批發(fā)銷(xiāo)售的醫療器械的網(wǎng)絡(luò )安全與健康數據保護

網(wǎng)上商城，手機APP等技術(shù)的發(fā)展，網(wǎng)上購買(mǎi)已經(jīng)成為流行趨勢。血壓計、血糖儀，呼吸機、霧化器，治療儀等醫療器械都可以在網(wǎng)上商城（樂(lè )康商城）購買(mǎi)，眾所周知，網(wǎng)絡(luò )信息的安全性收到質(zhì)疑。那么，針對網(wǎng)上銷(xiāo)售和批發(fā)的醫療器械的安全性和健康數據的保護措施有哪些呢？

互聯(lián)網(wǎng)可以改善醫療服務(wù)，但是相應地也會(huì )有網(wǎng)絡(luò )安全風(fēng)險。和其他的計算機系統一樣，醫療器械網(wǎng)絡(luò )批發(fā)銷(xiāo)售行業(yè)也容易受到安全漏洞的影響。

為加強醫療衛生機構互聯(lián)網(wǎng)醫療服務(wù)的平臺、智能醫療的設備以及關(guān)鍵信息基礎設施和數據應用的安全防護，國家市場(chǎng)監管總局（原國家食品藥品監管總局）在2018年1月1日起開(kāi)始施行《醫療器械網(wǎng)絡(luò )安全注冊技術(shù)審查指導原則》（下簡(jiǎn)稱(chēng)《指導原則》）。其中明確指出，批發(fā)和銷(xiāo)售的醫療器械安全出現問(wèn)題不僅會(huì )侵犯患者的隱私，而且可能會(huì )產(chǎn)生醫療器械非預期運行的風(fēng)險，導致患者或使用者受到傷害或死亡。

根據2017年的數據顯示，美國2010-2015年醫療信息泄露事件次數每年發(fā)生200多起。而今，形勢甚至變得更為嚴峻，2018年就發(fā)生503起醫療保健數據泄露事件。

在國內，情況也不容樂(lè )觀(guān)，2017年一篇名為《7億條個(gè)人信息遭泄露 浙江判決特大侵犯公民信息案》的報道，曝出黑客侵入了某部委的醫療服務(wù)信息系統，大量孕檢信息遭到泄露和買(mǎi)賣(mài)；雀巢員工從多家醫院醫務(wù)人員手中非法獲取公民個(gè)人信息被處以刑事處罰。

依據2011年衛生部發(fā)布的《衛生行業(yè)信息安全等級保護工作的指導意見(jiàn)》，其中明確了網(wǎng)絡(luò )安全負責的責任主體是“誰(shuí)主管、誰(shuí)負責，誰(shuí)運營(yíng)、誰(shuí)負責”。

醫療器械生產(chǎn)批發(fā)銷(xiāo)售企業(yè)也負有保證醫療器械網(wǎng)絡(luò )安全的責任。在《指導原則》明確寫(xiě)道：“醫療器械產(chǎn)品在使用過(guò)程中常與非注冊申請人預期的設備或系統相連接，這就使得注冊申請人自身難以控制和保證醫療器械產(chǎn)品的網(wǎng)絡(luò )安全。因此，醫療器械的網(wǎng)絡(luò )安全需要注冊申請人、用戶(hù)和信息技術(shù)服務(wù)商的共同努力和通力合作才能得以保障。但是這并不意味著(zhù)注冊申請人可以免除醫療器械網(wǎng)絡(luò )安全的相關(guān)責任，注冊申請人應當保證醫療器械產(chǎn)品自身的網(wǎng)絡(luò )安全，并明確與其預期相連設備或系統的接口要求，從而保證醫療器械產(chǎn)品的安全性和有效性”。

《指導原則》還指出注冊人應當結合醫療器械相關(guān)數據的類(lèi)型、功能、用途、交換方式及要求來(lái)考慮醫療器械產(chǎn)品的網(wǎng)絡(luò )安全問(wèn)題。對于健康數據，注冊人應當遵循患者隱私保護相關(guān)法律法規的規定。

注冊人應當結合自身質(zhì)量管理體系的要求和醫療器械產(chǎn)品特點(diǎn)來(lái)保證其網(wǎng)絡(luò )安全，包括上市前和上市后的要求。注冊人還可采用信息安全領(lǐng)域良好工程實(shí)踐來(lái)完善醫療器械產(chǎn)品的網(wǎng)絡(luò )安全管理　

注冊人應當結合醫療器械產(chǎn)品的預期用途、使用環(huán)境、核心功能以及相連設備的情況來(lái)確定其網(wǎng)絡(luò )安全特性，并采用基于風(fēng)險管理的方法保證其網(wǎng)絡(luò )安全。

注冊人應當結合醫療器械相關(guān)數據的類(lèi)型、功能、用途、交換方式及要求來(lái)考慮醫療器械產(chǎn)品的網(wǎng)絡(luò )安全問(wèn)題。對于健康數據，注冊人應當遵循患者隱私保護相關(guān)法律法規的規定。對于設備數據，注冊人應當保證其與健康數據的有效隔離?！?/span>

注冊人應當根據醫療器械的產(chǎn)品特性考慮其網(wǎng)絡(luò )安全能力的要求，可參照IEC/TR 80001-2-2完善其網(wǎng)絡(luò )安全能力建設，保證醫療器械產(chǎn)品對于網(wǎng)絡(luò )安全威脅具備必要的識別、保護能力和適當的探測、響應、恢復能力。

注冊人應當重視現成軟件的網(wǎng)絡(luò )安全問(wèn)題，結合質(zhì)量管理體系的要求和現成軟件的類(lèi)型，采用基于風(fēng)險管理的方法保證現成軟件的網(wǎng)絡(luò )安全?！　?/span>

注冊人應當區分醫療器械網(wǎng)絡(luò )安全更新的類(lèi)型，根據網(wǎng)絡(luò )安全更新對于醫療器械產(chǎn)品的影響程度，結合質(zhì)量管理體系的要求開(kāi)展相應質(zhì)量保證工作，并按《指導原則》要求提交相應注冊申報資料。軟件版本命名規則應考慮網(wǎng)絡(luò )安全更新的情況?！　?/span>

注冊人應當遵循網(wǎng)絡(luò )安全相關(guān)國家法律法規和有關(guān)部門(mén)規章的規定，如《網(wǎng)絡(luò )安全法》、《人口健康信息管理辦法（試行）》《國家衛生計生委關(guān)于推進(jìn)醫療機構遠程醫療服務(wù)的意見(jiàn)》等。

注冊人可參考與網(wǎng)絡(luò )安全相關(guān)的國際標準及技術(shù)報告的要求來(lái)保證醫療器械產(chǎn)品的網(wǎng)絡(luò )安全，完善質(zhì)量管理體系關(guān)于網(wǎng)絡(luò )安全體系的要求，如IEC80001系列標準及技術(shù)報告、IEC 60601-1第三版、IEC 82304-1、IEC 27000系列標準及技術(shù)報告、ISO/DIS 27799等。

醫療器械生產(chǎn)批發(fā)銷(xiāo)售行業(yè)網(wǎng)絡(luò )信息安全現狀，健康數據屬于個(gè)人信息的一個(gè)分支，具備個(gè)人信息的一般屬性。隨著(zhù)科技的發(fā)展，越來(lái)越多的醫療器械具備上網(wǎng)功能，通過(guò)網(wǎng)絡(luò )提供相關(guān)服務(wù)，因而，此種情形下，生產(chǎn)批發(fā)銷(xiāo)售醫療器械的企業(yè)則需要履行《中華人民共和國網(wǎng)絡(luò )安全法》及配套規定、標準之下的諸多義務(wù)。