从“标准”到“指南”医疗大数据安全监管多场景落地部署

本篇文章1579字，读完约4分钟

“围绕网络安全这一重点工作，不仅要以问题为导向开展急需的标准制定工作，还要加强标准的宣传和应用实施。”在2019年国家信息安全标准化技术委员会第一次主任办公会议上，刘烈宏主席做了这样的会议总结。

半个月前，信息安全标准委员会刚刚发布了《信息安全技术医疗保健信息安全指南》(以下简称《指南》)草案，提出了在常见应用场景下保护个人医疗保健信息可以采取的安全措施。结合国家近两年密集发布的医疗大数据政策和标准，可以看出顶层设计已经形成了从标准、管理到指导的清晰部署之路。

政府与企业的合作:生命线的安全

国家标准《信息安全技术医疗保健信息安全指南》基于保护患者生命安全、个人隐私、社会公共利益和国家安全的综合需求。它主要通过参考美国hippa法案、iso 27799、nist800-66等国外立法和标准，结合国内应用实践和汇编团队的研究成果，描述了为保护个人医疗保健信息而设定的安全目标、使用或披露原则、实施方法和适用的安全措施。同时，重点关注常见的医疗保健应用场景，包括医院互联、远程医疗、临床研究等。，分别提出了针对性的安全措施。

业界普遍认为，《指南》的出版一方面是为了规范，另一方面更注重提供指导和依据的意义。随着医疗大数据的顶层设计逐渐从“云”中落地，数据安全的理论标准与一线实践的具体经验紧密结合，将对不同场景下的应用具有更强的可操作性。

本《指南》就是在这样一种“政企合作”的模式下编写的:除了清华大学、中国信息安全研究院有限公司等“国家团队”的相关研究机构之外，还有医疗大数据行业代表的深度参与。

据报道，作为指南许多部分的贡献者，零氪技术率先通过了世界上最严格的医疗信息安全标准体系——hipaa-美国医疗信息安全保护法案的认证。

事实上，零氪技术已经与许多省市的地方政府和监管机构合作，参与制定相关的医疗大数据指南和标准，并推动其实施。2018年，零氪科技参与制定了《天津市促进大数据发展和应用条例》，该条例由当地人大制定，旨在共同促进医疗大数据在多种场景和新格式下的健康应用和发展。在药物监测方面，我们与上海药品不良反应中心开展了全方位的合作研究，搭建了药物警戒智能检测平台，探索了提高药品上市后安全检测水平的新技术路径。

零氪科技认为，数据的真实性是前提，而数据的安全性是发展的命脉。只有政府和企业合作，政策和法律不断部署，企业和个人等数据所有者的主动保护意识和全社会对数据安全保护的法律意识才能双向发挥，才能稳定医疗大数据发展的基础。

数据闭环:实现医学大数据价值的保障

一般来说，对于医疗大数据安全的“生命线”，有两个关键点:一是保护患者的隐私，二是打开临床数据从输入到输出的闭环路径。

零氪技术严格遵守美国hipaa法案的要求，保护患者的隐私。所有机密人员都通过了hipaa意识培训和认证，并成立了专业的数据安全团队来确保数据安全。

值得注意的是，在零氪科技“医疗、科研、技术和工业服务”的1400多人团队中，有300名现场诊所的全职服务客户，以及200个独立的患者随访中心，这在没有随访的行业现状中是独一无二的。

临床团队的主要工作集中在数据的依从性和质量上，工作人员会做数据脱敏和患者当场知情签字，非常重视患者隐私保护。同时，随访中心将对患者的院外康复和继续治疗进行实时随访。脱敏后，将帮助医院收集随访结果，完成临床数据从输入到输出的闭环值转换。

与众不同不是春天。在如此接近实际应用的落地基础上，零氪技术从未局限于一家公司:两年来，先后与王晨院士领导的全国呼吸医学会、季家福教授领导的全国胃肠癌联盟、天津肿瘤医院和河南肿瘤医院领导的食管癌数据中心建立了全方位的合作。

在区域乃至全国大数据协作平台的建设中，零氪科技始终是国家政策的先锋，倡导集体共生和价值链共享，不断为“中国企业善用中国数据、服务中国患者”提供帮助和建议。