医疗健康档案中的隐私保护

2011-03-14高子云李健

网络安全技术与应用 2011年2期

高子云李健

北京工业大学计算机学院北京 100124

0 前言

近年来医疗健康档案信息资源开放利用的力度逐渐加大，医疗健康档案利用中的问题也日渐突出，其中公民的隐私保护问题更是医疗卫生界和法律界共同关注的课题。医疗健康档案的开放既要维护每一个社会利用者的利用权，又要保护健康档案形成者和隐私关联人的隐私权。唯有协调医疗健康档案利用者与形成者之间的权利冲突，才能使医疗健康档案开放利用工作顺利进行。同时，医疗健康档案所记录的内容具有隐私性，它是记录隐私的载体。因此，如何妥善处理好利用医疗健康档案为医疗卫生服务和保护医疗健康档案主体的隐私权的这一组矛盾，是区域卫生信息系统中开展档案信息服务工作的主要任务之一。

1 医疗健康档案的概念

1.1 基本概念

医疗健康档案是居民健康管理(疾病防治、健康保护、健康促进等)过程的规范、科学记录。是以居民个人健康为核心，贯穿整个生命过程，涵盖各种健康相关因素、实现多渠道信息动态收集，满足居民自我保健和健康管理、健康决策需要的信息资源。

“病历”是医疗机构对门诊、住院患者(或保健对象)临床诊疗、指导干预的卫生服务工作记录。医疗健康档案与“病历”既有区别、更有联系。“病历”是医疗健康档案的主要信息来源和重要组成部分，医疗健康档案对“病历”的信息需求并非“病历”的全部，具有高度的目的性和抽象性。

1.2 基本内容

根据国家 2009年发布的《健康档案基本架构与数据标准(试行)》，医疗健康档案的基本内容主要由个人基本信息和主要卫生服务记录两部分组成，如图1所示。

1.2.1 个人基本信息

包括人口学和社会经济学等基础信息以及基本健康信息。其中一些基本信息反映了个人固有特征，贯穿整个生命过程，内容相对稳定、客观性强。主要有：

（1）人口学信息：如姓名、性别、出生日期、出生地、国籍、民族、身份证件、文化程度、婚姻状况等。

（2）社会经济学信息：如户籍性质、联系地址、联系方式、职业类别、工作单位等。

（3）亲属信息：如子女数、父母亲姓名等。

（4）社会保障信息：如医疗保险类别、医疗保险号码、残疾证号码等。

（5）基本健康信息：如血型、过敏史、预防接种史、既往疾病史、家族遗传病史、健康危险因素、残疾情况、亲属健康情况等。

（6）建档信息：如建档日期、档案管理机构等。

1.2.2 主要卫生服务记录

医疗健康档案与卫生服务活动的记录内容密切关联。主要卫生服务记录是从居民个人一生中所发生的重要卫生事件的详细记录中动态抽取的重要信息。按照业务领域划分，与医疗健康档案相关的主要卫生服务记录有：

（1）儿童保健：出生医学证明信息、新生儿疾病筛查信息、儿童健康体检信息、体弱儿童管理信息等。

（2）妇女保健：婚前保健服务信息、妇女病普查信息、计划生育技术服务信息、孕产期保健服务与高危管理信息、产前筛查与诊断信息、出生缺陷监测信息等。

（3）疾病预防：预防接种信息、传染病报告信息、结核病防治信息、艾滋病防治信息、寄生虫病信息、职业病信息、伤害中毒信息、行为危险因素监测信息、死亡医学证明信息等。

（4）疾病管理：高血压、糖尿病、肿瘤、重症精神疾病等病例管理信息，老年人健康管理信息等。

（5）医疗服务：门诊诊疗信息、住院诊疗信息、住院病案首页信息、成人健康体检信息等。

1.3 系统架构

健康档案的系统架构是以人的健康为中心，以生命阶段、健康和疾病问题、卫生服务活动(或干预措施)作为三个纬度构建的一个逻辑架构，用于全面、有效、多视角地描述健康档案的组成结构以及复杂信息间的内在联系。通过一定的时序性、层次性和逻辑性，将人一生中面临的健康和疾病问题、针对性的卫生服务活动(或干预措施)以及所记录的相关信息有机地关联起来，并对所记录的海量信息进行科学分类和抽象描述，使之系统化、条理化和结构化。

健康档案的三维系统架构如图2所示。

图2 健康档案的三维系统模型

2 医疗健康档案的特点

由医疗健康档案所包含的基本内容可以看出，它包含的信息远大于传统的健康档案，并且是一个连续的动态过程记录。它主要记录人一生的生理健康、精神健康或与健康状况相关的信息。其内容主要包括每个人的生活习惯、既往病史、疾病诊疗情况、家族病史、历次体检结果等。由此可见医疗健康档案的信息具有特殊性，主要表现在：(1)人身专属性。健康档案中记录、储存的信息与特定的个人不可分割，其记录的是一个人成长过程中所有健康卫生信息；(2)敏感性。健康档案中的信息包含既往病史、生理状况等，特别是涉及有传染、艾滋、精神等特殊疾病的，关乎人最私密的东西，极具敏感性；(3)安全保密性。健康档案中的信息具有个人标识，隐私性强，一旦泄露将对个人生活发展造成巨大影响，需要加强保密。

3 医疗健康档案中的隐私保护

3.1 医疗健康档案所涉及的隐私保护问题

在区域卫生信息系统中，医疗健康档案通过互联网以电子数据形式加以储存和利用。然而从医疗健康档案的基本内容及特点可以看出，其中记录的健康卫生数据信息在被利用的同时，其隐私权很容易受到网络上其他主体的侵犯，表现为：(1)健康信息征集中侵权。如政府部门的相关机构为收集公民健康信息进行公共健康分析和科学研究，未经当事人同意，且收集的信息可能片面、错误，产生与当事人真实情况不符的现象；(2)健康信息管理中的侵权。表现为信息机构工作人员不当泄密，擅自在网上公布、宣扬当事人的健康信息隐私；网络传输系统安全措施有漏洞而泄密，不及时更新信息，错误信息不更正，不良信息经过法定期限不删除，使健康信息主体受到不必要的伤害等；(3)健康信息使用中的侵权。对个人信息使用超出原定目的，尤其是商业机构对个人信息的滥用。

3.2 医疗健康档案中隐私保护的主要措施

医疗健康档案中涉及的健康信息是应当作为个人隐私权加以保护的。“按照美国有关法律的规定，凡与任何私人有关的，对其所有的群体而言并没有必然的实质性利害关系的所有数据资料都属于个人隐私权的对象。为此，任何利用计算机系统收集、存储、控制及使用与私人有关数据资料者，都有可能构成对私人隐私权的侵害”。隐私首先是指可以有所隐瞒，即个人可以在不妨害社会公共利益和他人合法权益的前提下，依照自己的意愿决定隐瞒某些信息；其次，隐私权所指隐瞒的内容是私人信息、私人事务、私人领域。在信息技术高度发达的今天，消极被动地隐瞒已经难以抵御侵犯，隐私权应当具有积极的权能，即对私人信息、私人事务、私人生活领域的支配和控制。个人医疗信息的公开与隐私保护的冲突，归根结底是私人生活与社会生活之间界限的划分和个人利益与公共利益的协调。公与私的联系、区分、协调、平衡涉及到一系列微妙而复杂的问题。要解决这些问题，可以通过法律手段和技术手段来实现。

3.2.1 通过法律手段实现医疗健康档案中的隐私保护

目前，我国保护患者隐私的法律、法规还存在着以下问题：(1)内容缺乏系统性，规定十分抽象，缺乏可操作性；如医患关系中隐私的概念不清楚，对患者所具有的隐私范围也没有立法解释。实践中也存在着对隐私范围的理解过于狭窄的问题，如只把与性有关的病情视为隐私信息；(2)对隐私权的侵害缺乏明确和严厉的法律责任的规定；(3)把隐私权混同于名誉权等，这些都弱化了对患者隐私权的保护。我国立法也没有界定公共利益的具体范围，使医疗机构有机会假借公共利益之名，行侵害患者隐私而为自己谋取私利之实。如实践中便发生以宣传计划生育为名披露患者结扎手术过程的侵权行为，以宣传防止近亲结婚而披露患者肖像的行为，还有为宣传性病、艾滋病防治而侵犯患者隐私的案例。由此可见，我国的这种隐私保护只是概括、宣言式的，缺少具体、可操作的规定，并不能有效的起到保护个人信息资料隐私的作用。因此对于医疗健康档案中信息隐私的保护很难寻找到相关的法律依据。虽然我国信息化进程落后于欧美发达国家，但在科技高速发展的今天，各种个人信息资料正在被广泛的收集和使用，特别是以个人健康信息为内容的医疗健康档案正在建立中。对此，我国在确立隐私权的独立人格权法律地位之后，还应当积极制定个人信息保护专门立法。

国外设有专门的电子健康档案数据保护的立法规范，有关电子健康档案的数据保护被纳入数据保护的法令中。如《欧盟数据保护指令》中特别提出了敏感信息资料的概念，其第8条规定：有关种族、血缘、政治倾向、宗教或哲学信仰、工会员工、健康或性生活等敏感信息原则上禁止处理。信息的处理必须经主体的明示同意。主体为合同一方的，为履行合同或依申请可以对信息进行处理。信息资料的管理者为了履行法定义务，保护当事人的重大权益或为履行公共利益性事务可以对信息作以处理，但这些处理都不得危害当事人自由与基本人权。美国《健康保险移转和责任法》，及其随后公布的隐私规则规定了对个人健康信息隐私的保护。规则指出，所谓受保护的健康信息主要指以任何形式和介质保存或传递的可识别的个人健康信息。对此信息，病人有权取得信息记录，而且可以对此记录检查和复制。如果记录有错误，病人还可以对其进行修正。健康服务者或健康计划组织对这些健康信息采取任何措施时都必须书面通知病人，若要公布这些信息则还要征得病人同意，病人有权对公布信息的行为作出限制。但是，在法律有特别要求，为病人健康治疗考虑或在紧急情况下使用健康信息可以不经病人同意。英国的《数据保护法》中对健康卫生信息保护也有所涉及。其规定，宗教信仰、政治倾向、种族、血缘、健康、基因、性生活等资料往往直接关乎个人最隐秘的领域，皆属于敏感信息，这些信息明显涉及到个人极其私密的领域，而且往往与就业、个人评价密切联系，非常敏感，故应当给予严格保护。

鉴于我国隐私权保护现状的不完善，应参照国外的做法，出台对个人数据信息保护的相关立法，在合理利用个人信息和信息隐私权保护之间寻求适当平衡。特别是对医疗健康档案中较为敏感的个人信息在保护时更应予以注意。对个人健康这类敏感信息应予以特别规范，原则上禁止数据管理人处理。对数据信息当事人赋予特定的权利；如查询的权利；更正、删除或封存个人信息资料的权利，拒绝的权利等，以区别于其他信息隐私的保护。在发挥健康档案高效、便捷作用的同时，合理保护患者个人信息，达到既注重个人对其健康信息资料的自由意志，又强调对隐私的保护不应当成为阻碍个人信息合理流动的障碍。

3.2.2 通过技术手段实现医疗健康档案中的隐私保护

在信息化时代，医疗健康档案中健康信息的机密性不仅受到不正当地接触、储存信息的威胁，也面临在信息传输过程中被截取、篡改的危险。信息安全是有效保护隐私权的技术前提和保障。为保守国家，医院和用户秘密，维护用户的合法权益，实现健康档案的医疗系统平台的网络，主机，存储备份设备，系统软件，应用软件等各部分都应该具有极高的可靠性。数据中心应通过一定技术手段来实现良好的安全策略，安全手段，安全环境及安全管理措施。

为从技术上实现医疗健康档案中的隐私保护，可采取以下服务来提供保护患者隐私和各区域卫生管理机构实施安全与隐私政策所需的功能。

（1）匿名化服务：这些服务保护患者的隐私和安全，确保在信息平台中以及提供正常医疗服务以外的(例如医疗保险、管理、以及某种形式的研究)传递中使用的患者资料不向非授权用户透露患者的身份。

（2）许可指令管理服务：许可指令管理服务转换由立法、政策和个人特定许可指令带来的隐私要求，并将这些需求应用到区域卫生信息平台环境中。在提供访问健康档案或经过区域卫生信息平台传输健康档案之前，这些服务应用于健康档案以确定患者或个人的许可指令是否允许或限制健康档案的公开。这些服务还允许信息平台用户管理患者/居民的特定许可指示，例如根据法律法规的需要和允许，阻止和屏蔽某一医疗服务提供者访问健康档案或者在紧急治疗情况下不经许可直接开放健康档案。

（3）身份保护服务：这项服务将一个患者或居民的身份解释为一个健康档案标识符。患者或客户通常由一个如社保卡号码的通用标识码来标识，这样的卡号关联到每个包含健康档案标识域中的健康档案标识符。健康档案标识符是一个受保护信息，只有交换层之上平台系统才能知道。

（4）数字签名服务：数字签名由医疗卫生应用程序的用户创建，以确保临床数据的不可否认性，这样的临床数据如：数据文件、报告、记录中的字段域、安全声明、XML文档，包括被转换为XML文档的HL7消息或对象中的元素。这项服务在生成签名之前先验证数字证书没有被撤销。

（5）加密服务包括：密钥管理服务：创建和管理数据存储的加密密钥；数据库加密服务：加密和解密数据库表中的数据字段(列)和记录(行)以保护健康档案以及信息平台中处于使用状态的其它保密的关键系统数据；数据存储加密服务：加密和解密文件和其它数据块，用于保护在联机存储、备份或长期归档中的数据。

（6）一般性安全服务包括：扫描恶意程序，保护免受侵害；安全备份/恢复数据；资料归档；数据安全销毁。

（7）身份管理服务：这些是面向更高层次服务提供的基础服务，例如用户注册、认证、授权，其中包括用户的惟一标识、查找用户的标识，挂起/取消用户访问权。

（8）访问控制服务：这些服务确定对信息平台应用功能的基于角色的访问权限。这些服务还提供配置和管理用户及角色访问功能和数据的授权。

（9）安全审计服务：这些服务提供对每个事务所涉及到的系统、用户、医护工作者、患者/居民、健康数据等等的报告功能。这些服务对于满足其他业务需求，如系统管理、事务监控、记录重要的与隐私和安全有关的事件等，也是至关重要的。

（10）用户认证服务：这项服务验证用户的身份。这项服务是在执行医疗卫生应用与区域卫生信息平台之间的事务的场景下被调用，以验证参与事务用户的合法性。