按照美国政府在去年公布的财政激励计划,奥巴马总统打算投入金额高达200亿美元的联邦资金,以实现大范围部署电子病历的目标。启动这项计划的主要原因是,可以通过降低长期成本、提升医疗开支的效果,改善美国的医疗保健系统。那么,电子病历这个新方向对安全性和隐私性有怎样的新要求?
电子病历的核心就是,有效地获取、传递及分析与某个病人相关的医疗保健信息。高效流动的信息对所有参与医疗保健提供服务系统的组织和个人有不同的利害关系,这些参与者包括医疗服务提供商、保险公司、政府机构、索赔处理公司和病人。在不同的人看来,电子病历有着略微有不同的含义。
个人管理的电子病历被称为个人健康档案(PHR)。个人健康档案获取所有相关的个人健康详细信息,包括诊断、X片和类似内容,并存入到单一存储库中。然后,个人有权为自己做出健康方面的决策,有选择地披露健康状况,并在紧急情况下得到最佳医护。谷歌和微软都为个人提供了创建、管理及存储个人健康档案的服务。随着掌握计算机使用技能的人群逐渐步入老年,专家预计这方面的需求会急剧增长。
本文关注的重点不是个人,而是医疗机构和医疗服务提供商。
安全是薄弱环节
毋庸置疑,电子病历需要严格遵守隐私和安全方面的监管要求,医疗机构和医疗服务提供商该如何安全地使用电子病历?设想有一家医院,它的电子病历系统运行得相对比较顺畅。医生们使用电子病历就能以完全电子化的方式来处理大部分工作,这与纸张传来传去的传统医护环境形成了鲜明对照。使用电子病历后,医生们根本不需要用纸,就能查阅病史和图表、获得检验结果、把病人介绍给专家转诊、开药及诊断影像。
电子病历的薄弱环节就在于很难足够有效地保护这些病历的安全。对电子病历系统而言,让人担心的安全和隐私问题主要包括如下:
1.电子病历系统遭到黑客入侵,会导致病人数据被篡改,或临床系统被破坏;
2.电子病历系统的授权用户滥用健康信息档案;
3.电子病历系统面临着长期数据管理问题;
4.政府或企业非法介入私人医疗保健问题。
乍一看,解决这些问题似乎不是很难。但实际上,医院及其他医疗环境的工作流程非常复杂。众多工作人员需要立即访问病历,这些人员包括急诊室技术员、收治工作人员、医生、护士以及负责收费和记账的后勤人员。一种权宜之计可能是安装基于角色的访问控制(RBAC)机制,以便实现细粒度的授权。但我们在为一家大型医疗服务提供商开展的安全补救工作中发现,针对现有的电子病历系统,改造基于角色的访问控制机制是一项相当复杂的任务。为医院各科室和各人员赋予角色是特别棘手的。比如说,要是不小心取消了查阅权限,会导致外科医生无法在手术室查阅关键影像。这很可能会导致严重后果。
所以,基于角色的访问控制不太可能实现,还是要让医院的各类人员都便于访问才行。我们认为,这也同时埋下了不安全的隐患,最终导致电子病历系统的安全状况大多不尽如人意。
比如说,假设未经授权就将携带艾滋病病毒的某个患者的病历透露给了媒体。其结果有可能是灾难性的。会有很多意想不到的后果,譬如:患者可能因而遭到家庭或社区的嫌弃、丢掉饭碗、享受不到医疗福利。尽管已出台了法律法规来防止未经授权透露信息造成的严重后果,但实际上这些法律法规对于病历被透露的个人来说起不到多大的安慰作用。你可以想象:保险公司声称客户早在投保之前就已患病,因而拒不理赔。这种情况在实际生活中的确会发生,医院和医疗服务提供商必须引起注意。
安全隐患很容易发生
还可能存在网络或电子病历应用软件出现重大的安全泄密事件,这也让许多医院管理人员和合规人员一想到有可能违反隐私权就不寒而栗。违反《健康保险可携性及责任性法案》(HIPAA)会带来严重后果,而加利福尼亚州等州出台的新法规规定:如果错误地披露病历,将处以巨额罚款。
从我们在某大型医疗服务提供商看到的情况来看,我们发现安全泄密事件比较容易出现。现在,很多电子病历与Web应用软件联系起来(或者很多电子病历本身就是Web应用软件),因而比较容易成为攻击对象。我们还发现,诊断系统直接连接到医院网络。由于这些系统还拥有用于故障排除或下载新软件的远程诊断能力,将某种蠕虫植入到网络上后,就能造成所有联网的X光机瘫痪,这并非没有可能。
我们在另一家医疗机构发现了如下这些安全隐患,这也是绝大多数医院普遍存在的安全隐患:
1.这家医疗机构的合法部门受制于不够有效的技术、资源和流程,因而无法有效地监测可能违反隐私的行为,并采取相应对策;
2.电子病历厂商确认及管理应用软件安全漏洞的能力不够强;
3.尤其是应用软件和数据库层面的安全监控功能更是需要大幅改进;
4.安全地管理数据生命周期在部署电子病历系统期间没有被放在优先位置。因而,存在的具体问题包括如下:长期数据存储和归档方法很随意、数据清除不合适、数据归属责任不明确、发现信息资产的流程和系统不够有效、数据分类不够有效、物理介质处置不安全。
医院和大型医疗机构必须非常细致、非常全面地对待安全和隐私问题——几乎就像金融行业在2000年时保护交易系统的安全那样。要是信息基础架构的每个层面(设备、网络和应用软件)缺少统一协调的工作,缺少严格的政策和使用指导准则,以及缺少精确的监测功能,部署电子病历的工作就会陷入停顿。国家需要拿出更有效的办法来保护电子病历的安全,鉴于奥巴马总统开始着力改革医疗保健系统,安全专业人员必须挺身而出。
病人数据被转手卖掉
病历存储在云上,在市场上公开叫卖,这已是一个公开的秘密。最近《纽约时报》的一篇文章披露了这个公开的秘密,该文介绍了所谓的“经过剥离”的病人数据并不像人们想象的那么隐匿。文章主要着重披露了如果结合其他公开的数据库(如选举记录),可以怎样轻松地让匿名数据不再匿名。文章末尾附有这则新闻:如今收集、隐匿及出售医疗数据的不是保险代理行和医疗服务提供者,而是在云中提供病历存储服务的第三方供应商。
据卫生信息技术认证委员会的营销主管Sue Reber声称,电子健康档案(EHR)服务在最近几年成了一个蓬勃发展的行业。Reber表示,以前大多数供应商只是销售软件包;一旦产品卖出去,供应商与存储在软件包里面的数据再也没有任何关系。而如今越来越多的公司已开始提供基于互联网的管理应用软件,其中包括由供应商控制及管理的数据库存储服务。
Reber告诉媒体,这类产品通常附带安全性和隐私性方面的条款,防止软件供应商访问数据,即使由供应商在管理数据。但其他人士表示,情况并非总是如此。
《纽约时报》撰文道,作为与供应商所签合同的一部分内容,医生答应允许一些供应商访问及收集病人数据,剥离掉其中的个人身份信息,然后批量出售给制药公司及其他买家。
医疗保健投资银行Leerink Swann的分析师George Hill对《纽约时报》说,健康档案系统市场的产值每年高达80亿~100亿美元。总收入中约5%不是来自销售的信息系统,而是来自销售的数据和分析服务。他表示,受到联邦奖励金的刺激,更多医生和医院会改用电子档案,销售健康档案所得的收入会增加至50亿美元。
Paul Tang是帕洛?阿尔托医疗基金会(Palo Alto Medical Foundation)的副总裁兼首席医疗信息官,还是联邦隐私顾问专家组的成员,据他声称,在一些情况下,供应商合同明确规定了供应商对数据库中的健康档案享有独家访问权。Tang说:“我见过大大小小的供应商签有这种条款的合同。一些供应商表示数据归自己所有。还有合同规定,供应商可以实时访问数据库;供应商对数据享有独家访问权;可以转手卖掉数据。我认为,适用主体(如医院和医生)遵守这样的合同是不合法的。”
允许供应商访问病人数据明显违反了《健康保险可携性及责任性法案》(HIPAA),该法案禁止医生将病历提供给与提供医疗服务或医疗支付无关,或与医疗研究无关的任何机构或个人。虽然该法案的确给医疗服务提供者所雇的“商业伙伴”留下了空子,但隐私权律师Robert Gellman表示,在这些情况下,医疗服务提供商可能不会得到该法案的保护。
Gellman说:“涉及医病数据归属的任何合同都没有多大意义,因为法律和医德控制着病历的权利和责任。不管哪个适用主体保留病历,依据法律都要遵守某些义务和约束,不管合同是怎么拟写的。只要医生受制于HIPAA,数据披露方面的那些规定就有效。要是某个医生签署了这样的合同,他无疑违反了HIPAA,可能会受到民权办公室的追查,遭到病人的起诉。”
供应商们表示,他们转手卖掉的数据用于研究,更何况先已剥离掉了个人身份信息,保护病人的隐私权。但早在1997年,卡内基?梅隆大学数据隐私实验室主任Latanya Sweeney表明了,她如何仅仅将匿名数据与在马萨诸塞州选民登记名册上发布的生日、邮政编码和性别等信息关联起来,就从该州保险事务委员会发布的经过剥离的病历信息当中,找出了时任马萨诸塞州州长William Weld的病历。
据Sweeney称,只要凭借出生日期、性别和邮政编码这些信息,就能确定87%的美国人的身份。