電子病歷安全嗎？

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

按照美國(guó)政府在去年公布的財(cái)政激勵(lì)計(jì)劃，奧巴馬總統(tǒng)打算投入金額高達(dá)200億美元的聯(lián)邦資金，以實(shí)現(xiàn)大范圍部署電子病歷的目標(biāo)。啟動(dòng)這項(xiàng)計(jì)劃的主要原因是，可以通過(guò)降低長(zhǎng)期成本、提升醫(yī)療開(kāi)支的效果，改善美國(guó)的醫(yī)療保健系統(tǒng)。那么，電子病歷這個(gè)新方向?qū)Π踩院碗[私性有怎樣的新要求？

電子病歷的核心就是，有效地獲取、傳遞及分析與某個(gè)病人相關(guān)的醫(yī)療保健信息。高效流動(dòng)的信息對(duì)所有參與醫(yī)療保健提供服務(wù)系統(tǒng)的組織和個(gè)人有不同的利害關(guān)系，這些參與者包括醫(yī)療服務(wù)提供商、保險(xiǎn)公司、政府機(jī)構(gòu)、索賠處理公司和病人。在不同的人看來(lái)，電子病歷有著略微有不同的含義。

個(gè)人管理的電子病歷被稱為個(gè)人健康檔案（PHR）。個(gè)人健康檔案獲取所有相關(guān)的個(gè)人健康詳細(xì)信息，包括診斷、X片和類似內(nèi)容，并存入到單一存儲(chǔ)庫(kù)中。然后，個(gè)人有權(quán)為自己做出健康方面的決策，有選擇地披露健康狀況，并在緊急情況下得到最佳醫(yī)護(hù)。谷歌和微軟都為個(gè)人提供了創(chuàng)建、管理及存儲(chǔ)個(gè)人健康檔案的服務(wù)。隨著掌握計(jì)算機(jī)使用技能的人群逐漸步入老年，專家預(yù)計(jì)這方面的需求會(huì)急劇增長(zhǎng)。

本文關(guān)注的重點(diǎn)不是個(gè)人，而是醫(yī)療機(jī)構(gòu)和醫(yī)療服務(wù)提供商。

安全是薄弱環(huán)節(jié)

毋庸置疑，電子病歷需要嚴(yán)格遵守隱私和安全方面的監(jiān)管要求，醫(yī)療機(jī)構(gòu)和醫(yī)療服務(wù)提供商該如何安全地使用電子病歷？設(shè)想有一家醫(yī)院，它的電子病歷系統(tǒng)運(yùn)行得相對(duì)比較順暢。醫(yī)生們使用電子病歷就能以完全電子化的方式來(lái)處理大部分工作，這與紙張傳來(lái)傳去的傳統(tǒng)醫(yī)護(hù)環(huán)境形成了鮮明對(duì)照。使用電子病歷后，醫(yī)生們根本不需要用紙，就能查閱病史和圖表、獲得檢驗(yàn)結(jié)果、把病人介紹給專家轉(zhuǎn)診、開(kāi)藥及診斷影像。

電子病歷的薄弱環(huán)節(jié)就在于很難足夠有效地保護(hù)這些病歷的安全。對(duì)電子病歷系統(tǒng)而言，讓人擔(dān)心的安全和隱私問(wèn)題主要包括如下：

1.電子病歷系統(tǒng)遭到黑客入侵，會(huì)導(dǎo)致病人數(shù)據(jù)被篡改，或臨床系統(tǒng)被破壞；

2.電子病歷系統(tǒng)的授權(quán)用戶濫用健康信息檔案；

3.電子病歷系統(tǒng)面臨著長(zhǎng)期數(shù)據(jù)管理問(wèn)題；

4.政府或企業(yè)非法介入私人醫(yī)療保健問(wèn)題。

乍一看，解決這些問(wèn)題似乎不是很難。但實(shí)際上，醫(yī)院及其他醫(yī)療環(huán)境的工作流程非常復(fù)雜。眾多工作人員需要立即訪問(wèn)病歷，這些人員包括急診室技術(shù)員、收治工作人員、醫(yī)生、護(hù)士以及負(fù)責(zé)收費(fèi)和記賬的后勤人員。一種權(quán)宜之計(jì)可能是安裝基于角色的訪問(wèn)控制（RBAC）機(jī)制，以便實(shí)現(xiàn)細(xì)粒度的授權(quán)。但我們?cè)跒橐患掖笮歪t(yī)療服務(wù)提供商開(kāi)展的安全補(bǔ)救工作中發(fā)現(xiàn)，針對(duì)現(xiàn)有的電子病歷系統(tǒng)，改造基于角色的訪問(wèn)控制機(jī)制是一項(xiàng)相當(dāng)復(fù)雜的任務(wù)。為醫(yī)院各科室和各人員賦予角色是特別棘手的。比如說(shuō)，要是不小心取消了查閱權(quán)限，會(huì)導(dǎo)致外科醫(yī)生無(wú)法在手術(shù)室查閱關(guān)鍵影像。這很可能會(huì)導(dǎo)致嚴(yán)重后果。

所以，基于角色的訪問(wèn)控制不太可能實(shí)現(xiàn)，還是要讓醫(yī)院的各類人員都便于訪問(wèn)才行。我們認(rèn)為，這也同時(shí)埋下了不安全的隱患，最終導(dǎo)致電子病歷系統(tǒng)的安全狀況大多不盡如人意。

比如說(shuō)，假設(shè)未經(jīng)授權(quán)就將攜帶艾滋病病毒的某個(gè)患者的病歷透露給了媒體。其結(jié)果有可能是災(zāi)難性的。會(huì)有很多意想不到的后果，譬如：患者可能因而遭到家庭或社區(qū)的嫌棄、丟掉飯碗、享受不到醫(yī)療福利。盡管已出臺(tái)了法律法規(guī)來(lái)防止未經(jīng)授權(quán)透露信息造成的嚴(yán)重后果，但實(shí)際上這些法律法規(guī)對(duì)于病歷被透露的個(gè)人來(lái)說(shuō)起不到多大的安慰作用。你可以想象：保險(xiǎn)公司聲稱客戶早在投保之前就已患病，因而拒不理賠。這種情況在實(shí)際生活中的確會(huì)發(fā)生，醫(yī)院和醫(yī)療服務(wù)提供商必須引起注意。

安全隱患很容易發(fā)生

還可能存在網(wǎng)絡(luò)或電子病歷應(yīng)用軟件出現(xiàn)重大的安全泄密事件，這也讓許多醫(yī)院管理人員和合規(guī)人員一想到有可能違反隱私權(quán)就不寒而栗。違反《健康保險(xiǎn)可攜性及責(zé)任性法案》（HIPAA）會(huì)帶來(lái)嚴(yán)重后果，而加利福尼亞州等州出臺(tái)的新法規(guī)規(guī)定：如果錯(cuò)誤地披露病歷，將處以巨額罰款。

從我們?cè)谀炒笮歪t(yī)療服務(wù)提供商看到的情況來(lái)看，我們發(fā)現(xiàn)安全泄密事件比較容易出現(xiàn)?，F(xiàn)在，很多電子病歷與Web應(yīng)用軟件聯(lián)系起來(lái)（或者很多電子病歷本身就是Web應(yīng)用軟件），因而比較容易成為攻擊對(duì)象。我們還發(fā)現(xiàn)，診斷系統(tǒng)直接連接到醫(yī)院網(wǎng)絡(luò)。由于這些系統(tǒng)還擁有用于故障排除或下載新軟件的遠(yuǎn)程診斷能力，將某種蠕蟲(chóng)植入到網(wǎng)絡(luò)上后，就能造成所有聯(lián)網(wǎng)的X光機(jī)癱瘓，這并非沒(méi)有可能。

我們?cè)诹硪患裔t(yī)療機(jī)構(gòu)發(fā)現(xiàn)了如下這些安全隱患，這也是絕大多數(shù)醫(yī)院普遍存在的安全隱患：

1．這家醫(yī)療機(jī)構(gòu)的合法部門受制于不夠有效的技術(shù)、資源和流程，因而無(wú)法有效地監(jiān)測(cè)可能違反隱私的行為，并采取相應(yīng)對(duì)策；

2．電子病歷廠商確認(rèn)及管理應(yīng)用軟件安全漏洞的能力不夠強(qiáng)；

3．尤其是應(yīng)用軟件和數(shù)據(jù)庫(kù)層面的安全監(jiān)控功能更是需要大幅改進(jìn)；

4．安全地管理數(shù)據(jù)生命周期在部署電子病歷系統(tǒng)期間沒(méi)有被放在優(yōu)先位置。因而，存在的具體問(wèn)題包括如下：長(zhǎng)期數(shù)據(jù)存儲(chǔ)和歸檔方法很隨意、數(shù)據(jù)清除不合適、數(shù)據(jù)歸屬責(zé)任不明確、發(fā)現(xiàn)信息資產(chǎn)的流程和系統(tǒng)不夠有效、數(shù)據(jù)分類不夠有效、物理介質(zhì)處置不安全。

醫(yī)院和大型醫(yī)療機(jī)構(gòu)必須非常細(xì)致、非常全面地對(duì)待安全和隱私問(wèn)題——幾乎就像金融行業(yè)在2000年時(shí)保護(hù)交易系統(tǒng)的安全那樣。要是信息基礎(chǔ)架構(gòu)的每個(gè)層面（設(shè)備、網(wǎng)絡(luò)和應(yīng)用軟件）缺少統(tǒng)一協(xié)調(diào)的工作，缺少嚴(yán)格的政策和使用指導(dǎo)準(zhǔn)則，以及缺少精確的監(jiān)測(cè)功能，部署電子病歷的工作就會(huì)陷入停頓。國(guó)家需要拿出更有效的辦法來(lái)保護(hù)電子病歷的安全，鑒于奧巴馬總統(tǒng)開(kāi)始著力改革醫(yī)療保健系統(tǒng)，安全專業(yè)人員必須挺身而出。

病人數(shù)據(jù)被轉(zhuǎn)手賣掉

病歷存儲(chǔ)在云上，在市場(chǎng)上公開(kāi)叫賣，這已是一個(gè)公開(kāi)的秘密。最近《紐約時(shí)報(bào)》的一篇文章披露了這個(gè)公開(kāi)的秘密，該文介紹了所謂的“經(jīng)過(guò)剝離”的病人數(shù)據(jù)并不像人們想象的那么隱匿。文章主要著重披露了如果結(jié)合其他公開(kāi)的數(shù)據(jù)庫(kù)（如選舉記錄），可以怎樣輕松地讓匿名數(shù)據(jù)不再匿名。文章末尾附有這則新聞：如今收集、隱匿及出售醫(yī)療數(shù)據(jù)的不是保險(xiǎn)代理行和醫(yī)療服務(wù)提供者，而是在云中提供病歷存儲(chǔ)服務(wù)的第三方供應(yīng)商。

據(jù)衛(wèi)生信息技術(shù)認(rèn)證委員會(huì)的營(yíng)銷主管Sue Reber聲稱，電子健康檔案（EHR）服務(wù)在最近幾年成了一個(gè)蓬勃發(fā)展的行業(yè)。Reber表示，以前大多數(shù)供應(yīng)商只是銷售軟件包；一旦產(chǎn)品賣出去，供應(yīng)商與存儲(chǔ)在軟件包里面的數(shù)據(jù)再也沒(méi)有任何關(guān)系。而如今越來(lái)越多的公司已開(kāi)始提供基于互聯(lián)網(wǎng)的管理應(yīng)用軟件，其中包括由供應(yīng)商控制及管理的數(shù)據(jù)庫(kù)存儲(chǔ)服務(wù)。

Reber告訴媒體，這類產(chǎn)品通常附帶安全性和隱私性方面的條款，防止軟件供應(yīng)商訪問(wèn)數(shù)據(jù)，即使由供應(yīng)商在管理數(shù)據(jù)。但其他人士表示，情況并非總是如此。

《紐約時(shí)報(bào)》撰文道，作為與供應(yīng)商所簽合同的一部分內(nèi)容，醫(yī)生答應(yīng)允許一些供應(yīng)商訪問(wèn)及收集病人數(shù)據(jù)，剝離掉其中的個(gè)人身份信息，然后批量出售給制藥公司及其他買家。

醫(yī)療保健投資銀行Leerink Swann的分析師George Hill對(duì)《紐約時(shí)報(bào)》說(shuō)，健康檔案系統(tǒng)市場(chǎng)的產(chǎn)值每年高達(dá)80億～100億美元?？偸杖胫屑s5%不是來(lái)自銷售的信息系統(tǒng)，而是來(lái)自銷售的數(shù)據(jù)和分析服務(wù)。他表示，受到聯(lián)邦獎(jiǎng)勵(lì)金的刺激，更多醫(yī)生和醫(yī)院會(huì)改用電子檔案，銷售健康檔案所得的收入會(huì)增加至50億美元。

Paul Tang是帕洛?阿爾托醫(yī)療基金會(huì)（Palo Alto Medical Foundation）的副總裁兼首席醫(yī)療信息官，還是聯(lián)邦隱私顧問(wèn)專家組的成員，據(jù)他聲稱，在一些情況下，供應(yīng)商合同明確規(guī)定了供應(yīng)商對(duì)數(shù)據(jù)庫(kù)中的健康檔案享有獨(dú)家訪問(wèn)權(quán)。Tang說(shuō)：“我見(jiàn)過(guò)大大小小的供應(yīng)商簽有這種條款的合同。一些供應(yīng)商表示數(shù)據(jù)歸自己所有。還有合同規(guī)定，供應(yīng)商可以實(shí)時(shí)訪問(wèn)數(shù)據(jù)庫(kù)；供應(yīng)商對(duì)數(shù)據(jù)享有獨(dú)家訪問(wèn)權(quán)；可以轉(zhuǎn)手賣掉數(shù)據(jù)。我認(rèn)為，適用主體（如醫(yī)院和醫(yī)生）遵守這樣的合同是不合法的?！?/P>

允許供應(yīng)商訪問(wèn)病人數(shù)據(jù)明顯違反了《健康保險(xiǎn)可攜性及責(zé)任性法案》（HIPAA），該法案禁止醫(yī)生將病歷提供給與提供醫(yī)療服務(wù)或醫(yī)療支付無(wú)關(guān)，或與醫(yī)療研究無(wú)關(guān)的任何機(jī)構(gòu)或個(gè)人。雖然該法案的確給醫(yī)療服務(wù)提供者所雇的“商業(yè)伙伴”留下了空子，但隱私權(quán)律師Robert Gellman表示，在這些情況下，醫(yī)療服務(wù)提供商可能不會(huì)得到該法案的保護(hù)。

Gellman說(shuō)：“涉及醫(yī)病數(shù)據(jù)歸屬的任何合同都沒(méi)有多大意義，因?yàn)榉珊歪t(yī)德控制著病歷的權(quán)利和責(zé)任。不管哪個(gè)適用主體保留病歷，依據(jù)法律都要遵守某些義務(wù)和約束，不管合同是怎么擬寫的。只要醫(yī)生受制于HIPAA，數(shù)據(jù)披露方面的那些規(guī)定就有效。要是某個(gè)醫(yī)生簽署了這樣的合同，他無(wú)疑違反了HIPAA，可能會(huì)受到民權(quán)辦公室的追查，遭到病人的起訴?！?/P>

供應(yīng)商們表示，他們轉(zhuǎn)手賣掉的數(shù)據(jù)用于研究，更何況先已剝離掉了個(gè)人身份信息，保護(hù)病人的隱私權(quán)。但早在1997年，卡內(nèi)基?梅隆大學(xué)數(shù)據(jù)隱私實(shí)驗(yàn)室主任Latanya Sweeney表明了，她如何僅僅將匿名數(shù)據(jù)與在馬薩諸塞州選民登記名冊(cè)上發(fā)布的生日、郵政編碼和性別等信息關(guān)聯(lián)起來(lái)，就從該州保險(xiǎn)事務(wù)委員會(huì)發(fā)布的經(jīng)過(guò)剝離的病歷信息當(dāng)中，找出了時(shí)任馬薩諸塞州州長(zhǎng)William Weld的病歷。

據(jù)Sweeney稱，只要憑借出生日期、性別和郵政編碼這些信息，就能確定87%的美國(guó)人的身份。