□中国卫生法学会副秘书长火箭军总医院副院长 张以善
自6月1日起,我国第一部全面规范网络空间安全管理问题的基础性法律《网络安全法》正式实施。这套法律被认为是我国网络空间法治建设的重要里程碑,是依法治网、化解网络风险的法律重器,是让互联网在法治轨道上健康运行的重要保障。那么,在当下如火如荼的互联网医疗领域,这部法律的实施会带来怎样的影响,又有怎样的现实指引作用呢?
互联网医疗服务需依法管理
《网络安全法》第十五条提出,国务院标准化行政主管部门和国务院其他有关部门根据各自的职责,组织制定并适时修订有关网络安全管理以及网络产品、服务和运行安全的国家标准、行业标准。国家支持企业、研究机构、高等学校、网络相关行业组织参与网络安全国家标准、行业标准的制定。随着我国医药卫生体制改革的不断深化,以及社会各方对于医疗信息化建设投入的不断增加,医疗卫生服务整体水平已有了极大提升。互联网医疗健康服务蓬勃发展的同时,也需要逐步完善互联网医疗健康服务监管体系来保障。
目前,互联网医疗健康服务缺少的就是“标尺”,我国还没有针对性较强的法规出台,2009年原卫生部颁布的《互联网医疗保健信息服务管理办法》也已废止。有了法律法规等“标尺”,对于促进互联网医疗健康服务有序发展有重要意义。国家和地方立法机关、行政机关正在进行这方面的工作,包括近期流传的,也是大家比较关注的,国家卫生计生委办公厅未公开印发的《互联网诊疗管理办法(试行)(征求意见稿)》和《国家卫生计生委关于推进互联网医疗服务发展的意见(征求意见稿)》。当然,“标尺”的出台也需要社会各相关部门的大力支持、积极参与。
安全是互联网医疗的底线
医疗健康领域关乎人的生命安全和个人健康,因此安全是第一位的。互联网医疗健康服务的安全性既有《网络安全法》所提及的共性,又有特性。《网络安全法》第十六条、第十七条、第十八条明确提出在网络安全建设上的各种鼓励措施,要扶持重点网络安全技术产业和项目,支持网络安全技术的研究开发和应用,推广安全可信的网络产品和服务,保护网络技术知识产权,支持企业、研究机构和高等学校等参与国家网络安全技术创新项目;鼓励有关企业、机构开展网络安全认证、检测和风险评估等安全服务;鼓励开发网络数据安全保护和利用技术等。对于有志于互联网医疗健康服务的探索者而言,如何创新安全技术、开发网络医疗数据安全保护和技术利用,从而保障互联网医疗健康服务的良好发展是机遇也是挑战。
医疗健康信息安全是国家信息安全的重要组成部分,大范围的医疗健康信息集成数据包含我国种族群体的健康信息,除具有极高的科研和商业价值外,更涉及种族的人类生物学特征,这些信息在任何国家都属于核心机密,一旦泄露可能被非法利用,将带来不可想象的严重后果。
另外,《网络安全法》的一大亮点就是第二十一条中明确指出的,要实行网络安全等级保护制度,对内部安全管理制度和操作规程等作出明确要求。有了安全等级保护制度,数据、权限的开放共享就有法可依,对于促进互联网医疗健康服务行业打破“数据孤岛”有一定的促进作用。另外,医疗行业的数据非常敏感,曾经发生过一些患者数据泄露的不良事件,有了法律规定后,一些相应的制度也将建设起来,有序地促进数据的安全管理。
《网络安全法》第三十一条要求,国家对公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务等重要行业和领域,以及其他一旦遭到破坏、丧失功能或者数据泄露,可能严重危害国家安全、国计民生、公共利益的关键信息基础设施,在网络安全等级保护制度的基础上,实行重点保护。医疗健康信息安全当属其列。目前,信息化已经成为医疗健康服务工作中不可或缺、不可替代的基本要素,一旦信息系统因软硬件故障而中断,医疗卫生机构运行将瘫痪,数据的丢失损坏,同样会使业务流程不能连续,诊疗信息无法利用,医疗健康服务将无法正常进行。因此,有了这个法条作出要求,互联网医疗健康服务可靠运行将有了“保护神”。
医疗健康信息安全是居民个人健康隐私的保护屏障,居民健康与疾病信息属于个人隐私的一个部分受法律保护,我国的《侵权责任法》和《执业医师法》等法律中都有述及。目前从事互联网医疗健康服务的单位非常多,收集的居民个人信息也非常多,在互联网医疗健康服务过程中,特别是在区域医疗健康信息共享的条件下,如果发生医疗健康个人隐私数据泄露,对患者医疗安全、声誉损害和医疗机构的信誉度都会构成不良影响,有时需要承担法律责任。
如何保障居民个人健康与疾病信息,《网络安全法》也给出了明确的规定,比如,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度;网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意;网络运营者不得泄露、篡改、毁损其收集的个人信息,未经被收集者同意,不得向他人提供个人信息等。
相信《网络安全法》正式实施后,互联网医疗的发展将更加规范、有序。