電子病歷安全嗎？

申請免費試用、咨詢電話：400-8352-114

按照美國政府在去年公布的財政激勵計劃，奧巴馬總統(tǒng)打算投入金額高達200億美元的聯(lián)邦資金，以實現(xiàn)大范圍部署電子病歷的目標。啟動這項計劃的主要原因是，可以通過降低長期成本、提升醫(yī)療開支的效果，改善美國的醫(yī)療保健系統(tǒng)。那么，電子病歷這個新方向?qū)Π踩院碗[私性有怎樣的新要求？

電子病歷的核心就是，有效地獲取、傳遞及分析與某個病人相關(guān)的醫(yī)療保健信息。高效流動的信息對所有參與醫(yī)療保健提供服務(wù)系統(tǒng)的組織和個人有不同的利害關(guān)系，這些參與者包括醫(yī)療服務(wù)提供商、保險公司、政府機構(gòu)、索賠處理公司和病人。在不同的人看來，電子病歷有著略微有不同的含義。

個人管理的電子病歷被稱為個人健康檔案（PHR）。個人健康檔案獲取所有相關(guān)的個人健康詳細信息，包括診斷、X片和類似內(nèi)容，并存入到單一存儲庫中。然后，個人有權(quán)為自己做出健康方面的決策，有選擇地披露健康狀況，并在緊急情況下得到最佳醫(yī)護。谷歌和微軟都為個人提供了創(chuàng)建、管理及存儲個人健康檔案的服務(wù)。隨著掌握計算機使用技能的人群逐漸步入老年，專家預(yù)計這方面的需求會急劇增長。

本文關(guān)注的重點不是個人，而是醫(yī)療機構(gòu)和醫(yī)療服務(wù)提供商。

安全是薄弱環(huán)節(jié)

毋庸置疑，電子病歷需要嚴格遵守隱私和安全方面的監(jiān)管要求，醫(yī)療機構(gòu)和醫(yī)療服務(wù)提供商該如何安全地使用電子病歷？設(shè)想有一家醫(yī)院，它的電子病歷系統(tǒng)運行得相對比較順暢。醫(yī)生們使用電子病歷就能以完全電子化的方式來處理大部分工作，這與紙張傳來傳去的傳統(tǒng)醫(yī)護環(huán)境形成了鮮明對照。使用電子病歷后，醫(yī)生們根本不需要用紙，就能查閱病史和圖表、獲得檢驗結(jié)果、把病人介紹給專家轉(zhuǎn)診、開藥及診斷影像。

電子病歷的薄弱環(huán)節(jié)就在于很難足夠有效地保護這些病歷的安全。對電子病歷系統(tǒng)而言，讓人擔(dān)心的安全和隱私問題主要包括如下：

1.電子病歷系統(tǒng)遭到黑客入侵，會導(dǎo)致病人數(shù)據(jù)被篡改，或臨床系統(tǒng)被破壞；

2.電子病歷系統(tǒng)的授權(quán)用戶濫用健康信息檔案；

3.電子病歷系統(tǒng)面臨著長期數(shù)據(jù)管理問題；

4.政府或企業(yè)非法介入私人醫(yī)療保健問題。

乍一看，解決這些問題似乎不是很難。但實際上，醫(yī)院及其他醫(yī)療環(huán)境的工作流程非常復(fù)雜。眾多工作人員需要立即訪問病歷，這些人員包括急診室技術(shù)員、收治工作人員、醫(yī)生、護士以及負責(zé)收費和記賬的后勤人員。一種權(quán)宜之計可能是安裝基于角色的訪問控制（RBAC）機制，以便實現(xiàn)細粒度的授權(quán)。但我們在為一家大型醫(yī)療服務(wù)提供商開展的安全補救工作中發(fā)現(xiàn)，針對現(xiàn)有的電子病歷系統(tǒng)，改造基于角色的訪問控制機制是一項相當(dāng)復(fù)雜的任務(wù)。為醫(yī)院各科室和各人員賦予角色是特別棘手的。比如說，要是不小心取消了查閱權(quán)限，會導(dǎo)致外科醫(yī)生無法在手術(shù)室查閱關(guān)鍵影像。這很可能會導(dǎo)致嚴重后果。

所以，基于角色的訪問控制不太可能實現(xiàn)，還是要讓醫(yī)院的各類人員都便于訪問才行。我們認為，這也同時埋下了不安全的隱患，最終導(dǎo)致電子病歷系統(tǒng)的安全狀況大多不盡如人意。

比如說，假設(shè)未經(jīng)授權(quán)就將攜帶艾滋病病毒的某個患者的病歷透露給了媒體。其結(jié)果有可能是災(zāi)難性的。會有很多意想不到的后果，譬如：患者可能因而遭到家庭或社區(qū)的嫌棄、丟掉飯碗、享受不到醫(yī)療福利。盡管已出臺了法律法規(guī)來防止未經(jīng)授權(quán)透露信息造成的嚴重后果，但實際上這些法律法規(guī)對于病歷被透露的個人來說起不到多大的安慰作用。你可以想象：保險公司聲稱客戶早在投保之前就已患病，因而拒不理賠。這種情況在實際生活中的確會發(fā)生，醫(yī)院和醫(yī)療服務(wù)提供商必須引起注意。

安全隱患很容易發(fā)生

還可能存在網(wǎng)絡(luò)或電子病歷應(yīng)用軟件出現(xiàn)重大的安全泄密事件，這也讓許多醫(yī)院管理人員和合規(guī)人員一想到有可能違反隱私權(quán)就不寒而栗。違反《健康保險可攜性及責(zé)任性法案》（HIPAA）會帶來嚴重后果，而加利福尼亞州等州出臺的新法規(guī)規(guī)定：如果錯誤地披露病歷，將處以巨額罰款。

從我們在某大型醫(yī)療服務(wù)提供商看到的情況來看，我們發(fā)現(xiàn)安全泄密事件比較容易出現(xiàn)?，F(xiàn)在，很多電子病歷與Web應(yīng)用軟件聯(lián)系起來（或者很多電子病歷本身就是Web應(yīng)用軟件），因而比較容易成為攻擊對象。我們還發(fā)現(xiàn)，診斷系統(tǒng)直接連接到醫(yī)院網(wǎng)絡(luò)。由于這些系統(tǒng)還擁有用于故障排除或下載新軟件的遠程診斷能力，將某種蠕蟲植入到網(wǎng)絡(luò)上后，就能造成所有聯(lián)網(wǎng)的X光機癱瘓，這并非沒有可能。

我們在另一家醫(yī)療機構(gòu)發(fā)現(xiàn)了如下這些安全隱患，這也是絕大多數(shù)醫(yī)院普遍存在的安全隱患：

1．這家醫(yī)療機構(gòu)的合法部門受制于不夠有效的技術(shù)、資源和流程，因而無法有效地監(jiān)測可能違反隱私的行為，并采取相應(yīng)對策；

2．電子病歷廠商確認及管理應(yīng)用軟件安全漏洞的能力不夠強；

3．尤其是應(yīng)用軟件和數(shù)據(jù)庫層面的安全監(jiān)控功能更是需要大幅改進；

4．安全地管理數(shù)據(jù)生命周期在部署電子病歷系統(tǒng)期間沒有被放在優(yōu)先位置。因而，存在的具體問題包括如下：長期數(shù)據(jù)存儲和歸檔方法很隨意、數(shù)據(jù)清除不合適、數(shù)據(jù)歸屬責(zé)任不明確、發(fā)現(xiàn)信息資產(chǎn)的流程和系統(tǒng)不夠有效、數(shù)據(jù)分類不夠有效、物理介質(zhì)處置不安全。

醫(yī)院和大型醫(yī)療機構(gòu)必須非常細致、非常全面地對待安全和隱私問題——幾乎就像金融行業(yè)在2000年時保護交易系統(tǒng)的安全那樣。要是信息基礎(chǔ)架構(gòu)的每個層面（設(shè)備、網(wǎng)絡(luò)和應(yīng)用軟件）缺少統(tǒng)一協(xié)調(diào)的工作，缺少嚴格的政策和使用指導(dǎo)準則，以及缺少精確的監(jiān)測功能，部署電子病歷的工作就會陷入停頓。國家需要拿出更有效的辦法來保護電子病歷的安全，鑒于奧巴馬總統(tǒng)開始著力改革醫(yī)療保健系統(tǒng)，安全專業(yè)人員必須挺身而出。

病人數(shù)據(jù)被轉(zhuǎn)手賣掉

病歷存儲在云上，在市場上公開叫賣，這已是一個公開的秘密。最近《紐約時報》的一篇文章披露了這個公開的秘密，該文介紹了所謂的“經(jīng)過剝離”的病人數(shù)據(jù)并不像人們想象的那么隱匿。文章主要著重披露了如果結(jié)合其他公開的數(shù)據(jù)庫（如選舉記錄），可以怎樣輕松地讓匿名數(shù)據(jù)不再匿名。文章末尾附有這則新聞：如今收集、隱匿及出售醫(yī)療數(shù)據(jù)的不是保險代理行和醫(yī)療服務(wù)提供者，而是在云中提供病歷存儲服務(wù)的第三方供應(yīng)商。

據(jù)衛(wèi)生信息技術(shù)認證委員會的營銷主管Sue Reber聲稱，電子健康檔案（EHR）服務(wù)在最近幾年成了一個蓬勃發(fā)展的行業(yè)。Reber表示，以前大多數(shù)供應(yīng)商只是銷售軟件包；一旦產(chǎn)品賣出去，供應(yīng)商與存儲在軟件包里面的數(shù)據(jù)再也沒有任何關(guān)系。而如今越來越多的公司已開始提供基于互聯(lián)網(wǎng)的管理應(yīng)用軟件，其中包括由供應(yīng)商控制及管理的數(shù)據(jù)庫存儲服務(wù)。

Reber告訴媒體，這類產(chǎn)品通常附帶安全性和隱私性方面的條款，防止軟件供應(yīng)商訪問數(shù)據(jù)，即使由供應(yīng)商在管理數(shù)據(jù)。但其他人士表示，情況并非總是如此。

《紐約時報》撰文道，作為與供應(yīng)商所簽合同的一部分內(nèi)容，醫(yī)生答應(yīng)允許一些供應(yīng)商訪問及收集病人數(shù)據(jù)，剝離掉其中的個人身份信息，然后批量出售給制藥公司及其他買家。

醫(yī)療保健投資銀行Leerink Swann的分析師George Hill對《紐約時報》說，健康檔案系統(tǒng)市場的產(chǎn)值每年高達80億～100億美元?？偸杖胫屑s5%不是來自銷售的信息系統(tǒng)，而是來自銷售的數(shù)據(jù)和分析服務(wù)。他表示，受到聯(lián)邦獎勵金的刺激，更多醫(yī)生和醫(yī)院會改用電子檔案，銷售健康檔案所得的收入會增加至50億美元。

Paul Tang是帕洛?阿爾托醫(yī)療基金會（Palo Alto Medical Foundation）的副總裁兼首席醫(yī)療信息官，還是聯(lián)邦隱私顧問專家組的成員，據(jù)他聲稱，在一些情況下，供應(yīng)商合同明確規(guī)定了供應(yīng)商對數(shù)據(jù)庫中的健康檔案享有獨家訪問權(quán)。Tang說：“我見過大大小小的供應(yīng)商簽有這種條款的合同。一些供應(yīng)商表示數(shù)據(jù)歸自己所有。還有合同規(guī)定，供應(yīng)商可以實時訪問數(shù)據(jù)庫；供應(yīng)商對數(shù)據(jù)享有獨家訪問權(quán)；可以轉(zhuǎn)手賣掉數(shù)據(jù)。我認為，適用主體（如醫(yī)院和醫(yī)生）遵守這樣的合同是不合法的。”

允許供應(yīng)商訪問病人數(shù)據(jù)明顯違反了《健康保險可攜性及責(zé)任性法案》（HIPAA），該法案禁止醫(yī)生將病歷提供給與提供醫(yī)療服務(wù)或醫(yī)療支付無關(guān)，或與醫(yī)療研究無關(guān)的任何機構(gòu)或個人。雖然該法案的確給醫(yī)療服務(wù)提供者所雇的“商業(yè)伙伴”留下了空子，但隱私權(quán)律師Robert Gellman表示，在這些情況下，醫(yī)療服務(wù)提供商可能不會得到該法案的保護。

Gellman說：“涉及醫(yī)病數(shù)據(jù)歸屬的任何合同都沒有多大意義，因為法律和醫(yī)德控制著病歷的權(quán)利和責(zé)任。不管哪個適用主體保留病歷，依據(jù)法律都要遵守某些義務(wù)和約束，不管合同是怎么擬寫的。只要醫(yī)生受制于HIPAA，數(shù)據(jù)披露方面的那些規(guī)定就有效。要是某個醫(yī)生簽署了這樣的合同，他無疑違反了HIPAA，可能會受到民權(quán)辦公室的追查，遭到病人的起訴?！?/P>

供應(yīng)商們表示，他們轉(zhuǎn)手賣掉的數(shù)據(jù)用于研究，更何況先已剝離掉了個人身份信息，保護病人的隱私權(quán)。但早在1997年，卡內(nèi)基?梅隆大學(xué)數(shù)據(jù)隱私實驗室主任Latanya Sweeney表明了，她如何僅僅將匿名數(shù)據(jù)與在馬薩諸塞州選民登記名冊上發(fā)布的生日、郵政編碼和性別等信息關(guān)聯(lián)起來，就從該州保險事務(wù)委員會發(fā)布的經(jīng)過剝離的病歷信息當(dāng)中，找出了時任馬薩諸塞州州長William Weld的病歷。

據(jù)Sweeney稱，只要憑借出生日期、性別和郵政編碼這些信息，就能確定87%的美國人的身份。