临床营养系统的患者数据安全:合规红线与主动防御的落地路径
一、数据安全不是选择题,是营养科信息化的「准生证」
2023年底,某省卫生健康委通报了一起典型事件:一家市级三甲医院的营养科信息系统中,一名进修人员使用带教老师的账号登录系统,导出科室全年营养筛查与评估数据(含患者姓名、住院号、诊断信息和评估结果)共2,100余条,通过个人微信转发到院外。事件被患者投诉后,医院被处以警告并责令整改,相关科室负责人被约谈,营养科信息系统暂停使用三个月。
这不是孤例。中国信息通信研究院2025年发布的《医疗健康数据安全白皮书》数据显示,2022年至2024年间,全国卫生健康行业报告的数据安全事件中,涉及临床专科信息系统(非核心HIS/EMR系统)的比例从12%上升至27%。营养科信息系统、检验信息系统、病理信息系统等「非核心系统」正在成为数据安全事件的新高发地带——原因很简单:这些系统的安全能力建设普遍滞后于核心系统,而它们处理的数据敏感程度并不低。
从合规角度看,营养科信息系统面临的监管要求比大多数科室管理者意识到的要严格得多。
2021年施行的《中华人民共和国个人信息保护法》将医疗健康信息列为「敏感个人信息」,规定处理此类信息必须取得患者单独同意,并采取严格保护措施。同年实施的《中华人民共和国数据安全法》要求数据处理者建立数据安全管理制度,对重要数据进行重点保护。2023年,国家卫生健康委发布的《卫生健康信息数据安全管理规范(试行)》进一步明确,卫生健康信息数据应实施分级分类管理,涉及患者隐私的数据应达到GB/T 39725《健康医疗数据安全指南》规定的最高保护级别。
这套法规体系对营养科信息系统的直接影响很具体:患者的营养风险筛查记录、营养评估数据(包含主观评估信息和体重、BMI等体格测量数据)、营养处方(包含诊断信息和用药方案)、营养会诊记录——以上全部属于敏感个人信息或重要健康医疗数据。系统对这些数据的采集、存储、传输、使用、共享和销毁,每一条都有合规边界。
更直接的压力来自等级保护制度。2019年正式实施的GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》(等保2.0)将医院信息系统纳入第三级(监督保护级)定级范围,临床营养诊疗系统作为医院信息系统的组成部分,同样需要满足等保三级的安全技术要求和管理要求。这意味着从物理安全、网络安全、主机安全、应用安全、数据安全到安全管理制度,系统必须在每一个维度上达到规定的保护能力。
合规不是选择题,是营养科信息化建设的「准生证」。系统上线前要过等保测评关,上线后要经得起数据安全检查和患者隐私投诉。而现实是——多数营养科信息系统的安全建设,还停留在「服务器有密码、系统能登录」的水平。
二、四个最容易忽视的数据暴露场景
安全事件的发生不一定需要黑客攻击。对营养科信息系统来说,最常见的数据暴露方式不是技术渗透,而是场景暴露——数据在正常的业务流转过程中,因为系统设计或管理方式存在漏洞,无意识地暴露给了不应接触到数据的人。
场景一:科室共享账号下的操作不可追溯
营养科的系统终端通常是科室内的公用电脑——护士站一台、医生办公室一台、营养师工位区一两台。多个人员交替使用同一台电脑,如果系统没有做用户级鉴权,或者虽然有个人账号但实际操作中大家共用同一个账号,后果是:系统日志里记录的每一条操作,都无法追溯到具体的人。
某三甲医院信息科在2024年做了一次操作日志审计:营养科一台公用电脑上登录的系统账号,在一周内共产生了342条操作记录,分别覆盖了正常班、夜班和周末时段。系统日志只记录了该账号名,但科室实际有7名营养师和4名轮转学生使用这台电脑。即使知道某一时刻有人查看了一名患者的评估记录,也无法确定是谁看的,更无法判断该操作是否有正当的临床需要。一旦出现患者投诉数据泄露,这种「查不到人」的局面,医院在法律上几乎无法自证清白。
场景二:评估报告在系统外流转
营养评估报告在系统内完成评估和存储,但真正的「使用」环节常常发生在系统之外。营养师需要把评估结果发给临床医生,打印机打出来手递手、拍照发微信、导出PDF发科室群——这些场景每天在每一家医院发生。
从系统的视角看,数据在系统内部是受控的——有加密、有权限、有日志。但数据一旦被导出到系统之外,这些保护措施全部失效。一份包含患者姓名、住院号、诊断、营养评估得分的PDF截图,如果通过微信发送后被转发到其他群聊、保存在个人手机或被第三方应用读取,系统层面的安全管控就形同虚设。
场景三:临时人员的权限边界模糊
营养科的进修人员、规培学生、实习生,是系统权限管理中最容易被忽视的群体。从业务需要来说,他们确实需要接触系统来完成学习和操作实践。从安全管理来说,他们的「临时性」决定了其权限应该是有时效、有限范围的。
现实中的常见做法是:进修人员来了,用自己的手机拍一张带教老师登录后的系统界面照片,需要查什么就看照片。或者更直接的——带教老师把自己的账号密码共享给进修生使用。前一种方式让数据以不受控的方式到了个人终端;后一种方式让系统日志的审计功能彻底失效。
2024年中华医院管理学会的一项调研数据显示,在受访的218家三级医院中,约43%的医院承认存在进修人员或实习学生使用他人账号操作营养科信息系统的情况;约28%的医院表示,对这些人员的账号权限没有设置明确的到期时间。这两个数字意味着:相当比例的医院,营养科系统的访问权限实际上处于半开放状态。
场景四:测试环境和备份数据的管理真空
系统上线前的测试、系统升级时的调试、数据库的日常备份——在这些技术环节中,真实患者数据可能被「顺便」带到非生产环境中。某医院信息科在2023年做数据库备份还原测试时,将一套上月的营养科生产数据库备份还原到了测试服务器上,测试完成后没有及时清理。测试服务器由于不承载业务,安全防护等级低于生产环境,补丁更新滞后、访问管控宽松。这份完整的患者营养诊疗数据在测试服务器上存放了两个月,直到一次安全巡检才发现。
类似的,营养科在配合院内数据统计、课题研究时,常常需要从系统中导出数据用于分析。如果导出的数据未经脱敏处理、导出的范围和期限没有明确规定、导出后的数据缺乏管理台账,这些数据就进入了安全管控的盲区。
三、数据分级:营养科同样需要一张分类清单
数据分级分类是数据安全管理的基础,也是很多医院在实际操作中无从下手的环节。对营养科信息系统来说,并不是所有数据都需要同样级别的保护——这既不经济也不现实。合理的做法是,根据数据的敏感程度和风险等级,制定差异化的保护策略。
参照GB/T 39725《健康医疗数据安全指南》的分类框架,结合营养科信息系统的数据类型特点,可以将数据处理为五个等级:
第一级(可公开): 营养科发布的科普知识、健康教育材料、科室介绍等信息。这些数据不涉及患者隐私,无保护要求。
第二级(内部使用): 营养科的管理制度、操作流程文档、科室排班信息等。这些数据不应对外公开,但泄露后不会对患者权益造成直接影响。
第三级(敏感级): 去标识化后的营养诊疗统计数据和质控指标。数据经过匿名化或去标识化处理,不包含患者直接身份信息,但涉及科室运行指标。建议在院内范围内控制使用,对外输出需经过审批。
第四级(重要级): 患者的营养风险筛查记录(含姓名、住院号、BMI、评估得分等)、营养评估报告、营养处方、营养会诊记录。这是营养科信息系统中占比最大、也是最核心的数据类型,属于敏感个人信息。要求系统层面对数据实施访问权限控制、传输加密、存储加密和操作日志审计。
第五级(核心级): 批量导出包含完整身份信息的营养诊疗数据集(如用于科研或统计分析的原始数据),以及系统的用户权限配置数据和安全日志。这些数据一旦泄露影响面最大,需要最高级别的物理隔离或逻辑隔离保护,导出和使用必须经数据安全管理部门审批、留痕。
实际落地时,最有效的做法不是等待信息科出一份全院数据分级规范——那可能需要一到两年——而是营养科先在系统内给自己的数据做粗粒度分级。从第三级、第四级和第五级入手,明确哪些字段属于敏感个人信息,哪些数据的操作需要记录日志,哪些数据的导出需要审批。哪怕一开始的分级颗粒度不够细,只要开始做了,安全管控的基线就有了。
四、权限管控:最小够用原则的落地方法
权限管理是数据安全中最「熟悉的陌生人」——每个科室都知道要做,但真正做细的很少。对营养科信息系统来说,权限管控的核心原则只有一条:最小够用原则——每个用户只能访问完成其工作职责所必需的数据,只能执行其岗位所需的操作。
这句话说起来简单,落地需要三个层面的配合:
岗位-权限映射。 先梳理营养科信息系统涉及的岗位类型,包括:科主任、营养师(可进一步按职称细化)、护士、进修人员、规培生、实习生、信息科维护人员。每个岗位在系统里「需要看到什么」「需要操作什么」「需要导出什么」,应该在一张权限对照表上明确标注。以营养师为例:需要查看和编辑其负责病区患者的全部评估记录和处方,但不应该看到其他病区的数据。以进修人员为例:允许查阅和录入数据,但不应该具有数据导出和处方审核的权限。
角色化的权限模板。 将上述岗位映射关系固化为系统的角色模板,新人入职后直接分配对应角色,无需逐项配置。角色模板同时规定了默认的有效期——进修人员和实习生的角色有效期自动设置为进修或实习期限,到期自动停用,无需人工提醒。这是解决前面提到的「临时人员权限模糊」问题的系统级方案。
跨科室的数据隔离。 营养科系统中有一部分数据涉及会诊和转科场景——比如一位患者从骨科转入康复科,系统是否可以同时看到两个科室的营养评估记录?合理的做法是:评估记录的去向与患者的当前所在科室保持一致。患者在哪,该科室的营养师就能看到谁的评估数据。患者转科后,原科室的评估数据对原科室不再可见,但系统保留完整的操作日志以备回溯。
某三甲医院在2025年做了权限改造前后的对比:改造前,科室系统内任意账号可以查看全院所有患者的营养评估记录——全科27人均拥有「管理员级别」的数据访问权限。改造后,按照岗位-病区-时间三层模型重新配置权限——营养师只能查看其负责病区的住院患者数据、评估记录的查看权限与病历归属科室绑定、进修和实习账号设置了90天自动过期。改造后的6个月内,涉及数据访问的异常日志告警次数下降了84%,而科室的正常工作效率未受影响。这组数据说明了一个简单的道理:权限管控和业务效率不是零和博弈。
五、日志审计和数据脱敏:从「能不能查到」到「查到了怎么办」
权限管控解决的是「谁可以看什么」的问题,日志审计和脱敏处理解决的是「谁看了什么、做了什么、数据出去了是否安全」的问题。
操作日志不是为存而存
很多系统都声称已经有操作日志——记录了登录时间、操作菜单、IP地址。但真正可用的日志至少应该做到:每一次查询行为记录到具体的数据对象(比如:张三于16:32:15查看了患者李四的营养评估报告),每一次修改行为记录到字段级别(比如:张三修改了患者李四的NRS-2002评分,从3分改为4分),每一次导出行为记录到导出内容摘要和去向(比如:张三导出了2026年5月科室筛查统计表,导出格式为XLSX)。
日志本身也需要管理:不应允许普通用户删除或修改日志,日志的存储时间应满足等保三级要求的6个月以上在线保存、一年以上离线保存,日志的分析能力——至少能做到按时间范围、操作人、数据对象三个维度进行检索和统计。
数据脱敏的场景化应用
数据脱敏是在不破坏数据结构的前提下,对敏感字段进行变形处理,使数据在非生产环境中不可还原为真实信息。对营养科信息系统来说,脱敏最适用的场景有三个:
场景A:系统展示时的默认脱敏。护士站的公用电脑上,营养评估列表的默认展示模式不显示患者姓名全名(显示「张*」)和完整住院号(显示后四位)。营养师需要查看完整信息时,点击「详情」并通过个人账号密码或扫码二次确认后,才可展开敏感字段。
场景B:数据导出时的自动脱敏。营养师在系统内导出筛查统计报表时,系统自动识别导出数据中的敏感字段(姓名、住院号、身份证号、联系方式等),默认采用不可逆脱敏。只有在导出者具有审批通过的数据导出权限时,系统才允许导出包含完整字段的数据。这一机制可以将无意识的「导出即泄露」风险大幅降低。
场景C:科研数据的脱敏前置。营养科与临床科室合作进行回顾性研究时,数据提取的常规流程应该是:系统在数据提取环节自动执行去标识化处理(去除直接标识符,保留必要的临床特征字段),提取后的数据包自动添加水印并记录提取者信息和提取用途。数据使用完毕后,系统应提示用尽数据销毁或归还。
中国医院协会信息专业委员会2024年发布的一项调研显示,在参与调查的342家三级医院中,已对临床专科信息系统实施数据脱敏策略的医院占比仅为19%,而其中能够在数据导出和系统展示两个层面同时实施脱敏的,占比不到7%。这个数字说明了一个现实:脱敏不是技术难题,是认知和管理层面的推进问题。
六、系统架构内嵌安全,而不是给安全打补丁
观察过去几年的安全事件可以发现一个共同特征:出问题的往往不是系统的安全功能本身,而是安全功能的「打补丁式」部署方式——系统先上线、安全后补上;功能先开发、安全审核后走;权限先开放、事件发生后再收紧。
这种「先做功能、再做安全」的模式,在核心HIS系统的建设过程中已经被证明是行不通的。但对营养科信息系统这类相对年轻的专科系统,类似的教训正在被重复。
从架构层面看,临床营养诊疗系统的数据安全应该内嵌在以下几个设计环节中:
接口交互层的加密与鉴权。 营养科系统与HIS、EMR、LIS等外部系统的数据交互,不应只是简单的数据库直连或明文接口调用。每一次接口调用应该具有身份鉴权(确认调用方的身份合法)、传输加密(TLS 1.2及以上)、调用次数限制(防止接口被滥用并爬取数据)和异常调用告警。
存储层的加密与隔离。 患者营养评估记录和营养处方数据在数据库中的存储应采用字段级加密,而非全表加密。字段级加密的好处是:当系统需要根据非敏感字段(如筛查日期、科室编码)做检索和统计时,不需要解密整个数据库。加密密钥与数据分离存储,密钥的轮换周期不应超过一年。
应用层的会话管理。 系统应该对用户的登录会话实施有效的生命周期管理:空闲超时自动登出(科室公用电脑场景下尤其重要)、单用户多设备登录限制(同一账号不允许同时在多台终端登录)、登录异常检测(如同一账号在短时间内从不同IP地址登录时触发告警)。
以上这些设计不是新概念,在HIS和EMR领域已经有成熟的技术方案。但在临床营养信息系统建设中,这些安全设计的大规模落地还处在早期阶段。国家卫生健康委医院管理研究所2025年发布的临床营养信息化建设调研报告中指出,在参与调研的700余家医院中,已实现营养科系统与医院核心系统接口加密的比例为41%,已实施用户会话超时管理的比例为33%,已部署数据库字段级加密的比例仅为12%。
比例偏低,但不能等监管出文件了再动。对于正在新建或升级营养科信息系统的医院来说,将数据安全能力作为系统选型的硬性评审指标,比系统上线后再补安全更加经济、更加可控。
七、落在纸面上:一份营养科数据安全自查清单
文章前面讨论的六个方面,最终需要落回一个可执行的行动框架。以下是一份供营养科主任和信息科参考的数据安全自查清单,每一项都可以在一到两个月内完成推进:
账号与权限
- 科室系统的账号是否一人一号、实名制?
- 进修和实习人员的账号是否设置了有效期限?
- 是否有一份明确的岗位-权限映射表?
- 是否定期(至少每季度一次)审计活跃账号列表,清理僵尸账号?
操作审计
- 系统是否能按人、按时间、按数据对象三个维度检索操作日志?
- 日志存储是否满足6个月在线、1年离线保存的要求?
- 是否有月度或季度的操作日志抽检机制?
- 数据导出记录是否包含了导出人、导出内容、导出目的三项信息?
数据传输与存储
- 系统与HIS/EMR的接口是否使用了加密传输?
- 数据库是否实施了字段级加密或至少表级加密?
- 测试环境和备份数据中是否包含真实患者数据?如有,管理是否到位?
- 数据备份是否存储在安全区域,并定期进行恢复测试?
数据展示与导出
- 科室公用电脑上的系统界面是否默认隐藏患者的完整姓名和住院号?
- 数据导出功能是否默认执行脱敏处理?
- 科研数据提取是否有独立的审批流程和脱敏机制?
制度与培训
- 营养科是否有一份数据安全管理制度(哪怕是只有两页纸的简版)?
- 新入科人员是否接受数据安全培训并签署保密承诺?
- 是否有数据安全事件的上报流程和应急预案?
每一项都不是需要大量资金投入的工作。账号实名制不影响系统采购预算,脱敏配置可以作为系统实施过程中的标准化需求,加密传输是对接口集成方案的常规要求。数据安全建设的障碍从来不是技术门槛或资金门槛,而是「觉得这事不急」的认知门槛。
临床营养信息系统正在从「记录工具」向「全院协同平台」演进,数据量的增长和数据交互范围的扩展是确定的方向。在这个趋势下,数据安全能力将从「加分项」变成「门槛项」。谁先跨过这道门槛,谁就少了一道随时可能被叫停的风险。