居民健康档案数据整合与开发利用中的隐私安全探讨

2021-03-06王晓君周翔宇

卫生软科学 2021年8期

王晓君，周翔宇

(邯郸市中心医院，河北邯郸 056008)

健康档案是民众健康状况的晴雨表，居民健康数据的整合与开发利用不仅可对全民健康状况进行实时管理和分析，亦可对国家的卫生走向进行有效预测，助力健康中国早日到来。近年来，随着大数据在健康档案领域的普及和应用，极大地推动了档案事业和医疗行业的发展。但互联网这把双刃剑因开放性和复杂性使民众的健康隐私面临极大挑战。如何平衡好健康档案的开发利用与健康数据的隐私安全，是健康事业长远发展、健康中国由蓝图变为实景的必经之途。因此，本文利用万方学术、CNKI等数据库，通过系统的文献回顾，并结合工作实际，从居民健康档案的全生命周期视角入手，针对健康数据采集、整合、初次利用和再次利用等不同环节的泄露风险提出相应隐私保护建议，以期为居民健康数据整合和利用中的信息安全与隐私保护提供策略支持。

1 “互联网+居民健康档案”数据整合与开发利用的意义

“互联网+居民健康档案”数据整合与开发利用是将涵盖民众个体信息、健康状况、诊疗记录和卫生服务等健康信息进行数字化、网络化管理，并利用大数据为个体疾病诊疗、民众健康状况、未来医疗走向，以及卫生决策研究提供可靠的数据支持[1]。

具体来说，居民健康档案的数据整合与开发利用，一是有助于民众个体提高自我预防保健和主动识别健康危险因素的能力，并为各阶段疾病的诊治提供病史依据。二是有助于卫生管理者及时掌握民众健康状况、卫生服务工作的质量和效果，以及医疗费用负担，并为疾病分析研究、卫生政策制定和预防突发公共卫生事件提供科学的决策依据。三是健康档案数据资源的整合与开发利用，在很大程度上，解决了健康档案数据无序性的问题，通过数据整合、系统管理和开发利用，让健康档案的数据共享与利用更具现实意义[2]。当前，居民健康数据共享利用已成为各方达成的共识，75%的民众愿意提供个人健康医疗数据用于研发和公共卫生，但其前提是隐私保护和数据安全[3]。

2 健康数据整合与开发利用中的隐私安全问题

当前“健康数据隐私”并无明确定义，健康数据隐私实际上是隐私概念在医疗健康领域的具体化。从宽泛意义上来讲，健康数据隐私是自然人身体健康状况及医疗行为的全部信息[4]。其主要来自患者就医、临床科研、穿戴设备等方面，具有多源异构的特性，而健康数据整合与开发利用的整个过程都会涉及健康数据隐私的问题[5]。

2.1 院外阶段：健康管理与数据整合

健康档案的数据整合与开发利用有助于提高民众整体健康水平，减少大病或大规模疾病爆发的概率。在“互联网+”浪潮的不断推进下，健康档案管理工作已实现信息化、移动化、网络化，并将成为“治末病”的主要预防途径之一。也就是通过健康档案系统地掌握民众个体的健康状况，及时发现健康问题、筛选出高危人群并实施有针对性的防治措施，从而达到预防为主和健康促进的目的。但是健康档案采集整合过程的多个节点都涉及隐私安全。一是数据更新的过程中，民众需对自己的数据进行及时补充更新。例如：对基因数据、代谢数据和性状数据等进行及时上传与完善，其间因疏忽和失误导致数据意外泄露事件时有发生[6]。二是数据管理的过程中，健康档案数据被未授权用户非法使用、恶意获取、非法转移，以及公开发布的健康数据被过度识别和攻击等致使健康数据泄露，危及患者健康隐私。三是数据传输过程中，健康管理类可穿戴设备、慢性病管理类监测设备，以及适用于远程医疗的监控设备等移动医疗设备具有汇总、分析患者数据的功能，甚至还会关联暴露患者的其他信息，而当前国内对此类设备的数据采集和利用并无具体规定。

2.2 院前、院中诊疗阶段：健康数据的初利用

居民健康数据的初利用是指将健康信息直接用于个体的疾病诊断和治疗等医疗服务。如：在“互联网+健康档案”的大背景下，患者通过在线咨询的方式就可以向专业医生寻求医疗帮助。在就医诊疗的过程中，医患之间的数据传输或者不同医疗机构之间的数据共享，都需要将患者的病理学诊断、影像学诊断等资料通过互联网进行传送，传送中数据极易受到拦截、窃听，甚至篡改[7]。加之患者会上传一些个人信息，这些碎片信息单独看毫无价值，但是在大数据的背景下，随着数据规模的剧增，即使对个人关键敏感信息进行匿名化处理，通过对数据集的校验与患者提供的其他信息关联，仍可准确定位出该信息的主人，暴露其身份信息及个人隐私[8，9]。

2.3 院后阶段：科研应用及健康数据再利用

健康数据再利用环节主要是指将个人健康信息用于为个体提供直接医疗服务之外的领域，包括疾病研究、公共卫生、卫生服务质量测评和商业性质的活动等[10]。再利用环节是健康隐私泄露的风险点，也是健康隐私保护的关键点。在健康数据再利用的过程中，个人信息是否被泄漏、健康隐私是否得到保护，以及健康信息用于何途是民众最关心，也是保障个人健康数据安全的最重要的3个节点。然而就健康数据的管理与应用而言，民众并没有足够地参与其中。健康数据的权属拥有者与持有者一开始就是分离的，并且两者之间没有公认可行的界定和管理方法[3]。比如：健康数据的权属是患者，数据的持有者和使用者通常却不止患者。如果数据持有方未经充分授权，在去除姓名和身份信息后未经脱敏处理就对医疗数据进行分析挖掘。那么当某组数据与另一组数据连在一起时，则有暴露个人隐私的危险。其中含有基因数据时隐私安全威胁会更明显[11]。

3 对策建议

健康数据整合与开发利用有助于对全民健康状况进行实时管理，并对国家卫生走向进行有效预测。随着社会的发展，民众对医疗健康服务的需求越来越高，建立“互联网+健康档案”，整合个人健康信息，实现健康数据的开发利用是时代发展的必然要求。针对其过程管理中可能出现的隐私安全问题，本文拟从监管机构、范围界定、法律支持、技术保障和民众参与等层面提出对策建议。

3.1 设置独立监管机构

通过对国外健康档案的研究发现，大多数国家都设立专门的医疗健康信息管理机构，此类机构具有对健康隐私保护的调查、调解和执法职责，并且独立运行不受其他部门管辖控制，这样既可以最大限度地保护健康隐私，也利于其合理高效利用。如：英国二次利用服务体系(Secondary Use Service)、加拿大全民数据库(Population Data)等，在对系统的管理和运行上都设有独立机构对其进行管理。同时为了保证客观中立性，其管理部门不能进行与卫生健康相关的研究[12]。当前，我国电子健康信息管理工作由卫生健康委员会牵头，这种隐私保护和安全监管双肩挑的模式有待改进。基于我国国情和当下医改进程，我国需要整合已有管理机构，设置“总裁判”，或由同级政府或相关部门监管卫生健康委员会，同时建立监管体系，完善监管细则。

3.2 明确数据利用范围

居民健康数据包括个人身份、病情诊断、治疗方案、财务信息等多重内容，健康数据安全利用的前提是明确数据利用、信息安全和隐私保护之间的边界。首先需要明确定义健康数据，界定健康数据整合与开发利用过程中的保护范围、保存年限、使用方式，以及个人信息收集和再使用的流程。另外对不同类型的健康数据采取不同级别的防护措施。如：建立“分级授权、分类应用、权责一致”的管理制度，并具体到个人身份信息编码转换，财务信息禁止披露等细节。同时还需进一步明确健康数据的所有权和使用权。居民是健康数据的所有者，数据采集和存储机构拥有个体知情同意条件下的保管权和使用权。当出于公共利益开展统计或学术研究时，要对数据进行封装、分离、取出个人标识信息等前期处理。

3.3 加强法律法规保护

在应对健康数据安全建设方面，各国都在不断强化医疗数据隐私的法律保护。澳大利亚、英国、加拿大、美国等颁布了专门的法律法规，明确健康信息隐私保护标准、实施指南，以及医疗数据安全等级和脱密方式，旨在加强对健康数据和健康隐私的保护。我国于2018年5月颁布《信息安全技术个人信息安全规范》，将医疗相关数据定义为个人敏感数据。但规范中没有提出专门针对健康数据标识化处理的条款，以指导数据收集方如何生成可以满足条件的脱敏数据[11]。在相关安全规范中，虽明确要求收集和使用健康数据前需获得个人知情同意(并列出3种除外情况)。但在整体立法保护的基础上，缺乏针对健康档案隐私保护的专门法律法规。因此在具体实施中，应加强前端控制，细化健康数据规划、收集、存储、利用、销毁等全生命周期的隐私安全保护举措和法律支持，提高立法的可操作性和违法的犯罪成本。

3.4 平衡数据利用与隐私安全

数据利用是健康档案资源潜在价值得以实现的过程。健康隐私是个人对自身健康数据的收集、使用和披露做出选择的权利；数据利用与隐私保护之间的博弈是健康数据研究和开发利用的焦点问题。因此，相关人员应积极借助数据扰乱、数据加密、数据匿名、访问控制等信息安全技术保障数据安全。如：利用豁免权、例外等技术手段，以最小化的原则披露健康数据，用最大化的原则挖掘和利用健康信息。通过设置N次失败获取数据后设备自动删除，或生物特征识别技术等方案来解决隐私泄露问题[13]。对采集和暴露个人行踪的社交媒体、移动客户端、GPS等要加强技术支持来避免数据身份人信息被逆向识别，让信息技术成为保护健康隐私安全的重要屏障。除此之外，多措并举强化物理、行政等措施以保护健康数据的安全性、机密性和完整性。

3.5 引导民众参与过程管理

开放的“互联网+”时代，单纯依赖技术革新、物理屏障和政策保护来实现个人健康隐私保护是不够的。未来医疗将是全民主动参与的时代，每个人都是数据的提供者、使用者和受益者。因此要普及健康隐私保护的安全技能，使民众掌握采集数据的内容、时间与使用范围，赋予民众充分的知情选择权，尽量降低健康数据意外泄露的概率。同时还要利用宣教来提升民众的防范意识，以及主动管理、维护健康档案的意识，给予个人对健康隐私的掌控力。如：及时设置更改电子健康档案隐私访问权限，实时监控电子健康档案访问及利用情况，对于不愿用于科研或公共健康方面的个人健康信息可在系统中做出设置或选择。多方着手有效保护个人健康隐私，以期实现“互联网+”背景下健康数据整合与开发利用中的隐私安全和保护。