如今，伴随前沿技术的普及应用，医疗信息化建设呈现高速发展态势，医疗数据在流动中被更加充分加以利用，其价值与重要性愈发受到关注和重视。

本文将通过六类典型医疗场景，逐一阐述医疗数据在不同场景下的使用风险及相关内容.

场景一：互联互通数据安全

医院等医疗机构为实现跨机构、跨地域的健康诊疗信息交互、共享和医疗服务协同，需要在各医疗机构、医联体信息平台之间实现数据（电子病历、电子健康档案等）的互联互通与信息共享。

在此场景下，医护人员、卫生机构管理人员、医院间联合体及医疗第三方服务机构人员在对相关系统文件、数据库资料等敏感数据进行访问浏览，以及通过内部信息共享交换系统进行文件数据传输、存储等操作时，均可能导致医患隐私等重要信息面临泄露风险。

场景二：远程医疗数据安全

一方医疗机构为邀请其他医疗机构对其诊疗患者提供技术支持等医疗活动时，涉及近端／远端医院、患者、远程诊疗设备提供者、设备维护管理者、远程诊疗信息发布平台服务提供商、网络运营商等第三方。

在此场景下，近端医院需向远端医院出示患者的检验报告、诊断结果、用药信息、既往病史、家族病史、传染病史等涉及患者隐私的个人健康医疗信息。如果远程诊疗网络相关服务器和终端被非法人员使用，则数据在远程诊疗过程中将面临敏感数据被非法访问、窃取篡改、恶意上传等风险。

场景三：汇聚中心数据安全

汇聚中心是指区域卫生信息平台、健康医疗大数据中心、学会数据中心、医院内部数据中心等为医生、患者、第三方研究机构的“诊疗参考、健康管理、分析利用”等需求提供数据应用支撑的平台机构。

在此场景下，汇聚中心涉及跨机构数据汇聚，集中存储着包括基本人口学数据、病历数据、健康档案数据等大量数据信息。例如，A医院医生会通过汇聚中心调阅某患者在B医院就诊时的健康医疗信息，如果没有建立对中心数据分级标注以及颗粒度匹配等机制，将面临非法登录、越权访问、异常调阅、冒名查询、批量窃取、明文泄露等数据安全风险。

场景四：临床研究数据安全

临床研究数据通常指由医院、学术研究机构和医疗企业发起的，以确认药物、医疗器械、医疗信息系统、诊断和治疗的安全性和有效性为目的的研究中，所涉及的基本人口学资料、检查信息、检验信息、药品医嘱、诊断信息、病例及患者报告等信息。

在此场景下，参与临床研究的医患及有关信息，被临床试验电子系统的用户进行访问或被交由医疗机构进行使用等过程中面临诸多数据安全合规风险。

场景五：商保对接数据安全

商业保险公司通过与医疗机构建立连接的医疗信息系统，及时掌握个人健康医疗信息主体的诊疗情况及发生的相关费用信息。例如，个人属性信息、健康状况信息、医疗应用信息、医疗资金与支付信息、卫生资源信息等数据，从而根据商业保险机构的核赔规则自动进行支付结算等理赔业务。

在此场景下，投保用户的健康医疗信息将由医疗机构向商业保险机构进行披露，因而在系统对接、数据传输、数据使用、数据存储、数据销毁等环节存在数据泄露的风险。

场景六：器械维护数据安全

医疗器械维护的目标是确保器械安全、有效和功能正常。不同的医疗器械可能涉及不同的数据，影像系统可能涉及病人的影像及其诊断报告，检验系统可能涉及病人的检验、检查报告及检验结果等信息。

在此场景下，医疗器械厂商在进行远程维护时，可能读取医疗器械产生的数据，用以分析应用的安全性和有效性。在以上流程中，数据将面临非授权访问、不安全链接、隐私数据泄露、维护记录保存不当等安全风险。

综上所述，医疗数据在不同场景下面临的大量数据“合法利用”的安全风险，需要制定切实有效的管控机制，构建数据安全治理体系。

2021年6月10日，十三届全国人大常委会第二十九次会议表决通过《中华人民共和国数据安全法》，并将于9月1日施行。《数据安全法》是继《网络安全法》之后，国家在信息安全领域颁布的又一部重要法律，进一步完善和增强了数据安全领域的法律法规。

《数据安全法》从数据安全制度、安全义务等方面，对企业建设数据安全保护体系提出了明确要求：

1

建立并执行数据分级、分类制度，对列入分级分类目录的重要数据实施重点保护——《数据安全法》第二十一条。

2

建立并执行数据安全风险评估，预警、监测，审计、追溯，应急响应体系——《数据安全法》第二十二条、第二十三条。

3

要求建立与数据安全相应的覆盖安全管理，教育培训，技术手段等方面的数据安全保护体系——《数据安全法》第二十七条。

4

要求履行数据安全风险评估，预警、监测，审计、追溯，数据安全风险和事件报告等安全义务——《数据安全法》第二十九条、第三十条。

5