電子病歷的隱私保護方法研究

王慶飛 代夢含 方 翔

（1.湖北醫藥學院公共衛生與管理學院，湖北 十堰 442000；2.十堰市人民醫院麻醉科，湖北 十堰 442000）

0 引言

隨著信息技術的快速發展，以及醫藥衛生體制的深化推進，電子病歷作為醫療衛生信息的主要載體，因其存儲量大、節省資源、查詢方便、提高診療工作效率等優點，已在醫院里得到大量推廣和使用，電子病歷將逐步代替傳統的紙質病歷已成為一種趨勢。

與此同時，電子病歷的快速發展也帶來了病人隱私容易泄露的問題，通過電子病歷導致的醫療隱私泄露途徑主要有兩個方面：從醫院內部信息系統泄露信息，因電子病歷的易共享性，患者信息很容易被泄露出去，有的地方甚至出現醫務工作人員出賣病人隱私數據的現象；另外，在電子病歷發布過程中也容易造成隱私泄露，如醫院為了對病人數據做統計，在將病人信息發布給外部醫療中心的過程中，如果沒有對這些信息做隱私保護，則病人信息會完全暴露出去，包括病人的敏感患病信息。目前，電子病歷的隱私泄露問題越來越受到重視和關注，本文在對電子病歷個人隱私保護方法研究基礎上，從醫院內部信息系統和電子病歷發布這兩個方面對醫療信息隱私保護機制研究現狀進行一些探討。

1 醫院信息系統隱私保護機制

醫院醫療信息的隱私保護主要從法律法規、管理機制和技術手段幾個方面進行保護。

1.1 法律法規

國外 歐美等發達國家已建立了比較完善的法律法規制度來加強醫療信息隱私保護。1996年美國政府頒布了《健康保險可攜性及責任性法案》來加強電子病歷的隱私保護和信息安全方面的監管，此法案對電子病歷利益相關者的義務、權利和法律責任做出了嚴格界定。2003年美國政府又頒布了《個人可識別健康信息的隱私標準》，進一步加強醫療信息隱私保護。歐盟也對醫療信息交換過程中安全和隱私問題給與了高度關注，建立了覆蓋全歐盟范圍的數字醫療體系。英國在1984年頒布的《數據保護法》中規定，獲取個人信息必須征得個人同意，持有個人信息的個人或機構必須具有合法性，在使用個人信息時需采取安全措施[1]。

國內 目前我國對電子病歷隱私保護的政策法規相對來說略顯滯后，2000年左右我國開始推廣使用電子病歷，但未對其使用的規范性和法律作用做統一的規定，只有少數法律條文有零星涉及，如《執業醫師法》《護士管理辦法》《醫務人員醫德規范及其實施辦法》等。到2010年，又相繼出臺《電子病歷基本規范（試行）》《電子病歷基本架構與數據標準（試行）》《病歷書寫基本規范》等政策文件。但對某些具體的問題如電子病歷使用權限分級、存檔管理、醫療事故責任認定等卻未提出具體可操作性的解決方案。

1.2 管理機制

醫院對醫療信息的隱私保護在管理機制方面常采用訪問控制的方式。對信息資源按權限分類，給用戶分配相應的權限來訪問數據，使各類數據在合法范圍內使用。對病歷進行訪問控制，可使病歷內容不被未授權的用戶所訪問，合理的病歷訪問控制，應能夠按病人和病歷內容分類進行授權。具有代表性的訪問控制技術是由美國國家標準技術研究院提出的基于角色的訪問控制機制 （Role-based Access Control）。由于電子病歷功能很多，能被很多人員訪問，如醫生、護士、急診室技術員以及負責收費和記賬的后勤人員等，比較好的方式就是對病歷采用基于角色的訪問控制機制，實現角色的授權。不同的用戶具有不同的權限和級別，基于角色的訪問控制技術可以減少授權的復雜性，降低管理開銷，又能保證系統安全。

1.3 技術手段

目前在技術層面對電子病歷進行隱私保護主要有電子簽名技術和數據加密技術。

由于電子病歷在安全性上需要達到機密性、完整性和不可否認性，因此需要一套安全機制來保證患者隱私不被泄露，而電子簽名正是實現這一要求的基本技術。電子簽名技術是基于公鑰基礎設施（Public Key Infrastructure，PKI）的數字簽名技術，使用電子簽名可以有效的保證信息的安全性、完整性，以及簽名的不可抵賴性。在使用電子病歷簽名時，應簽完整姓名，而不能只簽姓；若由實習醫生簽的名，則應該有主治醫師進行復簽。電子病歷的使用可以防止病歷中的信息被篡改、破壞、泄露，并使電子病歷具有合法性[2]。

對電子病歷內容進行隱私保護，還有一種方法就是數據加密。尤其是對患者的一些敏感疾病信息采取信息加密的方式，可以有效的保護病人隱私。常用的數據加密技術有對稱加密技術和非對稱加密技術。對稱加密技術特點是加密和解密使用相同的密鑰，使用起來簡單快捷，密鑰較短，如DES加密技術；非對稱加密技術需要一對密鑰：公鑰和私鑰，一個用來加密，一個用來解密，非對稱加密相比對稱加密技術更加安全，破譯難度更大，如RSA加密技術。對電子病歷采取數據加密技術可以高強度的保護患者隱私，但缺點是加密和解密過程計算開銷較大，實時性不強。

2 電子病歷發布中的隱私保護

電子病歷的發布對于醫學研究有著有利的作用，比如科研單位對電子病歷進行統計和分析，可以得到年齡和疾病的關系，或者預測流行性疾病；醫院有時候也需要收集病人信息并將其發布給醫療數據中心，醫療中心對這些信息進行統計分析，例如是對男性糖尿病患者數量的統計，或者是一些復雜的聚類分析。如果在病歷發布過程中，沒有對病人隱私進行保護，則也會造成嚴重的隱私泄露。

在電子病歷發布過程中主要通過技術手段來進行隱私保護，使用的方法主要有數據擾亂、匿名化、泛化、阻塞等，其中數據匿名化是近年來研究的熱點，它是一種基于限制數據發布的隱私保護方法，通過有選擇的發布原始數據、不發布或發布精度較低的數據值來實現隱私保護。典型的匿名保護方法有k-匿名、l-多樣性模型等。

在電子病歷的原始數據中，有可以唯一確定病人個體的信息，如電話號碼、身份證號等，稱之為標識符；也有一些信息通過組合起來可以確定某個個體，如郵編、生日、性別，將這些組合起來的信息稱為準標識符；還有一些敏感信息，如病人的疾病信息等。K-匿名就是在發布過程中隱藏掉標識符信息，然后通過泛化準標識符取值使其在同一組（稱之為等價組）取值相同的個數不少于k個，這樣通過準標識符找到某條特定病人記錄的概率就是1/k，可以有效的進行隱私保護。采用k-匿名機制保護的過程如下表所示：

表1 病人基本信息表

表1是電子病歷系統中已隱藏掉標識符的6條病人記錄，通過泛化準標識符（年齡、郵編），得到滿足2-匿名的數據表2，對數據表2進行發布將不會泄露病人的隱私。因為表2滿足2-匿名，即等價組中準標識符相同的記錄個數不少于2個，這就意味著用這張匿名表與外部表進行鏈接時匹配到的是不小于2條的相似記錄，而無法匹配出精確個體。L-多樣性模型則是在k-匿名的基礎上，要求同一等價組里至少要有l個不同的敏感屬性值，l-多樣性比k-匿名的安全性更高，且能夠防止k-匿名無法抵御的一致性攻擊。

3 總結

本文從兩大方面探討了電子病歷隱私保護的方法，在醫院內部信息系統方面，分別從政策法規、管理機制、技術層面進行分析；在電子病歷發布方面，主要介紹了當前常用的數據發布隱私保護方法——k

匿名機制。總之，對電子病歷的隱私保護需要從多個方面進行綜合考慮，如完善法律法規，完善醫院信息基礎化建設，提高隱私保護意識，提出更優化的隱私保護方案等，是多個方面共同努力的結果。

［1］Schwartz P M.European data protection law and restrictions on international data flows[J].lowa L.Rev,1994,80.

［2］周拴龍,李娜.美國電子病歷應用中個人隱私保護措施探討[J].醫學信息學雜志,2014,35(2).

［3］王偉.電子病歷發布中的匿名化隱私保護方法研究[D].中南大學,2013.

［4］關延風,馬騁宇.網絡信息時代電子病歷的隱私保護研究[J].中國衛生法制,2011,9,19(6).

［5］陶愛軍.論個人醫療信息的隱私保護[D].西南政法大學,2010.

［6］關延風,等.基于電子病歷的醫療信息隱私保護研究[J].醫學信息學雜志,2011,32(8).