上个月一个做医院信息化的朋友半夜给我发语音,声音压得很低,说他们医院刚被通报了,因为患者数据在某个第三方平台被爬走了。他有点慌,说这事其实去年内部预警过,但领导觉得“先跑业务再说”。我听完说实话也有点懵,因为我一直以为医疗大数据安全管理这事,只要买几台防火墙就能搞定。后来跟他聊了两个小时,才发现根本不是那么回事。
我自己就干过一件特别蠢的事。前年帮一个医疗创业公司做咨询,他们的数据量大概也就40来万条患者记录,我当时觉得这个体量也不大,就让技术团队用常规的加密方案处理。结果三个月后,有个实习生用了一个没权限回收的测试账号,把将近10万条数据导出到了个人笔记本上。气得我当晚没睡好。你说这是技术问题吗?不是。是流程问题吗?也不完全是。后来我想了想,其实是我们压根没把医疗大数据安全管理当成一个持续运转的系统来看待。
为什么你买了最贵的系统还是出事?
我一直没搞懂一件事。很多医院或者医疗数据公司,在安全设备上的投入一年少说几十万,但数据泄露的事照样发生。去年有个报告我瞄了一眼,说医疗行业的数据泄露平均识别时间大概是200多天。也就是说,你家数据被别人看了大半年,你都不知道。你细想,这不荒诞吗?
我后来跟一个做等保测评的老哥聊,他说了一句特别糙的话:安全管理的核心不是防黑客,是防自己人。我当时愣住了。他举了个例子,某三甲医院的影像科,为了科研方便,把脱敏后的CT影像直接放在了一个共享网盘上,密码是8个8。结果被一个做AI训练的小公司爬走了接近3万组数据。虽然名义上脱了敏,但通过影像特征结合就诊时间,逆推回去了大概15%的患者身份。这事最后怎么处理的?谁也说不清楚。
这事其实暴露了一个误区。很多人觉得医疗大数据安全管理就是技术问题,买设备、上加密、搞审计就行。但实际上,超过60%的医疗数据泄露事件,源头都是内部人员的违规操作或者权限管理失控。我记得好像是中国信通院2025年底发布过一个数据,说医疗行业的数据安全事件里,内部人导致的占了大概67%。这个比例比我预想的要高出一大截。
常见问题:医疗大数据安全管理到底管的是什么?
很多人以为只管技术层面的加密和防攻击。实际上它包括三块:数据的访问权限控制(谁能看、看多少)、数据流转过程中的脱敏与审计(数据去了哪里、谁用了)、以及合规性管理(是否符合网络安全法、个人信息保护法等)。说白了,技术只占三分之一,另外三分之二是人和流程。
你猜医院里最大的安全漏洞是什么?
是一个医生要拷贝患者影像到U盘回家写论文。你说这事怎么管?技术上可以禁用U口,但人家可以发邮件,可以上传云盘,可以用微信。你要是全部封死,医生们没法干活了。所以很多医院就睁一只眼闭一只眼。但问题就出在这里,医疗大数据安全管理一旦有了“例外”,整个体系就形同虚设。
我去年接触过一个案例,某个区域医疗数据中心,用了很先进的动态脱敏系统。但是,数据运维团队为了方便排查问题,给三个外包工程师开了超级权限。其中一个工程师离职后,账号没有及时回收,三个月后被境外IP尝试登录了200多次。幸好那次是撞库攻击,没有成功。但你想,如果成功了,几百万人次的诊疗数据就全完了。
别傻了,这不是技术能解决的问题。这是管理文化和人性问题。我后来给那个医疗创业公司提了一个很笨的办法:每个月随机抽查一周的访问日志,人工核对异常操作。这个方法听起来很low,但执行了三个月之后,发现了7个不该有权限的账号,还有2个离职人员的账号一直没删。我当时自己也傻眼了,因为我一直觉得自动化审计就够了。
2026年,医疗数据安全的门槛已经被拉高了
最新的监管趋势,我理解下来其实就一个核心:数据流转的可追溯性。以前只要证明数据没丢就行,现在要证明数据从产生到销毁的每一个环节,谁接触过、做了什么操作、有没有被复制。这个要求其实非常非常难。因为医疗数据的流转路径太复杂了,患者、医生、检验科、药房、医保、第三方检测机构、科研团队……每个环节都可能是一个漏洞。
我记得好像是今年1月份,有个政策解读会,专家提到一个概念叫“数据安全左移”。说白了就是把安全检查前置到数据产生的那一刻,而不是等到要用了或者出事了才查。但说实话,我觉得大部分医院和医疗数据公司现在连基础的数据资产盘点都没做完。你问他们到底存了多少患者数据、存在哪几个系统里、哪些是敏感数据,很多人根本答不上来。这种情况下谈安全管理,等于建房子不打地基。
我自己的经验是,与其花大价钱买一堆用不上的安全设备,不如先把三件事做好:第一,搞清楚你到底有多少数据、在哪里;第二,把权限收窄到“够用就行”,而且每季度人工复核一次;第三,对所有接触敏感数据的人,每半年做一次安全意识培训,而且要用真实案例讲,不要念PPT。这个方法也不是每次都灵,上个月就翻车了一次——有个科室主任嫌流程麻烦,直接绕过了系统。气得我又没睡好。
反正后来我就想明白了一个道理。医疗大数据安全管理这件事,从来就不是一个技术题,它是一个关于信任、监督和人性的选择题。你相信你的员工不会乱动数据,但你也要设计一个机制,让他们想乱动的时候会犹豫一下。这个度怎么把握,我到现在也没找到一个完美的答案。可能根本就不存在完美吧。
对了,文章开头说那个被通报的医院朋友,后来怎么样了?他们花了大概两个多月把所有权限重新梳理了一遍,砍掉了将近40%的超级权限账号。但就在上周,他又给我发消息,说有个新的AI项目要接入,数据流转路径又复杂了。我回了他一句:慢慢来吧,这事没个头。你说是不是?
