李晓蕾，王 猛，刘钰周

（济宁医学院医学信息工程学院，日照 276826）

0 引言

新型冠状病毒肺炎疫情让国内医疗信息化系统、远程诊断等互联网医疗健康相关领域再次激活，医疗数据量呈现“爆炸式”增长的趋势。据统计，2020 年全球的医疗数据量高达35ZB［1］。医疗数据包括门诊住院记录、药物临床试验研究数据、人类相关基因组学、代谢、胚胎组学、疾病监测数据等［2］，涉及范围广而复杂，具有数据量巨大、数据结构复杂、动态化、隐私性等特点。医疗数据对人类医学发展研究工作至关重要，充分利用医疗信息资源会对人类医疗健康发展创造极大的价值。但频繁发生的医疗信息泄露事件警示公众，信息泄露的途径愈加复杂化，迅猛发展的黑客技术严重威胁到医疗隐私数据安全。例如美国三军健康管理处数据泄露事件［3］作为最大的数据泄露事件，造成数亿美元的损失。因此，本文从医疗隐私信息产生的各阶段生命周期分析泄露途径和社会影响，从法律法规完善、提升社会群体医疗隐私安全意识、加强医疗隐私信息安全防护技术等角度进行探讨和研究，并给出相关建议。

1 医疗大数据构成及其生命周期

医疗大数据主要包括：生物大数据、临床大数据、医疗机构大数据、健康大数据［4］。生物大数据主要包括基因组学、转录组学、蛋白质组学、代谢组学等生物学数据，其数据特点为：高价值、数据量大、数据类型多样等［5］。临床大数据主要产生于患者临床诊疗的过程中，包括但不限于：患者个人身体指标数据、姓名、年龄、就诊记录等信息，其数据具有隐私性的特点。医疗机构大数据主要产生于各医疗单位和组织，包括医院消费记录、药物、器材、医疗工作者等信息。健康大数据主要来源于现代化的医疗产品，例如：运动手环等可穿戴设备、健康检测APP 等，它们可以实时监测用户的身体指标信息、用户的浏览记录，甚至是使用者的位置信息，等等。医疗大数据具有完整的生命周期，包括数据采集、存储、处理、共享、销毁五大阶段，具有阶段性的数据特征［4］。

1.1 数据采集

医疗大数据的采集环节主要分为主动采集和被动采集两种方式，信息主要来源于用户和医疗机构［6］。主动采集主要指用户通过互联网或者医疗APP 进行的个人信息登记；或者用户在使用可穿戴医疗设备时，通过传感器采集的个人识别数据，如身高、体重、血压、心率等生理数据［7］。这些数据大都由设备供应商采集并存储，是隐私信息泄露的重灾区。被动采集主要是医疗机构在医疗工作过程中产生的大量医疗信息，包括医院临床诊断的患者信息、医保信息等各类信息。攻击者可以通过钓鱼攻击、篡改上传服务器地址、篡改数据定向等方式在数据采集过程中截获采集到的数据。

1.2 数据存储

存储量如此之大的数据，若保存不当很容易导致信息泄露、篡改等。而医疗机构往往关注的是医疗行业本身，在信息技术特别是隐私信息的保护方面有很大的欠缺。攻击者一般会采取直接破坏性攻击医疗信息系统，利用拒绝服务攻击或信息炸弹等方式使医疗系统瘫痪，或者通过植入病毒程序、后门程序等方式进行数据监听，以此获取大量医疗隐私数据［8］。另外，除了本地存储，有些医疗大数据还被存储在云端。云端提供给用户访问权限和资源管理的服务，由于身份认证、密钥管理、权限管理等访问控制措施方面的不完善，也会导致信息的泄露［9］。

1.3 数据处理

数据处理是指从海量数据中提取所需信息，运用高精度算法分析数据，为医学研究提供有价值的信息、进行数据加工和分析的过程。医疗数据的处理过程中，数据访问者的权限安排不合理或者数据脱敏处理不当，都会导致数据应用人员访问到原始数据，使得数据泄露风险增加。其次，通过高精度算法违规挖掘信息、违规备份信息，此类违规行为都会造成医疗数据泄露的严重后果。另外，在医疗数据应用处理的过程中，也极易因为工作人员的操作不当而导致数据泄露。此外，在数据处理过程中未能及时地进行数据检查、更新系统，也将导致医疗数据泄露危险系数升高［10］。

1.4 数据共享

存储在不同医疗机构的数据通过数据共享才会产生更大的价值。但在网络环境下，数据共享带来便利的同时也给患者带来了风险。在数据传输的过程中，攻击者往往采取数据监听的方式窃取数据。当患者的数据存储在云平台上，由于数据脱敏不完善又或者脱敏技术过于简单，也会有很高的数据泄露风险。另外在大数据的查询、访问过程中，不严格的权限访问、不合规的存储使用都将导致数据泄露。

1.5 数据销毁

数据一旦不再进行预期目的的分析、长期没有任何访问需求、超过生存时间戳以及存储冗余都应该进行数据销毁。数据销毁最彻底的方式是将存储数据的硬件存储介质通过粉碎或焚烧进行销毁，但造成了一定的浪费，所以基本上没有得到广泛应用。如果仅仅是将数据删除或者存储介质格式化，很容易被攻击者利用专业设备和技术对数据进行恢复和还原，从而造成隐私数据泄露。在云环境下，用户失去了对数据的物理存储介质的控制权，无法保证数据存储的副本同时也被删除，导致传统删除方法无法满足大数据安全的要求。如果存储在云端的数据删除不彻底，极有可能使敏感数据被违规恢复，从而导致隐私信息面临泄露的风险。

综合而言，医疗数据具有规模大、增长速度快、容量大、价值潜力不可估量的特点。而在医疗信息生命周期从数据产生到销毁之间，由于医疗信息安全的保护性不强及网络安全技术不到位，极易导致信息泄露。

2 医疗隐私泄露事件原因分析

2.1 医疗数据的高价值与法律保护之间的失衡

信息时代医疗领域机构之间的信息共享，已经极大地推动了医疗科学的发展，也为人们提供了更优质的医疗服务。但医疗数据因自身的高价值也成为不法分子的觊觎目标，窃取信息的第三方可以从中获得很大的利益。尤其是信息的二次拼接利用，即将海量的医疗数据通过一定算法进行数据筛选拼接，从而得出更有价值的信息［11］。患者的隐私信息已然成为最有价值的“商品”，使得医院信息系统成为“黑客”攻击的重要目标，造成大量医疗数据的泄露。通过制定法律法规来保护隐私一直是世界各国关注的热点问题，与国外隐私保护立法相比，国内立法起步较晚，且立法推进工作存在明显的滞后性。目前我国对于隐私的法律保护散见于其他法律之中，缺乏对隐私保护的单独立法［12］。

2.2 医疗领域工作者信息安全保护意识欠缺

Verizon 发布的一篇网络安全报告显示，在全世界范围内，医疗行业是唯一一个内部威胁高于外部威胁的行业，内部从业人员对医疗数据的泄漏达到了惊人的程度。医疗领域工作者在工作过程中可以直接接触患者的隐私信息，而由于其自身信息安全保护意识和法律意识欠缺，造成医疗隐私数据有意或无意的被泄露。如随手拍摄、转发涉及患者个人隐私的信息；随意收集、转卖患者信息；随意放置、丢弃信息登记本等纸质材料等［13］。另外，由于信息安全保护意识欠缺，使得医院内信息系统、PC机、自助服务机、无线网络等的防护措施不完善而容易受到黑客攻击，同时工作人员也可能会受到社会工程学攻击，导致医疗数据的泄露［14］。

2.3 公民个人信息防护意识的缺乏

根据调研分析，公民对于医疗信息泄露事件是担忧的，并且认为泄露的主要原因是商业利益的诱惑［15］。但是公民并不十分清楚如何从个人角度降低泄露医疗信息的风险。患者往往因缺乏辨识能力而轻信网上的诊疗机构，从而在网站或APP 上留下身份证号、姓名等私人信息，或将更多的身体指标信息盲目投医。而这些不正当盈利机构会从网站或APP 的存储云端，收集到用户上传的数据，并将各处收集的数据进行信息拼接、筛选，最终患者的大量信息被挖掘出来，造成患者“半透明”地暴露于互联网中。尤其是老年人群体的个人信息保护意识和防骗防诈意识更为欠缺，某些健康保健诈骗机构通过电话营销的方式骗取老年人信任，从而获取老年人的隐私信息并以此牟利。

2.4 医疗机构网络建设安全防范系数低

开放的网络环境和相对脆弱的安全防御，使医疗机构成为了入侵者的乐园。入侵者可以较轻易地进入医院网络，访问、盗取和破坏敏感数据［16］。开放或半开放的网络环境是医疗行业的典型特征，很少有行业像医疗行业一样是一个非安全的开放环境。如医生的工作电脑几乎处于人人可以接触的开放环境，大量不安全的自助服务设备使入侵者有机可乘，广泛使用的无线网络也为入侵者进入医院网络提供了便利。面对相对开放的网络环境，医疗机构的安全防御技术却相对脆弱。目前医疗机构内部使用最多的安全防御技术是防火墙和入侵检测系统，但这两项技术都是基于已知的病毒或攻击，难以抵御新型病毒的入侵和花样百出的黑客攻击。

2.5 新型电子医疗产品带来安全隐患

智能腕表、运动手环等新型可穿戴电子产品以及新兴的各类保健智能设备在为用户提供实时身体指标监控和优质医疗服务的同时，也增加了用户个人信息和医疗数据的泄露风险。这些设备不仅能收集用户的基本信息，而且还能采集实时的客观生命体信息和主观输入的事件信息。这些有关个人隐私的信息容易受到黑客的攻击，一旦用户隐私受到攻击，就有可能威胁到用户的生命健康。另外，这些设备采集的信息大都存储在设备厂商的云服务器上，而设备厂商的安全防护不足或存在安全漏洞将使得攻击者轻易盗取用户的云端信息，导致大量用户医疗数据的泄露。

2.6 AAPPPP过度索取敏感权限

当下手机APP 越权过度收集手机用户信息，并导致侵权、信息泄露事件屡见不鲜。用户在安装完APP 登录时，第一步往往需要签订同意该APP 权限的协议，其中名词过于专业化、通过隐含信息过度索取权限。如“您提供的数据与资料将授予本运营商独家永久使用权”。用户往往不会详细阅读协议而盲目选择同意，将自己的许多个人信息泄露。或者APP 在安装时大都会出现“是否允许访问您的位置”提示，这就是为了收集用户的活动轨迹，从而了解用户的行为习惯。又或者APP 要求获取发送短信、访问通讯录、访问通话记录等与应用无关的权限，而这些正是用户要保护的隐私，如果APP获取该权限就可能造成隐私泄露。据统计，2020 年3 月中旬至今，工信部等相关部门前后22 次通报或下架违规收集个人信息的APP，涉及超1100款APP。

3 医疗隐私信息保护对策及建议

3.1 医疗隐私信息安全保护提供法律保障

目前国内关于个人健康医疗信息的保护在法律层面还未有专门立法，健康医疗领域对于个人信息的保护要求散见于法律、部委/地方性法规和规章当中。具体到医疗卫生领域相关法律中，《精神卫生法》《医师法》《护士管理办法》等法律和规章中都规定了医护工作者对于个人健康信息隐私保护的责任义务。但这些法律规范只是对医疗机构内部人员进行了一定的约束，对于泄露患者隐私的个人和机构进行一定力度的处罚，而对于外部的威胁不能起到法律的震慑作用。2021 年11 月1 日开始实施的《个人信息保护法》是我国首部针对个人信息保护方面的专门法律，这部法律的出台，使得个人信息保护更加体系化，对个人信息的处理、跨境提供、个人的权利、处理者的义务、个人信息保护部门的职责以及法律责任进行了系统的规定。自此，我国形成了以《网络安全法》《数据安全法》《个人信息保护法》为核心的网络法律体系，为数据应用和个人信息权益保护提供了基础制度保障。但由于我国《个人信息保护法》实施时间不长，健康医疗领域尚未形成较为完善的隐私保护管理实践［17］。

3.2 提升公民安全保护意识及能力

近些年由于公民安全保护意识不到位、个人信息安全防护能力欠缺而导致信息泄露的事件时有发生。政府部门应当通过各种渠道加大对个人信息保护的法律知识宣传、对公民进行个人信息犯罪的警示教育。公民在日常生活中也要提高个人信息保护意识：在网站或APP 上谨慎填写和上传个人信息、加强对自己的账号和密码的保护、定期对手机和电脑进行木马病毒查杀、不随意连接公共场所Wi-Fi、谨慎设置手机APP的权限等。

3.3 增强医疗相关行业工作人员信息安全意识

医疗行业要加强对从业人员法律意识的培养，严格控制数据的使用权限和遵循最小范围使用原则。医疗机构、疾控部门等要重视数据安全风险评估的工作，事前有效预防安全风险［18］。另外，信息安全培训计划应严格执行并落实到位。医药领域的互联网企业要切实提高数据安全意识，进行有效的数据安全管理，积极维护系统和更新升级，防止黑客恶意攻击。要有严格的数据分级机制，从信息产生、存储、传输、访问、销毁等诸多环节要有完备的安全运营体系，充分保证数据完整性和可靠性。还应依照相关法律法规，制定行业保密协议，防止内部人员泄漏和贩卖医疗电子数据。

3.4 加强信息安全防护技术

医疗大数据生命周期中的各个阶段，都存在隐私数据泄露的风险，需要采取相应的技术手段来应对。医疗大数据全生命周期保护技术如图1所示。在数据采集阶段通过匿名化技术来隐藏数据与个体之间的联系，通过差分隐私技术在保留统计学特征的前提下去除个体特征以保护用户隐私，通过同态加密技术对某些数据字段进行加密来防止敏感数据泄露［19］；在数据存储阶段主要使用加密存储技术来保证数据即使被偷窥也不泄露其中蕴含的信息，使用审计技术来验证数据完整性以确保数据不被篡改；在数据处理阶段，通过访问控制技术来确保用户对敏感数据具有“最小权限的原则”可以避免和防止大多数对数据库有意或无意的侵害，通过隐私数据挖掘保护技术可以在不侵犯数据所有者隐私的情况下发现数据中隐含的知识；在数据共享阶段主要通过加密技术、扰乱技术和访问控制技术来进行隐私数据的保护；在数据销毁阶段主要通过对数据存储介质的物理销毁和数据的多次覆写两种方式来完成。面对日益增加的数据量和大规模的数据融合应用需求，逐渐成熟的区块链、隐私计算等新型数据保护技术是未来个人隐私保护发展的新方向。

图1 医疗大数据全生命周期保护模型

3.5 推进医疗健康行业信息安全监管

除国家部门进行相关的法律规定，政府及各监管部门都应协调各方，为保护公民医疗隐私信息进行整个行业的监管，打击窃取公民医疗隐私信息谋取暴利的违法行为。根据相关研究建议，为全民进行公民医疗隐私信息的保护，对健康大数据信息安全进行等级分类［20］，要求信息访问者为实名制。当发现信息泄露事件时，使查找访问者变得有迹可循，方便追寻信息泄露之处。同时整个医疗信息安全行业也应设置严格的惩罚制度，对进行不合法的信息泄露行为的个体和组织追究相应责任。同时培养相关医疗信息技术人才，各医疗组织机构设置相应信息管理部门，专门进行信息筛查工作，使每个医疗组织的医疗信息来源透明、去向安全，打击贩卖信息谋取利益的行为。

4 结语

在信息技术的迅猛发展下医疗健康领域将会发生重大的变革与发展，这既是机遇也是挑战。医疗健康大数据的价值是一把双刃剑，合理分析利用将极大促进人类医疗健康卫生领域的发展，造福人类。倘若医疗隐私信息安全性无法得到保障，将对社会各行各业带来很大的风险和冲击。面对医疗隐私信息安全问题，本文从医疗隐私数据的构成及数据生命周期进行分析，探讨信息泄露的风险和途径，并从多个层面探讨了医疗大数据隐私保护的方法和措施，以期更好地促进医疗大数据隐私保护。