专业咨询
致力推进中国医疗卫生信息化

【医疗数据资产专栏】医疗数据资产化的重要前提:数据安全和价值视角下的分类分级(下)

来源:HIT专家网 作者:李丹、陈双、黄迪、伍睿

【编者按】

上篇文章中,医疗数据资产专栏写作团队探析了医疗数据分类分级的意义和难点、政策法规现状、分类分级的原则等。本篇继续深入探讨医疗数据分类分级的规则与方法,并基于数据管理能力成熟度评估模型(DCMM),结合医院实际数据特点,提出实务性建议,以期推进医疗数据资产化的探索进程。

数据管理能力成熟度评估模型(Data management Capability Maturity Model,简称DCMM)是我国首个数据管理领域的国家标准,为组织提供了全面的数据管理能力评估框架。DCMM定义了数据战略、数据治理、数据架构、数据应用、数据安全、数据质量、数据标准和数据生存周期8个核心能力域及28个能力项,以组织、制度、流程和技术作为8个核心域评价维度,旨在评估组织在数据管理方面的能力和成熟度,帮助组织识别自身数据管理的优势和不足,并提供改进指导。

可见,数据分类分级是数据管理过程中的重要环节,DCMM明确将数据分类分级作为数据管理能力第2级(受管理级)至第5级(优化级)的基本要求。在进行数据分类分级时,组织可参照DCMM定义的数据管理标准和要求,结合自身实际情况,制定适合自身业务需求的数据分类分级方案。

在确立医疗数据分类分级基本原则的指引下,医疗机构分别设立分类与分级的具体规则与方法,是落实数据保护与数据利用的重点和难点,需要同时考虑法益保护和技术功能方面的需求来着手细化。数据分类分级工作是一个系统化工程,可以将其细分为4个工作步骤,分别为建立组织保障、建立制度保障、建立数据资源目录和制定及实施分类分级规则。

建立组织保障

建立组织保障是指为确保数据分类分级工作有足够的人力、物力和技术支持,明确责任分配和协调机制。组织保障是数据分类分级工作的基础和前提,也是实施有效管理和保护措施的关键。

从医疗数据分类分级的推进情况看,在医疗机构内建立组织保障,需要至少完成以下三个方面的工作:

1.组建专门的数据分类分级团队

由于数据分类分级工作涉及多个部门和系统,需有专门的团队来负责统筹协调和执行。该团队应由具有相关专业知识和经验的人员组成,包括但不限于以下角色:

数据分类分级负责人:负责整个团队的领导和管理,制定工作计划和目标,监督工作进度和质量,解决工作中遇到的问题和冲突。

数据资产管理员:负责数据资产的登记、归档、更新、维护等管理工作,保证数据资产的完整性和时效性;负责数据资产的访问控制、使用控制、共享控制等工作,保证数据资产的合法性和安全性;负责数据资产的备份、恢复、销毁等工作,保证数据资产的可用性和可持续性;负责数据资产的监测、审计、评估等工作,保证数据资产的质量和效果。

数据分类分级技术人员:负责开发或使用专门的数据资产发现工具和数据资产分析工具,对每个数据资产进行分类分级打标;负责生成医院的数据资源目录和敏感数据资产目录,以便后续进行管理和保护;负责根据不同的数据安全等级定义和保护措施,对数据进行加密、脱敏、访问控制、审计监控等防护策略配置和部署。

数据分类分级法务人员:负责研究和分析国家标准和行业规范,了解数据分类分级的相关要求和指导;负责结合医院的业务特点、数据特性、发展战略,制定适合医院的数据分类分级规则;负责结合医院的资源条件和技术能力,制定相应的数据安全等级定义和保护措施。

大部分情况下,医疗数据分类分级负责人和技术人员由医院信息部门或数据管理部门人员承担;但数据资产管理员需从医院各类数据主管部门中选择,不能仅仅局限在医院信息或数据管理部门。

2.制定工作流程和制度

为保证数据分类分级工作的规范性和有效性,需要制定相应的工作流程和制度,明确各个环节的输入、输出、标准、方法、责任、时间等要素。工作流程和制度应包括但不限于以下内容:

数据分类分级工作计划:包括工作目标、范围、内容、方法、步骤、时间表、资源需求等;

数据分类分级工作报告:包括工作结果、问题分析、改进建议等;

数据分类分级工作评估:包括工作质量、效率、效果等指标的评估方法和标准;

数据分类分级工作审批:包括工作计划、报告、评估等各个环节的审批流程和权限;

数据分类分级工作监督:包括工作进度、质量、风险等方面的监督机制和措施;

数据分类分级工作考核:包括对团队和个人的绩效考核方法和标准。

3.与各个相关部门和医疗软件供应商进行沟通协调

为确保数据分类分级工作的顺利进行和有效实施,需要与各个相关部门和医疗软件供应商进行沟通协调,主要包括以下方面:

与医院各个业务部门进行沟通协调:了解各个业务部门的数据需求和使用情况,获取数据的业务属性和价值,征求数据分类分级的意见和建议,解决数据使用和共享的问题和需求;

与医院信息安全部门进行沟通协调:了解医院的信息安全政策和规范,获取数据的安全属性和风险,征求数据安全防护的意见和建议,解决数据安全事件的问题和需求;

与医院信息技术部门进行沟通协调:了解医院的信息技术架构和规划,获取数据的技术属性和特征,征求数据技术支持的意见和建议,解决数据技术问题和需求;

与医院外部的医疗软件供应商进行沟通协调:了解医疗软件的功能和性能,获取数据的来源和格式,征求数据接口和兼容性的意见和建议,解决数据交换和集成的问题和需求,协同推进数据质量提升。以笔者所在单位为例,通过探索建立“信息项目供应商数据质量评价体系”,向各信息项目供应商明确数据质量要求并按季度进行评价,以保障信息项目对数据治理工作的支持力度,从而构建数据质量管理闭环。

建立制度保障

为保障数据分类分级工作的实操性和有效性,医院数据分类分级管理制度应包括数据分类分级的总体原则和目标、总体要求、工作流程、数据分类分级清单、实施人员的操作规程、定期更新维护机制、绩效考评和评价机制等。从制度上对数据分类分级工作实施进行细化要求,保障工作开展按章行事、有序进行。

建立数据资源目录

数据资源目录是指对医院内部的所有数据资产进行盘点和识别,获取数据的基本信息和属性,形成完整的数据资源目录。数据资源目录是数据分类分级工作的前提和基础,也是实现有效管理和保护的工具。

基于医疗行业特性,医疗数据通常分散在HIS、EMR、PACS、LIS等系统中,这些数据包括了结构化数据,如临床业务数据(HIS、EMR、LIS等)、运营管理数据(HRP、财务、药品、物资等);半结构化数据,如心电图数据、脑电图数据等;以及非结构化数据,如医疗影像(CT、MRI、X光等)、医疗图片(胃镜、喉镜、病理等)、历史病历文书(PDF、TXT等)等。这些异构系统接口之间通常互不通畅,并且各个系统产生的大量异构数据增加了数据分类分级的难度和工作量。传统的人工梳理已远不能满足医疗数据的识别需求,需要采用技术手段对这些数据进行识别、汇总,最终形成医院数据资源目录,具体来说分为以下步骤:

1.使用专门的数据资产发现工具

为了快速和准确地对医院内部的所有数据资产进行盘点和识别,需要使用专门的数据资产发现工具,使用配置的医疗信息系统数据库账号、数据库IP、实例等信息,连接数据库进行自动化的数据资产扫描。

数据资产发现工具是指能够自动识别和收集数据库中的各种数据资产信息的软件或平台,包括但不限于以下功能:

数据库连接:能够支持多种类型和版本的数据库,如Oracle、MySQL、SQL Server等,并能够通过配置文件或界面输入数据库账号、数据库IP、实例等信息,建立安全和稳定的数据库连接。

数据库扫描:能够对连接的数据库进行全面和深入的扫描,获取数据库schema、数据表、视图、数据表字段、存储过程、触发器等信息,并能够识别出涉及健康医疗数据或个人信息的数据资产。

数据库分析:能够对扫描得到的数据资产进行分析,获取数据资产的基本信息和属性,如数据类型、数据长度、数据格式、数据内容、数据来源、数据用途等,并能够根据预设的规则或模型对数据资产进行分类分级打标。

数据库展示:能够对分析得到的数据资产进行展示,生成可视化的数据资源目录,包括数据资产的层次结构、分类类别、分级等级等,并能够提供查询和导出功能。

使用这些专门的数据资产发现工具,可以帮助医院快速和准确地对医院内部的所有数据资产进行盘点和识别,避免出现遗漏或误判的数据资产,最终形成数据资源目录。

2.进行人工审核和验证

为了保证数据资源目录的准确性和完整性,需要进行人工审核和验证,与各业务科室、信息部门、技术部门沟通核验数据资源目录的准确性和完整性,对专门的数据资产发现工具得到的结果进行定期检查和修正,避免出现错误或不一致的数据资源目录。

3.生成数据资源目录

通过对医院数据资源的识别,生成包括数据字段内容描述、数据量、保存位置、保存期限、数据处理目的、所涉及的信息软件系统、数据对外提供情况(包括共享转让、公开披露、数据出境等)、数据全生命周期各环节安全措施匹配情况等信息。根据医疗服务的业务节点逐个梳理,形成全院统一的数据资产目录。以笔者所在单位为例,从临床数据中心数据治理切入,形成了基本的医疗数据资源目录,并实行数据调用管理机制,制定并推行主数据接入申请、临床数据中心数据对接使用申请等流程,规范各个业务系统接入、数据使用的操作与行为。

4.更新医院的数据资源目录

根据人工审核和验证得到的结果,更新医院的数据资源目录。更新医院的数据资源目录是指根据人工审核和验证得到的结果,对原有的数据资源目录进行修改和补充,修改错误或不一致的数据资产信息,补充缺失或不完整的数据资产信息,删除多余或无效的数据资产信息等,使之更加符合医院的实际情况。

制定及实施分类分级规则

分类分级规则是指根据一定的分类分级标准,对每个数据资产进行分类和分级,并打上相应的标签,以便后续进行管理和保护。分类分级规则是数据分类分级工作的实施和执行,也是实现有效数据管理、保护和利用的依据。

关于分类分级的标准制定,可以参考上篇文章提到的几个标准文件,进而结合医院自身业务和管理特点,先选择数据分类维度,建立数据资源分类目录树,再根据数据的重要程度和敏感程度确定数据资源的安全等级(如图1所示)。

图1

1.医疗数据分类维度

根据《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020)以及《广东省健康医疗数据安全分类分级管理技术规范》(T/GDWJ 013—2022),健康医疗数据可以分为个人属性数据、健康状况数据、医疗应用数据、医疗支付数据、卫生资源数据以及公共卫生数据等类别(如表1所示)。其中:

表1 健康医疗数据分类(来源:《信息安全技术 健康医疗数据安全指南》《广东省健康医疗数据安全分类分级管理技术规范》)

上文提到,《信息安全技术 健康医疗数据安全指南》提供的数据分类示例更多从数据安全的角度来考虑,医疗机构可在结合该标准的基础上根据自身业务情况予以多维度对数据进行分类,也即不必局限于上述的分类规则。

例如,医疗机构还可以根据数据的来源,分为内部数据、外部数据等;根据数据的类型,分为基本信息、诊疗信息、检验检查信息、药品处方信息等;根据数据的内容,分为个人基本信息、个人敏感信息、个人特殊信息等;根据数据的格式,分为文本文件、图像文件、音频文件、视频文件等。

又如,医疗机构还可以结合医疗数据资产的应用场景和用途,进一步划分增设三个大类维度:安全保密类、管理应用类、可流通交易类。其中,可流通交易类的数据内容一般指通过技术措施严格保障个人隐私,符合医疗伦理规范要求,并已经获取用户完整授权且经过确权后的数据。但是需注意的是,这类数据的合规义务要求更高,且可用于流通交易的数据一般都不包含原始数据的交易,通常是通过隐私计算等技术手段实现“数据可用不可见、数据不出域”形成数据核验产品等方式进行共享和流通。

另一方面,为满足监管需求以及公共数据的开放共享要求,医疗机构宜设立“公共数据”类别数据。“公共数据”并不单纯等同于上图所示的“公共卫生数据”。医疗机构对涉公共数据的分类,最主要的难点在于何为“履行职责或提供公共服务过程中收集或者产生的信息”的判断。虽然目前多省市已出台的公共数据管理相关规定中,基本都提出了由省级数据管理部门统一制定公共数据目录指南,但是目前实际真正出台目录文件并落地的为数不多,且从实践来看,这些文件也存在一定的模糊性,对于拟开展数据分类分级的医疗机构来说比较尴尬。

本文尝试从公共数据的法律属性对其进行分类,具体判断如下:医疗机构作为具有公共职能的企事业单位,在依法履行职责或提供公共服务过程中产生的政务数据或公共服务数据,如医疗卫生统计数据、医疗质量监测数据、医疗保障数据等;在公共利益相关领域内收集或获取的具有公共价值的数据,如基础医学研究数据、临床试验数据、流行病学调查数据等;掌握的与重大公共利益相关的数据,如突发公共卫生事件应急响应数据、重大疾病防控数据、医疗救助数据等;在提供公共服务过程中收集或产生的涉及公共利益的数据,如健康教育宣传数据、健康咨询服务数据、健康管理服务数据等。

当然,上述的分类维度可能会与其他数据分类维度存在交叉重叠之处。但在不极大增加工作量的前提下,可新建该分类标签,以备不同的业务场景所需。

2.医疗数据分级实施框架

1)从数据安全角度进行分级

确定数据的分级依据:数据的分级依据是指对数据进行分级的主要属性或特征,通常包括数据的重要程度、风险级别、可能造成的损害以及影响的级别等。例如,根据数据的重要程度,可以考虑数据对医院的业务目标、运营效率、核心竞争力等方面的影响;根据数据的风险级别,可以考虑数据被泄露、篡改、滥用等情况下对医院的法律责任、声誉损失、经济损失等方面的影响;根据数据可能造成的损害,可以考虑数据涉及的个人信息主体的隐私权、人格权、财产权等方面的影响;根据数据影响的级别,可以考虑数据涉及的个人信息主体的数量、范围、敏感程度等方面的影响。

确定数据的分级维度:数据的分级维度是指对数据进行分级的具体方面或角度,通常包括数据的保密性、完整性、可用性等。例如,根据数据的保密性,可以考虑数据是否需要限制访问和披露,以及访问和披露需要满足的条件和授权;根据数据的完整性,可以考虑数据是否需要保持正确和一致,以及保持正确和一致需要满足的标准和验证;根据数据的可用性,可以考虑数据是否需要及时和有效地提供和使用,以及提供和使用需要满足的时间和质量。

确定数据的分级等级:参考国家标准《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2020),根据数据重要程度和风险级别以及对个人健康医疗数据主体可能造成的损害以及影响的级别进行分级,如表2所示。

以临床试验场景的数据为例,可分为公用数据集(PUF)、受限制数据集(LDS)、可标识数据集(RIF),分别对应表2中的第1级、第3级、第4级。PUF主要是汇总概要级的数据;LDS涉及患者级别的受保护数据,但身份标识数据被加密或泛化;RIF则包含患者的身份标识数据。隐私级别越高,对数据应用范围、用途要求越严格。

表2 健康医疗数据分级表(来源:《信息安全技术 健康医疗数据安全指南》)

根据制定相应的数据安全等级定义采取不同的保护措施:数据安全等级定义是指对不同等级数据的安全要求和目标进行明确和量化,包括数据保密性、完整性、可用性等方面的具体指标和标准。数据安全保护措施是指对不同等级的数据采取相应的管理和技术手段和方法,以实现数据安全等级定义中的要求和目标,包括数据加密、脱敏、访问控制、审计监控等方面的具体策略和措施。制定适合医院的数据安全等级定义和保护措施,是指根据国家标准和行业规范以及医院的资源条件和技术能力,制定适合医院的数据安全等级定义和保护措施。

数据安全等级定义和保护措施应具有以下特点:

适度:数据安全等级定义和保护措施应与数据分类分级结果相匹配,既不能过高也不能过低,既要保证数据安全又要保证数据利用。

灵活:数据安全等级定义和保护措施应根据数据形态的动态变化、环境变化和政策变化进行定期调整和优化,既要保持稳定性又要保持灵活性。

统一:数据安全等级定义和保护措施应在医院内部形成统一的标准和规范,既要保持一致性又要保持协调性。

可行:数据安全等级定义和保护措施应在医院现有的资源条件和技术能力下可以实现和执行,既要保持可行性又要保持可操作性。

参考前述相关国家标准和行业规范,可以帮助医院建立符合国家要求和行业水平的数据安全等级定义和保护措施,避免出现过于松懈的数据安全等级定义和保护措施导致数据安全事故,或过于严苛导致数据难以利用和流通。划分数据安全等级可以参考以下定义和保护措施:

一级:保密性要求最低,完整性要求最低,可用性要求最低。保护措施包括:使用基本的身份认证和访问控制机制,使用基本的数据备份和恢复机制,使用基本的日志记录和审计机制;

二级:保密性要求较低,完整性要求较低,可用性要求较低。保护措施包括:使用强化的身份认证和访问控制机制,使用强化的数据备份和恢复机制,使用强化的日志记录和审计机制;

三级:保密性要求较高,完整性要求较高,可用性要求较高。保护措施包括:使用加密技术对数据进行加密存储和传输,使用脱敏技术对数据进行脱敏处理,使用高可用技术对数据进行冗余备份和容灾恢复;

四级-五级:保密性要求最高,完整性要求最高,可用性要求最高。保护措施包括:使用多因素身份认证和细粒度访问控制机制,使用多层次加密技术对数据进行加密存储和传输,使用多维度脱敏技术对数据进行脱敏处理,使用多节点分布式技术对数据进行冗余备份和容灾恢复。

2)从使用价值角度进行分级

数据从安全性和敏感程度的角度进行分级是法律规定的基本要求。笔者认为,如能从中将安全性可控、可以利用的数据划分出来,再从使用价值角度进行分级,可以更好地保障医疗数据。数据资产化角度的分级和安全角度的分级并不是对立的,而是相互补充和协调,形成一个完整的医疗数据资产分类分级体系。

经过安全角度的数据分级后,医院对于哪些数据资产不能对外共享、转让、流通,在对外提供过程中不同风险等级的数据应采取不同程度的保护措施,已经有了较为清晰的认识。以上述第一至第五级数据为例,我们建议第五级数据应仅限于医院内部主治医护人员访问使用,或在必要情况下经伦理委员会或数据主管部门审批才能在内部使用;第四级数据通常由于可以直接标识个人身份,不得直接对外提供原始数据,确有必要进行共享流通的应采用隐私计算等技术手段保障“原始数据不出域”“数据可用不可见”;第三级以下的数据,在明确告知患者用途且获得有效授权的情况下可以用于共享流通。

数据资产化角度的分类分级是从医疗数据的使用价值出发。对于从安全角度划分为可以对外共享、转让、流通的数据,可在使用价值层面进一步分为高价值、中价值、低价值三个层次,并采取相应的管理和利用策略。同时,可以结合医疗机构自身的战略目标、高频应用场景需求等,参考《信息技术 数据质量评价指标》(GB/T 36344-2018)中数据规范性、完整性、准确性、一致性、时效性、可访问性等评估指标进行评估,如表3所示。

表3

医院数据治理是一项复杂的系统性的长期工程,医疗数据资产的价值实现是数据治理工作的新目标和新动能,需要提升到医院发展战略高度予以重视。医疗数据分类分级对医院数据资产的形成、利用和流通等具有重要意义。通过对医疗数据进行分类分级,更好地保护医疗数据的安全性,确保医疗数据的合法使用和合规流通。同时,只有对医疗数据进行分类分级,才能有助于医疗机构自身提升医疗数据管理能力,提高医疗数据的利用效率,促进医疗数据的使用、共享与流通,释放医疗数据潜在价值,反哺医疗行业和医疗服务高质量发展。

作者团队(从左至右):李丹、陈双、黄迪、伍睿

【作者团队】

本期主笔:李丹、陈双

撰写团队:黄迪、伍睿

李丹,高级会计师、高级管理会计师,现任广东省人民医院医疗设备处副处长,曾任信息管理副处长。暨南大学、广东财经大学会计专业学位实践指导教师,上海国家会计学院智能财务研究中心研究员,广东省数字政府专家资源池专家,广东省卫生经济学会医院运营管理分会副会长,中国医院协会信息专业委员会青年委员。结合自身管理会计专业、医保管理工作经历与信息技术融合,主管建设项目获得软件著作权登记证书9项,作为主要编写人参编团体标准16项,主持(参研)省级及国家课题6项,参编著作2本(其中担任副主编出版《医院经济管理系统理论指引与实务指南》/暨南大学出版社 ISBN978-7-5668-2621-3),在《中华医院管理杂志》《中国卫生信息管理杂志》等公开发表论文22篇。

陈双,垦丁(广州)律师事务所联合创始人、国际数据管理协会(DAMA)中国专家成员、全国资产管理标准化技术委员会数据资产组专家成员、广东省数字政府改革建设专家委员会专家成员、广东省数据资产登记合规委员会专家组成员。曾主办多个大型数据权属争议案件,曾服务于广东省多个政府部门及担任多家大型互联网与数据类企业、医疗机构的常年法律顾问,参与多份数据资产国家标准和团体标准起草工作,参与国内多个数据交易所数据交易合规规则制定,为多个数据资产产品流通提供合规法律意见。

黄迪,垦丁(广州)律师事务所资深律师,香港中文大学法律博士,全国资产管理标准化技术委员会数据资产专家组成员。曾担任知名三甲医院、互联网医院、人工智能、生物科技、身份识别技术企业的常年法律顾问。参与“广东省医学数据资源生产要素化路径标准化试点”项目工作;参与中国医药会计学会2023年度重点课题;参与起草多份数据资产方面的国家标准和团体标准。

伍睿,广东省人民医院信息管理处骨干工程师,专注于医院信息项目管理以及信息项目知识产权保护及成果转化,参与编制医院信息化建设相关团体标准8项,参与编写专著《医疗+5G:更安全、更高效、更温暖》,参研省级课题3项,发表论文5篇。

【系列文章回顾】

【医疗数据资产专栏】政策已为数据资产化奠定基础

【医疗数据资产专栏】数据交易所为数据资产流通搭建平台

【医疗数据资产专栏】多学科视角下医疗数据资产化的可行性及难点探讨

【医疗数据资产专栏】医疗数据资产化的重要前提:数据安全和价值视角下的分类分级(上)

此图片的alt属性为空;文件名为HIT%E4%B8%93%E5%AE%B6%E7%BD%91%E8%AE%A2%E9%98%85%E5%8F%B7.png
关注HIT专家网微信订阅号
精彩不容错过!
寻求“商务合作”请扫码填写需求
我们将尽快与您联系!

【责任编辑:晓青】

赞(7)

评论 抢沙发

评论前必须登录!

 


未经允许不得转载:HIT专家网 » 【医疗数据资产专栏】医疗数据资产化的重要前提:数据安全和价值视角下的分类分级(下)
分享到: 更多 (0)