【编者按】 数据的价值在使用，隐私安全的核心不是避免数据的使用，而是实现数据开放与隐私风险间的平衡。

　　在当今日益开放的网络环境下，医疗行业的数据安全问题日益凸显。本文将从数据价值、网络环境、人的安全、数据流动和云驱动等五个方面进行深入分析。

　　一、医疗数据的特殊价值

　　1.高度敏感的数据泄露带来巨大的个人、家庭和社会影响

　　健康信息的全方位渗透决定了健康数据的利用范畴非常广泛，使用不当会严重影响人们的生活、工作、家庭甚至社会和政治。其广泛的社会影响性使得个人健康信息（PHI）成为人们最为核心的隐私内容。PHI泄露具有两大典型特征：单体病案对于个人及家庭的巨大影响和海量信息的巨大社会影响，而且极易转变为巨大的财富。那么，有哪些高度敏感的数据泄露场景呢？

　　（1）恶性肿瘤、尿毒症、糖尿病等慢性病。这类患者在未来的支付能力往往很可能会急剧恶化，信用水平会快速降低。因此，保险、银行及所有金融机构都为了提高风控水平而对这类信息趋之若鹜。

　　而且，由于相关疾病的震慑作用会给相应的保险销售带来很大的说服力及便利性。部分医院、药店、药厂、保健机构不断瞄准这些患者以获得最大收益，仿佛是“移动的印钞机”。同时，这类病人也是各种诈骗机构的主要目标，假药、假保健品不断地输送给这类患者。处于绝望中的恶行肿瘤患者，只要前方给予了一丝希望就会毫不犹豫地抓住，结果是赔钱又赔人。即使不需要金融服务，也没有被诈骗，也会给生活和工作带来极大不便，社会交往受阻。

　　（2）ED、性冷淡、大小便失禁、吸毒等涉及个人尊严的疾病。此类疾病让人丧失了一些基本能力，无疑让人自卑。这些隐私信息的泄露会极大地影响个人工作和生活。所以，出于身心的打击，使得这类人群特别容易受到各路骗子的诱惑。

　　（3）性病、艾滋病等传染病。此类疾病属于绝对隐私。除了病急乱投医造成的巨大财产损失和身体损失之外，家庭和社交关系被破坏等几乎无一幸免。另外由于这种疾病的绝对隐私性，导致患者极易被勒索。

　　（4）传染病、中毒、血铅等社会性疾病。此类区域性疾病或者突发性卫生事件，配合社会谣言很容易引起社会混乱。特别是处于保密期的重大卫生事件的一旦泄露，会让有关政府机构极为被动。

　　（5）老人、孕产妇、婴幼儿、儿童等弱势群体。此类群体由于相对脆弱的心理和防范，非常容易受到诱惑。保险及各种金融机构，以及各种保健机构和诈骗机构也会不断地诱惑和欺骗他们，并给造成极大伤害。

　　（6）社会重要人士和公众人物的病案。比如，“希拉里事件”精确地演示了患者疾病如何影响政治生态。国家主要领导的病案属于国家安全范畴，一旦泄露显然会影响政治生态，甚至直接终结政治生涯。公众人物在某种程度也类似，不当的健康隐私泄露可能会直接终止公众人物的职业生涯。

　　（7）有待推敲的治疗方案和居高不下的误诊率。医学诊断本质上属于经验科学，缺乏精确性。即便是在美国，误诊率也始终居高不下。因此，治疗方案只有合理性说法而没有正确性说法。倘若一些有待推敲的治疗方案泄露且被别有用心的人利用，可能会诱发更多的医患纠纷，最终导致医院遭受巨大损失。

　　（8）具有高精确度的个人信息。医疗机构个人信息拥有极高的精确度和社交关系属性。例如：姓名、身份证、社保卡、电话号码、住址、职业以及亲属关系等。出于患者对于医疗机构的期待，个人信息往往比任何其他机构具有更高的精确性。医疗个人信息即使是普通信息在黑市的价格也居高不下，是普通信用卡信息价格的10倍以上。更不用说精确的职业信息了，它可以使个人信息的价值成倍上升。

　　（9）医嘱、处方和检查结果的巨大价值。医院持续运营的核心成果除了医生水平的不断成长之外，就是医嘱和处方等病例信息的不断积累。一家大型医院多年积累的主要病种的病案医嘱和处方内容的价值往往以百万价值计算。除了巨大的学习和成长价值之外，药品供应商对这些数据更是趋之若鹜，完成真实案例之上的临床试验。

　　（10）处方药和受管制的药品。处方药，特别是受到管制的药品，比如麻醉药，市民必须持有处方才可进行购买。任何具有许可的物品和服务都会在市场上具有很大的价值，而入侵者通过盗取这些处方，从市场上“合法”地购买处方药品，然后出售以获利，扰乱了药品管控市场。

　　（11）数据统方。数据统方是医疗回扣腐败案件的核心环节之一，是实现医疗回扣的关键媒介和凭证。医疗腐败关系到每一位百姓生活，具有广泛的社会影响力。

　　2.高度精确性要求已上升到生命安全的级别

　　医院的医嘱、处方、医疗器械都把人作为处理对象。医疗数据的不当更新可能会危害患者的生命安全，而生命安全则是生活中的最高安全级别。

　　（1）医嘱和处方数据的变更。医嘱和处方是医生按照积累的知识和经验作出的最佳判断，总是在疗效和危害之间进行平衡。由于绝大部分药品的副作用以及部分药品的禁忌性，医嘱和处方便成为某些别有用心的人“借刀杀人”的最佳利器。电影作品乃至现实生活中都存在众多案例提示我们这种危险的存在。而不断演示的黑客远程操控医疗器械则更加活生生地提示着生命安全的脆弱性。无论是何种伤害，本质上只需要修改数据而已，在程序上与交通违章消分没有任何区别。

　　（2）归档病案的变更。当一桩医疗纠纷案如果出现了归档病案的变更，则意味着医院无法自证清白，在医疗纠纷中会先天处于不利位置。

　　（3）管制药品的购买。麻醉品、鸦片、大麻等各种具有高度危险性的药品只有在医院可以合法购买，以至于在市场上自由流通具有很高的价值。当然也会对社会造成巨大影响，入侵者可以通过处方修改来获得其合法购买管制药品的权利。

　　（4）出生医学证明。出生医学证明是黑户洗白的关键凭证。内外勾结或者盗取出生凭证是出生医学证明地下黑产链的关键环节。

　　（5）勒索威胁。勒索病毒是医疗行业最为严重的外部威胁之一，在已知的外部威胁中高达85%是由勒索病毒引起的。开放的网络环境和相对脆弱的安全措施是勒索病毒持续发作的温床。

　　二、不够安全的网络环境

　　1.开放或半开放的网络环境

　　开放或半开放的网络环境是医疗行业的典型特征，很少有行业像医疗行业一样是一个非安全的开放环境。开放的网络环境使入侵者可以轻易地进入医院网络，轻易地进行物理攻击。

　　（1）开放的医生工作环境。无论是门诊医生还是住院医生的工作电脑，几乎都处于人人可以接触的开放环境。入侵者较易合法地进入医生的工作场所、亲切地和医生进行沟通、接近医生和医生工作终端，甚至可以很容易假冒医院IT工作者对医院电脑进行全权操作。

　　（2）大量不安全的自助服务设备。自助服务设备是医院服务患者的主要工具之一。大量的自助设备在给患者带来便利性的同时，也给入侵者有机可乘。他们可以很容易接触医院网络，也可以假借维修名义对自助服务终端进行任何操作。

　　（3）广泛使用的无线网络。移动终端的广泛使用是医院信息化发展的主要方向。当无线网络缺乏严格的安全管控时，意味着入侵者随时可以进入医院网络。

　　2.相对混乱的互联网接入服务

　　除了自助服务终端之外，互联网接入是当前医院的主要努力方向。为了赶上互联网医疗的快车，只有极少部分医院独立建设互联网医院，更多医院采用外部服务接入的方式来连接互联网。事实上，在接入互联网服务时，大部分医院就已经把主动权交付至互联网服务提供商，缺乏统一的业务和安全规划。

　　（1）互联网服务授权过大。大部分医院在互联网服务建设过程中，由互联网服务提供商来整理医疗数据，自主获取服务需要的数据。医院缺乏统一的互联网服务网关，让医疗数据处于极度危险的境地。

　　（2）数据安全考虑相对缺乏。互联网服务的焦点目标是提供相应的服务，并不会过多考虑数据安全性。由于缺乏有效的验证和隔离措施，入侵者很容易通过互联网服务网络进入医疗网络。

　　本文来源于HIT专家网news，作者柳遵梁；经亿欧大健康编辑，供行业人士参考。

　　（未完待续）