大數據環境下醫療數據隱私保護對策研究

王天屹，劉愛萍

(1.北京一零一中學，北京 100091；2.北京大學醫學部 公共衛生學院，北京 100871)

0 引言

隨著信息技術和網絡技術的飛速發展，醫院數字化建設日新月異，“互聯網+醫療健康”應用迅速發展[1-2]，同時醫療數據在安全和管理上也不斷受到挑戰。從醫院視角，醫院內部不同科室之間以及不同醫療機構之間信息交換與共享需求日益旺盛，醫療數據成為寶貴數據資產也在被不斷挖掘和利用，極大推動了醫療服務水平提升，醫院信息系統成為醫療生產服務的重要技術支撐。但由于醫療領域特殊性，醫療數據不僅承載醫療對象健康狀態及醫學處理過程信息，還涉及大量醫療對象的個體敏感信息，若管理不當，將引發個人隱私泄漏和保護的社會問題，也是近年來醫療數據安全的熱點問題。

大數據環境極大改變了醫療信息系統應用模式，而個人醫療信息隱私保護問題也變得日趨嚴峻。本文以北京市教委2018年“翱翔計劃”獲得的調研成果為基礎，開展個人醫療隱私數據泄漏風險問題研究，并提出大數據環境下醫療數據隱私保護對策。

1 個人醫療信息隱私保護問題調研分析

1.1 醫療機構信息隱私保護現狀分析

北京市醫院信息化水平正在逐年提升，移動互聯網、大數據等技術手段已不斷應用于醫療信息系統中，醫療機構內部、醫療機構之間的信息系統孤島正在逐步消失，醫療數據可以被便利地共享和利用，醫療數據爆炸式增長以及深度挖掘應用使得個人醫療信息泄漏風險在不斷增加。

在現階段，醫療機構自身還沒有制定適應當前醫療數據應用水平的醫療數據與患者個人隱私有關的管理制度，信息系統的數據保護技術手段也還不能滿足安全需求，加上信息系統安全運維人員短缺，醫務人員缺乏個人隱私保護的有效培訓，因而個人醫療數據在醫療機構業務處理流程中存在極大數據泄漏的可能性[3]。

在法律層面上，《中華人民共和國網絡安全法》、《中華人民共和國執業醫師法》、《護士條例》、《人口健康信息管理辦法(試行)》[4-7]中都提出了嚴格保護個人信息隱私的要求，而早期通過教育和控制個人醫療數據的接觸范圍來保護個人隱私的方法，在“醫療互聯網+大數據”時代顯得力不從心。而政府監管層面對個人醫療隱私泄漏的監管也還處于起步階段，現階段國家和行業還未出臺個人醫療數據隱私保護的專門政策，醫院還未建立相應的管理要求和措施，這將制約醫療數字化水平發展[8-9]。

1.2 個人醫療信息隱私保護需求調研數據分析

問卷調研主要針對患者對醫療隱私保護方面的態度和觀點，線上線下共發放了602份調查問卷，收到有效問卷518份，有效率85.2%，利用統計分析工具軟件SPSS(Statistical Product and Service Solutions)進行統計特征分析。

在有效問卷中，對被調查人員的性別、年齡、在對個人醫療隱私泄漏問題的容忍度做了數據分析，85.1%的調查者擔心個人隱私信息泄漏，通過卡方檢驗進而證明不同性別、不同年齡段的人群的認知基本沒有差異。如表1所示，不同性別得到威爾遜卡方數值為2.401，自由度為1，漸進顯著性P=0.121 >0.05，不顯性；同樣，年齡從14歲到59歲的不同年齡人群對醫療隱私泄漏擔心自由度為2，漸進顯著性P=0.719>0.05。數據分析表明，不同性別、不同年齡段的人群對個人醫療隱私擔心沒有顯著性差異，普遍擔心在醫療過程中個人隱私信息被泄漏和非法利用。

表1 不同性別、年齡對個人醫療隱私泄漏問題卡方檢驗

在醫療診治過程中，構建了大量患者醫療記錄，大量的個人信息數據被匯總和關聯分析后，形成了對醫療機構、疾病控制、醫學研究有價值的醫療大數據。在醫療信息數據中涉及大量患者個人特征數據，如患者的真實身份、聯系電話、家庭地址、生活軌跡，疾病信息、檢查信息也涉及患者隱私，不希望被無關人員知曉，患者擔心泄漏的信息包括個人信息、疾病信息和檢查信息，如圖1所示。廣泛被知曉的嬰兒出生信息泄漏問題是典型的醫療過程中的個人隱私事件，孩子在出生之前，準父母就會被各種母嬰用品廣告所包圍，一系列的推銷和詐騙導致很多社會問題?；颊咴卺t療機構接受醫療服務的同時，個人信息和疾病信息不可避免地被醫院信息系統乃至醫療大數據平臺收集、利用和共享，患者除了擔心個人隱私被泄漏外，對后續個人信息利用了解甚少，對個人隱私信息被非法利用的行為也無任何防范能力，這對醫療大數據應用發展產生極大隱患。

圖1 患者擔心泄漏個人醫療信息分類

2 個人醫療隱私信息泄漏風險分析

當前互聯網大數據時代，各醫療機構之間高度共享各自醫療數據信息，實現醫療業務數據共享、發掘和利用，來獲得更加準確、有價值的醫療信息，推進醫療業務水平的發展，但同時醫療隱私泄漏風險也將貫穿于醫療信息系統的全生命周期，如圖2所示。

圖2 醫療數據生命周期主要隱私泄漏環節

2.1 醫療數據生成階段的隱私泄漏風險

數據生成階段往往發生在就診時，患者的身份、性別、年齡、疾病等個人信息在治療過程中主動或被動地匯總到醫院業務信息系統，醫務工作者對信息技術輔助醫療技術手段相對被動接受，很難主動地采取技術手段來保護患者個人隱私。在醫院的檢查和治療過程中，還會產生包含大量醫囑、疾病、健康、用藥等信息數據，這些信息數據一旦脫離了患者和醫務工作者的掌控后，將為不可預知的隱私泄漏提供了條件和基礎。

在互聯網環境下，醫療大數據的來源將是多種多樣的，除了各級醫院外，還包括社交網絡、各類醫療健康機構，數據的種類及規模迅速累積。在現階段的監管政策和技術標準還沒有對醫療數據個人隱私保護提出專門管理和技術要求下，醫療數據保護技術措施又嚴重不足，各種不同醫療數據源相互交互和分享時，會使攻擊者更容易獲取醫療數據，個人隱私信息泄漏風險會極大增加。

2.2 醫療數據存儲和交換階段的隱私泄漏風險

在醫療大數據時代，醫療數據資產的價值會被充分發掘和利用，醫療數據不僅僅能夠給被醫療機構挖掘出來增強業務能力、進行科學研究，同時也可能出售給第三方來獲得商業價值。因此，醫療數據交換和分享將使得患者的隱私被濫用成為個人醫療信息隱私保護的關鍵風險點。

目前，醫療機構的數據存儲和交換階段主要發生在醫院的信息化部門，大多數醫院的信息系統在設計部署時并沒有充分考慮安全防護和數據保護，個人醫療隱私保護在技術措施不足的情況下還主要依賴信息化部門的管理制度來規范，安全風險不可謂不大。

2.3 醫療數據分析和處理階段的隱私泄漏風險

醫療數據處理和分析是指對醫療數據進行一系列面向醫學知識的統計分析、機器學習、深度學習等處理，從海量的醫療數據中剔除數據集合中無意義的、冗余的部分，通過建模、分析來挖掘出具有醫療應用價值的信息，例如患者的某些檢查結果，利用醫療大數據即可對其當前的健康狀況和下一步的行為進行推斷，為構建新的醫術手段創造條件。然而，醫療大數據的數據挖掘和多維分析功能，使得表面看起來毫無關聯的數據暴露出來個人隱私；一些數據獨立使用可能不敏感，但經過一些個人屬性的信息匹配，與其他相關社會信息數據協同后，可以分析出個人敏感信息。

2.4 醫療數據發布應用帶來的隱私泄漏風險

隨著互聯網和大數據技術的發展，醫療機構也將利用新媒體進行醫療數據共享或者發布。在這個階段一旦發生了個人醫療數據隱私信息泄漏，將會給企業或者公共部門帶來經濟上或者社會聲譽上的損失。

在大數據時代，患者也有很多機會獲取不同類型的醫療服務，患者在獲取醫療服務的同時也會有機會接觸到其他人的隱私信息，因此患者在有意識保護自己隱私信息的同時，也必須有意識不傳播其他個人隱私信息。

綜上分析，基于醫療大數據技術的采集、存儲、處理及應用能力的快速發展，為醫療數據信息共享和提升醫療服務水平帶來了新機遇，也全方位帶來越來越多的個人數據隱私保護風險，亟待業界提出解決方法。

3 大數據環境下醫療信息隱私保護對策

醫療數據是在對患者診療和治療過程總產生的數據，包括患者基本數據、電子病歷、診療數據、醫學影像數據、醫學管理、經濟數據、醫療設備和儀器數據等，是以患者為中心產生的，當個體數據匯集和加工處理后成為醫療機構的重要信息資產。目前，醫療大數據的發展正處于起步階段，基于上述醫療數據隱私保護現狀分析和醫療大數據環境下隱私風險分析的兩方面結論，本節提出了一套大數據環境下醫療數據信息隱私保護對策，包括整體框架設計、政策要求和技術措施，為大數據時代“互聯網+醫療健康”應用發展提供技術和管理參考[8-9]。

3.1 醫療大數據隱私保護框架

基于醫療信息系統在其全生命周期面臨的個人醫療數據信息隱私泄漏風險，本節將面向醫療大數據環境提出一種既促進醫療數據融合共享、開放應用，又著眼于個人醫療數據信息安全的隱私保護框架，如圖3所示。醫療大數據隱私保護框架分為了三個主要部分：標準規范層面、安全管理層面和技術措施層面。在標準規范層面，旨在推動國家層面制定醫療大數據隱私保護的法規，建立技術標準和管理要求來規范醫療大數據保護；在安全管理層面，通過制定規則、評估和監管手段建立閉環的安全管理提升途徑，同時努力提升個人隱私保護意識。在技術措施層面，通過各類有效的技術措施的應用來落實法規和標準要求，保障個人隱私安全。

圖3 醫療大數據隱私保護框架

3.2 隱私保護的管理要求和意識提升

醫療服務涉及患者、醫務工作者、信息系統運維人員和第三方服務應用人員等各類人員，患者最關注個人醫療信息隱私，但患者作為該環境中的弱勢群體并沒有能力控制隱私信息的泄漏。因此，需要建立適合國情的政策、法律法規及技術標準，醫療行業統籌制定管理要求，從監管和制度層面上整體解決。

(1)國家和行業層面上建立醫療隱私保護的法規和標準規范，宏觀政策方面引導醫療數據信息共享和個人隱私保護，出臺隱私保護的個人醫療隱私數據使用規則、個人隱私保護技術措施，并通過隱私保護的評估和監管推動行業自律發展。

(2)醫療機構是醫療業務信息系統的使用和維護的主體，是實施個人信息醫療隱私保護的主責部門，建議醫療機構建立數據隱私保護制度和管理體系，配備相關技術和管理人員對醫療數據進行隱私保護和監管，同時加強對醫務工作者專業知識培訓，讓醫務工作者掌握醫療數據隱私保護的規則和技術措施。在編制健康醫療相關的信息安全要求中應落實醫院辦公環境的防竊密管理要求[10]。

(3)針對醫療大數據平臺，第三方醫療服務機構分享和利用醫療數據，也應建立專門個人醫療數據信息隱私保護技術和管理規范，提升從業人員的隱私保護意識和業務水平，采取個人隱私數據脫敏的技術措施，不得隨意共享、發布患者的隱私醫療數據，并要求跨機構使用數據，須進行審批管理，操作內容可追溯。

(4)提升患者對個人醫療數據的隱私泄漏的防護意識?；颊卟幌蜥t務工作者提供與診療無關的個人信息，提醒醫務工作者對所掌握的醫療數據信息進行保密；在個人醫療數據隱私遭到侵犯或泄漏時，積極主動地通過法律途徑維護合法權益。

3.3 隱私保護的技術措施和應用實施

在醫療大數據環境下，醫療數據隱私保護的技術措施和應用實施要覆蓋醫療信息系統應用的生命周期，對醫療信息收集、處理、存儲和使用的每一環節進行保護。

(1)數據生成階段，醫療信息采集時可對數據進行一定的脫敏處理。比如針對醫護人員在診療過程中不可避免地接觸到的敏感信息，按照《個人隱私數據使用規則》對患者的隱私信息進行脫敏處理，患者姓名、出生日期、電話號碼、單位、地址、身份證號碼、病歷號、照片、生物特征等敏感信息被匿名保護，同時，通過數據使用協議約定醫療信息使用目的、期限和范圍等。

(2)數據存儲階段，醫療大數據平臺中個人醫療健康數據的采集渠道不斷增多，建立數據隱私處理程序，分辨隱私數據和可共享利用的數據，在不影響信息準確性的前提下，運用數據脫敏、去標簽化等手段對數據進行處理，盡可能保護數據隱私。同時，存儲個人醫療信息應該加密存儲，并對數據存儲過程進行安全審計。HIS(醫院信息管理系統)、EMR(電子病歷系統)應具有容災備份能力。

(3)數據處理和分析階段，建立政府監管、社會多方主體參與的管理機制，重點解決數據標準不統一的問題，例如正在細化中的四川省智慧醫院評審標準中要求醫院內至少9個及以上的獨立系統間相互進行數據傳輸和共享，并與院外至少1個行業系統實現互聯和共享。在醫院系統互聯互通的同時，還需要加強安全措施，避免數據被非法或越權使用，確保數據的完整性、有效性和正確性，能及時發現和阻斷入侵行為，列舉幾個明確技術措施。

①系統之間進行數據交互時需要進行授權認證，對敏感數據進行標記，與其他系統進行數據交互時，可根據敏感標記進行有效控制；

②具有文檔加密、文檔安全策略(權限控制、使用次數、文檔生命周期、自定義水印)功能，具有支持對文檔細粒度權限控制(只讀、打印、修改、復制)的功能。

(4)數據應用階段，則重點考慮數據集相互關聯的情況下，最大化被匿名處理之后的數據效用，實現數據跨系統的共享與利用。同時，醫療應用系統應有完整的用戶授權功能，在提供訪問或分享患者醫療數據前，明確是否允許或限制這些醫療數據的公開。開發有效避免越權的措施，配合授權審批管理流程，實現操作過程可追溯。

4 結論

本文在調研部分北京市醫院和患者相關醫療數據保護和隱私泄漏問題基礎上，面向醫療大數據環境，分析了個人醫療數據信息安全管理風險和全生命周期中隱私泄漏風險，從法規規范層面、技術措施層面和應用實施層面提出了一個個人醫療數據隱私保護框架，進而分別從隱私保護意識提升和安全技術措施層面給出個人醫療數據隱私保護對策與建議，為醫療大數據應用發展提供參考。