腾讯发布医疗影像云安全白皮书 构建行业安全“新范式”

以“数实融合·绽放新机”为主题的2021腾讯数字生态大会日前在武汉举行,会上,腾讯展示了在云计算、人工智能、大数据、安全等关键技术上的研究成果、战略规划、技术产品、解决方案等。围绕长期困扰医学影像数据发展的安全问题,腾讯健康也在会上发布了其与腾讯研究院、云鼎实验室、腾讯知识产权部共同打造的《医学影像云应用及网络安全能力评估白皮书——构建患者为中心安全链接,助力分级诊疗》。

据了解,这是首部针对数字医学影像行业数据安全的白皮书,其从如何完善系统硬件架构,周密设计安全测试思路等方面,为数字医学影像行业的安全保障和规范打造了行业安全“新范式”。

腾讯觅影总经理钱天翼博士表示,我们希望在助力影像安全产业构建的同时,也能通过打造数据安全规范,在个人隐私安全面前筑造一堵高墙,让医疗影像数据带给人类更多的便利和效率,提供更多的价值。

图:《医学影像云应用及网络安全能力评估白皮书》发布
图:《医学影像云应用及网络安全能力评估白皮书》发布

“安全”是影像数据上云的最大阻碍

数据显示,在医疗大数据中医疗影像数据占比高达85%到90%,可以说医疗影像上云,是打破医疗信息孤岛,赋能医院-医生-患者链接,实现远程会诊、远程诊断及智能辅助诊断等基于链接的医疗应用,助力分级诊疗实现的关键。《白皮书》在对医疗影像对医疗数字化的意义、发展和重要性的深度分析中就指出,政策红利不断释放,医疗数字化进入新阶段,影像云成为实现分级诊疗的重要抓手。

2016年,国务院发布《关于促进和规范健康医疗大数据应用发展的指导意见》(下称:《意见》),提出要建设统一权威、互联互通的国家、省、市、县四级人口健康信息平台,实现部门、区域、行业间数据开放融合、共建共享,为打造健康中国提供有力支撑。2018年,国家卫生健康委员会更发布《国家健康医疗大数据标准、安全和服务管理办法(试行)》明确由国家卫健委负责建立健康医疗大数据开放共享机制,进一步为医疗数据共享指明了落地执行方向。

在硬件方面,我国许多医院建设了PACS(Picture Archiving and Communication Systems,影像归档和通信系统)系统,解决数字医学影像获取、显示、存储、传送和管理等问题,同时,这也是对国家减碳政策的积极响应,因为,据BUREAU VERITAS 2021年数据显示,相对于传统医用胶片腾讯云胶片碳减排量约为357g。

虽然,医疗数据上云拥有顶层设计和硬件的双重支持:如从鼓励医疗影像数据互联互通互认,到把电子胶片作为电子病历组成部分,再到各级地方政府相继出台收费标准、应用规范等细化政策,但是在真正全面落地上还缺临门一脚,这便是数据安全。

钱天翼指出,尽管我们在医疗数据安全的研究上已经有了一些成果,包括规范的发布,但医疗数据安全保护仍需要更加完善,这是因为数字化时代,我们已经脱离了原来医院内部的局域网数据传输,如今应该着力在院外场景进行医疗互联网服务的时候保护数据安全。

打造医疗影像上云安全范式

医疗数据之所以呈现出严重的安全问题,首先是由于医疗数据的敏感性和高价值。钱天翼表示,医疗数据包含了很多个人高度隐私信息,如真实姓名、证件号码、就医记录、用药信息等,这使得医疗数据价值极高,一旦泄露会对个人生活、工作等造成较大负面后果。这也正是从大众到政府再到医疗机构对于医疗数据上云最大的担心。

图:医疗数据的安全保障需进一步完善
图:医疗数据的安全保障需进一步完善

其次是由于医疗系统安全防护相对较薄弱。互联网医院较之非互联网医院,一般安全意识更强,在资产脆弱性防护方面相对更好;然而互联网医院在公共互联网上有更多应用服务和数据接口,安全暴露面大,僵木蠕毒、漏洞风险等很高。钱天翼说:“从数据安全角度来说医疗信息如果保护不完善,不仅会造成对个人隐私造成泄露,更可能会对个人生命健康安全带来威胁。”

对此,《白皮书》提出建议,各行业实体可以通过攻防对抗、合规审计搭建管控体系,提升整体安全能力。另外,还需基于前沿领域的研究和探索,发现前沿技术中可能存在的安全问题,守护政府及企业的数据、系统、业务安全,运用前沿技术解决安全问题,以紧贴业务安全的实践为产业数字化升级保驾护航。

为此,《白皮书》给出了远程医疗线上应用服务安全评测目标流程、安全测试技术、安全测试基本测试方法等,以帮助和指导远程医疗线上应用服务相关机构进行信息系统安全测试,助力分级诊疗。

为加快推动医学影像云数据安全发展,《白皮书》还呼吁业内相关组织或机构,结合安全政策及标准,建立影像云安全测试和评估标准,并积极开展安全检测评估认证工作,进而推动相关企业和厂商加强产品设计研发和运维中的安全意识,落地DevSecOps安全流程,实现产品全周期安全。同时,由于影像数据存档时间周期要求较长,其中门诊病历要求15年,住院病历要求30年,对企业的技术能力、运营情况、数据保存能力等有一定的要求,需要设置准入门槛,对企业的资质和能力进行规范管理。

此外,针对行业整体发展《白皮书》也提出了若干实践性建议。如提出各地应继续落实细化政策,鼓励影像上云,如设立电子胶片设定相关收费标准、将电子胶片纳入医保等。同时《白皮书》指出,期望医疗行业应继续推动医疗影像数据与AI、互联网等新一代数字技术融合,拓展产品新形式:如将深度学习技术应用于医学影像的分析,为医生提供智能分析和辅助诊断服务,帮助医生更高效、更准确的发现早期的病灶,提升阅片效率;利用小程序、App等互联网技术推动以个人为中心的医疗影像数据保存、分享和分析机制,助力个体化的精准治疗。

钱天翼表示,希望通过发布《白皮书》构建以患者为中心的安全的链路,让患者自己去管理自己数据的同时,为患者使用数据提供有力的安全保障。这也是助力分级诊疗顺利实现的基础。

未来,随着医疗影像安全的研究越来越深入,也将有更多的医疗数据进入“共享空间”,为实现人人得享健康的目标助力。