào)查問卷以及走訪詢問等方式;結(jié)果：發(fā)放調(diào)查問卷351份，共回收291份，回收率約為82.8%，調(diào)查顯示有34.7%的居民表示會如實填寫，53.2%的居民表示只會填寫部分必要信息，12.1%的居民表示拒絕填寫任何信息或者填寫錯誤信息，通過走訪了解到居民擔(dān)心信息泄露或者被非法使用等顧慮;結(jié)論：如今居民對于個人信息登記工作總體積極性不高，基層醫(yī)院與社區(qū)的相關(guān)信息登記工作仍存在各種問題。需讓居民加深對于相關(guān)法律法規(guī)的了解程度，提高居民對信息登記的認(rèn)可度，還需通過完善相關(guān)醫(yī)院管理制度和管理系統(tǒng)，加大對疫情防控中個人信息的保護力度。

關(guān)鍵詞：大數(shù)據(jù);個人信息;信息安全;基層醫(yī)院

一、引言

個人信息是指能夠以電子方式記錄或與其他信息結(jié)合以確定個人身份的任何類型的信息，具體包括自然人的姓名、出生日期、住址、身份證號碼、電話號碼等信息，由此涉及的權(quán)利被稱為個人信息權(quán)[1]。

自新型冠狀病毒肺炎疫情出現(xiàn)至今已有兩年有余，防控措施也逐漸轉(zhuǎn)換為常態(tài)化防控，而在全國疫情防控工作進(jìn)入常態(tài)化的當(dāng)下，大規(guī)模數(shù)據(jù)分析技術(shù)在精確防控中的應(yīng)用越來越完善，有效地保障了人民生產(chǎn)生活的正常運行。不過，在疫情防控工作中，也發(fā)生了一些針對確診患者和密切接觸者的語言暴力情況以及一些個人信息泄露的違法犯罪活動。比如，針對成都確診患者趙某的網(wǎng)絡(luò)暴力事件[2]，由于趙某的出行軌跡中包含了多個娛樂場所，部分網(wǎng)民對其生活進(jìn)行了惡意的討論，結(jié)果趙某的相片、朋友圈信息及身份證號等隱私內(nèi)容都被公之于眾，這些信息除了給網(wǎng)友增加談資外，沒有任何幫助抗疫的作用，而趙某本人也遭受了大量惡意誹謗。因此發(fā)現(xiàn)大數(shù)據(jù)在幫助防控的同時，還存在潛在的個人信息泄露的風(fēng)險。統(tǒng)計數(shù)據(jù)[3]顯示現(xiàn)如今個人信息泄露逐漸成為危害信息安全的重要原因之一如圖1所示。

雖然在我國醫(yī)院信息化建設(shè)已經(jīng)開展了 20 多年，但是與其他行業(yè)和領(lǐng)域相比，基層醫(yī)院和社區(qū)的信息化建設(shè)在建設(shè)速度和建設(shè)規(guī)模上都存在一定的不足。在部分基層醫(yī)院和社區(qū)仍采用紙質(zhì)版登記個人信息包括有姓名、身份證號、家庭住址等詳細(xì)信息，而許多基層醫(yī)院與社區(qū)存在部分信息的互通與交流，在此其中就可能存在個人信息的泄露或被非法使用，導(dǎo)致在登記個人信息時居民的抵觸情緒，本文分析了居民個人信息登記出現(xiàn)抵觸情緒的原因和提出切合實際的解決措施。

二、調(diào)查方法及對象

（一）方法

自行設(shè)計調(diào)查問卷其中包括基本情況（性別、年齡）、是否了解《民法總則》對個人信息權(quán)的解釋以及《網(wǎng)絡(luò)安全法》等相關(guān)法律的了解程度、填寫個人信息登記表的意愿程度、對填寫個人信息登記表感到抵觸的原因。

（二）施策

對目標(biāo)醫(yī)院及所處社區(qū)進(jìn)行調(diào)查，采取線上線下同時發(fā)放調(diào)查問卷以及上門走訪等方式，調(diào)查問卷結(jié)果采取匿名記錄。

（三）調(diào)查對象

某基層醫(yī)院及醫(yī)院所屬社區(qū)的社區(qū)居民、出入醫(yī)院的患者、社區(qū)內(nèi)的返鄉(xiāng)人員。

三、調(diào)查結(jié)果

共回收調(diào)查問卷291份，回收率約為82.8%，在本次回收的291份調(diào)查問卷中女性158人（占54.3%）男性133人（占45.7%）;18歲以下12人（占4.1%）;18-30歲79人（占27.2%）;31-60歲167人（占57.4%）;60歲以上33人（占11.3%）。

其中有34.7%的居民表示會如實填寫，53.2%的居民表示只會填寫部分信息，12.1%的居民表示拒絕填寫任何信息或者填寫錯誤信息如圖2所示;在填寫部分信息與拒絕填寫信息或者填寫錯誤信息的居民中有171人（占91%）認(rèn)為收集個人信息的公司機構(gòu)或者社區(qū)醫(yī)院無法保證信息安全、自己個人信息存在泄露和被非法使用的風(fēng)險、感覺沒有必要填寫所有信息而浪費時間;還有18人（占9%）因為個人原因或者其他原因無法或者不能提供完整個人信息。

調(diào)查問卷還顯示只有18人（占6%）清楚了解《民法總則》對個人信息權(quán)的解釋以及《網(wǎng)絡(luò)安全法》等相關(guān)法律，153人（占52.6%）基本了解相關(guān)法律，而有120人（占41.4%）完全不了解相關(guān)法律。如圖3所示。

在走訪調(diào)查了該社區(qū)內(nèi)的38名返鄉(xiāng)人員，有6人表示完全不擔(dān)心個人信息會被泄露，而其余32人均表示會擔(dān)心個人信息被泄露，其主要原因包括社區(qū)和基層醫(yī)院無法保證信息安全、物業(yè)公司沒有收集個人信息的權(quán)限、信息泄露后維權(quán)困難等諸多問題。

四、討論與分析

在調(diào)查過程中發(fā)現(xiàn)醫(yī)院入口處需要查驗健康碼以及登記個人信息其中包括姓名、電話號碼、身份證號、家庭地址等個人詳細(xì)信息，部分基層醫(yī)院因為人手不足登記工作交由醫(yī)院保安或者離退休人員負(fù)責(zé)，完成登記冊填滿后放置于病案科或者后勤部門，隨后處理也存在漏洞。而小區(qū)門口物業(yè)公司都設(shè)有體溫測量與信息登記點，但部分居民只是配合測量體溫，少有登記個人信息的居民，即使登記有個人信息也只是登記部分內(nèi)容，甚至極少數(shù)居民會直接填寫錯誤信息;社區(qū)工作人員上門統(tǒng)計返鄉(xiāng)人員時，居民們有時會出現(xiàn)抵觸情緒或者登記錯誤信息，導(dǎo)致社區(qū)再進(jìn)行復(fù)核人員信息時出現(xiàn)困難。整體上大部分居民會正確填寫必要信息，而有少部分居民擔(dān)心信息泄露等各種原因而不愿填寫。

（一）信息安全防護中存在的問題

通過問卷調(diào)查與走訪詢問發(fā)現(xiàn)基層醫(yī)院和社區(qū)內(nèi)存在以下幾個問題：

1.基層醫(yī)院信息管理制度不健全

如今國內(nèi)部分基層醫(yī)院還存在針對信息化的管理制度對于如今的信息化時代稍顯落后的情況，例如信息管理應(yīng)急預(yù)案不完善、信息管理審批機制不健全、信息管理安全技術(shù)保障不到位[4]等一些問題;隨著信息化時代逐漸融入人們的生活之中，若當(dāng)下的管理制度無法保證信息安全和人民群眾的要求內(nèi)容，那么就很難發(fā)揮現(xiàn)代化醫(yī)院信息化建設(shè)的目的[5]，導(dǎo)致整個工作效率低下，信息泄露風(fēng)險也隨之增加。

2.基礎(chǔ)醫(yī)院管理軟件發(fā)展滯后

部分基層醫(yī)院缺少如LIS、HIS等數(shù)字化醫(yī)院管理系統(tǒng)，其都是針對于數(shù)字化醫(yī)院架構(gòu)的系統(tǒng)，可以快速地實現(xiàn)病患者信息的檢索和對醫(yī)院的整體管理[6]。即使擁有了相關(guān)管理系統(tǒng)也會存在其他信息安全隱患，主要表現(xiàn)在：首先是病毒攻擊，數(shù)字化醫(yī)院與外部網(wǎng)絡(luò)相連，擴大了服務(wù)范圍，用戶范圍廣。但是，如果病毒攻擊從外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò)，內(nèi)部管理系統(tǒng)的運行可能會癱瘓，導(dǎo)致網(wǎng)絡(luò)帶寬低，網(wǎng)絡(luò)擁塞甚至DDoS攻擊。在日常醫(yī)療服務(wù)的提供過程中，一些基層醫(yī)務(wù)人員缺乏網(wǎng)絡(luò)信息安全意識，這往往會導(dǎo)致醫(yī)院網(wǎng)絡(luò)受到攻擊。其次，軟件系統(tǒng)版本過低，這不僅會導(dǎo)致信息處理效率低下，還會導(dǎo)致許多軟件漏洞，違法者可以利用這些漏洞泄露醫(yī)院機密信息，從而危及醫(yī)院和患者的利益;同時醫(yī)院信息管理系統(tǒng)并不是一個或者幾個不同軟件產(chǎn)品能解決的，而是多個軟件協(xié)同作用而實現(xiàn)的，每個軟件產(chǎn)品都有其優(yōu)勢，所以醫(yī)院就會采購來自不同廠商的不同軟件產(chǎn)品。因此而可能導(dǎo)致各個軟件不兼容或者出現(xiàn)更多的技術(shù)漏洞。

3.過度收集披露個人信息

根據(jù)我國行政法的規(guī)定[7]，收集和披露個人信息，防疫管理過程中的信息收集和披露應(yīng)當(dāng)遵循損害最小化原則。防疫負(fù)責(zé)人對個人信息的收集和披露僅限于防疫管理的需要。此外，如何確定這一范圍，不僅要達(dá)到有效預(yù)防和控制的目的，保證工作的效率和目的，而且又不侵犯公民的個人信息，這是很困難的。也導(dǎo)致了眾多的現(xiàn)實問題[8]。在部分基層醫(yī)院與社區(qū)登記表中出現(xiàn)民族、政治面貌以及工作地點甚至高考成績等匪夷所思的內(nèi)容。防疫工作中過度的個人信息收集和披露，不僅不利于防疫工作的開展，而且可能導(dǎo)致個人隱私的隨意公開，擾亂社會秩序，妨礙防疫工作的正常開展。

4.信息收集統(tǒng)計工作存在隱患

與其他信息化行業(yè)不同的是，醫(yī)療信息化人才不但要熟悉相關(guān)的信息化知識還要有一定的醫(yī)學(xué)常識，所以就導(dǎo)致了基層醫(yī)院缺少人手專門負(fù)責(zé)信息統(tǒng)計和保存，以及同時缺少如LIS、HIS等數(shù)字化醫(yī)院管理系統(tǒng)，都會導(dǎo)致統(tǒng)計后的資料隨意堆放不能做到很好的保密工作;由于社區(qū)和物業(yè)公司收集到的居民信息多是存儲在居委會或者物業(yè)公司的電腦內(nèi)，無法保障居民信息安全，當(dāng)時間緊、任務(wù)重時，社區(qū)會要求物業(yè)公司自主統(tǒng)計居民信息然后通過微信群上傳至社區(qū)再做統(tǒng)計匯總，這期間就存在很大的安全隱患[8]。

5.相關(guān)法律普及程度低

調(diào)查顯示只有6%的居民清楚了解《民法總則》對個人信息權(quán)的解釋以及《網(wǎng)絡(luò)安全法》等相關(guān)法律，而有41.4%的居民完全不了解相關(guān)法律，這就可能導(dǎo)致了部分居民對信息登記的不了解因此擔(dān)憂所有信息登記均會泄露隱私而配合程度低;同時也讓部分居民個人信息權(quán)被侵害時不知如何維權(quán)，現(xiàn)實中個人信息權(quán)的維權(quán)困難也可能是導(dǎo)致居民不愿填寫信息登記的原因之一;同時相關(guān)法律知識長時間的缺位，還可能導(dǎo)致網(wǎng)絡(luò)暴力與謠言的大量泛濫。

（二）基層醫(yī)院信息安全防護的建議

1.完善信息管理制度

必須建立及完善信息管理機構(gòu)，在各崗位和人員中建立合理制度，加強信息安全意識;醫(yī)院信息安全必須進(jìn)行長期、定期、妥善的管理[5]。建立健全安全責(zé)任管理制度，明確安全管理和管理人員，嚴(yán)格執(zhí)行各項管理工作，切實履行主要職責(zé)，把安全管理作為各部門、崗位、個人的義務(wù)。

2.加快管理軟件更新與信息安全人才引進(jìn)

醫(yī)院信息管理系統(tǒng)應(yīng)進(jìn)行更新，以適應(yīng)當(dāng)今的信息社會，在整個信息系統(tǒng)的保護鏈中，必須安裝安全防火墻和應(yīng)用保護網(wǎng)絡(luò)，以確保及時發(fā)現(xiàn)隱患，確保信息首次安全。同時將信息管理系統(tǒng)進(jìn)行分區(qū)管理，使醫(yī)院內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)不互通，例如現(xiàn)在許多上級醫(yī)院實行新冠病毒的核酸檢測結(jié)果直接通過醫(yī)院信息管理內(nèi)網(wǎng)進(jìn)行統(tǒng)計后上傳至上級部門，以及個人信息同時儲存在醫(yī)院內(nèi)，從而防止相關(guān)信息傳至外部網(wǎng)絡(luò)減少個人信息泄露風(fēng)險;要積極引進(jìn)信息安全相關(guān)人才，加強信息化人才針對實際問題的解決能力。各科室根據(jù)具體情況安排專人負(fù)責(zé)，其可由具有相關(guān)知識的醫(yī)務(wù)人員擔(dān)任，保證科室內(nèi)部分比較小的故障得以解決，通過提高員工的信息知識儲備，從而增強信息安全防護意識[5]。

3.明確個人信息界限

基層醫(yī)院和社區(qū)確實需要收集，個人信息的披露、收集和披露必須遵循損害最小的原則，披露個人信息的界限必須明確，必須收集和披露的，須確定收集和披露的范圍。例如，應(yīng)正確判斷收集和披露個人信息的目的，并非所有居民的個人信息都是防疫的重要目標(biāo)。如果收集了所有住戶的個人信息，且沒有披露標(biāo)準(zhǔn)，則可能存在違規(guī)行為。因此，個人信息的收集和傳播應(yīng)側(cè)重于特定人群。

4.設(shè)置專門監(jiān)管機構(gòu)及完善醫(yī)院相應(yīng)考核制度

設(shè)置專門的監(jiān)管機構(gòu)，監(jiān)督相關(guān)基層醫(yī)院和社區(qū)收集居民個人信息;完善相應(yīng)的監(jiān)管體系，要想取得有效的個人信息監(jiān)管效果，必須建立有效的個人信息監(jiān)管體系[8];同時，對相關(guān)網(wǎng)絡(luò)安全管理人員進(jìn)行激勵和監(jiān)督，對各個科室每個季度網(wǎng)絡(luò)信息安全情況進(jìn)行考核管理。

5.增大相關(guān)法律法規(guī)的宣傳力度

發(fā)生個人信息泄露事件時，如能讓更多的信息使用者意識到隨意造謠傳播信息是有法律責(zé)任的，也就可以在很大程度的降低了風(fēng)險。所以，有必要在全社會范圍內(nèi)就隱私權(quán)問題達(dá)成共識，提高全民的法律意識，使所有互聯(lián)網(wǎng)用戶都能自覺地成為個人隱私的監(jiān)管者[2]。第一，各個基層醫(yī)院和社區(qū)要聯(lián)合相關(guān)職能部門做好轄區(qū)內(nèi)居民的普法工作，切忌生搬硬套、照本宣科，要求給居民通過實例進(jìn)行生動有效的講解;第二，要建立健全個人信息受到侵害的維權(quán)相關(guān)的法律法規(guī)，開設(shè)便捷的維權(quán)窗口和維權(quán)熱線;第三，對于網(wǎng)絡(luò)中對受害者的隨意造謠和誹謗要進(jìn)行嚴(yán)厲及快速的打擊，防止相關(guān)信息在網(wǎng)絡(luò)中蔓延。

五、結(jié)束語

近年來，個人信息作為數(shù)字社會的基本組成部分，在維護社會秩序方面具有重要的價值。在信息時代的大數(shù)據(jù)背景下，基層醫(yī)院仍然存在制度不完善設(shè)備老舊，相關(guān)人員經(jīng)驗技術(shù)欠缺等問題，而基層醫(yī)院作為居民健康的第一道防線不僅是為了確保居民的身體健康，還應(yīng)該肩負(fù)著保護居民個人信息的職責(zé)。 因此，基層醫(yī)院要正確收集必要的個人信息，做好信息的保存與保密工作，完善相關(guān)管理制度，加快相關(guān)技術(shù)的更新迭代，社會中還應(yīng)提高全民的保護隱私的法律意識，從而進(jìn)一步強化醫(yī)院信息安全為常態(tài)化的疫情防控打下堅實基礎(chǔ)。

作者單位：石航? ?李志敏? ? 羅淼? ? 西北民族大學(xué)醫(yī)學(xué)部

參? 考? 文? 獻(xiàn)

[1] 蔣麗華. 新冠肺炎疫情防控中個人信息的公開與保護 [J]. 征信， 2020，38（09）： 41-47.

[2] 鄭保章， 馮湜. 大數(shù)據(jù)背景下的隱私保護問題研究——以新冠肺炎疫情防控中的個人信息使用為視角 [J]. 學(xué)習(xí)與探索， 2021（04）： 74-78.

[3] 任燕舞. 基于大數(shù)據(jù)背景下校園網(wǎng)絡(luò)信息安全技術(shù)研究[J]. 中國新通信， 2022， 24（01）： 135-136.

[4] 金琰. 基于“互聯(lián)網(wǎng)+”背景下醫(yī)院網(wǎng)絡(luò)的信息安全防護措施 [J]. 網(wǎng)絡(luò)安全技術(shù)與應(yīng)用， 2022（02）： 121-123.

[5] 馬春萍. “互聯(lián)網(wǎng)+醫(yī)療”背景下醫(yī)院信息安全防護研究 [J]. 技術(shù)與市場， 2021， 28（11）： 84-85.

[6] 楊曉毓. 現(xiàn)代數(shù)字醫(yī)院網(wǎng)絡(luò)信息安全隱患以及防范措施 [J]. 財經(jīng)界， 2021（35）： 21-22.

[7] 潘文雯， 劉振宇. 疫情防控背景下個人信息利用與保護平衡路徑探究[J].甘肅廣播電視大學(xué)學(xué)報， 2022， 32（01）： 80-84.

[8] 韋祎. 新冠肺炎疫情防控中個人信息的利用與保護 [J]. 法制與經(jīng)濟， 2021， 30（05）： 68-72.