GE的辟谣，挡得住外国医疗设备在华泄密吗？

讨论GE医疗泄密之前，需要厘清另一个问题：大型医疗设备为什么要联网？

国内网络管理领域中，医院网络安全要求相对较高。网络系统分为内网和外网：内网承载HIS（医院信息系统）、LIS（实验室信息系统） 和PACS（图像归档和传播系统），进行病历、监测和图像数据信息互通；外网负责医院官网运营、邮箱管理等功能，负责医院的外部交流。

传统网络管理模式中，两者相互隔离，互不通讯。然而技术升级和在线维护，让“内外隔离”执行得并不彻底。

从技术升级来看，在线诊疗和智慧医疗等新业务，让医院数据不光在内部流动，也在外部流通。以影像领域为例，设备厂商近些年来就一直在推动云业务，鼓励客户上传数据。查询飞利浦医疗官网得知，公司旗下的“神飞云”智能数据服务，涉及在线图像数据处理。这项业务的实现，显然需要医院向设备厂商公开数据。

除了设备厂商，医院为了开展新业务，也会选择数据互通。2019年，互联网企业同心医联开展的“科技医疗平台”业务中，就通过互联网医院将图像提供给技术专家。随着互联网医院在基层的大量铺开，以影像数据为代表的各类数据不可避免地会进入线上。本该内外隔绝的医疗设备，只好“被动”联网。

然而从维护保养来看，医疗设备的联网，也许是客户主动的选择。以北京协和医院去年SPETCT（一种针对局部器官，精确度更高的CT扫描）设备的采购报价来看，供应商的中标价基本在1300到2000万元不等。由于设备结构复杂，它们不但采购价格高昂，定期维护的成本同样不低。

为了更好地控制保养成本，医院在设备使用期间，也会尝试利用线上服务解决问题。行业知情人士透露，大型影像设备的系统升级，往往利用内网IP地址远程连接。保修期内线上解决软件问题，不但节省人力，医院也能避免停诊。双方都享受了便利，联网就成了大势所趋。

总而言之，不论是业务发展，还是设备保养。国内医院的大型医疗设备，都有可能选择联网上线，这也为之前截图中的“设备断网”埋下了伏笔。

医疗设备联网成了常态，担心数据泄露实属正常。截图中的第二个问题因此出现：像CT影像这样的数据，真的能通过后台提取传输吗？

医疗从业人士向科工力量透露，一般而言，需要数据交换的医学图像，会以DICOM格式文件存储传输。以心内科造影图像为例，影像资料会放在光盘中，光盘会记录病人姓名、性别、入院时间等信息，图像文件大小达到几十兆或者上百兆。

这名从业人士曾在北京某心血管专科三甲医院工作。按照他的说法，他接手的一个病区，床位数量接近50台，按照入院周转规律粗略估算，一个月可以进行数百台心内科相关手术，对应的造影数据也可能达到20~50Gb。

同心内造影数据相比，CT、核磁共振等大型设备生成的图像文件，患者数量更多，对应的文件数量更为庞大。图像数据可能达到数百Gb规模。这类大型设备联网，数据流动很容易监测。大量图像数据依靠内网IP对外传输，数据波动明显，会引发网安部门的关注。因此直接传送数据可能性相对较低。

图像不易上传，并不代表医院数据安全无忧。为了建立档案和后续回访，医院会对患者影像文件直接标注。一份DICOM文件上，还有患者姓名、性别、年龄，甚至是就诊医院等信息。由于各地医疗设备不同，为了方便使用，各种信息也不会加密。如果对个人数据进行提取，再通过设备接口对外传输，数据泄密就变成了可能。

影像文件的泄密风险，也是医疗行业数据泄密的缩影。第一手的医学检测数据未经修饰，繁杂粗糙，就算用来收集情报，也只是价值有限的原材料。不过要是转换一下思路，收集数据里的特征值，就能构建一份患者个人信息表，借着表格骑驴找马，也可能找到更有价值的信息。

“美国收集收据将新冠栽赃中国”，操作难度太高。不过大型医疗设备数据泄露的风险，一直存在。

针对医疗设备数据泄露，监管部门反应比普通人快很多。

网上流传的一份上海市卫健委文件显示，早在9月3日，上海市就组织相关医疗机构对有联网功能的设备停止远程维护。就算有实际需要，也需要通过第三方机构进行评估。文件当中针对这类设备的网络规划指出：“要落实边界防护措施，相关网络区域应与互联网物理隔离。”

文件的发布，一方面给出了明确指示，另一方面展现了现实的无奈。根据中商情报网统计数据显示，2021年我国医学影像设备市场规模将达到172亿美元。涉及到“联网危机”的CT、核磁共振和超声，在国内更是占据了近60%的市场规模。

然而中国的大型医疗设备市场，依旧被GE医疗、飞利浦和西门子为代表的“GPS”巨头把控。在核磁共振领域，三家巨头在刚刚过万的国内市场规模中，攻占了80%的市场。相比起来，CT领域虽然群雄逐鹿，然而联影、东软和安科等国内厂商也仅拿下40%的市场，产品产线也有很大的发展空间。

“本土设备万国造”的市场现状下，为了数据安全，抛弃重金购买的设备并不现实。但这并不代表监管机构束手无策，因为国内大型医疗设备的监管方向，针对的就是外企设备制造本地化和数据应用本土化。

以GE医疗为例，早在上个世纪90年代，GE就在北京成立了GE航卫医疗系统公司，并在中国合资设厂。GE也在官方宣传中指出，公司在北京、天津、上海、无锡等地有5个工厂。GE中国市场经营收入占全球15%，每三台GE生产的CT设备就有两台来自GE北京工厂。

从监管部门的表态来看，大型医疗设备的管理，很可能向数据应用本土化迈进。在互联网医院和智慧医疗业务的推动下，传统医疗网络的内外网概念正在逐步融合。过去的内外网管理策略，显然不适合新设备的远程升级和在线业务。

就算没有物理断网，医疗设备的数据应用也应该本地化，中国的医疗设备市场，必然会催生出属于自己的“云上贵州”。上海卫健委文件也指出：“运用技术手段，达到数据‘可以使用，无法带走’的运维管理效果。”

监管部门有着自己的节奏，然而文件出台半个月之后，“GE泄密”的微信截图还是引发了医疗行业的一阵骚动。熟悉的“截图操作”，也不由得让人对发言者动机产生各种遐想。

面对这份骚动，资本市场表现的相当现实。目前深耕影像设备的国产企业中，仅有迈瑞医疗上市，这家公司的股票也在9月17日当天大涨8.68%，甚至在9月22日一度冲上近380元/股的高位。