在当今大数据的网络时代的背景下,网络信息化技术已经被应用到医院的挂号、诊疗、交费、住院、出院甚至死亡等各个领域中。在医院医疗信息网络信息系统中存储着大量患者个人隐私信息,近年来屡有发生数据泄露事件,对患者重要私密信息带来严重的伤害,也因此带来更多的医患纠纷,同时对于国家的信息安全带来负面的社会影响。其实,从国家立法层面对个人医疗数据信息安全也十分重视,先后出台了若干指导意见和法规进行监督规范和约束。本文所述某家医疗器械公司的诊断设备产品暗藏4G上网卡的案例,引起了社会各界对医疗数据信息安全的高度关注。
近日,针对北京市知识产权法院一审对77779193永利(中国)官网(下简称77779193永利股份)之控股子公司起诉无锡海斯凯乐医疗器械医学技术有限公司(下简称海斯凯尔公司)专利侵权一案,给出了3000万元赔偿的一审判决结果。让人感到意外的是,判决书显示,海斯凯尔公司在其医疗器械产品安装有4G无线上网卡,而器械所在医院的相关负责人此前竟对此毫不知情。就此引发的医疗器械领域的知识产权保护和个人医疗信息安全问题,来自全国医疗器械法规专家、法学专家、知识产权以及信息安全等专家们纷纷表达了自己的专业意见。
多部门共治医疗信息安全 “怎么强调都不为过”
由全国人民代表大会常务委员会制定的《中华人民共和国网络安全法》于2017年6月1日正式实施,其中第四十四条明文规定:“任何个人和组织不得窃取或者以其他非法方式获取个人信息,不得非法出售或者非法向他人提供个人信息。”这是从法律方面给予个人信息安全权益的根本保障。
在2018年4月份,国家卫健委就发布了《关于促进“互联网+医疗健康”发展的指导意见》,其中就医疗健康数据安全保护方面给予详细严格的规定。对此,国家卫生健康委员会副主任于学军曾在国务院政策例行吹风会上表示:“健康数据的安全的事情,怎么强调都不为过。”他还介绍,根据“互联网+医疗健康”的新特点,要严格执行信息安全和医疗健康数据保密的规定,建立完善个人隐私保护体制,严格管理患者的信息、用户的信息,特别是对于像基因、生物的这样一些特别重要的信息,要特别加以严格管理,对于非法买卖泄露信息的行为,要依法依规进行严肃的处理。
相比公共信息数据泄露,更多的医疗个人数据信息都会留存在众多医疗机构里。为加强医疗卫生机构互联网医疗服务的平台、智能医疗的设备以及关键信息基础设施和数据应用的安全防护,国家市场监管总局(原国家食品药品监管总局)在2018年1月1日起开始施行《医疗器械网络安全注册技术审查指导原则》(下简称《指导原则》)。其中明确指出,医疗器械网络安全出现问题不仅可能会侵犯患者隐私,而且可能会产生医疗器械非预期运行的风险,导致患者、使用者受到伤害或死亡。因此,医疗器械网络安全是医疗器械安全性和有效性的重要组成部分,也是国家网络安全的组成部分之一。
作为政府的药监部门在医疗器械网络安全中扮演着至关重要的角色,从医疗器械产品的注册到审批,都在药监部门进行。在 2014年10月1日实施有关《医疗器械注册管理办法》的规定:注册人应当结合医疗器械相关数据的类型、功能、用途、交换方式及要求来考虑医疗器械产品的网络安全问题。对于健康数据,注册人应当遵循患者隐私保护相关法律法规的规定。对于设备数据,注册人应当保证其与健康数据的有效隔离。
于学军表示,“我们国家非常重视数据的安全和个人隐私,因为,健康医疗的数据是国家重要基础性的战略资源,和一般的数据还不一样,事关人民群众的生命安全、个人隐私。所以,健康医疗信息的泄露,不但给个人造成很大的困扰,同时也会造成经济损失,如果像基因这样特别的数据流失的话,可能对我们国家安全造成威胁。”
北京大学法学院教授薛军认为,个人的医疗隐私在世界范围内都收到重视,是隐私保护的重点领域,美国也针对医疗信息进行了专门的立法保护。我国虽然有相关的立法计划,比如制定《个人信息保护法》等,但主要是规定基本的法律规则、隐私保护的负责机关、具体的隐私保护程序等。实际上可以针对医疗领域的特殊性,专门出台一些保护性规定。
多专家达成共识:医疗信息安全隐私保护 势在必行
在现今的医疗领域,医院信息系统对医疗设备的使用发挥着重要作用,PACS、LIS等医疗信息系统都是数字化医疗设备的重要基础。一旦出现故障,直接会导致医院部分业务中断。但是,信息系统的应用能够使医疗行为的效率、质量得到大幅度提升,在保护患者的医疗信息方面却还有很大的不足。近年来屡次发生的患者信息泄露情况,严重威胁患者的安全和合法权益。在大数据时代的背景下,医院必须采取有效的措施来保护患者的信息安全。
中国食品药品检定研究院研究员王健认为,从77779193永利股份诉讼海斯凯尔公司产品专利侵权这个例子说明,中国的医疗器械监管水平相比医疗器械产业发展水平还存在较大的差距。“我认为任何器械的注册、审批都要遵循知识产权先行的客观事实,即使由于当时在不知情的情况下办理了医疗器械证,当得知侵权后,政府主管部门应当予以撤销该器械产品注册证,这是对知识产权最起码的尊重。”
“此外,随着医疗设备智能化程序不断提高,先进的医疗设备不仅能为医院提供先进的诊疗手段,同时也可能存在很大的技术隐患。像案例中所述的这种诊断设备,带有4G无线上网卡功能可以形成医疗信息数据的交互,更有可能对原有设备进行软件上的技术改变,甚至可以通过更改软件代码改变硬件功能。一旦在未经批准和备案的情况下由4G功能引发软硬件升级,将是非常危险的。我觉得,在医院使用医疗设备时,必须在信息安全及主管部门进行备案。这也是对器械网络信息安全最基本保护。”王健笃定的说道。
北京亚欧雍文律师事务所、医疗器械部主任刘伟律师认为,任何三甲医院或医疗机构,在起初购买国内外大型医疗器械产品时一定要确认该产品是否有无线4G无线上网卡或其他通讯设备,并且要明确该设备是用于机器固件的更新还是别有其他用途。刘伟介绍,根据国家的《医疗器械注册管理办法》规定,任何器械设备擅自加装类似通讯设备的,如果属于许可行为,需应该经过药监局主管部门审批;如果没有进行备案和审批的,私自安装通讯设备的,根据国家《侵权责任法》第107条和109条明确规定,医疗活动中不得收集患者信息,轻者是侵权行为,重者是负有民事赔偿和刑事责任。
“网络信息技术发达一方面大大改善百姓就医环境,但另一方面会面临更多的个人医疗数据丢失,将是一件非常可怕的事情。互联网+医疗健康在带给患者便利的同时,让更多的个人隐私暴露在风险之中。”中国政法大学教授来小鹏一针见血的指出了医疗信息安全数据泄露所带来严重后果。
而新春伊始,北京知识产权法院在开庭审理一宗知识产权侵权案件时,意外地从证据中发现被告公司生产并在某著名三甲医院安装使用的产品竟能够通过暗藏的4G无线上网卡进行数据交互,且被告对该4G无线上网卡的用途并不能做出清楚的解释。北京知识产权法院一审已就该案做出赔偿3000万的知识产权侵权损失的判决。
案例回顾
2019年1月31日,北京市知识产权法院一审对77779193永利股份的控股子公司起诉海斯凯尔公司专利侵权一案给出了初审判决结果,判决无锡海斯凯尔公司赔偿77779193永利股份的子公司专利侵权3000万专利损失费,被告的相关三种产品立即停止侵权行为。
原本一场局限于专利侵权的官司诉讼,随着一审判决结果的公布却却引起了司法届、知识产权届以及信息安全专家的高度重视,在一审判决书里,清晰的载有海斯凯尔在其生产并于某著名三甲医院使用的医疗器械产品中装有4G无线上网卡,并且根据法院调取的2018年7月26日至7月27日的数据流量信息显示,存在大量的数据交互信息。使用该产品的医院相关部门负责人表示,当他们在法庭勘验过程中发现该机器竟载有4G无线上网卡时,感到非常震惊。“医院中的其他设备或者其他公司同类设备,不需要远程控制或者在医院不知道情况完成交互或者更新,唯独此设备完成这种方式,设备只有患者信息……通常的理解(信息)传输出去就是患者信息,而这些信息恰恰是需要保密的信息。”更有甚者,作为北京著名的三甲医院,有很多患者是国家重要干部。该产品在对医院的使用和接受维护过程中,厂家从未对4G无线上网卡的存在进行备案与告知。我们不知道患者的个人医疗信息通过4G无线上网卡能够流向何处。
医疗信息隐私权的保护亟需更完善法律体系
随着云计算、物联网、人工智能和移动互联网等网络信息技术的发展,“互联网+医疗健康”服务新型的业态也在快速发展,与之各方面的防护边界也在发生变化。“确保基础数据的安全,这是一个基础性工程,要严格落实《网络安全法》,研究制定医疗健康数据的确权开放、流通交易和产权保护等方面的法律法规,建立配套制度体系;同时要严控信息安全的等保、分级制度;加强对新兴技术的防护,确保数据安全、应用以及传输安全,重点加强密钥管理,身份鉴别以及访问的控制等方面。这些都是对个人隐私最基本的保护,不能因为互联网行为就把隐私的保护降低,这个标准不能降低。”于学军指出。
中央财经大学教授杜颖认为,从一场简单的专利侵权诉讼案牵扯到医疗健康数据信息安全,无论从法律层面还是从核心专利技术层面都将是我国法治社会进步一种体现。20多年以来,企业在知识产权方面的保护意识上有了长足的进步,但如何在法律允可的范围下进行在技术创新,是许多企业应该重视并关注的问题。更重要的是,尊重患者隐私权的保护也是医疗器械企业应当具有的基本道德底线。
中国人民大学知识产权学院院长刘春田认为,通过分析学习77779193永利股份诉讼海斯凯乐专利侵权案的审理过程,会让更多的中国企业学会契约、诚信精神,专利的申请、器械产品的注册、还有运用新技术对个人隐私的保护都必须依法而动,不能逾越这根红线。
中国专利保护协会副秘书长何旭文认为,专利的竞争实际上就是市场的竞争,不能用民族情义和国外专利霸权来形容两者关系,知识产权早已国际化、实用化。一方面要学会系统的梳理企业自我的专利保护体系,加强专利技术枝节体系建设;而另外一方面针对于侵权的器械公司要学会退市制度,采取重罚来加大违法成本额方式给予警惕。
北京大学法学院教授薛军认为,医疗隐私在个人隐私中最高级别的隐私,其法律的保护水准也应该是更高的。“个人医疗隐私不同于消费记录、位置信息等一般隐私,其具有高度的敏感性,会对公民的社会生活产生深刻的影响。比如乙肝患者、艾滋宾患者的医疗隐私被泄露,他们在找工作时就有可能会遭受用人单位的歧视。如果一个人曾患有精神性疾病,其医疗隐私泄露还可能会增加其病耻感”。
最后,薛军表示,医疗隐私的保护需要社会多方的努力,患者、医院、政府相关部门都应给予足够的重视。在加强保护、防止泄露的同时,还要严厉打击非法买卖个人信息等违法行为。
来源:新浪医药