医疗数据安全进入专项治理年，临床科研领域是问题高发区

　　近日，“严守医疗数据安全”被国家卫健委等14部门列为行业年度反腐纠风工作的独立任务，全国100多万医疗机构迎来更为严峻的数字安全合规大考。

　　一份由中国医院协会信息专业委员会近日发布，覆盖全国近八百家医疗机构的行业调研报告显示，近年来，医院对网络安全投入逐年增加，防统方、数据访问控制、数据审计等数据安全防护手段日益完备。

　　但与此同时，约七成受访医院数据安全建设仍受限于资金投入不足。在法律层面，虽然“个人敏感信息”“最小数据范围”等原则已确立，但医疗行业的落地标准还有待完善。此外，第三方监管规范的缺位，让医院面对AI应用时，可能陷入进退两难的合规困境。

　　一方面，“三医”数据的共享、开放与协同治理被提升至一个新高度，真实世界研究、新药临床试验和互联网诊疗加速铺开，医疗AI大模型也从技术探索走向临床一线；另一方面，今年上半年，加强患者信息与机构信息保护，频繁出现于多部委的监管文件中。数据安全已不仅是公立医院绩效考核中的硬性指标，也是医院合规经营的红线。

　　近年来，

　　2月，国家卫健委会同公安部、国家网信办等部门联合印发

　　该办法同时明确，医疗卫生机构对本单位数据安全和个人信息保护管理负主体责任，县级以上医疗卫生机构应当成立网络安全和信息化工作领导小组，每年至少召开一次医疗卫生机构数据安全和个人信息保护会议。

　　6月，国家卫健委等14部门联合发布

　　尤为值得注意的是，今年14部门专项整治的重点指向借助第三方以科研名义变相实施“带金销售”等不法行为。

　　也就是说，医院数据合规目标的达成，亟需在院内临床科研、信息管理以及医保办、药剂科等职能部门之间形成合力，以应对数据安全泄露和商业贿赂的双重合规风险。同时，医院数据治理的责任并不止步于“院墙之内”，也需延伸至第三方等“院外”合作场景。

　　根据前述行业调研，医疗机构对相关监管要求的落实工作已取得阶段性进展，但在执行深度与覆盖广度上，仍未达到预期目标，治理水平还有较大提升空间。

　　这份调研覆盖全国31个省，共回收有效问卷720份。样本结构具有一定代表性：三级医院占比55.42%，公立医院高达93.61%；在规模分布上，开放床位数“501-1000张”与“≤250张”的医疗机构占比均约26%，实现了对不同体量医院的均衡覆盖。

　　积极的一面在于，97.5%的医院知晓

　　但政策落地“最后一公里”梗阻明显——仅57.5%的医院完成制度修订，32.64%已开展合规建设，近七成医院仍处于“计划中”。

　　在与第三方合作中，84.86%的医院与合作对象仅靠保密协议，仅26.11%做数据脱敏，43.19%实现权限闭环；同时重对外防御、轻内部监管，员工违规访问、数据滥用风险突出，进一步加剧三角矛盾。

　　在医学科研个人敏感信息保护中，分别有约六成和五成的医院采取了“设置访问权限”和“签署保密协议”等管理层面的做法。但对于“数字脱敏”“数据匿名化处理”“建设面向临床科研应用的大数据中心”和“数据及时销毁”的核心技术，医院投入占比则分别为33.6%、25.69%、17.92%、12.92%。

　　根据调研，75.14%的医院反映缺乏数据安全专业能力支持，认为缺少资金支持的医院占比同样超过七成。另外分别有四成左右医院认为缺少医院高层支持和医院内部配合程度低。

　　针对医院在数据安全领域亟需开展的工作，选择“开展数据分类分级工作，识别敏感数据”的医院数量最多，达到200家。

　　调研认为，

　　例如，

　　AI在数据安全领域有较大的应用价值。根据调研，多地医院正在积极部署具有AI能力的数据安全功能模块。医院在推进AI+数据安全建设时，倾向于将技术应用于资产盘点、数据库审计及异常行为检测等领域。

　　但AI的投入，在某种程度上也放大了资金和标准的短板问题。其中，AI应用全流程安全管理制度尚不健全，第三方合作管理规范存在缺位，将进一步加剧医疗机构在AI应用中的合规与安全顾虑。

　　不过，在补足这些阶段性短板之后，大数据分析与人工智能技术，有望推动医院变“被动防御”为“主动防控”。

　　根据调研，目前，近八成医院表明医院开展数据安全能力建设的动力