網(wǎng)上商城,手機(jī)APP等技術(shù)的發(fā)展,網(wǎng)上購買已經(jīng)成為流行趨勢。血壓計、血糖儀,呼吸機(jī)、霧化器,治療儀等醫(yī)療器械都可以在網(wǎng)上商城(樂康商城)購買,眾所周知,網(wǎng)絡(luò)信息的安全性收到質(zhì)疑。那么,針對網(wǎng)上銷售和批發(fā)的醫(yī)療器械的安全性和健康數(shù)據(jù)的保護(hù)措施有哪些呢?
互聯(lián)網(wǎng)可以改善醫(yī)療服務(wù),但是相應(yīng)地也會有網(wǎng)絡(luò)安全風(fēng)險。和其他的計算機(jī)系統(tǒng)一樣,醫(yī)療器械網(wǎng)絡(luò)批發(fā)銷售行業(yè)也容易受到安全漏洞的影響。
為加強(qiáng)醫(yī)療衛(wèi)生機(jī)構(gòu)互聯(lián)網(wǎng)醫(yī)療服務(wù)的平臺、智能醫(yī)療的設(shè)備以及關(guān)鍵信息基礎(chǔ)設(shè)施和數(shù)據(jù)應(yīng)用的安全防護(hù),國家市場監(jiān)管總局(原國家食品藥品監(jiān)管總局)在2018年1月1日起開始施行《醫(yī)療器械網(wǎng)絡(luò)安全注冊技術(shù)審查指導(dǎo)原則》(下簡稱《指導(dǎo)原則》)。其中明確指出,批發(fā)和銷售的醫(yī)療器械安全出現(xiàn)問題不僅會侵犯患者的隱私,而且可能會產(chǎn)生醫(yī)療器械非預(yù)期運(yùn)行的風(fēng)險,導(dǎo)致患者或使用者受到傷害或死亡。
根據(jù)2017年的數(shù)據(jù)顯示,美國2010-2015年醫(yī)療信息泄露事件次數(shù)每年發(fā)生200多起。而今,形勢甚至變得更為嚴(yán)峻,2018年就發(fā)生503起醫(yī)療保健數(shù)據(jù)泄露事件。
在國內(nèi),情況也不容樂觀,2017年一篇名為《7億條個人信息遭泄露 浙江判決特大侵犯公民信息案》的報道,曝出黑客侵入了某部委的醫(yī)療服務(wù)信息系統(tǒng),大量孕檢信息遭到泄露和買賣;雀巢員工從多家醫(yī)院醫(yī)務(wù)人員手中非法獲取公民個人信息被處以刑事處罰。
依據(jù)2011年衛(wèi)生部發(fā)布的《衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見》,其中明確了網(wǎng)絡(luò)安全負(fù)責(zé)的責(zé)任主體是“誰主管、誰負(fù)責(zé),誰運(yùn)營、誰負(fù)責(zé)”。
醫(yī)療器械生產(chǎn)批發(fā)銷售企業(yè)也負(fù)有保證醫(yī)療器械網(wǎng)絡(luò)安全的責(zé)任。在《指導(dǎo)原則》明確寫道:“醫(yī)療器械產(chǎn)品在使用過程中常與非注冊申請人預(yù)期的設(shè)備或系統(tǒng)相連接,這就使得注冊申請人自身難以控制和保證醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全。因此,醫(yī)療器械的網(wǎng)絡(luò)安全需要注冊申請人、用戶和信息技術(shù)服務(wù)商的共同努力和通力合作才能得以保障。但是這并不意味著注冊申請人可以免除醫(yī)療器械網(wǎng)絡(luò)安全的相關(guān)責(zé)任,注冊申請人應(yīng)當(dāng)保證醫(yī)療器械產(chǎn)品自身的網(wǎng)絡(luò)安全,并明確與其預(yù)期相連設(shè)備或系統(tǒng)的接口要求,從而保證醫(yī)療器械產(chǎn)品的安全性和有效性”。
《指導(dǎo)原則》還指出注冊人應(yīng)當(dāng)結(jié)合醫(yī)療器械相關(guān)數(shù)據(jù)的類型、功能、用途、交換方式及要求來考慮醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全問題。對于健康數(shù)據(jù),注冊人應(yīng)當(dāng)遵循患者隱私保護(hù)相關(guān)法律法規(guī)的規(guī)定。
注冊人應(yīng)當(dāng)結(jié)合自身質(zhì)量管理體系的要求和醫(yī)療器械產(chǎn)品特點來保證其網(wǎng)絡(luò)安全,包括上市前和上市后的要求。注冊人還可采用信息安全領(lǐng)域良好工程實踐來完善醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全管理
注冊人應(yīng)當(dāng)結(jié)合醫(yī)療器械產(chǎn)品的預(yù)期用途、使用環(huán)境、核心功能以及相連設(shè)備的情況來確定其網(wǎng)絡(luò)安全特性,并采用基于風(fēng)險管理的方法保證其網(wǎng)絡(luò)安全。
注冊人應(yīng)當(dāng)結(jié)合醫(yī)療器械相關(guān)數(shù)據(jù)的類型、功能、用途、交換方式及要求來考慮醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全問題。對于健康數(shù)據(jù),注冊人應(yīng)當(dāng)遵循患者隱私保護(hù)相關(guān)法律法規(guī)的規(guī)定。對于設(shè)備數(shù)據(jù),注冊人應(yīng)當(dāng)保證其與健康數(shù)據(jù)的有效隔離?!?/span>
注冊人應(yīng)當(dāng)根據(jù)醫(yī)療器械的產(chǎn)品特性考慮其網(wǎng)絡(luò)安全能力的要求,可參照IEC/TR 80001-2-2完善其網(wǎng)絡(luò)安全能力建設(shè),保證醫(yī)療器械產(chǎn)品對于網(wǎng)絡(luò)安全威脅具備必要的識別、保護(hù)能力和適當(dāng)?shù)奶綔y、響應(yīng)、恢復(fù)能力。
注冊人應(yīng)當(dāng)重視現(xiàn)成軟件的網(wǎng)絡(luò)安全問題,結(jié)合質(zhì)量管理體系的要求和現(xiàn)成軟件的類型,采用基于風(fēng)險管理的方法保證現(xiàn)成軟件的網(wǎng)絡(luò)安全?! ?/span>
注冊人應(yīng)當(dāng)區(qū)分醫(yī)療器械網(wǎng)絡(luò)安全更新的類型,根據(jù)網(wǎng)絡(luò)安全更新對于醫(yī)療器械產(chǎn)品的影響程度,結(jié)合質(zhì)量管理體系的要求開展相應(yīng)質(zhì)量保證工作,并按《指導(dǎo)原則》要求提交相應(yīng)注冊申報資料。軟件版本命名規(guī)則應(yīng)考慮網(wǎng)絡(luò)安全更新的情況。
注冊人應(yīng)當(dāng)遵循網(wǎng)絡(luò)安全相關(guān)國家法律法規(guī)和有關(guān)部門規(guī)章的規(guī)定,如《網(wǎng)絡(luò)安全法》、《人口健康信息管理辦法(試行)》《國家衛(wèi)生計生委關(guān)于推進(jìn)醫(yī)療機(jī)構(gòu)遠(yuǎn)程醫(yī)療服務(wù)的意見》等。
注冊人可參考與網(wǎng)絡(luò)安全相關(guān)的國際標(biāo)準(zhǔn)及技術(shù)報告的要求來保證醫(yī)療器械產(chǎn)品的網(wǎng)絡(luò)安全,完善質(zhì)量管理體系關(guān)于網(wǎng)絡(luò)安全體系的要求,如IEC80001系列標(biāo)準(zhǔn)及技術(shù)報告、IEC 60601-1第三版、IEC 82304-1、IEC 27000系列標(biāo)準(zhǔn)及技術(shù)報告、ISO/DIS 27799等。
醫(yī)療器械生產(chǎn)批發(fā)銷售行業(yè)網(wǎng)絡(luò)信息安全現(xiàn)狀,健康數(shù)據(jù)屬于個人信息的一個分支,具備個人信息的一般屬性。隨著科技的發(fā)展,越來越多的醫(yī)療器械具備上網(wǎng)功能,通過網(wǎng)絡(luò)提供相關(guān)服務(wù),因而,此種情形下,生產(chǎn)批發(fā)銷售醫(yī)療器械的企業(yè)則需要履行《中華人民共和國網(wǎng)絡(luò)安全法》及配套規(guī)定、標(biāo)準(zhǔn)之下的諸多義務(wù)。