弘和仁爱医疗集团金华广福医院CIO兼集团信息部顾问 应华永

2022年3月7日,国家药监局器审中心发布《医疗器械网络安全注册审查指导原则(2022年修订版)》(以下简称《指导原则修订版》)。笔者应HIT专家网朱小兵总编的约稿,希望能对此进行解读。思考一番后,发现自己的学识不足以胜任,所以仅从医疗信息人的角度聊聊《指导原则修订版》对医疗器械选购带来的现实意义,以此抛砖引玉。

《指导原则修订版》是在2017年1月20日发布并于2018年1月1日实施的《医疗器械网络安全注册审查指导原则》基础上,进行大量补充和修订后的版本,内容从6116个字激增到16154个字,从医疗器械电子接口、网络安全能力、网络安全验证与确认、网络安全可追溯分析、网络安全事件应急响应、网络安全更新、数据安全尤其是境外数据访问等方面,对医疗器械的网络安全提出了更高要求。

笔者看到这个消息的第一反应就是兴奋:多年来一直困扰医院信息中心的医疗器械数据安全管理问题终于有了明确的政策依据。

现实中常常见到,进口大型医疗设备厂商打着“方便远程运维”的名义,在设备上加装无线数据发射器,将设备运行数据和患者检测数据偷偷收集、传输到厂家总部;一些医疗器械以“免费投放”为幌子,窃取医院患者信息,进而进行精准广告推送;部分所谓的学术协会或组织以“合作研究”为借口,要求各家医院上报涉及患者隐私的数据,而又没有执行数据最小化和脱敏原则;医院采购的部分床旁心电设备竟然只能使用U盘导入数据到内网系统;很多进口医疗设备自带的电脑要求接入医院内网,同时还不允许信息中心重装系统或安装任何安全插件,等等。

类似严重的网络安全风险,一般医院信息中心要么完全不知情,要么明知有风险但迫于临床和行政压力不敢拒绝相关设备的接入,也无法实施有效的安全管控。究其原因,还是在于医院上下对网络安全的意识不够强。

聊一聊笔者本人亲身经历的一件事:有一年,医院引进了一台肝纤维化检测设备。一开始,这台设备只是以单机形式在临床使用,患者基本信息都是医生手工录入的。后来大概是觉得麻烦,科室向信息中心申请与HIS对接,而且厂家愿意支付通讯接口费用,以期实现数据的互联互通。

笔者一开始以为只是一台检查设备接入内网统一报告管理的需求,欣然同意并让他们提供报告模版,结果发现,原来单机版出具的纸质报告上赫然印着一个二维码,用手机微信扫一扫后就能获取该患者的电子版报告,并可一键寻求专家解答(其实就是厂家提供的咨询服务链接)。这可让人惊出一身冷汗:一台未经医院信息中心授权开通任何网络连接的设备,是如何在医院和患者均不知情的情况下,将报告数据发送到公网上的呢?

该设备厂家一开始给出的解释含糊其辞,还夹带着各种“忽悠”,后来发现碰到了硬茬,难以蒙混过关,才很不情愿地给出书面说明(见下图),并签署了信息安全承诺书。整个交涉过程中,虽然临床医生和业务分管领导也在配合信息中心对厂家施加压力,但笔者能感觉到他们或多或少还是存在“这是不是小题大做”的心理。

笔者认为,《指导原则修订版》的及时发布,可以让医院信息中心更加理直气壮地对于不符合网络安全的医疗设备和接入要求勇敢说“不”。未来,我们甚至可以要求医院在采购医疗器械产品时,首选具备医疗器械网络安全注册证的产品。能拿到这个注册证书,就意味着国家药监局器审中心已经帮我们把过安全基本关,同时其产品说明书上也会明确描述该医疗设备的相关网络参数,据此医院信息中心就能有的放矢地采取有效措施,更好地规避网络安全风险。

未来,医学工程部和医院信息中心的协作一定会越来越紧密,正所谓:天下大势,合久必分,分久必合!曾记否,二十年前不少医院的设备、信息是一家,后来随着信息技术特别是医疗软件在医院的广泛应用,信息科才逐渐从设备科独立出来。如今,随着物联网、人工智能甚至元宇宙等新技术、新概念在医疗器械领域的全面渗透,两者的工作边界又重新变得模糊起来,貌似又有了信息、设备“合二为一”的趋势。至于是谁合并谁?这就要看我们这批医疗信息人能不能扛起时代大旗了。加油吧,HITer!

(针对医疗器械网络安全新规,欢迎更多同行来稿发表观点、看法!)

作者简介

应华永,主任技师,弘和仁爱医疗集团金华广福医院CIO兼集团信息部顾问。

九三学社浙江省代表大会代表、九三学社金华市科技委员会秘书、九三学社金华市中心医院支社副主任委员;中国医院协会信息专委会(CHIMA)青年委员,浙江省卫生信息学会医院信息化专委会副主任委员,浙江省卫生信息学会信息安全专委会副主任委员。

声明:本文来自HIT专家网news,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。