医疗信息隐私保护的研究进展
2020-07-10吴丁娟
柳 薇,吴丁娟
(广州医科大学 卫生管理学院,广东 广州 511436)
0 引言
随着大数据技术飞速发展,大数据应用已经融入到各行各业。目前大数据的应用在交通出行、医疗、餐饮等方面都有所呈现。大数据带来便利的同时也带来诸多挑战,医疗大数据的开发与应用,导致医疗领域内数据爆炸式增长,给医疗机构的管理带来压力,医疗机构之间、医疗机构与第三方之间的医疗数据共享也存在很大的安全隐患。并且,医疗数据泄露事件也在近几年不断曝出,2018年美国医疗保健公司Life Bridge Health发现服务器感染恶意软件,导致50万名患者医疗数据被泄露,其中包括患者诊断、用药信息和社会保障号码等;同年墨西哥200万人医疗数据遭到在线泄露,该数据库完全暴露在互联网上,无须密码便可访问编辑,具体信息包括个人身份信息、保险信息、残疾状况和家庭住址等。这些重大的医疗数据泄露事件给人们带来巨大的损害,同时人们也越来越重视对个人隐私的保护,医疗隐私保护也成为学界关注的热点话题。
目前,医疗隐私保护的研究总量并不多,综述类文献更是鲜为少见。并且,国内对医疗隐私保护仍处于初探阶段,相关专家学者仍在积极探索。基于此,本文归纳总结了当前国内外有关医疗隐私保护的文献,并梳理现有研究的不足之处,希望对未来医疗隐私保护的研究工作有所启示和帮助。
1 医疗隐私的相关概念
1.1 隐私
关于隐私研究的起源,一般认为是在1890年由美国学者沃伦(Warren)和布兰戴斯(Brandeis)在《隐私权》一书中提出了“隐私”的概念,并将其描述为“不受外界干扰的独处权利”[1]。最早对隐私概念进行界定是 1968年,Westin A F在论文Privacy and Freedom中将“隐私”定义为:“是自然人自愿在身体或精神上短时间内远离社会,或在大群体社会交往中匿名或隐藏部分信息的一种小群体亲密状态”[2]。1974年Marshall在Westin A F研究的基础上将隐私细分为六个维度,认为掌控他人接触自己程度的能力是隐私概念的核心[3]。1975年Altman认为隐私是一个人际边界控制过程,是在与他人社会交往中调整自己对他人开放程度界限的动态处理过程,它制约和调节与他人的互动[4]。
尽管“隐私”概念发展悠久,但至今学术界对隐私的定义一直没有统一[5]。随着人们对隐私重视程度的增加,隐私的含义不再仅仅指“当事人不愿别人干涉或别人侵入的个人领域”,逐渐上升为一种人格权利,纳入法律的保护。王利明认为隐私应当以私人生活秘密和私人空间为内容,是自然人生活秘密和私人空间不被他人非法侵扰、知悉、搜集、利用和公开的一种人格权[6]。
1.2 患者隐私与患者隐私权
尽管患者隐私是在自然人隐私基础之上所产生的,但患者作为一个特殊群体,具有特殊性,患者隐私的定义与隐私定义有所区别。目前学术界对患者隐私的定义并不统一,大致可以分为三类,第一类是学者们认为患者隐私就是涉及患者个人与公共利益无关的,患者不愿他人知悉的个人秘密[7]。第二类学者们主要是将患者隐私涉及的内容列举出来作为隐私的定义,认为患者隐私即患者个人病情、病因、诊断治疗信息等内容。第三类学者们认为患者隐私仅仅涉及患者在医疗机构接受医疗服务的过程中因诊疗服务的需要而被医务人员或医疗机构合法获悉而不能非法泄露的个人信息[8]。
因对患者隐私的定义不同,对于患者隐私权的定义也没有统一的说法。一般认为,患者隐私权是指法律赋予患者接受医疗服务时享有的权利,即要求医疗机构和医务人员对合法掌握的涉及患者个人隐私的各种秘密不得私自泄露,并排斥医疗机构及医务人员非法侵犯的权利[9]。
2 研究现状
隐私保护问题已经成为了全球范围内的研究热点[10]。目前国内外学者对于医疗隐私保护的相关研究主要集中在三个层面:医疗隐私保护的伦理、医疗隐私保护的法律法规和医疗隐私保护技术。
2.1 医疗隐私保护的伦理讨论
人们对隐私的关注度伴随着计算机技术和网络技术的发展逐渐加强,医疗隐私保护也成为社会关注的话题,许多学者从伦理层面进行探索和研究。
国外学者对于隐私保护提出不同的伦理辩护,大致可以分为两种类型:一种是基于绝对价值或内在价值的伦理辩护[11],另一种是基于相对价值或工具价值的伦理辩护[12]。前者主张隐私具有与一般人类权利相同的地位,认为隐私权是一种人类基本权利或自然权利,隐私具有绝对价值,后者主张隐私仅仅具有工具价值或相对价值,隐私权是人类基本权利中派生出来的权利。国内对于隐私保护的伦理思考相对滞后,较早提出对隐私保护进行伦理思考的是吕耀怀[13]教授,其对后期学者研究起到了启蒙的作用。王强芬指出使用医疗数据的过程必须符合自主性原则和透明化原则,即医疗数据地采集与处理必须取得患者的同意,尊重患者的意见,并且个人享有对自身信息的支配权,最大限度保障个体隐私不受侵害[14]。田海平等以大数据健康革命为例进行研究,指出大数据带来的伦理挑战迫使人们重新思考隐私、隐私权以及相关隐私伦理论域,凸显了隐私保护的伦理与数据共享的伦理以技术方式和价值方式在大数据时代同时呈现的任务[15]。吕耀怀等认为在大数据背景下,基因信息中的隐私问题更为复杂,亟需给予基因信息的伦理辩护和法律保护,基于对基因信息隐私的伦理导向和价值依据的讨论,提出在大数据时代的基因信息隐私伦理保护对策应包含一般和特殊两个层面[16]。
此外,部分学者审视了大数据时代引发的新的伦理挑战,寻求合理的解决之道。薛孚和唐凯麟分别从科技伦理视角和信息伦理视角出发,薛孚等指出大数据时代新的伦理挑战表现在数据挖掘、数据预测和更全面的监控等方面,并从技术性、社会性、现实性和个体性层面出发探究大数据时代隐私伦理问题的根源,提出提高数据用途透明度、寻求合理的伦理决策点、调整个人隐私观和搭建共同价值平台等对策[17]。唐凯麟等指出大数据技术引发的隐私伦理问题主要表现在个人身份信息、行为信息和偏好信息的泄露,并从主观、客观和社会三方面分析隐私伦理问题产生的原因,提出主观方面大数据应用主体应树立与时俱进的隐私观、大力开展道德教育,客观方面应完善大数据技术,社会方面应创建通用的道德标准、完善法律法规[18]。
2.2 医疗隐私保护法律法规研究
医疗隐私保护的一个重要环节就是建立健全相关法律法规,用科学的立法来防止隐私的泄露,用法律的手段来严惩故意泄露他人隐私的行为,为保障医疗隐私提供良好的法律环境基础。世界上诸多国家均从法律法规层面进行探索。美国是世界上最早提出隐私权理论的国家,1974年美国联邦颁布了《隐私法》用以保护公民的个人隐私权[19]。随后于 1996年颁布《健康保险便利及责任法》(简称《HIPPA法案》)和2009年颁布《经济和临床健康信息技术法》(简称《HITECH法案》),这两部法律都是针对医疗数据管理和医疗隐私保护的专门立法。德国于1977年制定《数据保护法》来保护个人隐私,在1990年《新数据保护法》中针对医疗数据保护作了相关说明。而英国在1998年制定《人权法案》将个人隐私作为一种重要的基本人权,并在之后颁布的多条政令中提到将患者隐私保护列为重要内容。西方国家在医疗隐私保护立法方面的研究较早且较为成熟,我国关于隐私保护的立法起步较晚,对个人医疗健康信息的隐私保护也只散见于《精神卫生法》、《护士管理办法》、《传染病防治法》、《职业病防治法》和《母婴保健法》等医疗卫生相关法律以及一些行政法规、司法解释之中。
众多学者集中探究国外医疗隐私保护立法进展,为我国隐私立法提出建议。具体地,刘恺通过探析美国患者隐私权法,针对我国目前缺少完整的患者隐私权法体系,患者隐私信息范围过于狭窄等问题提出了美国经验的立法启示[20]。秦宇辰等探究欧美国家的隐私保护立法情况,总结出发达国家患者隐私立法的基本立法保护原则,提出我国隐私立法还处于初级阶段,需要大力推进患者隐私保护立法工作,强调应系统谋划精细立法,关注立法的细节设计及可行性考量[21]。王少辉等对新西兰个人隐私保护制度和大数据时代新西兰立法保护最新发展进行分析,认为我国应加强立法,完备法律体系,在大数据时代应积极开展跨国交流,开辟隐私保护跨境合作渠道,同时促进国内各部门之间的隐私保护合作[22]。蔡宏伟等针对美国的HIPPA法案单独进行探讨,并总结出HIPAA法案适用范围广、隐私规则内容丰富、体系性强等优点,提出我国应明确立法法理和健康信息隐私侵权主体、增强立法的执行性,同时立法过程中要注意平衡隐私保护与社会利益之间的矛盾,赋予个人更多的自主权利[23]。
此外,栗丹等认为当前我国的隐私保护立法一直处于缺位状态,是因为立法准备的不足,对于信息隐私保护立法中的核心问题没有澄清,通过逐一对问题进行论证和分析,提出健康医疗隐私保护的是个人信息中的敏感信息,应明确个人信息权,采取公私并进、私法为主的保护模式,构建从国际法到国内法的综合保护框架[24]。
2.3 医疗隐私保护技术研究
隐私保护技术是最直接地保护个人医疗隐私不被泄露的方法,因此技术研究受到许多学者的关注,已有文献中涉及的隐私保护技术主要有匿名化技术、数据加密技术和访问控制三大类。
(1)匿名技术
匿名技术的目的就是切断发布的原始数据集中敏感属性和主体之间的关联关系,从而防止恶意用户挖掘敏感信息。
匿名化的概念最早由Samarati P和Sweeney L在 1998年提出[25]。随后,Sweeney等提出 K-匿名技术,其基本思想是对准标识符中的属性值进行泛化操作,保证数据表中任何一条记录的准标识符都有至少K-1条记录与此相同,无法区分,以此达到隐私保护的目的[26]。K-匿名模型是隐私匿名保护技术中最基本的一种模型,目前大多数匿名模型都是基于K-匿名技术发展而来的。由于K-匿名模型中未对敏感属性值进行约束,可能会出现同一等价类敏感属性相同,除此之外攻击者可以通过掌握足够的背景知识来获得敏感属性与主体之间的对应关系,即同质攻击和背景知识攻击。针对该模型的缺陷,Machanavajjhala等提出 l-diversity模型,考虑了对敏感属性值的约束,有效抵抗了同质攻击和背景知识攻击[27]。有学者借助 l-diversity模型思想提出P-Sensitive K匿名技术,在满足K-匿名的基础上,还实现要求每个等价类中至少出现P个不同的敏感属性值[28]。Li提出了t-closeness技术,该技术考虑了敏感属性值的分布问题,要求任何一组等价类中的敏感值分布与该属性的全局分布差异不能超过预先设定的阈值,分布尽可能的相近,该模型有效地抵抗了偏态攻击和近似攻击[29]。如表1所示。
此外,还有部分学者从隐私保护需要满足个性化需求的角度进行研究,提出了个性化的匿名模型。文献[31]和文献[32]是分别从个性化匿名原则中面向个人机制和面向敏感值机制的视角出发,根据个人的喜好和敏感属性值的敏感程度设置不同的约束。在保护医疗信息的过程中,匿名化技术主要是对信息的属性值进行抑制,使不法分子无法推测出医疗记录与患者之间对应关系,从而实现对隐私的保护。
表1 早期匿名模型抵御能力[30]Tab.1 Early anonymous model resistance
(2)数据加密技术
数据加密技术主要是采取密码学中的相关算法[33],对信息进行加密处理,以此来防止隐私的泄露。传统的数据加密技术大体可以分为三类,即对称加密、非对称加密和单向加密技术。对称加密技术是指一组加密信息的传输者和接收者的加密方式、解密方式是一样的,秘钥相同。DES算法是最常见的对称加密算法,最早是由美国IBM公司提出,当时主要是用来保护政府机构的电子数据。虽然DES算法的提出是密码学的一个创世之举,但是存在明显的缺陷,DES算法秘钥较短,安全性低。比利时密码学家Joan Daemen和Vincent Rijmen设计出新的算法即Rijndael加密法,该算法被选为AES算法。AES算法密钥长度设计更加灵活,并且运行速度很快,实现效率高,安全性更强,逐渐取代了DES算法,成为对称加密技术中一种主流算法。非对称加密技术是指传输者与接受者的加密方式、解密方式不同,秘钥由公开秘钥和私有秘钥共同组成,分别用于加密和解密,最流行的算法就是 Rivet、Shamir、Adelman等人提出的RSA算法[34]。相较于对称加密技术,非对称加密技术能更好地实现对数据的加密[35]。单向加密技术又称不可逆加密技术,整个加密过程中不需要使用密钥,系统直接通过加密算法将明文转换成密文。专家学者们后期对基本算法和秘钥管理进行改进和优化。肖克芝等人提出一种简单的DES密钥延长做法,该方法使用两组各64位的密钥,分别独立地生成各自的子密钥,并且加密过程中使用不同密钥产生的子密钥,该方法使密钥长度由原来的56位扩展到112位,增强了DES算法抵抗暴力攻击的能力[36]。张尧等人在确保加密算法安全的前提下,对AES算法的轮数进行简化,并利用查表法对算法的轮函数进行了优化,提出一种实现无线传感网络WSN(wireless sensor networks)安全通信的轻量级高加密标准LAES(light weight,AES)算法,该算法运用资源低且执行效率高[37]。
(3)访问控制
数据匿名化和加密技术虽然能够在一定程度保护医疗隐私不被泄露,但是也会降低数据的准确性,在医疗服务中会影响患者的救治。许多研究者开始关注基于访问控制的隐私保护技术,通过限制用户访问的权限和访问资源来保护医疗隐私,防止用户越权使用数据。有学者提出基于角色的访问控制模型RABC(Role-Based Access Control),将“角色”这一概念引入控制模型,将权限赋予角色,再将预先定义的角色赋予用户,在用户与权限中加入角色,将更加灵活更利于系统的管理[38]。霍成义等基于RABC模型提出面向患者隐私数据保护的访问控制模型 POPPAC(Patient-Oriented Privacy Preserving Access Control Model for HIS),该模型允许患者自身参与数据访问权限的授予,即患者可根据自己的隐私偏好定义个性化的访问控制策略,决定敏感数据的访问权限[39]。为了实现访问控制的自主性和适应性,许多学者将风险引入访问控制模型,通过计算风险的大小授予用户不同程度的权限,并根据风险的变化自动调整用户访问的权限。JASON[40]计划办公室是较早将风险引入访问控制研究,并给出风险量化和风险配额相关概念,以此思想为基础,许多学者展开探索。McGraw等提出了一种风险自适应的访问控制(RAdAC)机制,通过计算访问的风险大小和访问的需求程度来判定是否允许访问,只有当访问的需求程度大于风险时用户才可访问数据[41]。Wang等则基于RAdAC模型的思想,提出一种用于医疗系统的风险访问控制模型,根据医生的工作目标和访问的医疗记录之间的相关性来判断风险,当访问与工作目标相关的医疗记录时产生低风险,访问不相关的医疗记录时产生高风险[42]。惠榛等则是基于 Wang提出的敌手模型进行改进,考虑了医生伪造工作目标的情况,并使用信息熵和 EM算法量化医生侵犯隐私造成的风险,实现能够自动化地配置和适应性地调整用户的控制能力,同时保证特殊情况下能够正常访问[43]。
3 研究现状的评述
(1)研究数量增多,但持续性不够
通过查找和统计文献可以发现,国外对隐私问题的研究较早,且较为成熟,国内在该领域的研究起步比较晚。近几年关于隐私保护的文献数量迅速增多,表明越来越多的专家学者开始关注隐私问题,也反映了当前人们对隐私保护的重视。虽然当前有较多学者涉足隐私问题进行研究,但是大多都对研究缺乏持续性关注,且研究不够深入。
(2)医疗隐私保护伦理讨论、法律法规和技术研究依然欠缺
通过制定法律法规来保护隐私一直是世界各国关注的热点话题,许多国家均从法律层面进行一系列探索研究,取得了显著的成果。以美国为代表的一些发达国家相继颁布隐私保护法,逐渐建立和完善相关法律法规,形成成熟的法律体系。与国外隐私保护立法相比,国内立法起步较晚,且立法推进工作存在明显的滞后性。目前我国对于隐私的法律保护散见在其他法律之中,缺乏对隐私保护的单独立法。日后应大力推进隐私保护立法工作,特别是加强对医疗隐私的法律保护,努力构建完整、全面、协调的立法体系。立法准备不足。应厘清隐私保护范围,合理确定法律适用范围和立法原则,明确立法保护模式,确保科学立法。
技术层面的众多研究中,隐私保护技术主要集中在数据匿名、数据加密和访问控制等,各项技术一直在不断改善,能够有效防止数据的泄露。但是衍生出来的众多隐私保护模型,多是针对整个领域通用,缺乏专门针对医疗隐私保护技术的研究,未来应加强对医疗隐私保护技术的研究。
从对文献的梳理可以发现,国内外现有研究主要集中于法律和技术两个领域,从伦理学视角对隐私保护问题的研究较少,隐私保护问题不能仅仅依靠法律的强制性手段轻易解决,也不能完全通过技术手段彻底解决。往后学者们应重视对隐私保护伦理层面的研究。
4 结论
医疗隐私保护已经引起社会的广泛关注,学术界纷纷从不同视角对隐私问题进行探索研究,通过梳理和总结相关文献资料,可以发现现有的隐私保护方法分别基于伦理、法律法规和技术等几个方面展开,目前已取得了一定的成效。然而随着人们对隐私保护需求的提高,大数据技术等广泛应用,医疗隐私保护迎来新的挑战,因此仍然需要不断完善相关法律法规、制定通用的伦理准则,研究更加合理的技术算法,形成包含法律法规、政策规范、伦理规范和技术保护为一体的社会治理体系。
