在2021年7月之前，提及健康医疗数据安全的时候，大家的反应通常都是“这很重要”，但具体落实到实施的时候，又总觉得也并不是那么紧要。但2021年下半年扎堆发生的几件大事必将极大地改变现有观念，让健康医疗数据安全成为聚光灯下的主角。

首先是2021年6月10日，第十三届全国人民代表大会常务委员会第二十九次会议通过《中华人民共和国数据安全法》，自2021年9月1日起施行。这一法律将成为我国大数据战略中至关重要的法制基础，并成为数据安全保障和数字经济发展领域的重要基石。

随后，就是众所周知的滴滴出行赴美上市引发监管的事件，并成为自2020年4月《网络安全审查办法》颁布以来，首个公开的网络安全审查案例。受此影响，原定近期赴美上市的科技企业纷纷暂时搁置上市计划。

比如，重点聚焦肿瘤领域，提供面向癌症患者的大数据平台，为医疗机构和医药公司提供服务的医疗科技公司零氪科技便在7月8日宣布搁置其原定次日赴美于纳斯达克上市的计划，拟挂牌交易时间被延期。在此之前的7月1日，该公司刚刚更新了其招股书，并于7月6日正式向美国证券交易委员会(SEC)更新IPO申请。

几乎是与滴滴赴美上市同一时间点的7月1日，《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020，以下简称《安全指南》)正式实施。

这一连串事件引发的强震还在持续。7月10日，国家网信办发布《网络安全审查办法(修订草案征求意见稿)》，要求掌握超过100万用户个人信息的运营者赴国外上市时必须向网络安全审查办公室申报网络安全审查。此外，征求意见稿多数新增内容为防范数据跨境潜在风险，重点强调相关市场主体境外上市的数据安全性。

近年来，相关部门已经注意到了健康医疗数据安全存在的隐患，并逐步推动法规标准建设来完善顶层设计。根据动脉网统计，自2020年至今，相关部门已经陆续发布了12条涉及健康医疗数据安全的政策及标准，强度之高令人侧目。在可预测的未来，这一趋势将有增无减。

毋庸置疑，随着监管的加强，包括医疗健康在内的各行业将在接下来的一段时间重新审视数据安全，并调整其在计划中的权重。动脉网(微信号：VCBeat)也将推出系列文章，对当下医疗健康数据安全进行解读。

一直列倒数，从来未例外!健康医疗数据安全不容乐观

“健康医疗数据安全的现状并不乐观!”华中科技大学协和深圳医院信息科主任朱岁松认为，随着近年来健康医疗领域信息化建设的推进，以及5G、大数据、人工智能及物联网等新型技术的发展，健康医疗的数据应用程度和开放程度也在逐渐深入。这也使得健康医疗数据在全生命周期各阶段面临着越来越多的安全挑战。

至于什么是健康医疗数据，在此之前各部门对此有着各自不同的解释。新发布的《安全指南》对此做出了明确的界定——“包括个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据。”

“个人健康医疗数据”是指“单独或者与其他信息结合后能够识别特定自然人或者反映特定自然人生理或心理健康的相关电子数据。”“由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据”则包括群体总体分析结果、趋势预测、疾病防治统计数据等。也就是说，健康医疗数据分为“个人”和“群体”两个方面。

总的来说，健康医疗数据可以分为个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据和公共卫生数据。

截图来自《信息安全技术 健康医疗数据安全指南》

不难看出，健康医疗数据具有普遍的真实性和隐私性。这些数据从微观上包含个体身体健康情况、医疗就诊情况等数据，从宏观上包含疾病传播、区域人口健康状况等数据，健康医疗数据安全事关患者生命安全、个人信息安全、社会公共利益和国家安全。

通常而言，由于医护人员的基本职业操守，手握大量医疗健康数据的医疗机构并不会主动泄露健康医疗数据。然而，对健康医疗数据安全的担忧并不是空穴来风。毕竟，无论国内国外，医疗机构在数据安全上的表现都是乏善可陈。

根据腾讯智慧安全《医疗行业勒索病毒专题报告》的统计，2017年WannaCry勒索病毒流行期间，全国有247家三甲医院检出了勒索病毒。这一勒索病毒可以通过永恒之蓝漏洞呈蠕虫式传播。因此，一旦WannaCry入侵到医疗机构内网，便能迅速在内网扩散。

然而，令人啼笑皆非的是，针对永恒之蓝漏洞，微软官方早已于事发一年前便发布了漏洞修复补丁。

到了2018年2月，华中某医院遭受勒索病毒攻击，服务器所有数据文件被强行加密，导致医院系统瘫痪，所有业务受到影响。黑客要求院方必须在六小时内为每台感染终端支付1个比特币赎金，约合每台终端解锁需要支付人民币66000余元。无独有偶，有报道称华东某医院信息系统也曾被黑，并被勒索价值2亿元的以太币。

当然，国外的情况也没有好到那里去。2020年9月，德国杜塞尔多夫大学医院遭到勒索病毒攻击，导致该院30台服务器被加密，医院信息系统崩溃。然而，从勒索要求来看，黑客实际上是打算勒索杜塞尔多夫大学医院所附属的海因里希·海因大学，而不是医院本身。

警方立即联系并告知黑客其所勒索的是关乎人命的医院而非大学。这位“有良心”的黑客随后竟撤回勒索企图，并提供了解密数据的数字密钥。然而，这起事故已经导致了一出悲剧的发生——因为医院系统崩溃，一名当时被送往医院急需抢救的病人不得不转送至距离该院约32公里的伍珀塔尔某医院。由于延误了治疗，这位不幸的病人不治身亡。

IBM Security的《2020数据泄露成本报告》对17个国家和地区17个行业进行了调查，2020年数据泄露平均总成本最高的行业是医疗行业，其平均总成本高达713万美元，比2020年所有行业386万美元的数据泄露平均总成本高出接近一倍。

按行业划分数据泄露平均总成本(单位：百万美元)，数据出自《2020数据泄露成本报告》，动脉网制图

以医疗健康行业来说，2011年12月，前卫生部发布《卫生行业信息安全等级保护工作的指导意见》。要求卫生行业按照《信息安全技术信息系统安全等级保护定级指南》开展定级工作，并明确重要卫生信息系统安全保护等级原则上不低于三级。

同时，根据动脉网对某直辖市数家头部三甲医院医护人员的了解。目前，医院对于安全已经相当重视，不仅定期举行有关数据安全的培训演练，对于医护人员可能产生泄密的渠道也有相应的保护。

比如，医护人员工作站硬件上取消了USB接口，无法通过移动存储拷贝数据。在权限上则予以严格控制，若需复制数据则需要层层报批至上级领导。相比之下，部队医院对安全的要求更为严格，早年就已实施严格的管控。

数据安全一票否决，等保2.0将进一步加持健康医疗数据安全

不过，等保1.0制定的年代已经较为久远，造成一些新技术和新应用的等级保护规范缺乏，比如云计算、物联网等。其次，除传统的5步骤外，风险评估、安全监测和通报预警等工作不完善。最后是政策、标准、测评、技术和服务等体系不完善。

这使得等保1.0逐渐难以满足全球范围内移动互联网、云计算、大数据、工业互联网、人工智能、物联网等技术大量应用的现状。

因此，相关机构开始着手对现有等保标准进行更新。2019年5月，国家市场监督总局和国家标准化管理委员会发布《信息安全技术网络安全等级保护基本要求(GB/T22239-2019)》，并于 2019年12月开始实施，标志着我国进入等保2.0时代。

等保2.0与等保1.0的主要区别

相比等保1.0，等保2.0的要求更加细化：其所包含的系统更加广泛，从原本的基础信息网络和信息系统扩展到了包括网络基础设施、信息系统、大数据中心、云计算平台、物联网、工控系统、移动互联网、智能设备等。

按照新的要求，三级医院应全面落实国家信息安全等级保护制度，实行信息系统按等级保护分级管理。如果没有开展等级保护工作，或者只将一个核心系统通过等保的医院，其安全工作显然是不够完善的。

一方面，部分医院是为了节约成本。举例来说，据动脉橙消息，2021年7月21日，广东省茂名市妇幼保健院发起等保2.0建设项目招标，其预算金额就达到了207.63万元，这对于多数医院来说不是一笔小数目。

深信服医疗事业部解决方案总监陈磊表示，等保建设需要一定的经费支持，有些医院对安全业务支持不够，费用审批比较紧张。此外，等保需要采购不少安全设备，在评测后，这些设备是否真正发挥安全价值医院并不清楚。

另外一方面，部分医院也存在被企业误导的情况，采取将多个系统打包合并成一个医院信息系统来通过测试。这一“捷径”并不可取。首先，大部分医院的信息化系统是较为独立的业务系统;其次，等保的初衷就是对不同等级的系统进行分级管理，对于核心系统重点保护，全部合一个系统显然是不合适的。

华中科技大学协和深圳医院信息科主任朱岁松对此认为，等保不是应付检查，而是加强企业自身安全;除了重要系统必须上等保，不同系统也应分级管理。

深信服医疗事业部解决方案总监陈磊也认为等保测评的推进目的不是为了单纯过等保，需要建设趋于实战化的安全体系：“目前，智慧医院建设过程中数据服务类型的应用越来越多。核心业务系统定义范畴从基础的HIS、EMR，再到临床数据中心、科研数据中心等不断发展和变化的，从安全建设来说，趋于实战化的安全体系建设，同时适配行业业务变化的安全建设才是未来的发展方向。”

政策仍需完善，技术同样重要

总体来看，尽管医疗健康数据安全的形势仍然较为严峻，但随着近年来的立法及标准制定，情况正在向可控的方向发展。

当然，在现行已颁布的法律法规及标准体系下，健康医疗数据安全的顶层设计仍然还存在着交叉和空白，配套制度的细则不够完善等问题。

以目前炙手可热的健康医疗大数据来说，天鹏天元大数据总裁陆广林便表示健康医疗大数据应用近几年兴起，法律法规还在跟进过程，在没有明确法律法规时会依据适用原则做为参考标准，如《个人信息保护法》《信息安全等级保护管理办法(试行)》等。

“目前在行业内、协会、学术团体里形成了一些标准与规范。比如广州市标准促进会就发布了《广东省健康医疗数据脱敏技术规范》。我认为这些标准规范通过实践完善后将形成国家标准。”他补充道。

深信服医疗事业部解决方案总监陈磊也提到，目前，数据安全的顶层设计在行业适配层面做的不够。数据安全的基础是数据的分级分类，这部分和传统网络安全有很大不同，需要非常强的技术和行业的适配结合。从每个医院的角度，其对数据的使用、管理、流程都不一致。因此，需要在细节标准去更加细化。

与此同时，安全技术也将在其中扮演更加重要的角色，并带动行业的发展。安全领域的分类相当细化，按照产品保护范围，网络安全产品可以分为端点安全、边界安全和云安全。其中，各个领域又有多个细分领域。

根据安全牛的定义，将安全细分为14项一级安全分类，106项二级细分领域，共计有347家国产安全企业。这些企业默默地在隐秘的战线上保护着我们的安全。那么，健康医疗数据安全行业的前景如何?哪些新兴产品和技术在医疗健康行业有较好的探索经验?接下来，动脉网将持续关注健康医疗数据安全，并推出系列文章，敬请期待。也欢迎广大读者提供相关话题及线索。

参考资料

IBM Security：《2020数据泄露成本报告》

Verizon：2021 Data Breach Investigations Report

H3C.com：《医院等保解决方案》

腾讯智慧安全：《医疗行业勒索病毒专题报告》

国家工业信息安全发展研究中心：《数据安全白皮书》

安华金和等单位：《数据安全治理白皮书3.0》

中国信通院：《数字医疗网络安全观测报告》

CHIMA：《2019-2020年度中国医院信息化状况调查》

财新网：《零氪科技推迟赴美IPO 律师吁关注医疗数据保护使用》

财经十一人：《中国进入网络监管新阶段》

雷锋网：《上海某公立医院HIS系统被黑，被勒索2亿“以太币”》

Securityweek.com：German Hospital Hacked, Patient Taken to Another City Dies

安全牛：《中国网络安全行业全景图(2021年3月第八版)》