1引言

　　隨著(zhù)“互聯(lián)網(wǎng)+”行動(dòng)計劃的提出，互聯(lián)網(wǎng)迅速深入到各個(gè)領(lǐng)域中，加上云計算和大數據技術(shù)作為支撐，醫院內部的電子化臨床數據不斷擴大其向個(gè)體以及監管部門(mén)的開(kāi)放范圍，應用場(chǎng)景也不斷增多。隨著(zhù)數據的開(kāi)放，從個(gè)人角度保證信息安全和從醫院角度管控臨床數據安全的話(huà)題也越來(lái)越多。近年來(lái)，美國、歐盟、日本、德國以及中國香港和臺灣地區相繼推出了相關(guān)法律或條例，主要是從個(gè)人數據隱私立法的角度進(jìn)行保護，國內也出臺了數據和信息安全的相關(guān)標準，但醫療衛生領(lǐng)域法律法規仍需完善，結合我國國情，構建一個(gè)完整、全面、統一、協(xié)調的醫療信息安全的法律體系是我國目前在醫療數據及信息安全方面亟需要做的工作。本文在此背景下，面向患者、醫院管理者、信息化工作人員、醫護人員及與醫院關(guān)系密切的商保和社保相關(guān)機構發(fā)起調查問(wèn)卷，力求得到不同人群對臨床數據安全工作的認知程度，為臨床數據安全的相關(guān)標準和規范制定打下基礎。

　　2調查問(wèn)卷設計、發(fā)放與回收

　　2.1調查問(wèn)卷設計本調查問(wèn)卷主要以參與醫療活動(dòng)中的角色進(jìn)行區分，共分為六個(gè)部分，包括患者部分、基本醫療保險相關(guān)機構部分、商業(yè)保險相關(guān)機構部分、醫院管理相關(guān)人員部分、臨床工作人員（醫生、護士、醫技人員）和醫院信息化相關(guān)人員部分。不同部分的調查問(wèn)卷內容除2道公共部分問(wèn)題外，其他調查內容也不完全相同，其目的在于了解醫療活動(dòng)中不同角色人群參與臨床數據開(kāi)放的渠道、對臨床數據的安全意識以及對臨床數據監管的認知程度。本文僅對醫務(wù)工作者（醫院管理相關(guān)人員部分、臨床工作人員和醫院信息化相關(guān)人員）進(jìn)行分析。

　　在設計調查問(wèn)卷的過(guò)程中，我們設計的題量在10至20題之間，盡量避免被調查者產(chǎn)生疲倦心理。題目長(cháng)度控制在30個(gè)漢字以?xún)龋M量通俗易懂，避免出現專(zhuān)業(yè)術(shù)語(yǔ)。題目中涉及隱私的問(wèn)題均設計成選擇題，盡量避免被調查者對調查問(wèn)卷心存芥蒂。

　　2.2調查問(wèn)卷發(fā)放與回收本調查問(wèn)卷利用騰訊問(wèn)卷（wj.qq.com）系統進(jìn)行制作，將六部分內容進(jìn)行統一整理，且合并相同或相似的問(wèn)題，并針對參與醫療活動(dòng)中的不同角色進(jìn)行了邏輯設置。問(wèn)卷通過(guò)互聯(lián)網(wǎng)方式進(jìn)行發(fā)放，主要推廣形式是QQ群、QQ空間、微信群、微信朋友圈及新浪微博。問(wèn)卷設置了答題需要登陸驗證和每個(gè)用戶(hù)只能答一次的限制，以確保問(wèn)卷結果的真實(shí)性。問(wèn)卷發(fā)放后48小時(shí)自動(dòng)終止，共收回問(wèn)卷680份，其中醫院工作人員參與調查的問(wèn)卷共449份，占66.03%。

　　3調查問(wèn)卷結果

　　3.1調查對象分析在回收的449份醫務(wù)工作者參與調查的問(wèn)卷中，參與調查者所在地區覆蓋了全國絕大部分的省份，其中以遼寧省、北京市、重慶市、山東省、河南省為主。回收的問(wèn)卷中三級醫院共360份、占80.18%，二級醫院共79份、占17.59%，其他級別醫院共10份、占2.23%；以醫院信息化相關(guān)人員角色參與調查的共298份、占66.37%，以臨床工作人員角色參與調查的共83份、占18.49%，以醫院管理相關(guān)人員角色參與調查的共68份、占15.14%。

　　3.2醫院臨床數據開(kāi)放程度分析對于醫院臨床數據的開(kāi)放方式和開(kāi)放程度是本次調研的首要問(wèn)題。隨著(zhù)開(kāi)放方式和開(kāi)放程度的增多，臨床信息保護規范和信息防護措施也要更加完善。從醫院的角度看，臨床數據的開(kāi)放方式主要可以分為主動(dòng)開(kāi)放和被動(dòng)開(kāi)放。主動(dòng)開(kāi)放，即為改善患者就醫體驗，利用互聯(lián)網(wǎng)、移動(dòng)互聯(lián)網(wǎng)、自助設備等完成非診療環(huán)節的臨床數據推送。被動(dòng)開(kāi)放，即為滿(mǎn)足上級主管部門(mén)的監管要求，完成臨床數據實(shí)時(shí)上傳和定時(shí)上報工作。

　　在回收的449份醫務(wù)工作者參與調查的問(wèn)卷中，主動(dòng)開(kāi)放數據的渠道一般有五種，其中實(shí)現院內檢查、檢驗結果自助打印功能的占75.15%，實(shí)現網(wǎng)上預約掛號（手機、微信、支付寶、網(wǎng)站等）功能的占65.74%，實(shí)現網(wǎng)上檢查、檢驗結果查詢(xún)（手機、微信、支付寶、網(wǎng)站等）功能的占41.88%，實(shí)現網(wǎng)上門(mén)診或住院病歷查詢(xún)（手機、微信、支付寶、網(wǎng)站等）功能的占15.83%，實(shí)現院內門(mén)診或住院病歷自助打印功能的占25.65%，詳見(jiàn)表1。

　　在被動(dòng)開(kāi)放數據的方式相關(guān)調查中，僅針對醫務(wù)工作者中的醫院管理者和信息化人員進(jìn)行了調查，共回收366份問(wèn)卷。其中，99.45%的參與調查者允許政府部門(mén)（衛計委、醫保、公安）收集患者就診信息，11.75%的參與調查者允許商業(yè)保險公司收集患者就診信息，1.64%的參與調查者允許藥品或保健品生產(chǎn)商或供應商收集患者就診信息，1.09%的參與調查者允許醫療設備生產(chǎn)廠(chǎng)商收集患者就診信息，0.82%的參與調查者允許可穿戴設備相關(guān)廠(chǎng)商收集患者就診信息。但不同角色對開(kāi)放渠道的認知卻不盡相同，這可以反映出在數據開(kāi)放的過(guò)程中管理和監管環(huán)節依舊不完善，多數科室以科研項目為由與信息主管部門(mén)一起對數據進(jìn)行了開(kāi)放，詳見(jiàn)表2。

　　在被動(dòng)開(kāi)放數據的程度相關(guān)調查中，仍然僅針對醫務(wù)工作者中的醫院管理者和信息化人員進(jìn)行了調查，共回收366份問(wèn)卷。其中，已開(kāi)放或者允許開(kāi)放的內容幾乎涵蓋了臨床數據全部，從患者掛號、繳費、住院登記及出院結算信息到各種檢查、檢驗結果、病案首頁(yè)信息、醫囑及處方信息、手術(shù)記錄信息等。雖然臨床數據開(kāi)放的程度有些許不同，但這些臨床數據源確實(shí)正在不斷地上傳到衛計委及醫保等上級主管和監管部門(mén)中，詳見(jiàn)圖1。

　　在數據開(kāi)放的監管相關(guān)調查中，依舊僅針對醫務(wù)工作者中的醫院管理者和信息化人員進(jìn)行了調查，共回收366份問(wèn)卷。對于是否有專(zhuān)門(mén)人員負責對數據上傳或采集過(guò)程進(jìn)行監管的問(wèn)題上，172份問(wèn)卷內容為認同由信息部門(mén)監管，119份問(wèn)卷內容為認同由業(yè)務(wù)部門(mén)監管，75份問(wèn)卷內容為認為其所在單位無(wú)監管部門(mén)，詳見(jiàn)圖2。

　　對于醫院是否存在臨床數據泄露或有商業(yè)用途的事件發(fā)生的問(wèn)題上，在回收的449份醫院工作人員參與調查的問(wèn)卷中，31份問(wèn)卷內容為發(fā)現過(guò)有此類(lèi)情況的發(fā)生，207份問(wèn)卷內容為未發(fā)現過(guò)此類(lèi)情況，211份問(wèn)卷內容為不知道是否發(fā)生過(guò)此類(lèi)情況，詳見(jiàn)圖3。

　　4結論

　　從調查結果來(lái)看，臨床數據逐步開(kāi)放的趨勢已經(jīng)形成，隨著(zhù)移動(dòng)互聯(lián)網(wǎng)的發(fā)展以及國家在推動(dòng)DRGs，醫院的臨床數據已經(jīng)從財務(wù)為主線(xiàn)的數據開(kāi)放向以電子病歷為核心的數據開(kāi)放進(jìn)行轉變。但醫院醫務(wù)工作者對臨床數據開(kāi)放方式和程度的認知依舊十分的含糊，不知道這些數據該不該給？該給誰(shuí)？如何給？給多少？多數醫院并未建立完整的臨床數據開(kāi)放的監管體系，也未有相應的監管手段。

　　5建議

　　5.1政策制定方面應結合ISO27000系列標準，根據GB/Z28828-2012信息安全技術(shù)公共及商用服務(wù)信息系統個(gè)人信息保護指南及相關(guān)法律法規，制定基于醫療機構的臨床數據安全管控辦法及個(gè)人信息保護標準。讓醫院、醫院工作人員、第三方工作人員及患者了解并掌握知情同意權及隱私權的相關(guān)內容及其數據的保護方式。

　　5.2管理體系完善方面為了確保對臨床數據的適當授權和使用，預防數據泄露和濫用，醫院的管理層需要通過(guò)建立明確的管理分工、工作目標、信息安全責任分配等監管體系，支持信息安全的實(shí)現。醫院應利用“計劃-執行-檢查-行動(dòng)”(PDCA)管理模式構建臨床數據安全管理體系，并確保實(shí)施過(guò)程中的持續管控，以實(shí)現和規范臨床數據安全保護能力和方法，建立一套可信賴(lài)的臨床數據保護環(huán)境。

　　5.3信息系統建設方面醫院應意識到信息系統的安全性是臨床數據安全的核心內容，對于信息系統建設的安全性應做到但不限于：制定數據安全管理規劃，對現有信息系統的風(fēng)險評估，對網(wǎng)絡(luò )、操作系統、應用程序、移動(dòng)設備及遠程辦公模式的訪(fǎng)問(wèn)控制，對用戶(hù)權限的授予及撤銷(xiāo)流程，臨床數據在存儲、交換過(guò)程中的管控機制，特別是在信息系統采購、開(kāi)發(fā)和維護環(huán)節的數據安全策略等。并將物理安全技術(shù)、系統安全技術(shù)、網(wǎng)絡(luò )安全技術(shù)、應用安全技術(shù)、數據加密技術(shù)、認證授權技術(shù)、訪(fǎng)問(wèn)控制技術(shù)、審計跟蹤技術(shù)、防病毒技術(shù)、災難恢復和備份技術(shù)等廣泛地應用到信息系統建設之中。

　　5.4信息系統人才建設方面信息化建設有著(zhù)建、管、維的發(fā)展過(guò)程，需要有大量而專(zhuān)業(yè)的信息化專(zhuān)業(yè)人才，醫療機構信息化人才的管理是保障信息安全的基礎，是保證信息系統正常運行和發(fā)展的基礎。