一份電子病歷,記錄的不只是患者的一次診療過程,更承載著患者隱私、醫(yī)療責任、科研價值和醫(yī)院聲譽。隨著醫(yī)療數(shù)字化、區(qū)域協(xié)同、互聯(lián)網(wǎng)診療、臨床科研等場景持續(xù)拓展,電子病歷早已從“無紙化記錄工具”,演變?yōu)獒t(yī)院核心敏感、亟需精細化安全治理的數(shù)據(jù)資產(chǎn)。
與此同時,風險也在不斷前移:醫(yī)護人員是否存在超范圍查詢?運維人員能否直接看到敏感字段?第三方接口調(diào)用是否留痕?科研數(shù)據(jù)導出后能否追溯?一旦發(fā)生泄露、濫用或違規(guī)共享,影響的不只是信息系統(tǒng)安全,更可能牽動患者信任、醫(yī)院管理責任和合規(guī)問責。
2025年6月30日,國家衛(wèi)生健康委員會聯(lián)合多部門發(fā)布《關于進一步加強醫(yī)療機構電子病歷信息使用管理的通知》(以下簡稱《通知》),以“壓實責任、分級管控、全程追溯”為核心,進一步明確醫(yī)療機構在電子病歷信息使用管理中的主體責任。電子病歷安全由此進入責任界定清晰、權限管控精細、行為全程可追溯的新階段。
從政策要求來看,《通知》并不是單點強調(diào)“系統(tǒng)要安全”,而是圍繞著電子病歷使用、訪問、共享、留痕和追責全環(huán)節(jié),提出系統(tǒng)的安全管理要求。對醫(yī)療機構而言,這意味著電子病歷安全正從技術建設問題,升級為院級數(shù)據(jù)安全治理與合規(guī)運營問題。《通知》明確四層核心要求:
01 壓實主體責任:醫(yī)療機構對電子病歷信息使用管理承擔主體責任,明確牽頭部門,劃分權責,將數(shù)據(jù)安全納入相關人員績效評價,對違規(guī)操作依法追責。
02 強化權限管控:實行分級分類管控,根據(jù)崗位、角色和使用需求分配權限,嚴格控制訪問范圍。規(guī)范短期人員及外部服務商權限管理,明確授權范圍和期限,建立動態(tài)調(diào)整與注銷機制。
03 行為要看得見:建立電子病歷信息安全防護體系,采用加密存儲、安全傳輸?shù)燃夹g手段,確保建立、修改、保存、傳輸、刪除等全環(huán)節(jié)操作痕跡可查詢、可追溯。重要場景支持通過數(shù)字水印等技術強化使用留痕。
04 健全管理制度:完善分級管理制度、應急處置和長效監(jiān)管機制,定期開展安全評估與自查整改,規(guī)范數(shù)據(jù)共享與接收流程。
一句話概括:新規(guī)關注的不只是“系統(tǒng)有沒有防護”,而是醫(yī)院能否回答清楚三個問題:誰訪問了電子病歷?訪問和使用是否合規(guī)?一旦發(fā)生風險能否定位追責?
電子病歷安全之所以難,不是因為醫(yī)院沒有數(shù)據(jù)安全意識,而是因為電子病歷天然處在高頻訪問、多系統(tǒng)交互、多角色使用、多場景流轉(zhuǎn)的復雜環(huán)境中。真正的風險,往往不在制度文件里,而是日常業(yè)務鏈路里。
01 權限粗放:不同科室、崗位、臨時人員和外部廠商的權限邊界不夠清晰,容易出現(xiàn)冗余權限、越權查詢、賬號共用等問題。
02 數(shù)據(jù)庫直連:信息科、系統(tǒng)廠商或運維人員在維護、排障、升級過程中可能直接接觸底層數(shù)據(jù)庫,敏感信息暴露風險較高。
03 接口復雜:電子病歷需要對接互聯(lián)網(wǎng)醫(yī)院、區(qū)域健康平臺、醫(yī)保、科研平臺等外部系統(tǒng),接口調(diào)用是否異常、數(shù)據(jù)返回是否過度,容易成為治理盲區(qū)。
04 共享頻繁:臨床科研、醫(yī)聯(lián)體協(xié)同、保險理賠、質(zhì)控分析等場景需要數(shù)據(jù)流轉(zhuǎn),如果缺少去標識化和水印溯源能力,容易形成外發(fā)風險。
05 運營不足:部分醫(yī)院完成項目建設后,缺乏持續(xù)監(jiān)測、告警處置、策略優(yōu)化和風險復盤機制,安全能力難以隨業(yè)務變化持續(xù)有效。
圍繞《通知》要求和醫(yī)院真實業(yè)務場景,以“建體系、控風險、強運營”三個階段為主線,分階段推進電子病歷數(shù)據(jù)安全防護建設。
第一步 建體系:讓責任“落得下”
電子病歷安全首先不是買一套工具,而是建立一套可執(zhí)行的管理框架。第一階段是解決“誰來管、怎么管”的根本問題,為后續(xù)技術防護提供制度與組織保障。成立跨部門數(shù)據(jù)安全管理組織,明確權責分工;建立覆蓋電子病歷全生命周期的管理制度;開展全員安全培訓,重點覆蓋醫(yī)護、信息科、管理層及短期人員、外部服務商,明確數(shù)據(jù)安全合規(guī)紅線。
第二步 控風險,讓使用“看得見、管得住”
電子病歷數(shù)據(jù)安全管控的核心目標,是把分散在前端應用、數(shù)據(jù)庫、接口和數(shù)據(jù)共享鏈路中的風險行為識別出來、管控起來、留痕下來,從而實現(xiàn)“資產(chǎn)有清單、行為可看見、風險可攔截、數(shù)據(jù)可管控”。
能力一:數(shù)據(jù)資產(chǎn)梳理與分類分級
電子病歷中存儲著門診記錄、住院病程、檢驗結(jié)果等多種類型的數(shù)據(jù),不同數(shù)據(jù)敏感程度差異大。通過全面盤點電子病歷數(shù)據(jù)資產(chǎn),形成動態(tài)更新的資產(chǎn)清單。依據(jù)數(shù)據(jù)敏感程度和業(yè)務影響建立分級分類標準,為后續(xù)精準管控提供清晰依據(jù)。
能力二:高危操作監(jiān)測防護
電子病歷數(shù)據(jù)訪問主要來自兩類群體——醫(yī)護人員通過醫(yī)生工作站、護士工作站等前端應用進行日常業(yè)務訪問,以及信息科運維人員因系統(tǒng)維護、故障排查等需要直連數(shù)據(jù)庫進行操作,每一次訪問都可能涉及敏感數(shù)據(jù)。通過數(shù)據(jù)庫審計與防火墻協(xié)同部署,實時監(jiān)測數(shù)據(jù)訪問行為,阻斷越權、批量導出等高危操作;運維場景下實現(xiàn)敏感數(shù)據(jù)動態(tài)脫敏,實時遮蔽身份證號、診斷詳情等信息,真正實現(xiàn)運維可操作、敏感不可見。
能力三:應用訪問安全防護
電子病歷通過接口對接互聯(lián)網(wǎng)醫(yī)院、區(qū)域健康平臺等第三方,接口泄露隱患突出。通過全面記錄每一次接口調(diào)用詳情,自動識別異常調(diào)用行為并實時告警;實施差異化脫敏管控,根據(jù)調(diào)用方身份和使用場景對返回的敏感數(shù)據(jù)進行脫敏處理。
能力四:數(shù)據(jù)對外共享去隱私化
臨床科研、醫(yī)聯(lián)體協(xié)同、保險理賠等場景需共享電子病歷數(shù)據(jù),易出現(xiàn)隱私泄露、溯源困難的問題。在數(shù)據(jù)導出、共享前完成去隱私化處理,對患者姓名、身份證號等敏感字段進行置換、遮蔽等處理,嵌入專屬水印標識,既滿足科研、協(xié)同等業(yè)務需求,又實現(xiàn)數(shù)據(jù)泄露溯源追責。
第三步 強運營,讓防護“持續(xù)有效”
電子病歷安全不是一次性項目,而是一項持續(xù)運營能力。本階段要實現(xiàn)從“項目建設”到“能力運營”的轉(zhuǎn)變,確保安全能力隨業(yè)務變化持續(xù)有效。建立常態(tài)化安全運營機制,指定專人負責日常監(jiān)控與告警處置。定期開展數(shù)據(jù)安全風險評估,優(yōu)化權限策略,實現(xiàn)安全能力隨業(yè)務動態(tài)演進,持續(xù)滿足合規(guī)要求。
通過持續(xù)運營,醫(yī)院才能把“合規(guī)要求”真正沉淀為長期有效的數(shù)據(jù)安全能力。
電子病歷數(shù)據(jù)安全不只是滿足監(jiān)管要求,是醫(yī)院高質(zhì)量發(fā)展的基礎能力。它一端連接患者隱私保護,一端連接醫(yī)療質(zhì)量、科研創(chuàng)新、區(qū)域協(xié)同和醫(yī)院數(shù)字化運營。
面對電子病歷使用場景復雜、系統(tǒng)接口眾多、責任鏈條長等現(xiàn)實挑戰(zhàn),醫(yī)療機構需要把政策要求轉(zhuǎn)化為可執(zhí)行、可驗證、可持續(xù)運營的安全能力。昂楷科技將持續(xù)深耕醫(yī)療數(shù)據(jù)安全領域,以數(shù)據(jù)資產(chǎn)梳理、分類分級、操作審計、風險管控、數(shù)據(jù)脫敏、水印溯源和安全運營等能力,助力醫(yī)療機構筑牢電子病歷安全防線,讓數(shù)據(jù)在安全合規(guī)前提下真正釋放價值。
