网上商城,手机APP等技术的发展,网上购买已经成为流行趋势。血压计、血糖仪,呼吸机、雾化器,治疗仪等医疗器械都可以在网上商城(乐康商城)购买,众所周知,网络信息的安全性收到质疑。那么,针对网上销售和批发的医疗器械的安全性和健康数据的保护措施有哪些呢?
互联网可以改善医疗服务,但是相应地也会有网络安全风险。和其他的计算机系统一样,医疗器械网络批发销售行业也容易受到安全漏洞的影响。
为加强医疗卫生机构互联网医疗服务的平台、智能医疗的设备以及关键信息基础设施和数据应用的安全防护,国家市场监管总局(原国家食品药品监管总局)在2018年1月1日起开始施行《医疗器械网络安全注册技术审查指导原则》(下简称《指导原则》)。其中明确指出,批发和销售的医疗器械安全出现问题不仅会侵犯患者的隐私,而且可能会产生医疗器械非预期运行的风险,导致患者或使用者受到伤害或死亡。
根据2017年的数据显示,美国2010-2015年医疗信息泄露事件次数每年发生200多起。而今,形势甚至变得更为严峻,2018年就发生503起医疗保健数据泄露事件。
在国内,情况也不容乐观,2017年一篇名为《7亿条个人信息遭泄露 浙江判决特大侵犯公民信息案》的报道,曝出黑客侵入了某部委的医疗服务信息系统,大量孕检信息遭到泄露和买卖;雀巢员工从多家医院医务人员手中非法获取公民个人信息被处以刑事处罚。
依据2011年卫生部发布的《卫生行业信息安全等级保护工作的指导意见》,其中明确了网络安全负责的责任主体是“谁主管、谁负责,谁运营、谁负责”。
医疗器械生产批发销售企业也负有保证医疗器械网络安全的责任。在《指导原则》明确写道:“医疗器械产品在使用过程中常与非注册申请人预期的设备或系统相连接,这就使得注册申请人自身难以控制和保证医疗器械产品的网络安全。因此,医疗器械的网络安全需要注册申请人、用户和信息技术服务商的共同努力和通力合作才能得以保障。但是这并不意味着注册申请人可以免除医疗器械网络安全的相关责任,注册申请人应当保证医疗器械产品自身的网络安全,并明确与其预期相连设备或系统的接口要求,从而保证医疗器械产品的安全性和有效性”。
《指导原则》还指出注册人应当结合医疗器械相关数据的类型、功能、用途、交换方式及要求来考虑医疗器械产品的网络安全问题。对于健康数据,注册人应当遵循患者隐私保护相关法律法规的规定。
注册人应当结合自身质量管理体系的要求和医疗器械产品特点来保证其网络安全,包括上市前和上市后的要求。注册人还可采用信息安全领域良好工程实践来完善医疗器械产品的网络安全管理
注册人应当结合医疗器械产品的预期用途、使用环境、核心功能以及相连设备的情况来确定其网络安全特性,并采用基于风险管理的方法保证其网络安全。
注册人应当结合医疗器械相关数据的类型、功能、用途、交换方式及要求来考虑医疗器械产品的网络安全问题。对于健康数据,注册人应当遵循患者隐私保护相关法律法规的规定。对于设备数据,注册人应当保证其与健康数据的有效隔离。
注册人应当根据医疗器械的产品特性考虑其网络安全能力的要求,可参照IEC/TR 80001-2-2完善其网络安全能力建设,保证医疗器械产品对于网络安全威胁具备必要的识别、保护能力和适当的探测、响应、恢复能力。
注册人应当重视现成软件的网络安全问题,结合质量管理体系的要求和现成软件的类型,采用基于风险管理的方法保证现成软件的网络安全。
注册人应当区分医疗器械网络安全更新的类型,根据网络安全更新对于医疗器械产品的影响程度,结合质量管理体系的要求开展相应质量保证工作,并按《指导原则》要求提交相应注册申报资料。软件版本命名规则应考虑网络安全更新的情况。
注册人应当遵循网络安全相关国家法律法规和有关部门规章的规定,如《网络安全法》、《人口健康信息管理办法(试行)》《国家卫生计生委关于推进医疗机构远程医疗服务的意见》等。
注册人可参考与网络安全相关的国际标准及技术报告的要求来保证医疗器械产品的网络安全,完善质量管理体系关于网络安全体系的要求,如IEC80001系列标准及技术报告、IEC 60601-1第三版、IEC 82304-1、IEC 27000系列标准及技术报告、ISO/DIS 27799等。
医疗器械生产批发销售行业网络信息安全现状,健康数据属于个人信息的一个分支,具备个人信息的一般属性。随着科技的发展,越来越多的医疗器械具备上网功能,通过网络提供相关服务,因而,此种情形下,生产批发销售医疗器械的企业则需要履行《中华人民共和国网络安全法》及配套规定、标准之下的诸多义务。