行业垂直领域首部网络安全管理办法落地,分等级保护医疗卫生机构网络安全

合规科技李润泽子 2022-09-02 18:00
《网络安全法》首次修订,拟引入最高营业额5%罚金与从业资格禁止处罚 新业态新安全①丨筑底数字时代网络安全:数字基础设施安全框架亟待完善 网络安全的“事前”与“事后”:企业IT系统被攻击,谁需对此负责? 展开更多

南方财经全媒体 记者李润泽子 实习生高艺 广州报道

日前,为加强医疗卫生机构网络安全管理,进一步促进“互联网+医疗健康”发展,充分发挥健康医疗大数据作为国家重要基础性战略资源的作用,加强医疗卫生机构网络安全管理,防范网络安全事件发生,国家卫生健康委、国家中医药局、国家疾控局印发《医疗卫生机构网络安全管理办法》(下称《办法》)。

《办法》明确了各医疗卫生机构网络及数据安全管理基本原则、管理分工、执行标准、监督及处罚要求,共分为五章三十四条,体现了统筹安全与发展的总体平衡,与此前出台的一系列政策法规一脉相承,为医疗卫生机构指明了网络安全管理的总方向。

这是行业垂直领域内首部网络安全管理办法。多位受访专家表示,在我国“互联网+医疗健康”快速发展的背景下,网络安全对医疗卫生机构来说尤为重要。未来,相关医疗卫生机构应提升合法合规意识,加强自身网络数据安全建设;相关主管部门在后续加强《办法》的落实实施日常检查工作,通过常态化执法促进新法真正发挥效用,同时不断出台和完善相关落地实施细则、指南和标准,推动整个行业的安全健康有序发展。

网络安全已经医疗互联网化中必不可缺的一环

随着电子病历、互联网医疗、AI医疗影像等应用的普及,医疗数字化浪潮袭来。然而,数字化技术的使用同样也带来新的安全风险。近年来,医疗系统遭遇网络攻击的事件时有发生,数据泄露也屡见不鲜。《2021年度高级威胁态势研究报告》显示,2021年全球高级威胁攻击事件中,医疗部门是攻击的重点目标。

“未来我国的医疗将更加互联网化,对于卫生机构而言,网络安全已经成为其切入互联网化途径中必不可缺的一环。”浙江垦丁律师事务所合伙人李晋沅告诉南方财经全媒体记者,《办法》是我国目前行业垂直领域内首部落地的网络安全管理办法。

据悉,《基本医疗卫生与健康促进法》《网络安全法》《密码法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》以及网络安全等级保护制度等有关法律法规标准是《办法》的制定依据。

李晋沅认为,《办法》的参考依据众多,这意味着目前对于医疗行业,网络安全等相关需求高,需要出台相应的专门规章来予以约束和管理。另一方面,也说明在医疗健康领域目前我国已经初步具备相应实施行业领导的网络安全管理基础。

事实上,各重点行业对于网络安全的重视程度日渐提升,南方财经全媒体记者梳理发现,就在今年4月电力及证券期货相关主管部门也已就行业网络安全管理办法征求意见。

“《办法》总体规定较为完善,基本涵盖了相关医疗卫生机构网络和数据安全建设的各个方面,值得注意的是,该办法提出坚持分等级保护、突出重点。给实践中相关医疗卫生机构进行落地工作指明了方向和重点。”上海市汇业(深圳)律师事务所合伙人王小敏说。

《办法》提出,各类医疗机构应坚持分等级保护、突出重点。重点保障关键信息基础设施、网络安全等级保护第三级(以下简称第三级)及以上网络以及重要数据和个人信息安全。并要求落实网络安全保护“实战化、体系化、常态化”和“动态防御、主动防御、纵深防御、精准防护、整体防控、联防联控”的“三化六防”措施。

根据《关键信息基础设施安全保护条例》,关键信息基础设施是指公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业和领域的,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的重要网络设施、信息系统等。

王小敏指出,对于医疗卫生机构来说,像二级或以上的医院、疾病预防控制中心、专科疾病防治机构、急救中心(站)和血站等专业公共卫生机构,都可能会被认定为关键信息基础设施,但具体认定还需要国家卫生健康委等相关行业主管部门负责组织并通知相关医疗机构。

“此次办法专门提到关键信息基础设施的相关规定,说明医疗卫生机构所属行业和领域十分重要,被认定为关键信息基础设施的概率很大,需要相关医疗卫生机构加强重视,做好关键信息基础设施和网络的安全保护工作。”他说。

李晋沅表示,《关键基础信息设施安全保护条例》一直是我国近些年实施网络安全的最重要的法规之一,意义重大。而此次《办法》的出台,说明医疗行业的相关主管部门认为医疗行业数据我国事关民生和国家基础的行业,其信息安全设施的安全保护关系到国计民生,对国家安全有重大影响。“而事实也的确如此,我国十几亿人口的相关医疗卫生数据,尤其是在后疫情时代下,格外需要重点保护。”

保障数据安全和数据应用的有效平衡

此次发布的《办法》有专门篇章对数据安全管理做出规制,且篇幅不小。据介绍,《办法》所称的数据为网络数据,是指医疗卫生机构通过网络收集、存储、传输、处理和产生的各种电子数据,包括但不限于各类临床、科研、管理等业务数据、医疗设备产生的数据、个人信息以及数据衍生物。

北京市中伦(上海)律师事务所律师陈方强介绍,这些数据涵盖了《数据安全法》与《个人信息保护法》中关于医疗领域内数据安全和个人信息保护的主要类型,该等数据无论是对于公共利益还是患者及医疗机构工作人员等个人权益均具有重要意义,一旦发生数据安全事件,势必会导致公共利益及个人信息权利受到侵害。

值得注意的是,《办法》的数据安全管理篇章中专门提出,要坚持保障数据安全与发展并重,通过管理和技术手段保障数据安全和数据应用的有效平衡。

保护是为了更好地发展和应用,国家坚持促进发展和依法管理相统一、坚持安全可控和开放创新并重的原则。王小敏指出,这就要求各医疗卫生机构应按照有关法律法规的规定,参照国家网络安全标准,履行数据安全保护义务,坚持保障数据安全与发展并重。

“数据安全和数据应用从来都不是一个互相冲突的两难问题。数据安全考虑的重点并不是限制数据的应用,而是在数据的全生命周期内予以安全保护。”李晋沅说。

此外,《办法》还指出各医疗卫生机构开展人脸识别或人脸辨识时,应同时提供非人脸识别的身份识别方式,不得因数据主体不同意收集人脸识别数据而拒绝数据主体使用其基本业务功能,人脸识别数据不得用于除身份识别之外的其他目的,包括但不限于评估或预测数据主体工作表现、经济状况、健康状况、偏好、兴趣等。

推动行业安全健康有序发展

随着高质量发展纵深推进,全国卫生健康领域迎来重要机遇期,信息化发挥着关键的支撑作用,在此过程中产生的医疗健康数据不仅是重要的生产要素,更是国家基础性战略资源,因此网络安全的重要性日益凸显。在此背景下,《办法》的发布,进一步规范了医疗卫生机构网络和数据安全管理、促进“互联网+医疗健康”发展,加快推动卫生健康行业高质量发展进程。

但受访专家也指出,对于医疗卫生机构而言,该《办法》落实仍有难点。陈方强认为,开展网络安全等级测评和安全自查将作为医疗卫生机构的法定义务,由于本办法实施之日即生效,对于部分医疗卫生机构而言,需要一定的时间并组织人力物力立即开展该项工作。此外,对于正在进行的网络设施和信息系统建设提出了更高的要求,需要在新建时即满足本办法的要求(包括新建信息化项目的网络安全预算不低于项目总预算的5%的要求),可能需要对相关在进项目的工作内容进行补强调整。

未来如何持续促进“互联网+医疗健康”有序发展?

王小敏建议,除了相关医疗卫生机构提升合法合规意识,加强自身网络数据安全建设外,建议相关主管部门在后续加强该办法的落实实施日常检查工作,通过常态化执法促进新法真正发挥效用,同时不断出台和完善相关落地实施细则、指南和标准,推动整个行业的安全健康有序发展。

在李晋沅看来,很多医疗行业会和企业或者社会机构合作,尤其是科研领域,如药品研发等等。因此,他认为对于医疗卫生健康行业的监管要求,在医疗机构实施过程中,应该同步要求相关企业和社会机构等,这样才能做到全社会覆盖。

(作者:李润泽子 编辑:吴立洋)