在當今大數據的網絡時代的背景下,網絡信息化技術已經被應用到醫院的掛號、診療、交費、住院、出院甚至死亡等各個領域中。在醫院醫療信息網絡信息系統中存儲著大量患者個人隱私信息,近年來屢有發生數據泄露事件,對患者重要私密信息帶來嚴重的傷害,也因此帶來更多的醫患糾紛,同時對于國家的信息安全帶來負面的社會影響。其實,從國家立法層面對個人醫療數據信息安全也十分重視,先后出臺了若干指導意見和法規進行監督規范和約束。本文所述某家醫療器械公司的診斷設備產品暗藏4G上網卡的案例,引起了社會各界對醫療數據信息安全的高度關注。
近日,針對北京市知識產權法院一審對內蒙古福瑞醫療科技股份有限公司(下簡稱福瑞股份)之控股子公司起訴無錫海斯凱樂醫療器械醫學技術有限公司(下簡稱海斯凱爾公司)專利侵權一案,給出了3000萬元賠償的一審判決結果。讓人感到意外的是,判決書顯示,海斯凱爾公司在其醫療器械產品安裝有4G無線上網卡,而器械所在醫院的相關負責人此前竟對此毫不知情。就此引發的醫療器械領域的知識產權保護和個人醫療信息安全問題,來自全國醫療器械法規專家、法學專家、知識產權以及信息安全等專家們紛紛表達了自己的專業意見。
多部門共治醫療信息安全 “怎么強調都不為過”
由全國人民代表大會常務委員會制定的《中華人民共和國網絡安全法》于2017年6月1日正式實施,其中第四十四條明文規定:“任何個人和組織不得竊取或者以其他非法方式獲取個人信息,不得非法出售或者非法向他人提供個人信息。”這是從法律方面給予個人信息安全權益的根本保障。
在2018年4月份,國家衛健委就發布了《關于促進“互聯網+醫療健康”發展的指導意見》,其中就醫療健康數據安全保護方面給予詳細嚴格的規定。對此,國家衛生健康委員會副主任于學軍曾在國務院政策例行吹風會上表示:“健康數據的安全的事情,怎么強調都不為過。”他還介紹,根據“互聯網+醫療健康”的新特點,要嚴格執行信息安全和醫療健康數據保密的規定,建立完善個人隱私保護體制,嚴格管理患者的信息、用戶的信息,特別是對于像基因、生物的這樣一些特別重要的信息,要特別加以嚴格管理,對于非法買賣泄露信息的行為,要依法依規進行嚴肅的處理。
相比公共信息數據泄露,更多的醫療個人數據信息都會留存在眾多醫療機構里。為加強醫療衛生機構互聯網醫療服務的平臺、智能醫療的設備以及關鍵信息基礎設施和數據應用的安全防護,國家市場監管總局(原國家食品藥品監管總局)在2018年1月1日起開始施行《醫療器械網絡安全注冊技術審查指導原則》(下簡稱《指導原則》)。其中明確指出,醫療器械網絡安全出現問題不僅可能會侵犯患者隱私,而且可能會產生醫療器械非預期運行的風險,導致患者、使用者受到傷害或死亡。因此,醫療器械網絡安全是醫療器械安全性和有效性的重要組成部分,也是國家網絡安全的組成部分之一。
作為政府的藥監部門在醫療器械網絡安全中扮演著至關重要的角色,從醫療器械產品的注冊到審批,都在藥監部門進行。在 2014年10月1日實施有關《醫療器械注冊管理辦法》的規定:注冊人應當結合醫療器械相關數據的類型、功能、用途、交換方式及要求來考慮醫療器械產品的網絡安全問題。對于健康數據,注冊人應當遵循患者隱私保護相關法律法規的規定。對于設備數據,注冊人應當保證其與健康數據的有效隔離。
于學軍表示,“我們國家非常重視數據的安全和個人隱私,因為,健康醫療的數據是國家重要基礎性的戰略資源,和一般的數據還不一樣,事關人民群眾的生命安全、個人隱私。所以,健康醫療信息的泄露,不但給個人造成很大的困擾,同時也會造成經濟損失,如果像基因這樣特別的數據流失的話,可能對我們國家安全造成威脅。”
北京大學法學院教授薛軍認為,個人的醫療隱私在世界范圍內都收到重視,是隱私保護的重點領域,美國也針對醫療信息進行了專門的立法保護。我國雖然有相關的立法計劃,比如制定《個人信息保護法》等,但主要是規定基本的法律規則、隱私保護的負責機關、具體的隱私保護程序等。實際上可以針對醫療領域的特殊性,專門出臺一些保護性規定。
多專家達成共識:醫療信息安全隱私保護 勢在必行
在現今的醫療領域,醫院信息系統對醫療設備的使用發揮著重要作用,PACS、LIS等醫療信息系統都是數字化醫療設備的重要基礎。一旦出現故障,直接會導致醫院部分業務中斷。但是,信息系統的應用能夠使醫療行為的效率、質量得到大幅度提升,在保護患者的醫療信息方面卻還有很大的不足。近年來屢次發生的患者信息泄露情況,嚴重威脅患者的安全和合法權益。在大數據時代的背景下,醫院必須采取有效的措施來保護患者的信息安全。
中國食品藥品檢定研究院研究員王健認為,從福瑞股份訴訟海斯凱爾公司產品專利侵權這個例子說明,中國的醫療器械監管水平相比醫療器械產業發展水平還存在較大的差距。“我認為任何器械的注冊、審批都要遵循知識產權先行的客觀事實,即使由于當時在不知情的情況下辦理了醫療器械證,當得知侵權后,政府主管部門應當予以撤銷該器械產品注冊證,這是對知識產權最起碼的尊重。”
“此外,隨著醫療設備智能化程序不斷提高,先進的醫療設備不僅能為醫院提供先進的診療手段,同時也可能存在很大的技術隱患。像案例中所述的這種診斷設備,帶有4G無線上網卡功能可以形成醫療信息數據的交互,更有可能對原有設備進行軟件上的技術改變,甚至可以通過更改軟件代碼改變硬件功能。一旦在未經批準和備案的情況下由4G功能引發軟硬件升級,將是非常危險的。我覺得,在醫院使用醫療設備時,必須在信息安全及主管部門進行備案。這也是對器械網絡信息安全最基本保護。”王健篤定的說道。
北京亞歐雍文律師事務所、醫療器械部主任劉偉律師認為,任何三甲醫院或醫療機構,在起初購買國內外大型醫療器械產品時一定要確認該產品是否有無線4G無線上網卡或其他通訊設備,并且要明確該設備是用于機器固件的更新還是別有其他用途。劉偉介紹,根據國家的《醫療器械注冊管理辦法》規定,任何器械設備擅自加裝類似通訊設備的,如果屬于許可行為,需應該經過藥監局主管部門審批;如果沒有進行備案和審批的,私自安裝通訊設備的,根據國家《侵權責任法》第107條和109條明確規定,醫療活動中不得收集患者信息,輕者是侵權行為,重者是負有民事賠償和刑事責任。
“網絡信息技術發達一方面大大改善百姓就醫環境,但另一方面會面臨更多的個人醫療數據丟失,將是一件非常可怕的事情。互聯網+醫療健康在帶給患者便利的同時,讓更多的個人隱私暴露在風險之中。”中國政法大學教授來小鵬一針見血的指出了醫療信息安全數據泄露所帶來嚴重后果。
而新春伊始,北京知識產權法院在開庭審理一宗知識產權侵權案件時,意外地從證據中發現被告公司生產并在某著名三甲醫院安裝使用的產品竟能夠通過暗藏的4G無線上網卡進行數據交互,且被告對該4G無線上網卡的用途并不能做出清楚的解釋。北京知識產權法院一審已就該案做出賠償3000萬的知識產權侵權損失的判決。
案例回顧
2019年1月31日,北京市知識產權法院一審對福瑞股份的控股子公司起訴海斯凱爾公司專利侵權一案給出了初審判決結果,判決無錫海斯凱爾公司賠償福瑞股份的子公司專利侵權3000萬專利損失費,被告的相關三種產品立即停止侵權行為。
原本一場局限于專利侵權的官司訴訟,隨著一審判決結果的公布卻卻引起了司法屆、知識產權屆以及信息安全專家的高度重視,在一審判決書里,清晰的載有海斯凱爾在其生產并于某著名三甲醫院使用的醫療器械產品中裝有4G無線上網卡,并且根據法院調取的2018年7月26日至7月27日的數據流量信息顯示,存在大量的數據交互信息。使用該產品的醫院相關部門負責人表示,當他們在法庭勘驗過程中發現該機器竟載有4G無線上網卡時,感到非常震驚。“醫院中的其他設備或者其他公司同類設備,不需要遠程控制或者在醫院不知道情況完成交互或者更新,唯獨此設備完成這種方式,設備只有患者信息……通常的理解(信息)傳輸出去就是患者信息,而這些信息恰恰是需要保密的信息。”更有甚者,作為北京著名的三甲醫院,有很多患者是國家重要干部。該產品在對醫院的使用和接受維護過程中,廠家從未對4G無線上網卡的存在進行備案與告知。我們不知道患者的個人醫療信息通過4G無線上網卡能夠流向何處。
醫療信息隱私權的保護亟需更完善法律體系
隨著云計算、物聯網、人工智能和移動互聯網等網絡信息技術的發展,“互聯網+醫療健康”服務新型的業態也在快速發展,與之各方面的防護邊界也在發生變化。“確保基礎數據的安全,這是一個基礎性工程,要嚴格落實《網絡安全法》,研究制定醫療健康數據的確權開放、流通交易和產權保護等方面的法律法規,建立配套制度體系;同時要嚴控信息安全的等保、分級制度;加強對新興技術的防護,確保數據安全、應用以及傳輸安全,重點加強密鑰管理,身份鑒別以及訪問的控制等方面。這些都是對個人隱私最基本的保護,不能因為互聯網行為就把隱私的保護降低,這個標準不能降低。”于學軍指出。
中央財經大學教授杜穎認為,從一場簡單的專利侵權訴訟案牽扯到醫療健康數據信息安全,無論從法律層面還是從核心專利技術層面都將是我國法治社會進步一種體現。20多年以來,企業在知識產權方面的保護意識上有了長足的進步,但如何在法律允可的范圍下進行在技術創新,是許多企業應該重視并關注的問題。更重要的是,尊重患者隱私權的保護也是醫療器械企業應當具有的基本道德底線。
中國人民大學知識產權學院院長劉春田認為,通過分析學習福瑞股份訴訟海斯凱樂專利侵權案的審理過程,會讓更多的中國企業學會契約、誠信精神,專利的申請、器械產品的注冊、還有運用新技術對個人隱私的保護都必須依法而動,不能逾越這根紅線。
中國專利保護協會副秘書長何旭文認為,專利的競爭實際上就是市場的競爭,不能用民族情義和國外專利霸權來形容兩者關系,知識產權早已國際化、實用化。一方面要學會系統的梳理企業自我的專利保護體系,加強專利技術枝節體系建設;而另外一方面針對于侵權的器械公司要學會退市制度,采取重罰來加大違法成本額方式給予警惕。
北京大學法學院教授薛軍認為,醫療隱私在個人隱私中最高級別的隱私,其法律的保護水準也應該是更高的。“個人醫療隱私不同于消費記錄、位置信息等一般隱私,其具有高度的敏感性,會對公民的社會生活產生深刻的影響。比如乙肝患者、艾滋賓患者的醫療隱私被泄露,他們在找工作時就有可能會遭受用人單位的歧視。如果一個人曾患有精神性疾病,其醫療隱私泄露還可能會增加其病恥感”。
最后,薛軍表示,醫療隱私的保護需要社會多方的努力,患者、醫院、政府相關部門都應給予足夠的重視。在加強保護、防止泄露的同時,還要嚴厲打擊非法買賣個人信息等違法行為。
來源:新浪醫藥
