王慶飛 代夢含 方 翔

（1.湖北醫(yī)藥學(xué)院公共衛(wèi)生與管理學(xué)院，湖北 十堰 442000；2.十堰市人民醫(yī)院麻醉科，湖北 十堰 442000）

0 引言

隨著信息技術(shù)的快速發(fā)展，以及醫(yī)藥衛(wèi)生體制的深化推進(jìn)，電子病歷作為醫(yī)療衛(wèi)生信息的主要載體，因其存儲量大、節(jié)省資源、查詢方便、提高診療工作效率等優(yōu)點(diǎn)，已在醫(yī)院里得到大量推廣和使用，電子病歷將逐步代替?zhèn)鹘y(tǒng)的紙質(zhì)病歷已成為一種趨勢。

與此同時，電子病歷的快速發(fā)展也帶來了病人隱私容易泄露的問題，通過電子病歷導(dǎo)致的醫(yī)療隱私泄露途徑主要有兩個方面：從醫(yī)院內(nèi)部信息系統(tǒng)泄露信息，因電子病歷的易共享性，患者信息很容易被泄露出去，有的地方甚至出現(xiàn)醫(yī)務(wù)工作人員出賣病人隱私數(shù)據(jù)的現(xiàn)象；另外，在電子病歷發(fā)布過程中也容易造成隱私泄露，如醫(yī)院為了對病人數(shù)據(jù)做統(tǒng)計(jì)，在將病人信息發(fā)布給外部醫(yī)療中心的過程中，如果沒有對這些信息做隱私保護(hù)，則病人信息會完全暴露出去，包括病人的敏感患病信息。目前，電子病歷的隱私泄露問題越來越受到重視和關(guān)注，本文在對電子病歷個人隱私保護(hù)方法研究基礎(chǔ)上，從醫(yī)院內(nèi)部信息系統(tǒng)和電子病歷發(fā)布這兩個方面對醫(yī)療信息隱私保護(hù)機(jī)制研究現(xiàn)狀進(jìn)行一些探討。

1 醫(yī)院信息系統(tǒng)隱私保護(hù)機(jī)制

醫(yī)院醫(yī)療信息的隱私保護(hù)主要從法律法規(guī)、管理機(jī)制和技術(shù)手段幾個方面進(jìn)行保護(hù)。

1.1 法律法規(guī)

國外 歐美等發(fā)達(dá)國家已建立了比較完善的法律法規(guī)制度來加強(qiáng)醫(yī)療信息隱私保護(hù)。1996年美國政府頒布了《健康保險(xiǎn)可攜性及責(zé)任性法案》來加強(qiáng)電子病歷的隱私保護(hù)和信息安全方面的監(jiān)管，此法案對電子病歷利益相關(guān)者的義務(wù)、權(quán)利和法律責(zé)任做出了嚴(yán)格界定。2003年美國政府又頒布了《個人可識別健康信息的隱私標(biāo)準(zhǔn)》，進(jìn)一步加強(qiáng)醫(yī)療信息隱私保護(hù)。歐盟也對醫(yī)療信息交換過程中安全和隱私問題給與了高度關(guān)注，建立了覆蓋全歐盟范圍的數(shù)字醫(yī)療體系。英國在1984年頒布的《數(shù)據(jù)保護(hù)法》中規(guī)定，獲取個人信息必須征得個人同意，持有個人信息的個人或機(jī)構(gòu)必須具有合法性，在使用個人信息時需采取安全措施[1]。

國內(nèi) 目前我國對電子病歷隱私保護(hù)的政策法規(guī)相對來說略顯滯后，2000年左右我國開始推廣使用電子病歷，但未對其使用的規(guī)范性和法律作用做統(tǒng)一的規(guī)定，只有少數(shù)法律條文有零星涉及，如《執(zhí)業(yè)醫(yī)師法》《護(hù)士管理辦法》《醫(yī)務(wù)人員醫(yī)德規(guī)范及其實(shí)施辦法》等。到2010年，又相繼出臺《電子病歷基本規(guī)范（試行）》《電子病歷基本架構(gòu)與數(shù)據(jù)標(biāo)準(zhǔn)（試行）》《病歷書寫基本規(guī)范》等政策文件。但對某些具體的問題如電子病歷使用權(quán)限分級、存檔管理、醫(yī)療事故責(zé)任認(rèn)定等卻未提出具體可操作性的解決方案。

1.2 管理機(jī)制

醫(yī)院對醫(yī)療信息的隱私保護(hù)在管理機(jī)制方面常采用訪問控制的方式。對信息資源按權(quán)限分類，給用戶分配相應(yīng)的權(quán)限來訪問數(shù)據(jù)，使各類數(shù)據(jù)在合法范圍內(nèi)使用。對病歷進(jìn)行訪問控制，可使病歷內(nèi)容不被未授權(quán)的用戶所訪問，合理的病歷訪問控制，應(yīng)能夠按病人和病歷內(nèi)容分類進(jìn)行授權(quán)。具有代表性的訪問控制技術(shù)是由美國國家標(biāo)準(zhǔn)技術(shù)研究院提出的基于角色的訪問控制機(jī)制 （Role-based Access Control）。由于電子病歷功能很多，能被很多人員訪問，如醫(yī)生、護(hù)士、急診室技術(shù)員以及負(fù)責(zé)收費(fèi)和記賬的后勤人員等，比較好的方式就是對病歷采用基于角色的訪問控制機(jī)制，實(shí)現(xiàn)角色的授權(quán)。不同的用戶具有不同的權(quán)限和級別，基于角色的訪問控制技術(shù)可以減少授權(quán)的復(fù)雜性，降低管理開銷，又能保證系統(tǒng)安全。

1.3 技術(shù)手段

目前在技術(shù)層面對電子病歷進(jìn)行隱私保護(hù)主要有電子簽名技術(shù)和數(shù)據(jù)加密技術(shù)。

由于電子病歷在安全性上需要達(dá)到機(jī)密性、完整性和不可否認(rèn)性，因此需要一套安全機(jī)制來保證患者隱私不被泄露，而電子簽名正是實(shí)現(xiàn)這一要求的基本技術(shù)。電子簽名技術(shù)是基于公鑰基礎(chǔ)設(shè)施（Public Key Infrastructure，PKI）的數(shù)字簽名技術(shù)，使用電子簽名可以有效的保證信息的安全性、完整性，以及簽名的不可抵賴性。在使用電子病歷簽名時，應(yīng)簽完整姓名，而不能只簽姓；若由實(shí)習(xí)醫(yī)生簽的名，則應(yīng)該有主治醫(yī)師進(jìn)行復(fù)簽。電子病歷的使用可以防止病歷中的信息被篡改、破壞、泄露，并使電子病歷具有合法性[2]。

對電子病歷內(nèi)容進(jìn)行隱私保護(hù)，還有一種方法就是數(shù)據(jù)加密。尤其是對患者的一些敏感疾病信息采取信息加密的方式，可以有效的保護(hù)病人隱私。常用的數(shù)據(jù)加密技術(shù)有對稱加密技術(shù)和非對稱加密技術(shù)。對稱加密技術(shù)特點(diǎn)是加密和解密使用相同的密鑰，使用起來簡單快捷，密鑰較短，如DES加密技術(shù)；非對稱加密技術(shù)需要一對密鑰：公鑰和私鑰，一個用來加密，一個用來解密，非對稱加密相比對稱加密技術(shù)更加安全，破譯難度更大，如RSA加密技術(shù)。對電子病歷采取數(shù)據(jù)加密技術(shù)可以高強(qiáng)度的保護(hù)患者隱私，但缺點(diǎn)是加密和解密過程計(jì)算開銷較大，實(shí)時性不強(qiáng)。

2 電子病歷發(fā)布中的隱私保護(hù)

電子病歷的發(fā)布對于醫(yī)學(xué)研究有著有利的作用，比如科研單位對電子病歷進(jìn)行統(tǒng)計(jì)和分析，可以得到年齡和疾病的關(guān)系，或者預(yù)測流行性疾??；醫(yī)院有時候也需要收集病人信息并將其發(fā)布給醫(yī)療數(shù)據(jù)中心，醫(yī)療中心對這些信息進(jìn)行統(tǒng)計(jì)分析，例如是對男性糖尿病患者數(shù)量的統(tǒng)計(jì)，或者是一些復(fù)雜的聚類分析。如果在病歷發(fā)布過程中，沒有對病人隱私進(jìn)行保護(hù)，則也會造成嚴(yán)重的隱私泄露。

在電子病歷發(fā)布過程中主要通過技術(shù)手段來進(jìn)行隱私保護(hù)，使用的方法主要有數(shù)據(jù)擾亂、匿名化、泛化、阻塞等，其中數(shù)據(jù)匿名化是近年來研究的熱點(diǎn)，它是一種基于限制數(shù)據(jù)發(fā)布的隱私保護(hù)方法，通過有選擇的發(fā)布原始數(shù)據(jù)、不發(fā)布或發(fā)布精度較低的數(shù)據(jù)值來實(shí)現(xiàn)隱私保護(hù)。典型的匿名保護(hù)方法有k-匿名、l-多樣性模型等。

在電子病歷的原始數(shù)據(jù)中，有可以唯一確定病人個體的信息，如電話號碼、身份證號等，稱之為標(biāo)識符；也有一些信息通過組合起來可以確定某個個體，如郵編、生日、性別，將這些組合起來的信息稱為準(zhǔn)標(biāo)識符；還有一些敏感信息，如病人的疾病信息等。K-匿名就是在發(fā)布過程中隱藏掉標(biāo)識符信息，然后通過泛化準(zhǔn)標(biāo)識符取值使其在同一組（稱之為等價(jià)組）取值相同的個數(shù)不少于k個，這樣通過準(zhǔn)標(biāo)識符找到某條特定病人記錄的概率就是1/k，可以有效的進(jìn)行隱私保護(hù)。采用k-匿名機(jī)制保護(hù)的過程如下表所示：

表1 病人基本信息表

表1是電子病歷系統(tǒng)中已隱藏掉標(biāo)識符的6條病人記錄，通過泛化準(zhǔn)標(biāo)識符（年齡、郵編），得到滿足2-匿名的數(shù)據(jù)表2，對數(shù)據(jù)表2進(jìn)行發(fā)布將不會泄露病人的隱私。因?yàn)楸?滿足2-匿名，即等價(jià)組中準(zhǔn)標(biāo)識符相同的記錄個數(shù)不少于2個，這就意味著用這張匿名表與外部表進(jìn)行鏈接時匹配到的是不小于2條的相似記錄，而無法匹配出精確個體。L-多樣性模型則是在k-匿名的基礎(chǔ)上，要求同一等價(jià)組里至少要有l(wèi)個不同的敏感屬性值，l-多樣性比k-匿名的安全性更高，且能夠防止k-匿名無法抵御的一致性攻擊。

3 總結(jié)

本文從兩大方面探討了電子病歷隱私保護(hù)的方法，在醫(yī)院內(nèi)部信息系統(tǒng)方面，分別從政策法規(guī)、管理機(jī)制、技術(shù)層面進(jìn)行分析；在電子病歷發(fā)布方面，主要介紹了當(dāng)前常用的數(shù)據(jù)發(fā)布隱私保護(hù)方法——k

匿名機(jī)制。總之，對電子病歷的隱私保護(hù)需要從多個方面進(jìn)行綜合考慮，如完善法律法規(guī)，完善醫(yī)院信息基礎(chǔ)化建設(shè)，提高隱私保護(hù)意識，提出更優(yōu)化的隱私保護(hù)方案等，是多個方面共同努力的結(jié)果。

［1］Schwartz P M.European data protection law and restrictions on international data flows[J].lowa L.Rev,1994,80.

［2］周拴龍,李娜.美國電子病歷應(yīng)用中個人隱私保護(hù)措施探討[J].醫(yī)學(xué)信息學(xué)雜志,2014,35(2).

［3］王偉.電子病歷發(fā)布中的匿名化隱私保護(hù)方法研究[D].中南大學(xué),2013.

［4］關(guān)延風(fēng),馬騁宇.網(wǎng)絡(luò)信息時代電子病歷的隱私保護(hù)研究[J].中國衛(wèi)生法制,2011,9,19(6).

［5］陶愛軍.論個人醫(yī)療信息的隱私保護(hù)[D].西南政法大學(xué),2010.

［6］關(guān)延風(fēng),等.基于電子病歷的醫(yī)療信息隱私保護(hù)研究[J].醫(yī)學(xué)信息學(xué)雜志,2011,32(8).