在當今大數(shù)據(jù)的網(wǎng)絡時代的背景下,網(wǎng)絡信息化技術已經被應用到醫(yī)院的掛號、診療、交費、住院、出院甚至死亡等各個領域中。在醫(yī)院醫(yī)療信息網(wǎng)絡信息系統(tǒng)中存儲著大量患者個人隱私信息,近年來屢有發(fā)生數(shù)據(jù)泄露事件,對患者重要私密信息帶來嚴重的傷害,也因此帶來更多的醫(yī)患糾紛,同時對于國家的信息安全帶來負面的社會影響。其實,從國家立法層面對個人醫(yī)療數(shù)據(jù)信息安全也十分重視,先后出臺了若干指導意見和法規(guī)進行監(jiān)督規(guī)范和約束。本文所述某家醫(yī)療器械公司的診斷設備產品暗藏4G上網(wǎng)卡的案例,引起了社會各界對醫(yī)療數(shù)據(jù)信息安全的高度關注。
近日,針對北京市知識產權法院一審對內蒙古福瑞醫(yī)療科技股份有限公司(下簡稱福瑞股份)之控股子公司起訴無錫海斯凱樂醫(yī)療器械醫(yī)學技術有限公司(下簡稱海斯凱爾公司)專利侵權一案,給出了3000萬元賠償?shù)囊粚徟袥Q結果。讓人感到意外的是,判決書顯示,海斯凱爾公司在其醫(yī)療器械產品安裝有4G無線上網(wǎng)卡,而器械所在醫(yī)院的相關負責人此前竟對此毫不知情。就此引發(fā)的醫(yī)療器械領域的知識產權保護和個人醫(yī)療信息安全問題,來自全國醫(yī)療器械法規(guī)專家、法學專家、知識產權以及信息安全等專家們紛紛表達了自己的專業(yè)意見。
多部門共治醫(yī)療信息安全 “怎么強調都不為過”
由全國人民代表大會常務委員會制定的《中華人民共和國網(wǎng)絡安全法》于2017年6月1日正式實施,其中第四十四條明文規(guī)定:“任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息?!边@是從法律方面給予個人信息安全權益的根本保障。
在2018年4月份,國家衛(wèi)健委就發(fā)布了《關于促進“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展的指導意見》,其中就醫(yī)療健康數(shù)據(jù)安全保護方面給予詳細嚴格的規(guī)定。對此,國家衛(wèi)生健康委員會副主任于學軍曾在國務院政策例行吹風會上表示:“健康數(shù)據(jù)的安全的事情,怎么強調都不為過?!彼€介紹,根據(jù)“互聯(lián)網(wǎng)+醫(yī)療健康”的新特點,要嚴格執(zhí)行信息安全和醫(yī)療健康數(shù)據(jù)保密的規(guī)定,建立完善個人隱私保護體制,嚴格管理患者的信息、用戶的信息,特別是對于像基因、生物的這樣一些特別重要的信息,要特別加以嚴格管理,對于非法買賣泄露信息的行為,要依法依規(guī)進行嚴肅的處理。
相比公共信息數(shù)據(jù)泄露,更多的醫(yī)療個人數(shù)據(jù)信息都會留存在眾多醫(yī)療機構里。為加強醫(yī)療衛(wèi)生機構互聯(lián)網(wǎng)醫(yī)療服務的平臺、智能醫(yī)療的設備以及關鍵信息基礎設施和數(shù)據(jù)應用的安全防護,國家市場監(jiān)管總局(原國家食品藥品監(jiān)管總局)在2018年1月1日起開始施行《醫(yī)療器械網(wǎng)絡安全注冊技術審查指導原則》(下簡稱《指導原則》)。其中明確指出,醫(yī)療器械網(wǎng)絡安全出現(xiàn)問題不僅可能會侵犯患者隱私,而且可能會產生醫(yī)療器械非預期運行的風險,導致患者、使用者受到傷害或死亡。因此,醫(yī)療器械網(wǎng)絡安全是醫(yī)療器械安全性和有效性的重要組成部分,也是國家網(wǎng)絡安全的組成部分之一。
作為政府的藥監(jiān)部門在醫(yī)療器械網(wǎng)絡安全中扮演著至關重要的角色,從醫(yī)療器械產品的注冊到審批,都在藥監(jiān)部門進行。在 2014年10月1日實施有關《醫(yī)療器械注冊管理辦法》的規(guī)定:注冊人應當結合醫(yī)療器械相關數(shù)據(jù)的類型、功能、用途、交換方式及要求來考慮醫(yī)療器械產品的網(wǎng)絡安全問題。對于健康數(shù)據(jù),注冊人應當遵循患者隱私保護相關法律法規(guī)的規(guī)定。對于設備數(shù)據(jù),注冊人應當保證其與健康數(shù)據(jù)的有效隔離。
于學軍表示,“我們國家非常重視數(shù)據(jù)的安全和個人隱私,因為,健康醫(yī)療的數(shù)據(jù)是國家重要基礎性的戰(zhàn)略資源,和一般的數(shù)據(jù)還不一樣,事關人民群眾的生命安全、個人隱私。所以,健康醫(yī)療信息的泄露,不但給個人造成很大的困擾,同時也會造成經濟損失,如果像基因這樣特別的數(shù)據(jù)流失的話,可能對我們國家安全造成威脅?!?/p>
北京大學法學院教授薛軍認為,個人的醫(yī)療隱私在世界范圍內都收到重視,是隱私保護的重點領域,美國也針對醫(yī)療信息進行了專門的立法保護。我國雖然有相關的立法計劃,比如制定《個人信息保護法》等,但主要是規(guī)定基本的法律規(guī)則、隱私保護的負責機關、具體的隱私保護程序等。實際上可以針對醫(yī)療領域的特殊性,專門出臺一些保護性規(guī)定。
多專家達成共識:醫(yī)療信息安全隱私保護 勢在必行
在現(xiàn)今的醫(yī)療領域,醫(yī)院信息系統(tǒng)對醫(yī)療設備的使用發(fā)揮著重要作用,PACS、LIS等醫(yī)療信息系統(tǒng)都是數(shù)字化醫(yī)療設備的重要基礎。一旦出現(xiàn)故障,直接會導致醫(yī)院部分業(yè)務中斷。但是,信息系統(tǒng)的應用能夠使醫(yī)療行為的效率、質量得到大幅度提升,在保護患者的醫(yī)療信息方面卻還有很大的不足。近年來屢次發(fā)生的患者信息泄露情況,嚴重威脅患者的安全和合法權益。在大數(shù)據(jù)時代的背景下,醫(yī)院必須采取有效的措施來保護患者的信息安全。
中國食品藥品檢定研究院研究員王健認為,從福瑞股份訴訟海斯凱爾公司產品專利侵權這個例子說明,中國的醫(yī)療器械監(jiān)管水平相比醫(yī)療器械產業(yè)發(fā)展水平還存在較大的差距?!拔艺J為任何器械的注冊、審批都要遵循知識產權先行的客觀事實,即使由于當時在不知情的情況下辦理了醫(yī)療器械證,當?shù)弥謾嗪螅鞴懿块T應當予以撤銷該器械產品注冊證,這是對知識產權最起碼的尊重?!?/p>
“此外,隨著醫(yī)療設備智能化程序不斷提高,先進的醫(yī)療設備不僅能為醫(yī)院提供先進的診療手段,同時也可能存在很大的技術隱患。像案例中所述的這種診斷設備,帶有4G無線上網(wǎng)卡功能可以形成醫(yī)療信息數(shù)據(jù)的交互,更有可能對原有設備進行軟件上的技術改變,甚至可以通過更改軟件代碼改變硬件功能。一旦在未經批準和備案的情況下由4G功能引發(fā)軟硬件升級,將是非常危險的。我覺得,在醫(yī)院使用醫(yī)療設備時,必須在信息安全及主管部門進行備案。這也是對器械網(wǎng)絡信息安全最基本保護?!蓖踅『V定的說道。
北京亞歐雍文律師事務所、醫(yī)療器械部主任劉偉律師認為,任何三甲醫(yī)院或醫(yī)療機構,在起初購買國內外大型醫(yī)療器械產品時一定要確認該產品是否有無線4G無線上網(wǎng)卡或其他通訊設備,并且要明確該設備是用于機器固件的更新還是別有其他用途。劉偉介紹,根據(jù)國家的《醫(yī)療器械注冊管理辦法》規(guī)定,任何器械設備擅自加裝類似通訊設備的,如果屬于許可行為,需應該經過藥監(jiān)局主管部門審批;如果沒有進行備案和審批的,私自安裝通訊設備的,根據(jù)國家《侵權責任法》第107條和109條明確規(guī)定,醫(yī)療活動中不得收集患者信息,輕者是侵權行為,重者是負有民事賠償和刑事責任。
“網(wǎng)絡信息技術發(fā)達一方面大大改善百姓就醫(yī)環(huán)境,但另一方面會面臨更多的個人醫(yī)療數(shù)據(jù)丟失,將是一件非??膳碌氖虑?。互聯(lián)網(wǎng)+醫(yī)療健康在帶給患者便利的同時,讓更多的個人隱私暴露在風險之中?!敝袊ù髮W教授來小鵬一針見血的指出了醫(yī)療信息安全數(shù)據(jù)泄露所帶來嚴重后果。
而新春伊始,北京知識產權法院在開庭審理一宗知識產權侵權案件時,意外地從證據(jù)中發(fā)現(xiàn)被告公司生產并在某著名三甲醫(yī)院安裝使用的產品竟能夠通過暗藏的4G無線上網(wǎng)卡進行數(shù)據(jù)交互,且被告對該4G無線上網(wǎng)卡的用途并不能做出清楚的解釋。北京知識產權法院一審已就該案做出賠償3000萬的知識產權侵權損失的判決。
案例回顧
2019年1月31日,北京市知識產權法院一審對福瑞股份的控股子公司起訴海斯凱爾公司專利侵權一案給出了初審判決結果,判決無錫海斯凱爾公司賠償福瑞股份的子公司專利侵權3000萬專利損失費,被告的相關三種產品立即停止侵權行為。
原本一場局限于專利侵權的官司訴訟,隨著一審判決結果的公布卻卻引起了司法屆、知識產權屆以及信息安全專家的高度重視,在一審判決書里,清晰的載有海斯凱爾在其生產并于某著名三甲醫(yī)院使用的醫(yī)療器械產品中裝有4G無線上網(wǎng)卡,并且根據(jù)法院調取的2018年7月26日至7月27日的數(shù)據(jù)流量信息顯示,存在大量的數(shù)據(jù)交互信息。使用該產品的醫(yī)院相關部門負責人表示,當他們在法庭勘驗過程中發(fā)現(xiàn)該機器竟載有4G無線上網(wǎng)卡時,感到非常震驚?!搬t(yī)院中的其他設備或者其他公司同類設備,不需要遠程控制或者在醫(yī)院不知道情況完成交互或者更新,唯獨此設備完成這種方式,設備只有患者信息……通常的理解(信息)傳輸出去就是患者信息,而這些信息恰恰是需要保密的信息?!备猩跽撸鳛楸本┲娜揍t(yī)院,有很多患者是國家重要干部。該產品在對醫(yī)院的使用和接受維護過程中,廠家從未對4G無線上網(wǎng)卡的存在進行備案與告知。我們不知道患者的個人醫(yī)療信息通過4G無線上網(wǎng)卡能夠流向何處。
醫(yī)療信息隱私權的保護亟需更完善法律體系
隨著云計算、物聯(lián)網(wǎng)、人工智能和移動互聯(lián)網(wǎng)等網(wǎng)絡信息技術的發(fā)展,“互聯(lián)網(wǎng)+醫(yī)療健康”服務新型的業(yè)態(tài)也在快速發(fā)展,與之各方面的防護邊界也在發(fā)生變化?!按_保基礎數(shù)據(jù)的安全,這是一個基礎性工程,要嚴格落實《網(wǎng)絡安全法》,研究制定醫(yī)療健康數(shù)據(jù)的確權開放、流通交易和產權保護等方面的法律法規(guī),建立配套制度體系;同時要嚴控信息安全的等保、分級制度;加強對新興技術的防護,確保數(shù)據(jù)安全、應用以及傳輸安全,重點加強密鑰管理,身份鑒別以及訪問的控制等方面。這些都是對個人隱私最基本的保護,不能因為互聯(lián)網(wǎng)行為就把隱私的保護降低,這個標準不能降低?!庇趯W軍指出。
中央財經大學教授杜穎認為,從一場簡單的專利侵權訴訟案牽扯到醫(yī)療健康數(shù)據(jù)信息安全,無論從法律層面還是從核心專利技術層面都將是我國法治社會進步一種體現(xiàn)。20多年以來,企業(yè)在知識產權方面的保護意識上有了長足的進步,但如何在法律允可的范圍下進行在技術創(chuàng)新,是許多企業(yè)應該重視并關注的問題。更重要的是,尊重患者隱私權的保護也是醫(yī)療器械企業(yè)應當具有的基本道德底線。
中國人民大學知識產權學院院長劉春田認為,通過分析學習福瑞股份訴訟海斯凱樂專利侵權案的審理過程,會讓更多的中國企業(yè)學會契約、誠信精神,專利的申請、器械產品的注冊、還有運用新技術對個人隱私的保護都必須依法而動,不能逾越這根紅線。
中國專利保護協(xié)會副秘書長何旭文認為,專利的競爭實際上就是市場的競爭,不能用民族情義和國外專利霸權來形容兩者關系,知識產權早已國際化、實用化。一方面要學會系統(tǒng)的梳理企業(yè)自我的專利保護體系,加強專利技術枝節(jié)體系建設;而另外一方面針對于侵權的器械公司要學會退市制度,采取重罰來加大違法成本額方式給予警惕。
北京大學法學院教授薛軍認為,醫(yī)療隱私在個人隱私中最高級別的隱私,其法律的保護水準也應該是更高的?!皞€人醫(yī)療隱私不同于消費記錄、位置信息等一般隱私,其具有高度的敏感性,會對公民的社會生活產生深刻的影響。比如乙肝患者、艾滋賓患者的醫(yī)療隱私被泄露,他們在找工作時就有可能會遭受用人單位的歧視。如果一個人曾患有精神性疾病,其醫(yī)療隱私泄露還可能會增加其病恥感”。
最后,薛軍表示,醫(yī)療隱私的保護需要社會多方的努力,患者、醫(yī)院、政府相關部門都應給予足夠的重視。在加強保護、防止泄露的同時,還要嚴厲打擊非法買賣個人信息等違法行為。
來源:新浪醫(yī)藥