電子病歷安全嗎？

申請免費試用、咨詢電話：400-8352-114

按照美國政府在去年公布的財政激勵計劃，奧巴馬總統打算投入金額高達200億美元的聯邦資金，以實現大范圍部署電子病歷的目標。啟動這項計劃的主要原因是，可以通過降低長期成本、提升醫(yī)療開支的效果，改善美國的醫(yī)療保健系統。那么，電子病歷這個新方向對安全性和隱私性有怎樣的新要求？

電子病歷的核心就是，有效地獲取、傳遞及分析與某個病人相關的醫(yī)療保健信息。高效流動的信息對所有參與醫(yī)療保健提供服務系統的組織和個人有不同的利害關系，這些參與者包括醫(yī)療服務提供商、保險公司、政府機構、索賠處理公司和病人。在不同的人看來，電子病歷有著略微有不同的含義。

個人管理的電子病歷被稱為個人健康檔案（PHR）。個人健康檔案獲取所有相關的個人健康詳細信息，包括診斷、X片和類似內容，并存入到單一存儲庫中。然后，個人有權為自己做出健康方面的決策，有選擇地披露健康狀況，并在緊急情況下得到最佳醫(yī)護。谷歌和微軟都為個人提供了創(chuàng)建、管理及存儲個人健康檔案的服務。隨著掌握計算機使用技能的人群逐漸步入老年，專家預計這方面的需求會急劇增長。

本文關注的重點不是個人，而是醫(yī)療機構和醫(yī)療服務提供商。

安全是薄弱環(huán)節(jié)

毋庸置疑，電子病歷需要嚴格遵守隱私和安全方面的監(jiān)管要求，醫(yī)療機構和醫(yī)療服務提供商該如何安全地使用電子病歷？設想有一家醫(yī)院，它的電子病歷系統運行得相對比較順暢。醫(yī)生們使用電子病歷就能以完全電子化的方式來處理大部分工作，這與紙張傳來傳去的傳統醫(yī)護環(huán)境形成了鮮明對照。使用電子病歷后，醫(yī)生們根本不需要用紙，就能查閱病史和圖表、獲得檢驗結果、把病人介紹給專家轉診、開藥及診斷影像。

電子病歷的薄弱環(huán)節(jié)就在于很難足夠有效地保護這些病歷的安全。對電子病歷系統而言，讓人擔心的安全和隱私問題主要包括如下：

1.電子病歷系統遭到黑客入侵，會導致病人數據被篡改，或臨床系統被破壞；

2.電子病歷系統的授權用戶濫用健康信息檔案；

3.電子病歷系統面臨著長期數據管理問題；

4.政府或企業(yè)非法介入私人醫(yī)療保健問題。

乍一看，解決這些問題似乎不是很難。但實際上，醫(yī)院及其他醫(yī)療環(huán)境的工作流程非常復雜。眾多工作人員需要立即訪問病歷，這些人員包括急診室技術員、收治工作人員、醫(yī)生、護士以及負責收費和記賬的后勤人員。一種權宜之計可能是安裝基于角色的訪問控制（RBAC）機制，以便實現細粒度的授權。但我們在為一家大型醫(yī)療服務提供商開展的安全補救工作中發(fā)現，針對現有的電子病歷系統，改造基于角色的訪問控制機制是一項相當復雜的任務。為醫(yī)院各科室和各人員賦予角色是特別棘手的。比如說，要是不小心取消了查閱權限，會導致外科醫(yī)生無法在手術室查閱關鍵影像。這很可能會導致嚴重后果。

所以，基于角色的訪問控制不太可能實現，還是要讓醫(yī)院的各類人員都便于訪問才行。我們認為，這也同時埋下了不安全的隱患，最終導致電子病歷系統的安全狀況大多不盡如人意。

比如說，假設未經授權就將攜帶艾滋病病毒的某個患者的病歷透露給了媒體。其結果有可能是災難性的。會有很多意想不到的后果，譬如：患者可能因而遭到家庭或社區(qū)的嫌棄、丟掉飯碗、享受不到醫(yī)療福利。盡管已出臺了法律法規(guī)來防止未經授權透露信息造成的嚴重后果，但實際上這些法律法規(guī)對于病歷被透露的個人來說起不到多大的安慰作用。你可以想象：保險公司聲稱客戶早在投保之前就已患病，因而拒不理賠。這種情況在實際生活中的確會發(fā)生，醫(yī)院和醫(yī)療服務提供商必須引起注意。

安全隱患很容易發(fā)生

還可能存在網絡或電子病歷應用軟件出現重大的安全泄密事件，這也讓許多醫(yī)院管理人員和合規(guī)人員一想到有可能違反隱私權就不寒而栗。違反《健康保險可攜性及責任性法案》（HIPAA）會帶來嚴重后果，而加利福尼亞州等州出臺的新法規(guī)規(guī)定：如果錯誤地披露病歷，將處以巨額罰款。

從我們在某大型醫(yī)療服務提供商看到的情況來看，我們發(fā)現安全泄密事件比較容易出現?，F在，很多電子病歷與Web應用軟件聯系起來（或者很多電子病歷本身就是Web應用軟件），因而比較容易成為攻擊對象。我們還發(fā)現，診斷系統直接連接到醫(yī)院網絡。由于這些系統還擁有用于故障排除或下載新軟件的遠程診斷能力，將某種蠕蟲植入到網絡上后，就能造成所有聯網的X光機癱瘓，這并非沒有可能。

我們在另一家醫(yī)療機構發(fā)現了如下這些安全隱患，這也是絕大多數醫(yī)院普遍存在的安全隱患：

1．這家醫(yī)療機構的合法部門受制于不夠有效的技術、資源和流程，因而無法有效地監(jiān)測可能違反隱私的行為，并采取相應對策；

2．電子病歷廠商確認及管理應用軟件安全漏洞的能力不夠強；

3．尤其是應用軟件和數據庫層面的安全監(jiān)控功能更是需要大幅改進；

4．安全地管理數據生命周期在部署電子病歷系統期間沒有被放在優(yōu)先位置。因而，存在的具體問題包括如下：長期數據存儲和歸檔方法很隨意、數據清除不合適、數據歸屬責任不明確、發(fā)現信息資產的流程和系統不夠有效、數據分類不夠有效、物理介質處置不安全。

醫(yī)院和大型醫(yī)療機構必須非常細致、非常全面地對待安全和隱私問題——幾乎就像金融行業(yè)在2000年時保護交易系統的安全那樣。要是信息基礎架構的每個層面（設備、網絡和應用軟件）缺少統一協調的工作，缺少嚴格的政策和使用指導準則，以及缺少精確的監(jiān)測功能，部署電子病歷的工作就會陷入停頓。國家需要拿出更有效的辦法來保護電子病歷的安全，鑒于奧巴馬總統開始著力改革醫(yī)療保健系統，安全專業(yè)人員必須挺身而出。

病人數據被轉手賣掉

病歷存儲在云上，在市場上公開叫賣，這已是一個公開的秘密。最近《紐約時報》的一篇文章披露了這個公開的秘密，該文介紹了所謂的“經過剝離”的病人數據并不像人們想象的那么隱匿。文章主要著重披露了如果結合其他公開的數據庫（如選舉記錄），可以怎樣輕松地讓匿名數據不再匿名。文章末尾附有這則新聞：如今收集、隱匿及出售醫(yī)療數據的不是保險代理行和醫(yī)療服務提供者，而是在云中提供病歷存儲服務的第三方供應商。

據衛(wèi)生信息技術認證委員會的營銷主管Sue Reber聲稱，電子健康檔案（EHR）服務在最近幾年成了一個蓬勃發(fā)展的行業(yè)。Reber表示，以前大多數供應商只是銷售軟件包；一旦產品賣出去，供應商與存儲在軟件包里面的數據再也沒有任何關系。而如今越來越多的公司已開始提供基于互聯網的管理應用軟件，其中包括由供應商控制及管理的數據庫存儲服務。

Reber告訴媒體，這類產品通常附帶安全性和隱私性方面的條款，防止軟件供應商訪問數據，即使由供應商在管理數據。但其他人士表示，情況并非總是如此。

《紐約時報》撰文道，作為與供應商所簽合同的一部分內容，醫(yī)生答應允許一些供應商訪問及收集病人數據，剝離掉其中的個人身份信息，然后批量出售給制藥公司及其他買家。

醫(yī)療保健投資銀行Leerink Swann的分析師George Hill對《紐約時報》說，健康檔案系統市場的產值每年高達80億～100億美元?？偸杖胫屑s5%不是來自銷售的信息系統，而是來自銷售的數據和分析服務。他表示，受到聯邦獎勵金的刺激，更多醫(yī)生和醫(yī)院會改用電子檔案，銷售健康檔案所得的收入會增加至50億美元。

Paul Tang是帕洛?阿爾托醫(yī)療基金會（Palo Alto Medical Foundation）的副總裁兼首席醫(yī)療信息官，還是聯邦隱私顧問專家組的成員，據他聲稱，在一些情況下，供應商合同明確規(guī)定了供應商對數據庫中的健康檔案享有獨家訪問權。Tang說：“我見過大大小小的供應商簽有這種條款的合同。一些供應商表示數據歸自己所有。還有合同規(guī)定，供應商可以實時訪問數據庫；供應商對數據享有獨家訪問權；可以轉手賣掉數據。我認為，適用主體（如醫(yī)院和醫(yī)生）遵守這樣的合同是不合法的。”

允許供應商訪問病人數據明顯違反了《健康保險可攜性及責任性法案》（HIPAA），該法案禁止醫(yī)生將病歷提供給與提供醫(yī)療服務或醫(yī)療支付無關，或與醫(yī)療研究無關的任何機構或個人。雖然該法案的確給醫(yī)療服務提供者所雇的“商業(yè)伙伴”留下了空子，但隱私權律師Robert Gellman表示，在這些情況下，醫(yī)療服務提供商可能不會得到該法案的保護。

Gellman說：“涉及醫(yī)病數據歸屬的任何合同都沒有多大意義，因為法律和醫(yī)德控制著病歷的權利和責任。不管哪個適用主體保留病歷，依據法律都要遵守某些義務和約束，不管合同是怎么擬寫的。只要醫(yī)生受制于HIPAA，數據披露方面的那些規(guī)定就有效。要是某個醫(yī)生簽署了這樣的合同，他無疑違反了HIPAA，可能會受到民權辦公室的追查，遭到病人的起訴?！?/P>

供應商們表示，他們轉手賣掉的數據用于研究，更何況先已剝離掉了個人身份信息，保護病人的隱私權。但早在1997年，卡內基?梅隆大學數據隱私實驗室主任Latanya Sweeney表明了，她如何僅僅將匿名數據與在馬薩諸塞州選民登記名冊上發(fā)布的生日、郵政編碼和性別等信息關聯起來，就從該州保險事務委員會發(fā)布的經過剝離的病歷信息當中，找出了時任馬薩諸塞州州長William Weld的病歷。

據Sweeney稱，只要憑借出生日期、性別和郵政編碼這些信息，就能確定87%的美國人的身份。