, ,,
隨著移動通信技術(shù)與健康行業(yè)的緊密結(jié)合,健康互聯(lián)的廣闊應用前景已成為國際共識,為健康服務帶來革命性變革[1]。健康醫(yī)療可穿戴設備作為健康互聯(lián)中重要的網(wǎng)絡節(jié)點,利用物聯(lián)網(wǎng)和感知技術(shù)將患者、醫(yī)院、健康管理機構(gòu)和醫(yī)療保險公司連接起來,形成一個龐大的醫(yī)療專屬網(wǎng)絡,為個人精準衛(wèi)生保健與疾病治療服務的發(fā)展奠定了新基礎,成為新型智慧醫(yī)療的重要組成部分。
健康醫(yī)療可穿戴設備作為新型健康醫(yī)療數(shù)據(jù)的載體,數(shù)據(jù)采集和上傳過程都與傳統(tǒng)醫(yī)療模式或 HIS 系統(tǒng)內(nèi)的數(shù)據(jù)傳遞方式有很大的區(qū)別。健康醫(yī)療可穿戴設備可實時采集用戶行為、情緒和睡眠等與用戶健康高度相關的數(shù)據(jù),數(shù)據(jù)采集、傳輸不受時間、地點控制,這些數(shù)據(jù)隱含著巨大的商業(yè)價值和社會價值。由于可穿戴設備自身的技術(shù)缺陷以及數(shù)據(jù)流通環(huán)節(jié)管控缺失等問題,較易發(fā)生數(shù)據(jù)和隱私泄露。如何在合理利用健康醫(yī)療可穿戴設備采集數(shù)據(jù)的同時,確保數(shù)據(jù)安全和用戶隱私,是一個值得研究的問題。
本文以健康醫(yī)療可穿戴設備的數(shù)據(jù)為對象,從技術(shù)、管理、法律和倫理等方面,對健康醫(yī)療可穿戴設備的數(shù)據(jù)安全與隱私保護問題進行了研究并提出了相應對策,以保護用戶隱私和數(shù)據(jù)安全,促進健康醫(yī)療可穿戴設備產(chǎn)業(yè)的可持續(xù)發(fā)展和采集數(shù)據(jù)的科學使用。
健康醫(yī)療可穿戴設備體積微小、移動性強,采集的數(shù)據(jù)類型廣泛,數(shù)據(jù)流動環(huán)節(jié)與傳統(tǒng)醫(yī)療模式(院內(nèi)診療活動)相比有很大區(qū)別(表1)。
健康醫(yī)療可穿戴設備擴展了傳統(tǒng)醫(yī)療模式下采集的數(shù)據(jù)內(nèi)容,如運動行為、社交互動等數(shù)據(jù),具有可實時采集、不受時間地點控制的特點。但由于健康醫(yī)療可穿戴設備使用的是安全風險較高的傳輸介質(zhì),數(shù)據(jù)流動環(huán)節(jié)增多,加大了數(shù)據(jù)與隱私泄露的風險,阻礙了健康醫(yī)療可穿戴設備的應用與推廣。
表1 健康醫(yī)療可穿戴設備與傳統(tǒng)醫(yī)療數(shù)據(jù)安全與隱私特點對比
基于健康醫(yī)療可穿戴設備數(shù)據(jù)采集、流動的特點,結(jié)合我國國情,將從技術(shù)安全、數(shù)據(jù)管理、法律法規(guī)和隱私倫理4方面,總結(jié)出健康醫(yī)療可穿戴設備在數(shù)據(jù)安全和隱私保護方面存在的問題。
健康醫(yī)療可穿戴設備高度依賴IOS和Android系統(tǒng)[2],系統(tǒng)漏洞容易被黑客攻擊,會造成隱私數(shù)據(jù)泄露。在數(shù)據(jù)采集過程中,由于缺乏對設備及數(shù)據(jù)權(quán)限的控制,用戶無法選擇單獨關閉某個傳感器中斷或取消數(shù)據(jù)采集,難以對數(shù)據(jù)的查看和使用進行授權(quán)[3]。在數(shù)據(jù)傳輸過程中,健康醫(yī)療可穿戴設備的MAC地址基本固定且多使用較為簡單的數(shù)據(jù)格式(如JSON等),直接交互傳遞采集的數(shù)據(jù)值或圖片,缺少多重加密的數(shù)據(jù)模糊處理措施[4],使他人易與設備連接并獲取數(shù)據(jù)信息。此外,由于設備缺少遠程控制功能,一旦設備被竊或丟失,設備中存儲的信息有可能被他人捕獲和利用[5]。
健康醫(yī)療可穿戴設備發(fā)展迅速,各種設備產(chǎn)生的數(shù)據(jù)傳輸格式、加密保密、集成平臺接口、數(shù)據(jù)傳輸協(xié)議等都缺少統(tǒng)一的行業(yè)標準,出現(xiàn)了如信息孤島和隱私保護等一系列問題。利用健康醫(yī)療可穿戴設備采集的數(shù)據(jù)可用于個性化醫(yī)療、流行病監(jiān)測、輔助臨床決策及新藥研發(fā)等,具有巨大的經(jīng)濟價值[6]。在利益的驅(qū)使下,某些機構(gòu)或組織,如醫(yī)療機構(gòu)、保險公司或者其他決策咨詢機構(gòu),可能會在未經(jīng)用戶同意的情況下對健康醫(yī)療可穿戴設備采集的用戶數(shù)據(jù)進行挖掘、分析,預測用戶健康狀況。這不僅易造成用戶健康信息泄漏,引起健康歧視,還可能危及國家安全與穩(wěn)定。
可穿戴設備產(chǎn)業(yè)是一個剛剛興起且發(fā)展迅速的產(chǎn)業(yè),國家目前尚缺乏針對可穿戴設備尤其是健康醫(yī)療可穿戴設備的數(shù)據(jù)安全和隱私保護方面的政策法規(guī),一旦可穿戴設備生產(chǎn)商私自售賣用戶數(shù)據(jù)將難于依法追究其責任。此外,目前健康醫(yī)療可穿戴設備采集的數(shù)據(jù)格式、內(nèi)容尚無統(tǒng)一的行業(yè)標準,給數(shù)據(jù)的存儲和管理帶來巨大困難,不利于數(shù)據(jù)的整合利用。
2012年倫敦奧運會期間的智能垃圾箱事件讓我們意識到,大數(shù)據(jù)對個人隱私保護提出了嚴峻的挑戰(zhàn)。隨著智能手機、傳感器、個人穿戴式等設備的不斷普及,個人數(shù)據(jù)的網(wǎng)絡化和透明化將成為趨勢。健康醫(yī)療可穿戴設備產(chǎn)生的大部分數(shù)據(jù)都是隱私數(shù)據(jù),明確這些數(shù)據(jù)的商業(yè)化邊界牽涉到用戶隱私安全。此外,大多數(shù)用戶隱私保護意識薄弱,為了能夠得到全面的健康醫(yī)療服務忽略對個人隱私的保密,容易給利用個人隱私數(shù)據(jù)牟利者提供可乘之機。
通過剖析健康醫(yī)療可穿戴設備數(shù)據(jù)安全與隱私保護存在的技術(shù)安全、數(shù)據(jù)管理、法律法規(guī)及倫理隱私問題,本文從技術(shù)、管理、法律等方面提出了相應對策以供同行參考。
3.1.1 應用多重數(shù)據(jù)加密技術(shù)
由于缺乏強制性保護措施和統(tǒng)一標準規(guī)范,數(shù)據(jù)易被攔截和篡改,因此健康醫(yī)療可穿戴設備應在設備終端及云端應用多重數(shù)據(jù)加密技術(shù)。目前學術(shù)界探討的互聯(lián)網(wǎng)環(huán)境下健康醫(yī)療數(shù)據(jù)加密技術(shù)有SSL(Secure Sockets Layer)數(shù)據(jù)加密傳輸技術(shù)[7]、K-匿名技術(shù)、Hash函數(shù)加密、RSA公鑰加密算法及ECC橢圓曲線加密算法[8]等。數(shù)據(jù)加密應由設備生產(chǎn)商和用戶雙方進行操作,當需要用戶開啟數(shù)據(jù)加密功能時,設備需提前向用戶發(fā)送通知并說明理由。此外,健康醫(yī)療設備應默認開啟數(shù)據(jù)加密功能,防止個人信息泄露。
3.1.2 建立分級數(shù)據(jù)管控模式
等級保護制度是我國信息安全保障領域的基本制度,對提高我國信息安全保障能力和水平,促進信息化建設健康發(fā)展,維護國家安全、社會穩(wěn)定和公共利益具有重要意義[9]。健康醫(yī)療可穿戴設備的數(shù)據(jù)也應根據(jù)數(shù)據(jù)的社會價值、商業(yè)價值和對國家或個人數(shù)據(jù)安全與隱私威脅的嚴重程度建立分級分類的數(shù)據(jù)管控模式。
根據(jù)HIPAA法案對個人可識別信息保護的內(nèi)容和我國的《信息安全等級保護管理辦法》《信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南》等相關要求,可將健康醫(yī)療可穿戴設備數(shù)據(jù)保護分為數(shù)據(jù)內(nèi)容保護和數(shù)據(jù)流動環(huán)節(jié)多級保障兩種方式。
3.1.2.1 劃分數(shù)據(jù)內(nèi)容保護級別
設置數(shù)據(jù)內(nèi)容保護級別可增加操作權(quán)限的靈活性,合理控制數(shù)據(jù)保護成本。
本文將健康醫(yī)療可穿戴設備數(shù)據(jù)隱私保護劃分為5類(表2),結(jié)合數(shù)據(jù)隱私泄露對國家與個人造成的影響以及數(shù)據(jù)的價值,將隱私保護級別劃分為3級,其中A級和B級的隱私保護又各劃分為2級(A+和A、B+和B)。
表2 健康醫(yī)療可穿戴設備數(shù)據(jù)隱私保護級別劃分表
各級別均有具體的要求。A級的要求是采用最嚴格的加密與認證保護技術(shù),非法律許可禁止搜集、查看和使用,且A+和A級法律監(jiān)管與處罰有所不同,隱私保護級別為A+的Ⅰ類數(shù)據(jù)與隱私保護級別為A 的Ⅱ類數(shù)據(jù)都需要去敏感化利用;B級的要求是在用戶知情同意后,由授權(quán)對象在指定的服務和范圍內(nèi)查看、使用、修改數(shù)據(jù),應使用身份認證技術(shù)保障授權(quán)身份的合理性,其中B+級別的數(shù)據(jù)應滿足臨床數(shù)據(jù)保護標準,B級隱私數(shù)據(jù)可結(jié)合臨床情況予以開放;C級的要求是用戶可在健康醫(yī)療可穿戴設備終端自主共享V類數(shù)據(jù),但提供倫理上尊重他人隱私的風險說明。
3.1.2.2 設置數(shù)據(jù)流動環(huán)節(jié)多級保障
健康醫(yī)療可穿戴設備的數(shù)據(jù)在采集、上傳、集成交互、信息反饋等環(huán)節(jié)的流動方式不同,每個流動環(huán)節(jié)承載的隱私內(nèi)容也有所不同。因此,在采取數(shù)據(jù)流動環(huán)節(jié)多級保障措施前,需對數(shù)據(jù)流動環(huán)節(jié)進行安全風險等級評估。
選取數(shù)據(jù)流動環(huán)節(jié)中的數(shù)據(jù)內(nèi)容、數(shù)據(jù)交互程度、安全與隱私保護意識、是否已有數(shù)據(jù)安全與隱私保護機制4個風險因素進行風險等級評估。將各風險因素劃分為3個等級,其中數(shù)據(jù)內(nèi)容分為“高度敏感”“較敏感”“低敏感”3個等級,數(shù)據(jù)保護難度分為“非常復雜”“較復雜”“不復雜”3個等級,數(shù)據(jù)及保護能力分為“缺少保護能力”“有一定保護能力”“有較強保護能力”3個等級,是否有數(shù)據(jù)安全與隱私保護標準分為“缺少保護標準”“有一定保護標準”“在成熟可靠保護標準”3個等級。使用“★”代表安全風險高,“☆”表示有一定的安全風險,安全風險程度較低的級別不使用符號。健康醫(yī)療可穿戴設備數(shù)據(jù)各流動環(huán)節(jié)中數(shù)據(jù)及隱私泄露的風險度見圖1。
圖1 健康醫(yī)療可穿戴設備數(shù)據(jù)各流動環(huán)節(jié)中數(shù)據(jù)及隱私泄露的風險度
通過對健康醫(yī)療可穿戴設備數(shù)據(jù)流動環(huán)節(jié)中數(shù)據(jù)及隱私泄露風險度的分析,發(fā)現(xiàn)除已有的數(shù)據(jù)交換與共享模式(健康醫(yī)療相關服務機構(gòu)->健康大數(shù)據(jù)云平臺以及健康大數(shù)據(jù)的科學研究與決策支持應用)外,其他的數(shù)據(jù)流動環(huán)節(jié)均缺乏安全保障機制且角色主體數(shù)據(jù)保護能力薄弱,終端或網(wǎng)絡安全防護措施較差,易造成數(shù)據(jù)安全隱患與隱私泄露。對不同風險級別的數(shù)據(jù)流動環(huán)節(jié)應采取差別化的安全防護措施,如三星級以上的風險數(shù)據(jù)流動環(huán)節(jié),必須使用指定數(shù)據(jù)傳輸格式與標準,利用專屬通信網(wǎng)絡,嚴格控制角色主體的數(shù)據(jù)存取,安裝防火墻與隱私泄露威脅識別工具;二星級以上但未達到三星級風險的數(shù)據(jù)流動環(huán)節(jié),需使用專屬網(wǎng)絡與信息系統(tǒng)進行數(shù)據(jù)共享行為,對數(shù)據(jù)傳輸標準與共享機制提供推薦性技術(shù)標準等。此外,在數(shù)據(jù)流動環(huán)節(jié)中需增加日志記錄功能。
3.1.3 增加設備遠程控制功能
由于可穿戴設備體積小、質(zhì)量輕,設備丟失或被盜是導致數(shù)據(jù)泄露最常見途徑之一[10],所以健康醫(yī)療可穿戴設備應提供丟失提醒和數(shù)據(jù)遠程擦除功能。設備丟失提醒是指一旦設備超出指定范圍,會向用戶發(fā)出警報,提醒用戶。用戶可選擇關閉連接,執(zhí)行遠程數(shù)據(jù)擦除或報警等措施,保護數(shù)據(jù)及隱私免于非法盜取和泄露。遠程數(shù)據(jù)擦除應分為部分擦除與全部清空兩種選擇,設置包含個人健康醫(yī)療可穿戴設備數(shù)據(jù)的個人健康檔案(PHR)后可同步到認證后的新設備,防止數(shù)據(jù)二次丟失。設備丟失提醒功能應在默認情況下開啟。
3.2.1 建立政府監(jiān)管部門
健康醫(yī)療可穿戴設備采集的數(shù)據(jù)規(guī)模大、種類繁多,可輔助描述較精準的個人畫像和精準分析評估用戶健康情況。這既可為刑事偵查提供新途徑,也為健康醫(yī)療服務機構(gòu)、醫(yī)藥保健公司、商業(yè)保險等公司進行精準健康醫(yī)療服務和個人保險營銷提供巨大商機。為防止個人健康醫(yī)療數(shù)據(jù)被不法分子或機構(gòu)盜用,需建立政府監(jiān)管部門,對可能存在非法獲取數(shù)據(jù)的個人或機構(gòu)進行監(jiān)督管控。
3.2.2 完善數(shù)據(jù)使用追責機制
利用健康醫(yī)療可穿戴設備采集的數(shù)據(jù)進行分析與決策的科研人員、政府或共享自身健康數(shù)據(jù)的社交網(wǎng)絡平臺等,都是健康醫(yī)療可穿戴設備數(shù)據(jù)流動過程中的角色主體。完善數(shù)據(jù)使用追責機制是保障各角色主體在合理范圍內(nèi)采集、傳輸、共享利用數(shù)據(jù)的前提條件,明確不同角色主體的權(quán)利與責任義務,在出現(xiàn)數(shù)據(jù)泄露或破壞等情況時能快速定位責任主體,督促其采取相應措施和承擔民事、刑事責任等。
3.2.3 平衡數(shù)據(jù)使用風險與利益
健康醫(yī)療可穿戴設備采集的數(shù)據(jù)與個體生命健康以及生活方式直接相關,具有巨大的價值[11]。數(shù)據(jù)隱私保護和數(shù)據(jù)共享之間的平衡是醫(yī)療健康信息利用實踐和研究的焦點問題,因而必須要平衡數(shù)據(jù)使用利益與可能帶來的隱私泄露風險,然后再合理利用數(shù)據(jù)進行分析、挖掘、共享等。在評估數(shù)據(jù)使用利益與風險過程中,應秉持“數(shù)據(jù)使用利益最大化,數(shù)據(jù)安全隱私風險最小化”原則,利用風險管理模型,科學評估數(shù)據(jù)使用風險。
3.2.4 加強隱私數(shù)據(jù)保護宣傳,提高用戶隱私保護意識
除對健康醫(yī)療可穿戴設備用戶進行隱私數(shù)據(jù)保護宣傳外,還需對健康醫(yī)療服務機構(gòu)的醫(yī)務人員以及第三方數(shù)據(jù)管理者進行數(shù)據(jù)安全與隱私保護的知識宣講,加強用戶、醫(yī)務人員以及數(shù)據(jù)管理者的數(shù)據(jù)安全與隱私保護意識,避免他們在無意中泄漏個人或用戶的隱私數(shù)據(jù),提高隱私保護意識??赏ㄟ^知識宣傳、科普視頻、數(shù)據(jù)使用與授權(quán)機制培訓課程,定期開展相關主題討論會等手段,進行健康醫(yī)療可穿戴設備數(shù)據(jù)安全與隱私保護的知識宣傳。
3.3.1 建立個人健康醫(yī)療數(shù)據(jù)保護法律體系
結(jié)合健康醫(yī)療行業(yè)和可穿戴設備行業(yè)的特性,加快建立個人健康醫(yī)療數(shù)據(jù)保護法律體系,保障用戶的隱私權(quán)在受到侵害時,可利用法律手段進行維權(quán)。制定個人健康醫(yī)療數(shù)據(jù)商業(yè)應用法律法規(guī)是個人健康醫(yī)療數(shù)據(jù)保護法律體系不可或缺的一部分,可防止個人或機構(gòu)濫用用戶個人健康醫(yī)療數(shù)據(jù)謀取非法利益。在制定個人健康醫(yī)療數(shù)據(jù)商業(yè)應用法律法規(guī)時,應明確健康醫(yī)療機構(gòu)數(shù)據(jù)使用的范圍及商業(yè)合作中數(shù)據(jù)挖掘的邊界,以及商業(yè)機構(gòu)在使用用戶數(shù)據(jù)時應履行的法定責任與義務。
3.3.2 制定數(shù)據(jù)保護標準
制定數(shù)據(jù)保護標準,一方面可以保證執(zhí)行力度,另一方面可以減少健康醫(yī)療可穿戴設備數(shù)據(jù)保護工作中的重復標準,保障數(shù)據(jù)流動過程中的數(shù)據(jù)安全與隱私不受侵犯。國際上已有一定數(shù)量的數(shù)據(jù)安全及個人可識別信息安全保護的強制性標準協(xié)議,如《資訊科技安全技術(shù)存儲安全》《PII 保護實用規(guī)則》《個人可識別數(shù)據(jù) PII 機密性保護指南》,但我國目前尚未有統(tǒng)一的健康醫(yī)療可穿戴設備數(shù)據(jù)保護標準。政府可從健康醫(yī)療可穿戴設備的數(shù)據(jù)內(nèi)容、數(shù)據(jù)涉及的角色主體和數(shù)據(jù)控制等角度,結(jié)合國際標準和我國國情制定健康醫(yī)療可穿戴設備數(shù)據(jù)保護標準,統(tǒng)一數(shù)據(jù)保護級別和方式。
3.3.3 保障用戶知情同意權(quán)利
保障用戶知情同意是用戶使用設備采集自身醫(yī)療健康數(shù)據(jù)的必要條件。知情同意權(quán)一方面指在數(shù)據(jù)采集前,可穿戴設備生產(chǎn)商需將采集的數(shù)據(jù)項、采集形式與頻率、數(shù)據(jù)關聯(lián)方式與深度、使用場景等向用戶提供合理說明,征得用戶同意后方可進行數(shù)據(jù)采集;另一方面指公民擁有要求他人對自身隱私的尊重與保護的權(quán)利,主要是指他人將健康醫(yī)療可穿戴設備帶入公共場合或辦公環(huán)境中使用,即 WYOD(Wear Your Own Device)。此種場景下,健康醫(yī)療可穿戴設備可能會采集到用戶周圍環(huán)境的數(shù)據(jù),若設備在連接狀態(tài)中還有可能會連接到周圍人的設備上,采集周圍設備的數(shù)據(jù)[6]。因此,在WYOD場景中,必須要征得他人同意后才可使用設備或連接網(wǎng)絡,尊重和保護他人隱私。
“互聯(lián)網(wǎng)+醫(yī)療”的發(fā)展離不開健康醫(yī)療可穿戴設備的輔助。健康醫(yī)療可穿戴設備若要有效地服務于個體預防、健康診斷和精準醫(yī)療,需正視其現(xiàn)存的數(shù)據(jù)安全與隱私保護問題,如設備自身存在的安全隱患,數(shù)據(jù)采集傳輸過程缺乏嚴格的數(shù)據(jù)保護機制、缺乏對數(shù)據(jù)安全與隱私保護的國家監(jiān)管、缺乏隱私數(shù)據(jù)范圍的明確規(guī)定等。用戶、設備生產(chǎn)商、數(shù)據(jù)管理者和國家政府部門應共同合作,把控數(shù)據(jù)流動的每一環(huán)節(jié),為健康醫(yī)療可穿戴設備采集到的數(shù)據(jù)制定詳細的安全與隱私保護標準及政策法規(guī),促進數(shù)據(jù)良性流動,為科研和健康決策供數(shù)據(jù)支持,促進社會健康醫(yī)療事業(yè)的發(fā)展。