， ，， ，

[作者單位]中國醫(yī)學(xué)科學(xué)院醫(yī)學(xué)信息研究所， 北京 100020

隨著可穿戴技術(shù)的快速發(fā)展，可穿戴設(shè)備逐漸應(yīng)用于多種醫(yī)療健康的相關(guān)活動中，并已成為新型智慧醫(yī)療、智慧健康的重要組成部分。

健康醫(yī)療可穿戴設(shè)備在快速發(fā)展的同時，也帶來更多數(shù)據(jù)安全相關(guān)問題，其不受時間、地點限制采集大量用戶健康和行為數(shù)據(jù)，匯集形成新型健康醫(yī)療大數(shù)據(jù)，增加了數(shù)據(jù)管理和控制難度。近幾年可穿戴設(shè)備泄露隱私數(shù)據(jù)的事件也頻頻發(fā)生，F(xiàn)itbit、小米、華為、Jawbone等生產(chǎn)廠家都被曝出存在隱私泄露問題，且一些健康醫(yī)療可穿戴設(shè)備產(chǎn)品因侵犯個人隱私被迫退出市場。在2015年發(fā)布的《國務(wù)院關(guān)于印發(fā)促進大數(shù)據(jù)發(fā)展行動綱要的通知》文件[1]中，特別強調(diào)要“健全大數(shù)據(jù)安全保障體系”與“強化安全支撐”。國外在面臨移動醫(yī)療等醫(yī)療新發(fā)展模式也積極修改HIPAA法案，要求增訂與可穿戴數(shù)據(jù)相關(guān)的隱私法案。解決健康醫(yī)療可穿戴設(shè)備數(shù)據(jù)安全與隱私保護問題是智慧醫(yī)療與智慧健康發(fā)展不容忽視的重要環(huán)節(jié)，是亟待解決的根本性問題。本文對健康醫(yī)療可穿戴設(shè)備數(shù)據(jù)安全與隱私保護問題相關(guān)發(fā)展研究進行了梳理與分析，總結(jié)國內(nèi)外研究主題的異同，并討論現(xiàn)有研究的經(jīng)驗與不足，為健康醫(yī)療可穿戴設(shè)備數(shù)據(jù)安全與隱私保護機制的研究與構(gòu)建提供理論參考與借鑒。

1 健康醫(yī)療可穿戴設(shè)備數(shù)據(jù)安全與隱私

1.1 健康醫(yī)療可穿戴設(shè)備數(shù)據(jù)安全與隱私的內(nèi)涵

健康醫(yī)療可穿戴設(shè)備是指應(yīng)用于臨床和日常健康維護活動中的一切可以直接穿戴在身上的便攜式醫(yī)療或健康電子設(shè)備，在軟件支持下感知、記錄、分析、調(diào)控/干預(yù)甚至治療疾病或維護健康狀態(tài)[2]。健康醫(yī)療可穿戴設(shè)備數(shù)據(jù)安全與隱私的內(nèi)涵是指對健康醫(yī)療可穿戴設(shè)備所采集的數(shù)據(jù)本身及數(shù)據(jù)流動過程中涉及到數(shù)據(jù)安全與個人隱私的一切問題。

1.2 健康醫(yī)療可穿戴設(shè)備數(shù)據(jù)及隱私特點

健康醫(yī)療可穿戴設(shè)備的數(shù)據(jù)及隱私與傳統(tǒng)醫(yī)療有所區(qū)別，明確其設(shè)備采集的數(shù)據(jù)內(nèi)容及數(shù)據(jù)特點是分析健康醫(yī)療可穿戴設(shè)備數(shù)據(jù)安全與隱私問題的基礎(chǔ)。

本文主要從介質(zhì)、格式、規(guī)模、環(huán)節(jié)、標(biāo)準(zhǔn)五個維度，對比分析健康醫(yī)療可穿戴設(shè)備與傳統(tǒng)醫(yī)療的數(shù)據(jù)及隱私內(nèi)容(詳見表1)。

表1 健康醫(yī)療可穿戴設(shè)備數(shù)據(jù)與傳統(tǒng)醫(yī)療數(shù)據(jù)隱私對比分析

2 健康醫(yī)療可穿戴設(shè)備數(shù)據(jù)安全與隱私問題相關(guān)研究

2.1 國內(nèi)研究進展

通過梳理相關(guān)研究，發(fā)現(xiàn)國內(nèi)的研究學(xué)者主要圍繞可穿戴數(shù)據(jù)的網(wǎng)絡(luò)傳輸和系統(tǒng)安全、相關(guān)標(biāo)準(zhǔn)、精準(zhǔn)度和安全性、數(shù)據(jù)整合、相關(guān)法律法規(guī)和國家政策以及隱私保護意識等方面展開研究。

2.1.1 網(wǎng)絡(luò)傳輸與系統(tǒng)安全

張佩江、李瑞昌[3]、馬博[4]等人與劉金芳[5]都認(rèn)為谷歌的安卓系統(tǒng)漏洞、惡意軟件的安裝、設(shè)備對不安全的移動通信和無線網(wǎng)絡(luò)的高依賴度等方面都會造成可穿戴設(shè)備隱私數(shù)據(jù)的泄露。此外，可穿戴設(shè)備的功能越多，被攻擊的機會也就越多，黑客現(xiàn)在可以通過WiFi、藍(lán)牙和NFC、聲音等多種方式發(fā)動攻擊，各種傳感器的應(yīng)用也會增加受攻擊的風(fēng)險。張建國[6]還針對可穿戴設(shè)備的信息鏈條提出了“針對可穿戴設(shè)備的云服務(wù)供應(yīng)商進行攻擊、中間應(yīng)用進行攻擊以及直接入侵可穿戴設(shè)備”三種造成隱私泄露的可能。不僅如此，可穿戴設(shè)備還可以不分時間、地點、場合搜集用戶數(shù)據(jù)，將數(shù)據(jù)上傳到云端中，使可穿戴設(shè)備的系統(tǒng)易遭受攻擊和數(shù)據(jù)泄露[7]。

針對以上問題，有學(xué)者提出了一些解決辦法，如采取更嚴(yán)密的安全協(xié)議、提供信息驗證服務(wù)、內(nèi)置殺毒軟件以及定期備份數(shù)據(jù)、采用數(shù)據(jù)匿名化技術(shù)和匿名通信技術(shù)[8]及差分隱私保護等技術(shù)手段，提升設(shè)備的數(shù)據(jù)傳輸系統(tǒng)安全保障能力。

2.1.2 互聯(lián)互通與跨平臺操作

移動終端設(shè)備和產(chǎn)品快速發(fā)展，種類繁多[9]，導(dǎo)致各系統(tǒng)間互相獨立，數(shù)據(jù)無法互通。有研究學(xué)者對醫(yī)療可穿戴設(shè)備數(shù)據(jù)相關(guān)標(biāo)準(zhǔn)問題展開了探討，提出目前可穿戴設(shè)備面臨的挑戰(zhàn)主要包括數(shù)據(jù)傳輸協(xié)議的標(biāo)準(zhǔn)化問題[10]，以及可穿戴設(shè)備在醫(yī)療領(lǐng)域中的應(yīng)用有互聯(lián)互通程度較低的問題[11]。只有兼容統(tǒng)一的數(shù)據(jù)傳輸協(xié)議，才能促進醫(yī)療數(shù)據(jù)的共享和挖掘、分析，實現(xiàn)更廣范圍的互聯(lián)互通，打造一體化的智能可穿戴體驗，解決智能可穿戴設(shè)備領(lǐng)域的跨平臺操作[12]的問題。隱私保護需要建立在平臺間統(tǒng)一的數(shù)據(jù)標(biāo)準(zhǔn)基礎(chǔ)上，才能在數(shù)據(jù)流動與共享過程中不被泄露。

2.1.3 數(shù)據(jù)整合的必要性及安全防范

數(shù)據(jù)的整合也會導(dǎo)致侵犯隱私問題和國家安全問題?？纱┐髟O(shè)備收集的大量用戶信息可能被實時上傳到云端，利用非法手段進行攻擊獲取數(shù)據(jù)后進行整合分析，可以獲得具有商業(yè)價值的信息，追蹤特定人的行為路徑以及了解整個國家或地區(qū)的疾病譜，造成嚴(yán)重后果。如果不對數(shù)據(jù)進行整合就無法為醫(yī)療領(lǐng)域的研究提供參考，會降低新藥品、新醫(yī)療產(chǎn)品的開發(fā)速度。因此，國內(nèi)學(xué)者湯嘯天[13]提出個人健康信息應(yīng)在合理范圍內(nèi)無害化使用。

2.1.4 政策、法律及倫理規(guī)范

我國目前尚無全面的國家立法來規(guī)范數(shù)據(jù)隱私[14]和全面的數(shù)據(jù)保護法律框架[15]。我國當(dāng)下的數(shù)據(jù)保護法律制度是基于一般的法律或法規(guī)，或只適用于特定工業(yè)部門。在2013年發(fā)布的世界數(shù)據(jù)保護法律報告[15]中，關(guān)于個人數(shù)據(jù)保護的相關(guān)規(guī)定在多種法律和制度中都有涉及，但隱私權(quán)的范圍還沒有清晰的界定。盡管個人數(shù)據(jù)保護法律已經(jīng)被政府評價多年，但仍然沒有指示去說明這項法律是否以及何時被通過。當(dāng)隱私泄露問題出現(xiàn)時，往往通過《侵權(quán)責(zé)任法》、《刑法》或者各種地方法規(guī)進行處理，而且最近通過的法規(guī)焦點主要集中在中國的商業(yè)經(jīng)營，尤其是關(guān)于互聯(lián)網(wǎng)服務(wù)的商業(yè)。2012年12月28日，全國人民代表大會常務(wù)委員會(NPC)采納了《強調(diào)在線信息保護的決定》。該項決定的目的是保護互聯(lián)網(wǎng)和信息安全，保障公民、法人或其他組織的合法權(quán)益，確保國家和安全利益，這項決定和法律具有同等效力。我國目前雖已初步建立個人信息和隱私權(quán)保護有關(guān)的法律體系，但尚無針對醫(yī)療大數(shù)據(jù)隱私保護的責(zé)任法案。此外，大數(shù)據(jù)時代數(shù)據(jù)的邊界模糊，增加了保護網(wǎng)絡(luò)和信息安全的難度[16]。因而對醫(yī)療可穿戴設(shè)備建立嚴(yán)格的監(jiān)管機制顯得尤為重要，一旦應(yīng)用于臨床醫(yī)療領(lǐng)域，需要通過CFDA等監(jiān)管機構(gòu)的認(rèn)證獲得臨床認(rèn)可，而避免魚龍混雜的問題出現(xiàn)。行業(yè)自律、完善可穿戴醫(yī)療設(shè)備的知情同意規(guī)范、認(rèn)證制度、規(guī)范數(shù)據(jù)管理制度[17]是加強倫理規(guī)范和政策法規(guī)建設(shè)的基礎(chǔ)。

2.1.5 隱私保護意識

隱私保護意識也是學(xué)者們討論的重點，強調(diào)要加強用戶的隱私維護意識，培訓(xùn)其信息安全技能，盡量將意外發(fā)生的概率降到最低，了解采集的數(shù)據(jù)內(nèi)容、時間、使用范圍等并要求簽署知情同意。同時避免將重要數(shù)據(jù)與可穿戴設(shè)備連接，防止他人運用可穿戴設(shè)備記錄個人或工作區(qū)域的信息數(shù)據(jù)，避免造成因不尊重他人隱私問題而泄露個人隱私以及工作區(qū)域核心數(shù)據(jù)被竊的問題。不僅用戶需要注意此問題，運營商也要有信息安全意識，確保用戶信息的安全性和隱私性。

2.2 國外研究進展

國外的研究主要是圍繞用戶隱私保護意識、隱私尊重的倫理道德及法律制度建設(shè)和信息安全技術(shù)、隱私保護框架模型、隱私保護范式建設(shè)等角度展開的。

2.2.1 用戶隱私保護意識

Vivian Genaro Motti和Kelly Caine[18]分析發(fā)現(xiàn)，用戶隱私保護存在的問題主要有用戶難以意識到“什么數(shù)據(jù)被搜集”和“他們怎樣被使用”，用戶不能充分理解與數(shù)據(jù)搜集相關(guān)的潛在的風(fēng)險、威脅的含義，并試圖低估這些問題。并基于以上問題提出了用戶應(yīng)該讓保密信息盡可能地離散顯示，將第二屏幕作為一種隱私屏幕，避免其他人閱讀到設(shè)備內(nèi)容和盡量隱藏設(shè)備的視覺阻塞3種隱私保護策略。此外，IPC公司發(fā)布的報告中也提出強化登錄密碼和加密，應(yīng)該安裝最新式的防火墻、反病毒和反盜竊軟件設(shè)備，設(shè)備應(yīng)該提供最高級別的安全，如自動鎖等，避免不安全的網(wǎng)絡(luò)、當(dāng)設(shè)置好藍(lán)牙連接后應(yīng)該調(diào)回不可被發(fā)現(xiàn)模式，如果設(shè)備未加密并且你不能夠遠(yuǎn)程清除你的個人可識別信息時應(yīng)向警察匯報等具體性的隱私保護策略[19]。

2.2.2 隱私尊重倫理道德

從生產(chǎn)商角度出發(fā)，一些用戶并不喜歡他們的設(shè)備帶有立即同步到社會媒體應(yīng)用的情況和沒有能夠自主控制分享數(shù)據(jù)的功能，而現(xiàn)在的設(shè)備卻大多都與社會媒體自動同步；從個人角度來看，要意識到他人的隱私與自己的隱私同樣重要，因而要設(shè)定多種設(shè)備可被使用的場景，并要求在將設(shè)備帶入職場中應(yīng)告知周圍人，尊重他人的選擇[20]。此外，在保護個人隱私時，還應(yīng)充分利用自己刪除數(shù)據(jù)的能力，注意未來可穿戴設(shè)備重新識別的風(fēng)險和服務(wù)提供商政策改變帶來的隱私風(fēng)險[21]。

2.2.3 信息安全技術(shù)

研究學(xué)者也對提升信息安全技術(shù)進行了相關(guān)探討，當(dāng)前最突出的問題就是缺少存取控制，增加了由于技術(shù)漏洞而導(dǎo)致隱私泄露的可能。他們提出，設(shè)備應(yīng)使用消除可識別個人的數(shù)據(jù)來代替?zhèn)€人可識別數(shù)據(jù)以及設(shè)置某幾次失敗獲取設(shè)備數(shù)據(jù)時后將導(dǎo)致自動刪除和生物特征識別技術(shù)[22]等方案來解決隱私泄露問題。此外，Britt Cyr[23]等人還針對Fitbit Flex可穿戴設(shè)備闡述了其出現(xiàn)的4個漏洞：Fitbit在某些情況下不必要獲取設(shè)備周圍的信息，F(xiàn)itbit未提供給用戶搜集到的所有數(shù)據(jù)，F(xiàn)itbit設(shè)備的MAC地址永遠(yuǎn)沒有發(fā)生改變，造成相關(guān)用戶攻擊，藍(lán)牙低功耗設(shè)備的憑證在配對時也會被暴露和容易遭受攻擊。 同時，該研究也將采集數(shù)據(jù)的傳感器作為涉及到隱私問題的因素，例如GPS可以披露位置、聲音傳感器和嵌入設(shè)備的照相錄像，可以直接識別出個人等等。

2.2.4 可穿戴技術(shù)應(yīng)用

katie McMullan[24]提出雇主在應(yīng)用可穿戴設(shè)備制定企業(yè)健康策略的過程中，應(yīng)保證搜集數(shù)據(jù)內(nèi)容和使用環(huán)境的透明性，員工出于自愿而非強迫性接受可穿戴設(shè)備所采集到的數(shù)據(jù)被合理使用，在指定目的下設(shè)備使用的限制以及注意限制數(shù)據(jù)與原始目的有變化的不相稱使用，不要過度期待可穿戴設(shè)備采集數(shù)據(jù)的精準(zhǔn)性，建立數(shù)據(jù)保留標(biāo)準(zhǔn)、保障職員數(shù)據(jù)保護要求，制定安全預(yù)警等建議，以促進企業(yè)健康計劃的順利開展。

2.2.5 相關(guān)法律制度與規(guī)定

可穿戴設(shè)備在醫(yī)療領(lǐng)域的應(yīng)用有以下問題。衛(wèi)生保健的專家或相關(guān)機構(gòu)搜集、保存和傳輸受保護的健康信息在HIPPA法案中都有相應(yīng)規(guī)定，但獨立第三方搜集受保護的健康信息的權(quán)利卻還未在法案中規(guī)定。而且強調(diào)與醫(yī)療機構(gòu)或者醫(yī)師合作時，第三方有必要提供數(shù)據(jù)使用協(xié)議，但目前在接收搜集到的數(shù)據(jù)時卻很少存在相關(guān)指導(dǎo)[25]。同時可穿戴設(shè)備也存在以下欠缺。首先是“忘記的權(quán)利”，即當(dāng)用戶不使用設(shè)備時，應(yīng)具備自動清空數(shù)據(jù)的能力，這是用戶應(yīng)該具備的一項權(quán)利；其次，政策應(yīng)該制定在什么地點和什么條件下可穿戴設(shè)備無線功能可以被使用，并應(yīng)該解決雇主保留的權(quán)利，以維持這種傳輸?shù)谋O(jiān)督和他們可能被使用的目的。Greig Paul[22]提出應(yīng)該明確醫(yī)療可穿戴設(shè)備數(shù)據(jù)的所有權(quán)問題、將HIPAA作為參考建立可穿戴健康監(jiān)督在臨床應(yīng)用的相關(guān)數(shù)據(jù)分類法以及指定數(shù)據(jù)存儲管轄權(quán)。

此外，本文也簡單梳理了歐美等較具有代表性的國家的數(shù)據(jù)隱私保護的部分相關(guān)法律。雖然各種法律法規(guī)在執(zhí)行范圍、實行要求和補救措施等方面要求都不同，但都對個人信息的搜集、披露和使用提出了要求。具體情況如表2所示。

表2 具有代表性的世界數(shù)據(jù)隱私保護相關(guān)法律

2.2.6 框架、模型、范式的構(gòu)建

國外相關(guān)研究學(xué)者還結(jié)合可穿戴設(shè)備數(shù)據(jù)安全和隱私的問題分別提出了隱私保護框架、模型和范式等，從不同角度對醫(yī)療可穿戴設(shè)備出現(xiàn)的安全和隱私保護提出了解決方案。Seyedmostafa Safavi[27]等提出了一個概念性的框架，該框架包含了數(shù)據(jù)隱私內(nèi)容的范圍、共享對象、知情同意、誤用保障以及數(shù)據(jù)與技術(shù)的透明性等10個原則，數(shù)據(jù)安全和隱私保護中需要具備的通訊線路、交換相關(guān)信息的安全端口、用于醫(yī)療保健用戶身份驗證的安全訪問控制等硬件和交互界面的易用、接受數(shù)據(jù)的可控性和包含穩(wěn)定和隱私保護的應(yīng)用程序等9個清單。Roberto Di Pietro[28]提出了手持和可穿戴無線設(shè)備的隱私保護模型，指出可穿戴設(shè)備應(yīng)用場景和數(shù)據(jù)融合的問題，并提出HWW模型和具有保密性、融合性、可用性的安全挑戰(zhàn)與隱私問題，還提出了邏輯邊界機制、匿名用戶識別概念等可能的解決方案。Christopher Wolf[29]等人在其研究中闡述了在互聯(lián)網(wǎng)和物聯(lián)網(wǎng)發(fā)展與可穿戴設(shè)備快速興起中帶來的隱私安全問題，并提出了一個彈性的、重在使用的可穿戴設(shè)備范式，并從情境尊重、受益-風(fēng)險分析、透明性、消除可識別性數(shù)據(jù)、合理的個人存取、適當(dāng)?shù)陌踩院桶l(fā)展的行為準(zhǔn)則7個方面進行了介紹。此外，還存在設(shè)備丟失與被竊等其他可能導(dǎo)致隱私泄露的問題。

3 差異研究

通過對比發(fā)現(xiàn)，國內(nèi)外對健康醫(yī)療可穿戴設(shè)備數(shù)據(jù)安全與隱私問題的研究存在一定的異同，具體內(nèi)容如圖1所示。

圖1 國內(nèi)外相關(guān)研究內(nèi)容異同分析

國內(nèi)外相關(guān)研究提出了政策、法律和倫理規(guī)范的建議，在醫(yī)療可穿戴設(shè)備數(shù)據(jù)隱私保護意識及能力的提升和信息安全技術(shù)方面具有一定的相似性，但也存在一定的差異。國內(nèi)對可穿戴設(shè)備存在的系統(tǒng)漏洞、網(wǎng)絡(luò)安全問題以及對政策、倫理、法律方面提出了建議，也對互聯(lián)互通、隱私保護意識和能力等方面有所關(guān)注。國外則較側(cè)重隱私保護意識和能力提升的解決方案以及隱私保護框架、范式及模型的構(gòu)建，并且對法律、倫理問題以及傳感器、技術(shù)應(yīng)用和其他外界因素都有所關(guān)注。綜合來看，國外研究問題相對較為具體，多從微觀角度出發(fā)，提出了較為詳細(xì)的解決方案，如注重信息離散顯示、增加生物特征識別和遠(yuǎn)程自動刪除技術(shù)。同時，歐美等發(fā)達國家已經(jīng)制定了一定的隱私保護法律和倫理規(guī)范，而國內(nèi)的基礎(chǔ)相對較為薄弱。

4 總結(jié)與討論

數(shù)據(jù)安全與隱私保護的核心問題就是數(shù)據(jù)，如保護隱私數(shù)據(jù)是解決健康醫(yī)療可穿戴設(shè)備發(fā)展瓶頸的關(guān)鍵之一。雖然可穿戴設(shè)備數(shù)據(jù)安全與隱私問題的相關(guān)研究已有一定的數(shù)量，卻大多針對一般性可穿戴設(shè)備，很少將健康醫(yī)療可穿戴設(shè)備作為重點分析對象，也沒有將采集的數(shù)據(jù)與數(shù)據(jù)整個流動的過程作為隱私問題研究的主要內(nèi)容。此外，可穿戴設(shè)備數(shù)據(jù)安全與隱私保護問題的研究大多集中在某一層面，特別是技術(shù)層面的算法及網(wǎng)絡(luò)安全等，對管理、倫理等方面隱私問題討論較少，欠缺整體性和綜合性。

健康醫(yī)療可穿戴設(shè)備數(shù)據(jù)安全與隱私保護的研究應(yīng)該建立一套系統(tǒng)性、多維度的體系框架，針對數(shù)據(jù)特點及流動的環(huán)節(jié)設(shè)計不同層面的具體保護措施，建立不同類型數(shù)據(jù)的隱私保護標(biāo)準(zhǔn)，并結(jié)合參與的國家政府、行業(yè)生產(chǎn)商、醫(yī)院、第三方參與機構(gòu)以及個人等不同角色主體應(yīng)承擔(dān)的責(zé)任義務(wù)，去保障健康醫(yī)療可穿戴設(shè)備數(shù)據(jù)安全與隱私內(nèi)容。

健康醫(yī)療可穿戴設(shè)備發(fā)展迅速，其領(lǐng)域特殊性涉及的數(shù)據(jù)安全與隱私問題更為復(fù)雜，而且直接關(guān)乎到個人生命安全甚至國家安全。因而解決這一問題變得更為迫切，需要多方共同參與努力，建立合理且有效的隱私保護機制。