诊断设备暗藏4G上网卡 医疗信息化下如何保护患者隐私？

近日，针对北京市知识产权法院一审对内蒙古福瑞医疗科技股份有限公司(下简称福瑞股份)之控股子公司起诉无锡海斯凯乐医疗器械医学技术有限公司(下简称海斯凯尔公司)专利侵权一案，给出了3000万元赔偿的一审判决结果。让人感到意外的是，判决书显示，海斯凯尔公司在其医疗器械产品安装有4G无线上网卡，而器械所在医院的相关负责人此前竟对此毫不知情。就此引发的医疗器械领域的知识产权保护和个人医疗信息安全问题，来自全国医疗器械法规专家、法学专家、知识产权以及信息安全等专家们纷纷表达了自己的专业意见。

多部门共治医疗信息安全 “怎么强调都不为过”

由全国人民代表大会常务委员会制定的《中华人民共和国网络安全法》于2017年6月1日正式实施，其中第四十四条明文规定：“任何个人和组织不得窃取或者以其他非法方式获取个人信息，不得非法出售或者非法向他人提供个人信息。”这是从法律方面给予个人信息安全权益的根本保障。

在2018年4月份，国家卫健委就发布了《关于促进“互联网+医疗健康”发展的指导意见》，其中就医疗健康数据安全保护方面给予详细严格的规定。对此，国家卫生健康委员会副主任于学军曾在国务院政策例行吹风会上表示：“健康数据的安全的事情，怎么强调都不为过。”他还介绍，根据“互联网+医疗健康”的新特点，要严格执行信息安全和医疗健康数据保密的规定，建立完善个人隐私保护体制，严格管理患者的信息、用户的信息，特别是对于像基因、生物的这样一些特别重要的信息，要特别加以严格管理，对于非法买卖泄露信息的行为，要依法依规进行严肃的处理。

相比公共信息数据泄露，更多的医疗个人数据信息都会留存在众多医疗机构里。为加强医疗卫生机构互联网医疗服务的平台、智能医疗的设备以及关键信息基础设施和数据应用的安全防护，国家市场监管总局(原国家食品药品监管总局)在2018年1月1日起开始施行《医疗器械网络安全注册技术审查指导原则》(下简称《指导原则》)。其中明确指出，医疗器械网络安全出现问题不仅可能会侵犯患者隐私，而且可能会产生医疗器械非预期运行的风险，导致患者、使用者受到伤害或死亡。因此，医疗器械网络安全是医疗器械安全性和有效性的重要组成部分，也是国家网络安全的组成部分之一。

作为政府的药监部门在医疗器械网络安全中扮演着至关重要的角色，从医疗器械产品的注册到审批，都在药监部门进行。在 2014年10月1日实施有关《医疗器械注册管理办法》的规定：注册人应当结合医疗器械相关数据的类型、功能、用途、交换方式及要求来考虑医疗器械产品的网络安全问题。对于健康数据，注册人应当遵循患者隐私保护相关法律法规的规定。对于设备数据，注册人应当保证其与健康数据的有效隔离。

于学军表示，“我们国家非常重视数据的安全和个人隐私，因为，健康医疗的数据是国家重要基础性的战略资源，和一般的数据还不一样，事关人民群众的生命安全、个人隐私。所以，健康医疗信息的泄露，不但给个人造成很大的困扰，同时也会造成经济损失，如果像基因这样特别的数据流失的话，可能对我们国家安全造成威胁。”

北京大学法学院教授薛军认为，个人的医疗隐私在世界范围内都收到重视，是隐私保护的重点领域，美国也针对医疗信息进行了专门的立法保护。我国虽然有相关的立法计划，比如制定《个人信息保护法》等，但主要是规定基本的法律规则、隐私保护的负责机关、具体的隐私保护程序等。实际上可以针对医疗领域的特殊性，专门出台一些保护性规定。

多专家达成共识：医疗信息安全隐私保护 势在必行

在现今的医疗领域，医院信息系统对医疗设备的使用发挥着重要作用，PACS、LIS等医疗信息系统都是数字化医疗设备的重要基础。一旦出现故障，直接会导致医院部分业务中断。但是，信息系统的应用能够使医疗行为的效率、质量得到大幅度提升，在保护患者的医疗信息方面却还有很大的不足。近年来屡次发生的患者信息泄露情况，严重威胁患者的安全和合法权益。在大数据时代的背景下，医院必须采取有效的措施来保护患者的信息安全。

中国食品药品检定研究院研究员王健认为，从福瑞股份诉讼海斯凯尔公司产品专利侵权这个例子说明，中国的医疗器械监管水平相比医疗器械产业发展水平还存在较大的差距。“我认为任何器械的注册、审批都要遵循知识产权先行的客观事实，即使由于当时在不知情的情况下办理了医疗器械证，当得知侵权后，政府主管部门应当予以撤销该器械产品注册证，这是对知识产权最起码的尊重。”

“此外，随着医疗设备智能化程序不断提高，先进的医疗设备不仅能为医院提供先进的诊疗手段，同时也可能存在很大的技术隐患。像案例中所述的这种诊断设备，带有4G无线上网卡功能可以形成医疗信息数据的交互，更有可能对原有设备进行软件上的技术改变，甚至可以通过更改软件代码改变硬件功能。一旦在未经批准和备案的情况下由4G功能引发软硬件升级，将是非常危险的。我觉得，在医院使用医疗设备时，必须在信息安全及主管部门进行备案。这也是对器械网络信息安全最基本保护。”王健笃定的说道。

北京亚欧雍文律师事务所、医疗器械部主任刘伟律师认为，任何三甲医院或医疗机构，在起初购买国内外大型医疗器械产品时一定要确认该产品是否有无线4G无线上网卡或其他通讯设备，并且要明确该设备是用于机器固件的更新还是别有其他用途。刘伟介绍，根据国家的《医疗器械注册管理办法》规定，任何器械设备擅自加装类似通讯设备的，如果属于许可行为，需应该经过药监局主管部门审批;如果没有进行备案和审批的，私自安装通讯设备的，根据国家《侵权责任法》第107条和109条明确规定，医疗活动中不得收集患者信息，轻者是侵权行为，重者是负有民事赔偿和刑事责任。

“网络信息技术发达一方面大大改善百姓就医环境，但另一方面会面临更多的个人医疗数据丢失，将是一件非常可怕的事情。互联网+医疗健康在带给患者便利的同时，让更多的个人隐私暴露在风险之中。”中国政法大学教授来小鹏一针见血的指出了医疗信息安全数据泄露所带来严重后果。

而新春伊始，北京知识产权法院在开庭审理一宗知识产权侵权案件时，意外地从证据中发现被告公司生产并在某著名三甲医院安装使用的产品竟能够通过暗藏的4G无线上网卡进行数据交互，且被告对该4G无线上网卡的用途并不能做出清楚的解释。北京知识产权法院一审已就该案做出赔偿3000万的知识产权侵权损失的判决。

医疗信息隐私权的保护亟需更完善法律体系