王天屹，刘爱萍

(1.北京一零一中学，北京 100091；2.北京大学医学部 公共卫生学院，北京 100871)

0 引言

随着信息技术和网络技术的飞速发展，医院数字化建设日新月异，“互联网+医疗健康”应用迅速发展[1-2]，同时医疗数据在安全和管理上也不断受到挑战。从医院视角，医院内部不同科室之间以及不同医疗机构之间信息交换与共享需求日益旺盛，医疗数据成为宝贵数据资产也在被不断挖掘和利用，极大推动了医疗服务水平提升，医院信息系统成为医疗生产服务的重要技术支撑。但由于医疗领域特殊性，医疗数据不仅承载医疗对象健康状态及医学处理过程信息，还涉及大量医疗对象的个体敏感信息，若管理不当，将引发个人隐私泄漏和保护的社会问题，也是近年来医疗数据安全的热点问题。

大数据环境极大改变了医疗信息系统应用模式，而个人医疗信息隐私保护问题也变得日趋严峻。本文以北京市教委2018年“翱翔计划”获得的调研成果为基础，开展个人医疗隐私数据泄漏风险问题研究，并提出大数据环境下医疗数据隐私保护对策。

1 个人医疗信息隐私保护问题调研分析

1.1 医疗机构信息隐私保护现状分析

北京市医院信息化水平正在逐年提升，移动互联网、大数据等技术手段已不断应用于医疗信息系统中，医疗机构内部、医疗机构之间的信息系统孤岛正在逐步消失，医疗数据可以被便利地共享和利用，医疗数据爆炸式增长以及深度挖掘应用使得个人医疗信息泄漏风险在不断增加。

在现阶段，医疗机构自身还没有制定适应当前医疗数据应用水平的医疗数据与患者个人隐私有关的管理制度，信息系统的数据保护技术手段也还不能满足安全需求，加上信息系统安全运维人员短缺，医务人员缺乏个人隐私保护的有效培训，因而个人医疗数据在医疗机构业务处理流程中存在极大数据泄漏的可能性[3]。

在法律层面上，《中华人民共和国网络安全法》、《中华人民共和国执业医师法》、《护士条例》、《人口健康信息管理办法(试行)》[4-7]中都提出了严格保护个人信息隐私的要求，而早期通过教育和控制个人医疗数据的接触范围来保护个人隐私的方法，在“医疗互联网+大数据”时代显得力不从心。而政府监管层面对个人医疗隐私泄漏的监管也还处于起步阶段，现阶段国家和行业还未出台个人医疗数据隐私保护的专门政策，医院还未建立相应的管理要求和措施，这将制约医疗数字化水平发展[8-9]。

1.2 个人医疗信息隐私保护需求调研数据分析

问卷调研主要针对患者对医疗隐私保护方面的态度和观点，线上线下共发放了602份调查问卷，收到有效问卷518份，有效率85.2%，利用统计分析工具软件SPSS(Statistical Product and Service Solutions)进行统计特征分析。

在有效问卷中，对被调查人员的性别、年龄、在对个人医疗隐私泄漏问题的容忍度做了数据分析，85.1%的调查者担心个人隐私信息泄漏，通过卡方检验进而证明不同性别、不同年龄段的人群的认知基本没有差异。如表1所示，不同性别得到威尔逊卡方数值为2.401，自由度为1，渐进显著性P=0.121 >0.05，不显性；同样，年龄从14岁到59岁的不同年龄人群对医疗隐私泄漏担心自由度为2，渐进显著性P=0.719>0.05。数据分析表明，不同性别、不同年龄段的人群对个人医疗隐私担心没有显著性差异，普遍担心在医疗过程中个人隐私信息被泄漏和非法利用。

表1 不同性别、年龄对个人医疗隐私泄漏问题卡方检验

在医疗诊治过程中，构建了大量患者医疗记录，大量的个人信息数据被汇总和关联分析后，形成了对医疗机构、疾病控制、医学研究有价值的医疗大数据。在医疗信息数据中涉及大量患者个人特征数据，如患者的真实身份、联系电话、家庭地址、生活轨迹，疾病信息、检查信息也涉及患者隐私，不希望被无关人员知晓，患者担心泄漏的信息包括个人信息、疾病信息和检查信息，如图1所示。广泛被知晓的婴儿出生信息泄漏问题是典型的医疗过程中的个人隐私事件，孩子在出生之前，准父母就会被各种母婴用品广告所包围，一系列的推销和诈骗导致很多社会问题。患者在医疗机构接受医疗服务的同时，个人信息和疾病信息不可避免地被医院信息系统乃至医疗大数据平台收集、利用和共享，患者除了担心个人隐私被泄漏外，对后续个人信息利用了解甚少，对个人隐私信息被非法利用的行为也无任何防范能力，这对医疗大数据应用发展产生极大隐患。

图1 患者担心泄漏个人医疗信息分类

2 个人医疗隐私信息泄漏风险分析

当前互联网大数据时代，各医疗机构之间高度共享各自医疗数据信息，实现医疗业务数据共享、发掘和利用，来获得更加准确、有价值的医疗信息，推进医疗业务水平的发展，但同时医疗隐私泄漏风险也将贯穿于医疗信息系统的全生命周期，如图2所示。

图2 医疗数据生命周期主要隐私泄漏环节

2.1 医疗数据生成阶段的隐私泄漏风险

数据生成阶段往往发生在就诊时，患者的身份、性别、年龄、疾病等个人信息在治疗过程中主动或被动地汇总到医院业务信息系统，医务工作者对信息技术辅助医疗技术手段相对被动接受，很难主动地采取技术手段来保护患者个人隐私。在医院的检查和治疗过程中，还会产生包含大量医嘱、疾病、健康、用药等信息数据，这些信息数据一旦脱离了患者和医务工作者的掌控后，将为不可预知的隐私泄漏提供了条件和基础。

在互联网环境下，医疗大数据的来源将是多种多样的，除了各级医院外，还包括社交网络、各类医疗健康机构，数据的种类及规模迅速累积。在现阶段的监管政策和技术标准还没有对医疗数据个人隐私保护提出专门管理和技术要求下，医疗数据保护技术措施又严重不足，各种不同医疗数据源相互交互和分享时，会使攻击者更容易获取医疗数据，个人隐私信息泄漏风险会极大增加。

2.2 医疗数据存储和交换阶段的隐私泄漏风险

在医疗大数据时代，医疗数据资产的价值会被充分发掘和利用，医疗数据不仅仅能够给被医疗机构挖掘出来增强业务能力、进行科学研究，同时也可能出售给第三方来获得商业价值。因此，医疗数据交换和分享将使得患者的隐私被滥用成为个人医疗信息隐私保护的关键风险点。

目前，医疗机构的数据存储和交换阶段主要发生在医院的信息化部门，大多数医院的信息系统在设计部署时并没有充分考虑安全防护和数据保护，个人医疗隐私保护在技术措施不足的情况下还主要依赖信息化部门的管理制度来规范，安全风险不可谓不大。

2.3 医疗数据分析和处理阶段的隐私泄漏风险

医疗数据处理和分析是指对医疗数据进行一系列面向医学知识的统计分析、机器学习、深度学习等处理，从海量的医疗数据中剔除数据集合中无意义的、冗余的部分，通过建模、分析来挖掘出具有医疗应用价值的信息，例如患者的某些检查结果，利用医疗大数据即可对其当前的健康状况和下一步的行为进行推断，为构建新的医术手段创造条件。然而，医疗大数据的数据挖掘和多维分析功能，使得表面看起来毫无关联的数据暴露出来个人隐私；一些数据独立使用可能不敏感，但经过一些个人属性的信息匹配，与其他相关社会信息数据协同后，可以分析出个人敏感信息。

2.4 医疗数据发布应用带来的隐私泄漏风险

随着互联网和大数据技术的发展，医疗机构也将利用新媒体进行医疗数据共享或者发布。在这个阶段一旦发生了个人医疗数据隐私信息泄漏，将会给企业或者公共部门带来经济上或者社会声誉上的损失。

在大数据时代，患者也有很多机会获取不同类型的医疗服务，患者在获取医疗服务的同时也会有机会接触到其他人的隐私信息，因此患者在有意识保护自己隐私信息的同时，也必须有意识不传播其他个人隐私信息。

综上分析，基于医疗大数据技术的采集、存储、处理及应用能力的快速发展，为医疗数据信息共享和提升医疗服务水平带来了新机遇，也全方位带来越来越多的个人数据隐私保护风险，亟待业界提出解决方法。

3 大数据环境下医疗信息隐私保护对策

医疗数据是在对患者诊疗和治疗过程总产生的数据，包括患者基本数据、电子病历、诊疗数据、医学影像数据、医学管理、经济数据、医疗设备和仪器数据等，是以患者为中心产生的，当个体数据汇集和加工处理后成为医疗机构的重要信息资产。目前，医疗大数据的发展正处于起步阶段，基于上述医疗数据隐私保护现状分析和医疗大数据环境下隐私风险分析的两方面结论，本节提出了一套大数据环境下医疗数据信息隐私保护对策，包括整体框架设计、政策要求和技术措施，为大数据时代“互联网+医疗健康”应用发展提供技术和管理参考[8-9]。

3.1 医疗大数据隐私保护框架

基于医疗信息系统在其全生命周期面临的个人医疗数据信息隐私泄漏风险，本节将面向医疗大数据环境提出一种既促进医疗数据融合共享、开放应用，又着眼于个人医疗数据信息安全的隐私保护框架，如图3所示。医疗大数据隐私保护框架分为了三个主要部分：标准规范层面、安全管理层面和技术措施层面。在标准规范层面，旨在推动国家层面制定医疗大数据隐私保护的法规，建立技术标准和管理要求来规范医疗大数据保护；在安全管理层面，通过制定规则、评估和监管手段建立闭环的安全管理提升途径，同时努力提升个人隐私保护意识。在技术措施层面，通过各类有效的技术措施的应用来落实法规和标准要求，保障个人隐私安全。

图3 医疗大数据隐私保护框架

3.2 隐私保护的管理要求和意识提升

医疗服务涉及患者、医务工作者、信息系统运维人员和第三方服务应用人员等各类人员，患者最关注个人医疗信息隐私，但患者作为该环境中的弱势群体并没有能力控制隐私信息的泄漏。因此，需要建立适合国情的政策、法律法规及技术标准，医疗行业统筹制定管理要求，从监管和制度层面上整体解决。

(1)国家和行业层面上建立医疗隐私保护的法规和标准规范，宏观政策方面引导医疗数据信息共享和个人隐私保护，出台隐私保护的个人医疗隐私数据使用规则、个人隐私保护技术措施，并通过隐私保护的评估和监管推动行业自律发展。

(2)医疗机构是医疗业务信息系统的使用和维护的主体，是实施个人信息医疗隐私保护的主责部门，建议医疗机构建立数据隐私保护制度和管理体系，配备相关技术和管理人员对医疗数据进行隐私保护和监管，同时加强对医务工作者专业知识培训，让医务工作者掌握医疗数据隐私保护的规则和技术措施。在编制健康医疗相关的信息安全要求中应落实医院办公环境的防窃密管理要求[10]。

(3)针对医疗大数据平台，第三方医疗服务机构分享和利用医疗数据，也应建立专门个人医疗数据信息隐私保护技术和管理规范，提升从业人员的隐私保护意识和业务水平，采取个人隐私数据脱敏的技术措施，不得随意共享、发布患者的隐私医疗数据，并要求跨机构使用数据，须进行审批管理，操作内容可追溯。

(4)提升患者对个人医疗数据的隐私泄漏的防护意识。患者不向医务工作者提供与诊疗无关的个人信息，提醒医务工作者对所掌握的医疗数据信息进行保密；在个人医疗数据隐私遭到侵犯或泄漏时，积极主动地通过法律途径维护合法权益。

3.3 隐私保护的技术措施和应用实施

在医疗大数据环境下，医疗数据隐私保护的技术措施和应用实施要覆盖医疗信息系统应用的生命周期，对医疗信息收集、处理、存储和使用的每一环节进行保护。

(1)数据生成阶段，医疗信息采集时可对数据进行一定的脱敏处理。比如针对医护人员在诊疗过程中不可避免地接触到的敏感信息，按照《个人隐私数据使用规则》对患者的隐私信息进行脱敏处理，患者姓名、出生日期、电话号码、单位、地址、身份证号码、病历号、照片、生物特征等敏感信息被匿名保护，同时，通过数据使用协议约定医疗信息使用目的、期限和范围等。

(2)数据存储阶段，医疗大数据平台中个人医疗健康数据的采集渠道不断增多，建立数据隐私处理程序，分辨隐私数据和可共享利用的数据，在不影响信息准确性的前提下，运用数据脱敏、去标签化等手段对数据进行处理，尽可能保护数据隐私。同时，存储个人医疗信息应该加密存储，并对数据存储过程进行安全审计。HIS(医院信息管理系统)、EMR(电子病历系统)应具有容灾备份能力。

(3)数据处理和分析阶段，建立政府监管、社会多方主体参与的管理机制，重点解决数据标准不统一的问题，例如正在细化中的四川省智慧医院评审标准中要求医院内至少9个及以上的独立系统间相互进行数据传输和共享，并与院外至少1个行业系统实现互联和共享。在医院系统互联互通的同时，还需要加强安全措施，避免数据被非法或越权使用，确保数据的完整性、有效性和正确性，能及时发现和阻断入侵行为，列举几个明确技术措施。

①系统之间进行数据交互时需要进行授权认证，对敏感数据进行标记，与其他系统进行数据交互时，可根据敏感标记进行有效控制；

②具有文档加密、文档安全策略(权限控制、使用次数、文档生命周期、自定义水印)功能，具有支持对文档细粒度权限控制(只读、打印、修改、复制)的功能。

(4)数据应用阶段，则重点考虑数据集相互关联的情况下，最大化被匿名处理之后的数据效用，实现数据跨系统的共享与利用。同时，医疗应用系统应有完整的用户授权功能，在提供访问或分享患者医疗数据前，明确是否允许或限制这些医疗数据的公开。开发有效避免越权的措施，配合授权审批管理流程，实现操作过程可追溯。

4 结论

本文在调研部分北京市医院和患者相关医疗数据保护和隐私泄漏问题基础上，面向医疗大数据环境，分析了个人医疗数据信息安全管理风险和全生命周期中隐私泄漏风险，从法规规范层面、技术措施层面和应用实施层面提出了一个个人医疗数据隐私保护框架，进而分别从隐私保护意识提升和安全技术措施层面给出个人医疗数据隐私保护对策与建议，为医疗大数据应用发展提供参考。