健康医疗可穿戴设备数据安全与隐私保护存在的问题及对策
2017-03-21,,,
, ,,
随着移动通信技术与健康行业的紧密结合,健康互联的广阔应用前景已成为国际共识,为健康服务带来革命性变革[1]。健康医疗可穿戴设备作为健康互联中重要的网络节点,利用物联网和感知技术将患者、医院、健康管理机构和医疗保险公司连接起来,形成一个庞大的医疗专属网络,为个人精准卫生保健与疾病治疗服务的发展奠定了新基础,成为新型智慧医疗的重要组成部分。
健康医疗可穿戴设备作为新型健康医疗数据的载体,数据采集和上传过程都与传统医疗模式或 HIS 系统内的数据传递方式有很大的区别。健康医疗可穿戴设备可实时采集用户行为、情绪和睡眠等与用户健康高度相关的数据,数据采集、传输不受时间、地点控制,这些数据隐含着巨大的商业价值和社会价值。由于可穿戴设备自身的技术缺陷以及数据流通环节管控缺失等问题,较易发生数据和隐私泄露。如何在合理利用健康医疗可穿戴设备采集数据的同时,确保数据安全和用户隐私,是一个值得研究的问题。
本文以健康医疗可穿戴设备的数据为对象,从技术、管理、法律和伦理等方面,对健康医疗可穿戴设备的数据安全与隐私保护问题进行了研究并提出了相应对策,以保护用户隐私和数据安全,促进健康医疗可穿戴设备产业的可持续发展和采集数据的科学使用。
1 健康医疗可穿戴设备采集数据的特点
健康医疗可穿戴设备体积微小、移动性强,采集的数据类型广泛,数据流动环节与传统医疗模式(院内诊疗活动)相比有很大区别(表1)。
健康医疗可穿戴设备扩展了传统医疗模式下采集的数据内容,如运动行为、社交互动等数据,具有可实时采集、不受时间地点控制的特点。但由于健康医疗可穿戴设备使用的是安全风险较高的传输介质,数据流动环节增多,加大了数据与隐私泄露的风险,阻碍了健康医疗可穿戴设备的应用与推广。
表1 健康医疗可穿戴设备与传统医疗数据安全与隐私特点对比
2 健康医疗可穿戴设备数据安全与隐私保护存在的问题
基于健康医疗可穿戴设备数据采集、流动的特点,结合我国国情,将从技术安全、数据管理、法律法规和隐私伦理4方面,总结出健康医疗可穿戴设备在数据安全和隐私保护方面存在的问题。
2.1 技术安全问题
健康医疗可穿戴设备高度依赖IOS和Android系统[2],系统漏洞容易被黑客攻击,会造成隐私数据泄露。在数据采集过程中,由于缺乏对设备及数据权限的控制,用户无法选择单独关闭某个传感器中断或取消数据采集,难以对数据的查看和使用进行授权[3]。在数据传输过程中,健康医疗可穿戴设备的MAC地址基本固定且多使用较为简单的数据格式(如JSON等),直接交互传递采集的数据值或图片,缺少多重加密的数据模糊处理措施[4],使他人易与设备连接并获取数据信息。此外,由于设备缺少远程控制功能,一旦设备被窃或丢失,设备中存储的信息有可能被他人捕获和利用[5]。
2.2 数据管理问题
健康医疗可穿戴设备发展迅速,各种设备产生的数据传输格式、加密保密、集成平台接口、数据传输协议等都缺少统一的行业标准,出现了如信息孤岛和隐私保护等一系列问题。利用健康医疗可穿戴设备采集的数据可用于个性化医疗、流行病监测、辅助临床决策及新药研发等,具有巨大的经济价值[6]。在利益的驱使下,某些机构或组织,如医疗机构、保险公司或者其他决策咨询机构,可能会在未经用户同意的情况下对健康医疗可穿戴设备采集的用户数据进行挖掘、分析,预测用户健康状况。这不仅易造成用户健康信息泄漏,引起健康歧视,还可能危及国家安全与稳定。
2.3 法律法规问题
可穿戴设备产业是一个刚刚兴起且发展迅速的产业,国家目前尚缺乏针对可穿戴设备尤其是健康医疗可穿戴设备的数据安全和隐私保护方面的政策法规,一旦可穿戴设备生产商私自售卖用户数据将难于依法追究其责任。此外,目前健康医疗可穿戴设备采集的数据格式、内容尚无统一的行业标准,给数据的存储和管理带来巨大困难,不利于数据的整合利用。
2.4 伦理隐私问题
2012年伦敦奥运会期间的智能垃圾箱事件让我们意识到,大数据对个人隐私保护提出了严峻的挑战。随着智能手机、传感器、个人穿戴式等设备的不断普及,个人数据的网络化和透明化将成为趋势。健康医疗可穿戴设备产生的大部分数据都是隐私数据,明确这些数据的商业化边界牵涉到用户隐私安全。此外,大多数用户隐私保护意识薄弱,为了能够得到全面的健康医疗服务忽略对个人隐私的保密,容易给利用个人隐私数据牟利者提供可乘之机。
3 健康医疗可穿戴设备数据安全与隐私保护对策
通过剖析健康医疗可穿戴设备数据安全与隐私保护存在的技术安全、数据管理、法律法规及伦理隐私问题,本文从技术、管理、法律等方面提出了相应对策以供同行参考。
3.1 技术方面
3.1.1 应用多重数据加密技术
由于缺乏强制性保护措施和统一标准规范,数据易被拦截和篡改,因此健康医疗可穿戴设备应在设备终端及云端应用多重数据加密技术。目前学术界探讨的互联网环境下健康医疗数据加密技术有SSL(Secure Sockets Layer)数据加密传输技术[7]、K-匿名技术、Hash函数加密、RSA公钥加密算法及ECC椭圆曲线加密算法[8]等。数据加密应由设备生产商和用户双方进行操作,当需要用户开启数据加密功能时,设备需提前向用户发送通知并说明理由。此外,健康医疗设备应默认开启数据加密功能,防止个人信息泄露。
3.1.2 建立分级数据管控模式
等级保护制度是我国信息安全保障领域的基本制度,对提高我国信息安全保障能力和水平,促进信息化建设健康发展,维护国家安全、社会稳定和公共利益具有重要意义[9]。健康医疗可穿戴设备的数据也应根据数据的社会价值、商业价值和对国家或个人数据安全与隐私威胁的严重程度建立分级分类的数据管控模式。
根据HIPAA法案对个人可识别信息保护的内容和我国的《信息安全等级保护管理办法》《信息安全技术信息系统安全等级保护定级指南》等相关要求,可将健康医疗可穿戴设备数据保护分为数据内容保护和数据流动环节多级保障两种方式。
3.1.2.1 划分数据内容保护级别
设置数据内容保护级别可增加操作权限的灵活性,合理控制数据保护成本。
本文将健康医疗可穿戴设备数据隐私保护划分为5类(表2),结合数据隐私泄露对国家与个人造成的影响以及数据的价值,将隐私保护级别划分为3级,其中A级和B级的隐私保护又各划分为2级(A+和A、B+和B)。
表2 健康医疗可穿戴设备数据隐私保护级别划分表
各级别均有具体的要求。A级的要求是采用最严格的加密与认证保护技术,非法律许可禁止搜集、查看和使用,且A+和A级法律监管与处罚有所不同,隐私保护级别为A+的Ⅰ类数据与隐私保护级别为A 的Ⅱ类数据都需要去敏感化利用;B级的要求是在用户知情同意后,由授权对象在指定的服务和范围内查看、使用、修改数据,应使用身份认证技术保障授权身份的合理性,其中B+级别的数据应满足临床数据保护标准,B级隐私数据可结合临床情况予以开放;C级的要求是用户可在健康医疗可穿戴设备终端自主共享V类数据,但提供伦理上尊重他人隐私的风险说明。
3.1.2.2 设置数据流动环节多级保障
健康医疗可穿戴设备的数据在采集、上传、集成交互、信息反馈等环节的流动方式不同,每个流动环节承载的隐私内容也有所不同。因此,在采取数据流动环节多级保障措施前,需对数据流动环节进行安全风险等级评估。
选取数据流动环节中的数据内容、数据交互程度、安全与隐私保护意识、是否已有数据安全与隐私保护机制4个风险因素进行风险等级评估。将各风险因素划分为3个等级,其中数据内容分为“高度敏感”“较敏感”“低敏感”3个等级,数据保护难度分为“非常复杂”“较复杂”“不复杂”3个等级,数据及保护能力分为“缺少保护能力”“有一定保护能力”“有较强保护能力”3个等级,是否有数据安全与隐私保护标准分为“缺少保护标准”“有一定保护标准”“在成熟可靠保护标准”3个等级。使用“★”代表安全风险高,“☆”表示有一定的安全风险,安全风险程度较低的级别不使用符号。健康医疗可穿戴设备数据各流动环节中数据及隐私泄露的风险度见图1。
图1 健康医疗可穿戴设备数据各流动环节中数据及隐私泄露的风险度
通过对健康医疗可穿戴设备数据流动环节中数据及隐私泄露风险度的分析,发现除已有的数据交换与共享模式(健康医疗相关服务机构->健康大数据云平台以及健康大数据的科学研究与决策支持应用)外,其他的数据流动环节均缺乏安全保障机制且角色主体数据保护能力薄弱,终端或网络安全防护措施较差,易造成数据安全隐患与隐私泄露。对不同风险级别的数据流动环节应采取差别化的安全防护措施,如三星级以上的风险数据流动环节,必须使用指定数据传输格式与标准,利用专属通信网络,严格控制角色主体的数据存取,安装防火墙与隐私泄露威胁识别工具;二星级以上但未达到三星级风险的数据流动环节,需使用专属网络与信息系统进行数据共享行为,对数据传输标准与共享机制提供推荐性技术标准等。此外,在数据流动环节中需增加日志记录功能。
3.1.3 增加设备远程控制功能
由于可穿戴设备体积小、质量轻,设备丢失或被盗是导致数据泄露最常见途径之一[10],所以健康医疗可穿戴设备应提供丢失提醒和数据远程擦除功能。设备丢失提醒是指一旦设备超出指定范围,会向用户发出警报,提醒用户。用户可选择关闭连接,执行远程数据擦除或报警等措施,保护数据及隐私免于非法盗取和泄露。远程数据擦除应分为部分擦除与全部清空两种选择,设置包含个人健康医疗可穿戴设备数据的个人健康档案(PHR)后可同步到认证后的新设备,防止数据二次丢失。设备丢失提醒功能应在默认情况下开启。
3.2 管理方面
3.2.1 建立政府监管部门
健康医疗可穿戴设备采集的数据规模大、种类繁多,可辅助描述较精准的个人画像和精准分析评估用户健康情况。这既可为刑事侦查提供新途径,也为健康医疗服务机构、医药保健公司、商业保险等公司进行精准健康医疗服务和个人保险营销提供巨大商机。为防止个人健康医疗数据被不法分子或机构盗用,需建立政府监管部门,对可能存在非法获取数据的个人或机构进行监督管控。
3.2.2 完善数据使用追责机制
利用健康医疗可穿戴设备采集的数据进行分析与决策的科研人员、政府或共享自身健康数据的社交网络平台等,都是健康医疗可穿戴设备数据流动过程中的角色主体。完善数据使用追责机制是保障各角色主体在合理范围内采集、传输、共享利用数据的前提条件,明确不同角色主体的权利与责任义务,在出现数据泄露或破坏等情况时能快速定位责任主体,督促其采取相应措施和承担民事、刑事责任等。
3.2.3 平衡数据使用风险与利益
健康医疗可穿戴设备采集的数据与个体生命健康以及生活方式直接相关,具有巨大的价值[11]。数据隐私保护和数据共享之间的平衡是医疗健康信息利用实践和研究的焦点问题,因而必须要平衡数据使用利益与可能带来的隐私泄露风险,然后再合理利用数据进行分析、挖掘、共享等。在评估数据使用利益与风险过程中,应秉持“数据使用利益最大化,数据安全隐私风险最小化”原则,利用风险管理模型,科学评估数据使用风险。
3.2.4 加强隐私数据保护宣传,提高用户隐私保护意识
除对健康医疗可穿戴设备用户进行隐私数据保护宣传外,还需对健康医疗服务机构的医务人员以及第三方数据管理者进行数据安全与隐私保护的知识宣讲,加强用户、医务人员以及数据管理者的数据安全与隐私保护意识,避免他们在无意中泄漏个人或用户的隐私数据,提高隐私保护意识。可通过知识宣传、科普视频、数据使用与授权机制培训课程,定期开展相关主题讨论会等手段,进行健康医疗可穿戴设备数据安全与隐私保护的知识宣传。
3.3 法律法规方面
3.3.1 建立个人健康医疗数据保护法律体系
结合健康医疗行业和可穿戴设备行业的特性,加快建立个人健康医疗数据保护法律体系,保障用户的隐私权在受到侵害时,可利用法律手段进行维权。制定个人健康医疗数据商业应用法律法规是个人健康医疗数据保护法律体系不可或缺的一部分,可防止个人或机构滥用用户个人健康医疗数据谋取非法利益。在制定个人健康医疗数据商业应用法律法规时,应明确健康医疗机构数据使用的范围及商业合作中数据挖掘的边界,以及商业机构在使用用户数据时应履行的法定责任与义务。
3.3.2 制定数据保护标准
制定数据保护标准,一方面可以保证执行力度,另一方面可以减少健康医疗可穿戴设备数据保护工作中的重复标准,保障数据流动过程中的数据安全与隐私不受侵犯。国际上已有一定数量的数据安全及个人可识别信息安全保护的强制性标准协议,如《资讯科技安全技术存储安全》《PII 保护实用规则》《个人可识别数据 PII 机密性保护指南》,但我国目前尚未有统一的健康医疗可穿戴设备数据保护标准。政府可从健康医疗可穿戴设备的数据内容、数据涉及的角色主体和数据控制等角度,结合国际标准和我国国情制定健康医疗可穿戴设备数据保护标准,统一数据保护级别和方式。
3.3.3 保障用户知情同意权利
保障用户知情同意是用户使用设备采集自身医疗健康数据的必要条件。知情同意权一方面指在数据采集前,可穿戴设备生产商需将采集的数据项、采集形式与频率、数据关联方式与深度、使用场景等向用户提供合理说明,征得用户同意后方可进行数据采集;另一方面指公民拥有要求他人对自身隐私的尊重与保护的权利,主要是指他人将健康医疗可穿戴设备带入公共场合或办公环境中使用,即 WYOD(Wear Your Own Device)。此种场景下,健康医疗可穿戴设备可能会采集到用户周围环境的数据,若设备在连接状态中还有可能会连接到周围人的设备上,采集周围设备的数据[6]。因此,在WYOD场景中,必须要征得他人同意后才可使用设备或连接网络,尊重和保护他人隐私。
4 结语
“互联网+医疗”的发展离不开健康医疗可穿戴设备的辅助。健康医疗可穿戴设备若要有效地服务于个体预防、健康诊断和精准医疗,需正视其现存的数据安全与隐私保护问题,如设备自身存在的安全隐患,数据采集传输过程缺乏严格的数据保护机制、缺乏对数据安全与隐私保护的国家监管、缺乏隐私数据范围的明确规定等。用户、设备生产商、数据管理者和国家政府部门应共同合作,把控数据流动的每一环节,为健康医疗可穿戴设备采集到的数据制定详细的安全与隐私保护标准及政策法规,促进数据良性流动,为科研和健康决策供数据支持,促进社会健康医疗事业的发展。