， ，，

隨著移動通信技術(shù)與健康行業(yè)的緊密結(jié)合，健康互聯(lián)的廣闊應用前景已成為國際共識，為健康服務帶來革命性變革[1]。健康醫(yī)療可穿戴設備作為健康互聯(lián)中重要的網(wǎng)絡節(jié)點，利用物聯(lián)網(wǎng)和感知技術(shù)將患者、醫(yī)院、健康管理機構(gòu)和醫(yī)療保險公司連接起來，形成一個龐大的醫(yī)療專屬網(wǎng)絡，為個人精準衛(wèi)生保健與疾病治療服務的發(fā)展奠定了新基礎，成為新型智慧醫(yī)療的重要組成部分。

健康醫(yī)療可穿戴設備作為新型健康醫(yī)療數(shù)據(jù)的載體，數(shù)據(jù)采集和上傳過程都與傳統(tǒng)醫(yī)療模式或 HIS 系統(tǒng)內(nèi)的數(shù)據(jù)傳遞方式有很大的區(qū)別。健康醫(yī)療可穿戴設備可實時采集用戶行為、情緒和睡眠等與用戶健康高度相關的數(shù)據(jù)，數(shù)據(jù)采集、傳輸不受時間、地點控制，這些數(shù)據(jù)隱含著巨大的商業(yè)價值和社會價值。由于可穿戴設備自身的技術(shù)缺陷以及數(shù)據(jù)流通環(huán)節(jié)管控缺失等問題，較易發(fā)生數(shù)據(jù)和隱私泄露。如何在合理利用健康醫(yī)療可穿戴設備采集數(shù)據(jù)的同時，確保數(shù)據(jù)安全和用戶隱私，是一個值得研究的問題。

本文以健康醫(yī)療可穿戴設備的數(shù)據(jù)為對象，從技術(shù)、管理、法律和倫理等方面，對健康醫(yī)療可穿戴設備的數(shù)據(jù)安全與隱私保護問題進行了研究并提出了相應對策，以保護用戶隱私和數(shù)據(jù)安全，促進健康醫(yī)療可穿戴設備產(chǎn)業(yè)的可持續(xù)發(fā)展和采集數(shù)據(jù)的科學使用。

1 健康醫(yī)療可穿戴設備采集數(shù)據(jù)的特點

健康醫(yī)療可穿戴設備體積微小、移動性強，采集的數(shù)據(jù)類型廣泛，數(shù)據(jù)流動環(huán)節(jié)與傳統(tǒng)醫(yī)療模式(院內(nèi)診療活動)相比有很大區(qū)別(表1)。

健康醫(yī)療可穿戴設備擴展了傳統(tǒng)醫(yī)療模式下采集的數(shù)據(jù)內(nèi)容，如運動行為、社交互動等數(shù)據(jù)，具有可實時采集、不受時間地點控制的特點。但由于健康醫(yī)療可穿戴設備使用的是安全風險較高的傳輸介質(zhì)，數(shù)據(jù)流動環(huán)節(jié)增多，加大了數(shù)據(jù)與隱私泄露的風險，阻礙了健康醫(yī)療可穿戴設備的應用與推廣。

表1 健康醫(yī)療可穿戴設備與傳統(tǒng)醫(yī)療數(shù)據(jù)安全與隱私特點對比

2 健康醫(yī)療可穿戴設備數(shù)據(jù)安全與隱私保護存在的問題

基于健康醫(yī)療可穿戴設備數(shù)據(jù)采集、流動的特點，結(jié)合我國國情，將從技術(shù)安全、數(shù)據(jù)管理、法律法規(guī)和隱私倫理4方面，總結(jié)出健康醫(yī)療可穿戴設備在數(shù)據(jù)安全和隱私保護方面存在的問題。

2.1 技術(shù)安全問題

健康醫(yī)療可穿戴設備高度依賴IOS和Android系統(tǒng)[2]，系統(tǒng)漏洞容易被黑客攻擊,會造成隱私數(shù)據(jù)泄露。在數(shù)據(jù)采集過程中，由于缺乏對設備及數(shù)據(jù)權(quán)限的控制，用戶無法選擇單獨關閉某個傳感器中斷或取消數(shù)據(jù)采集，難以對數(shù)據(jù)的查看和使用進行授權(quán)[3]。在數(shù)據(jù)傳輸過程中，健康醫(yī)療可穿戴設備的MAC地址基本固定且多使用較為簡單的數(shù)據(jù)格式(如JSON等)，直接交互傳遞采集的數(shù)據(jù)值或圖片，缺少多重加密的數(shù)據(jù)模糊處理措施[4]，使他人易與設備連接并獲取數(shù)據(jù)信息。此外，由于設備缺少遠程控制功能，一旦設備被竊或丟失，設備中存儲的信息有可能被他人捕獲和利用[5]。

2.2 數(shù)據(jù)管理問題

健康醫(yī)療可穿戴設備發(fā)展迅速，各種設備產(chǎn)生的數(shù)據(jù)傳輸格式、加密保密、集成平臺接口、數(shù)據(jù)傳輸協(xié)議等都缺少統(tǒng)一的行業(yè)標準，出現(xiàn)了如信息孤島和隱私保護等一系列問題。利用健康醫(yī)療可穿戴設備采集的數(shù)據(jù)可用于個性化醫(yī)療、流行病監(jiān)測、輔助臨床決策及新藥研發(fā)等，具有巨大的經(jīng)濟價值[6]。在利益的驅(qū)使下，某些機構(gòu)或組織，如醫(yī)療機構(gòu)、保險公司或者其他決策咨詢機構(gòu)，可能會在未經(jīng)用戶同意的情況下對健康醫(yī)療可穿戴設備采集的用戶數(shù)據(jù)進行挖掘、分析，預測用戶健康狀況。這不僅易造成用戶健康信息泄漏，引起健康歧視，還可能危及國家安全與穩(wěn)定。

2.3 法律法規(guī)問題

可穿戴設備產(chǎn)業(yè)是一個剛剛興起且發(fā)展迅速的產(chǎn)業(yè)，國家目前尚缺乏針對可穿戴設備尤其是健康醫(yī)療可穿戴設備的數(shù)據(jù)安全和隱私保護方面的政策法規(guī)，一旦可穿戴設備生產(chǎn)商私自售賣用戶數(shù)據(jù)將難于依法追究其責任。此外，目前健康醫(yī)療可穿戴設備采集的數(shù)據(jù)格式、內(nèi)容尚無統(tǒng)一的行業(yè)標準，給數(shù)據(jù)的存儲和管理帶來巨大困難，不利于數(shù)據(jù)的整合利用。

2.4 倫理隱私問題

2012年倫敦奧運會期間的智能垃圾箱事件讓我們意識到，大數(shù)據(jù)對個人隱私保護提出了嚴峻的挑戰(zhàn)。隨著智能手機、傳感器、個人穿戴式等設備的不斷普及，個人數(shù)據(jù)的網(wǎng)絡化和透明化將成為趨勢。健康醫(yī)療可穿戴設備產(chǎn)生的大部分數(shù)據(jù)都是隱私數(shù)據(jù)，明確這些數(shù)據(jù)的商業(yè)化邊界牽涉到用戶隱私安全。此外，大多數(shù)用戶隱私保護意識薄弱，為了能夠得到全面的健康醫(yī)療服務忽略對個人隱私的保密，容易給利用個人隱私數(shù)據(jù)牟利者提供可乘之機。

3 健康醫(yī)療可穿戴設備數(shù)據(jù)安全與隱私保護對策

通過剖析健康醫(yī)療可穿戴設備數(shù)據(jù)安全與隱私保護存在的技術(shù)安全、數(shù)據(jù)管理、法律法規(guī)及倫理隱私問題，本文從技術(shù)、管理、法律等方面提出了相應對策以供同行參考。

3.1 技術(shù)方面

3.1.1 應用多重數(shù)據(jù)加密技術(shù)

由于缺乏強制性保護措施和統(tǒng)一標準規(guī)范，數(shù)據(jù)易被攔截和篡改，因此健康醫(yī)療可穿戴設備應在設備終端及云端應用多重數(shù)據(jù)加密技術(shù)。目前學術(shù)界探討的互聯(lián)網(wǎng)環(huán)境下健康醫(yī)療數(shù)據(jù)加密技術(shù)有SSL(Secure Sockets Layer)數(shù)據(jù)加密傳輸技術(shù)[7]、K-匿名技術(shù)、Hash函數(shù)加密、RSA公鑰加密算法及ECC橢圓曲線加密算法[8]等。數(shù)據(jù)加密應由設備生產(chǎn)商和用戶雙方進行操作，當需要用戶開啟數(shù)據(jù)加密功能時，設備需提前向用戶發(fā)送通知并說明理由。此外，健康醫(yī)療設備應默認開啟數(shù)據(jù)加密功能，防止個人信息泄露。

3.1.2 建立分級數(shù)據(jù)管控模式

等級保護制度是我國信息安全保障領域的基本制度，對提高我國信息安全保障能力和水平，促進信息化建設健康發(fā)展，維護國家安全、社會穩(wěn)定和公共利益具有重要意義[9]。健康醫(yī)療可穿戴設備的數(shù)據(jù)也應根據(jù)數(shù)據(jù)的社會價值、商業(yè)價值和對國家或個人數(shù)據(jù)安全與隱私威脅的嚴重程度建立分級分類的數(shù)據(jù)管控模式。

根據(jù)HIPAA法案對個人可識別信息保護的內(nèi)容和我國的《信息安全等級保護管理辦法》《信息安全技術(shù)信息系統(tǒng)安全等級保護定級指南》等相關要求，可將健康醫(yī)療可穿戴設備數(shù)據(jù)保護分為數(shù)據(jù)內(nèi)容保護和數(shù)據(jù)流動環(huán)節(jié)多級保障兩種方式。

3.1.2.1 劃分數(shù)據(jù)內(nèi)容保護級別

設置數(shù)據(jù)內(nèi)容保護級別可增加操作權(quán)限的靈活性，合理控制數(shù)據(jù)保護成本。

本文將健康醫(yī)療可穿戴設備數(shù)據(jù)隱私保護劃分為5類(表2)，結(jié)合數(shù)據(jù)隱私泄露對國家與個人造成的影響以及數(shù)據(jù)的價值，將隱私保護級別劃分為3級，其中A級和B級的隱私保護又各劃分為2級(A+和A、B+和B)。

表2 健康醫(yī)療可穿戴設備數(shù)據(jù)隱私保護級別劃分表

各級別均有具體的要求。A級的要求是采用最嚴格的加密與認證保護技術(shù)，非法律許可禁止搜集、查看和使用，且A+和A級法律監(jiān)管與處罰有所不同，隱私保護級別為A+的Ⅰ類數(shù)據(jù)與隱私保護級別為A 的Ⅱ類數(shù)據(jù)都需要去敏感化利用；B級的要求是在用戶知情同意后，由授權(quán)對象在指定的服務和范圍內(nèi)查看、使用、修改數(shù)據(jù)，應使用身份認證技術(shù)保障授權(quán)身份的合理性，其中B+級別的數(shù)據(jù)應滿足臨床數(shù)據(jù)保護標準，B級隱私數(shù)據(jù)可結(jié)合臨床情況予以開放；C級的要求是用戶可在健康醫(yī)療可穿戴設備終端自主共享V類數(shù)據(jù)，但提供倫理上尊重他人隱私的風險說明。

3.1.2.2 設置數(shù)據(jù)流動環(huán)節(jié)多級保障

健康醫(yī)療可穿戴設備的數(shù)據(jù)在采集、上傳、集成交互、信息反饋等環(huán)節(jié)的流動方式不同，每個流動環(huán)節(jié)承載的隱私內(nèi)容也有所不同。因此，在采取數(shù)據(jù)流動環(huán)節(jié)多級保障措施前，需對數(shù)據(jù)流動環(huán)節(jié)進行安全風險等級評估。

選取數(shù)據(jù)流動環(huán)節(jié)中的數(shù)據(jù)內(nèi)容、數(shù)據(jù)交互程度、安全與隱私保護意識、是否已有數(shù)據(jù)安全與隱私保護機制4個風險因素進行風險等級評估。將各風險因素劃分為3個等級，其中數(shù)據(jù)內(nèi)容分為“高度敏感”“較敏感”“低敏感”3個等級，數(shù)據(jù)保護難度分為“非常復雜”“較復雜”“不復雜”3個等級，數(shù)據(jù)及保護能力分為“缺少保護能力”“有一定保護能力”“有較強保護能力”3個等級，是否有數(shù)據(jù)安全與隱私保護標準分為“缺少保護標準”“有一定保護標準”“在成熟可靠保護標準”3個等級。使用“★”代表安全風險高，“☆”表示有一定的安全風險，安全風險程度較低的級別不使用符號。健康醫(yī)療可穿戴設備數(shù)據(jù)各流動環(huán)節(jié)中數(shù)據(jù)及隱私泄露的風險度見圖1。

圖1 健康醫(yī)療可穿戴設備數(shù)據(jù)各流動環(huán)節(jié)中數(shù)據(jù)及隱私泄露的風險度

通過對健康醫(yī)療可穿戴設備數(shù)據(jù)流動環(huán)節(jié)中數(shù)據(jù)及隱私泄露風險度的分析，發(fā)現(xiàn)除已有的數(shù)據(jù)交換與共享模式(健康醫(yī)療相關服務機構(gòu)->健康大數(shù)據(jù)云平臺以及健康大數(shù)據(jù)的科學研究與決策支持應用)外，其他的數(shù)據(jù)流動環(huán)節(jié)均缺乏安全保障機制且角色主體數(shù)據(jù)保護能力薄弱，終端或網(wǎng)絡安全防護措施較差，易造成數(shù)據(jù)安全隱患與隱私泄露。對不同風險級別的數(shù)據(jù)流動環(huán)節(jié)應采取差別化的安全防護措施，如三星級以上的風險數(shù)據(jù)流動環(huán)節(jié)，必須使用指定數(shù)據(jù)傳輸格式與標準，利用專屬通信網(wǎng)絡，嚴格控制角色主體的數(shù)據(jù)存取，安裝防火墻與隱私泄露威脅識別工具；二星級以上但未達到三星級風險的數(shù)據(jù)流動環(huán)節(jié)，需使用專屬網(wǎng)絡與信息系統(tǒng)進行數(shù)據(jù)共享行為，對數(shù)據(jù)傳輸標準與共享機制提供推薦性技術(shù)標準等。此外，在數(shù)據(jù)流動環(huán)節(jié)中需增加日志記錄功能。

3.1.3 增加設備遠程控制功能

由于可穿戴設備體積小、質(zhì)量輕，設備丟失或被盜是導致數(shù)據(jù)泄露最常見途徑之一[10]，所以健康醫(yī)療可穿戴設備應提供丟失提醒和數(shù)據(jù)遠程擦除功能。設備丟失提醒是指一旦設備超出指定范圍，會向用戶發(fā)出警報，提醒用戶。用戶可選擇關閉連接，執(zhí)行遠程數(shù)據(jù)擦除或報警等措施，保護數(shù)據(jù)及隱私免于非法盜取和泄露。遠程數(shù)據(jù)擦除應分為部分擦除與全部清空兩種選擇，設置包含個人健康醫(yī)療可穿戴設備數(shù)據(jù)的個人健康檔案(PHR)后可同步到認證后的新設備，防止數(shù)據(jù)二次丟失。設備丟失提醒功能應在默認情況下開啟。

3.2 管理方面

3.2.1 建立政府監(jiān)管部門

健康醫(yī)療可穿戴設備采集的數(shù)據(jù)規(guī)模大、種類繁多，可輔助描述較精準的個人畫像和精準分析評估用戶健康情況。這既可為刑事偵查提供新途徑，也為健康醫(yī)療服務機構(gòu)、醫(yī)藥保健公司、商業(yè)保險等公司進行精準健康醫(yī)療服務和個人保險營銷提供巨大商機。為防止個人健康醫(yī)療數(shù)據(jù)被不法分子或機構(gòu)盜用，需建立政府監(jiān)管部門，對可能存在非法獲取數(shù)據(jù)的個人或機構(gòu)進行監(jiān)督管控。

3.2.2 完善數(shù)據(jù)使用追責機制

利用健康醫(yī)療可穿戴設備采集的數(shù)據(jù)進行分析與決策的科研人員、政府或共享自身健康數(shù)據(jù)的社交網(wǎng)絡平臺等，都是健康醫(yī)療可穿戴設備數(shù)據(jù)流動過程中的角色主體。完善數(shù)據(jù)使用追責機制是保障各角色主體在合理范圍內(nèi)采集、傳輸、共享利用數(shù)據(jù)的前提條件，明確不同角色主體的權(quán)利與責任義務，在出現(xiàn)數(shù)據(jù)泄露或破壞等情況時能快速定位責任主體，督促其采取相應措施和承擔民事、刑事責任等。

3.2.3 平衡數(shù)據(jù)使用風險與利益

健康醫(yī)療可穿戴設備采集的數(shù)據(jù)與個體生命健康以及生活方式直接相關，具有巨大的價值[11]。數(shù)據(jù)隱私保護和數(shù)據(jù)共享之間的平衡是醫(yī)療健康信息利用實踐和研究的焦點問題，因而必須要平衡數(shù)據(jù)使用利益與可能帶來的隱私泄露風險，然后再合理利用數(shù)據(jù)進行分析、挖掘、共享等。在評估數(shù)據(jù)使用利益與風險過程中，應秉持“數(shù)據(jù)使用利益最大化，數(shù)據(jù)安全隱私風險最小化”原則，利用風險管理模型，科學評估數(shù)據(jù)使用風險。

3.2.4 加強隱私數(shù)據(jù)保護宣傳，提高用戶隱私保護意識

除對健康醫(yī)療可穿戴設備用戶進行隱私數(shù)據(jù)保護宣傳外，還需對健康醫(yī)療服務機構(gòu)的醫(yī)務人員以及第三方數(shù)據(jù)管理者進行數(shù)據(jù)安全與隱私保護的知識宣講，加強用戶、醫(yī)務人員以及數(shù)據(jù)管理者的數(shù)據(jù)安全與隱私保護意識，避免他們在無意中泄漏個人或用戶的隱私數(shù)據(jù)，提高隱私保護意識?？赏ㄟ^知識宣傳、科普視頻、數(shù)據(jù)使用與授權(quán)機制培訓課程，定期開展相關主題討論會等手段，進行健康醫(yī)療可穿戴設備數(shù)據(jù)安全與隱私保護的知識宣傳。

3.3 法律法規(guī)方面

3.3.1 建立個人健康醫(yī)療數(shù)據(jù)保護法律體系

結(jié)合健康醫(yī)療行業(yè)和可穿戴設備行業(yè)的特性，加快建立個人健康醫(yī)療數(shù)據(jù)保護法律體系，保障用戶的隱私權(quán)在受到侵害時，可利用法律手段進行維權(quán)。制定個人健康醫(yī)療數(shù)據(jù)商業(yè)應用法律法規(guī)是個人健康醫(yī)療數(shù)據(jù)保護法律體系不可或缺的一部分，可防止個人或機構(gòu)濫用用戶個人健康醫(yī)療數(shù)據(jù)謀取非法利益。在制定個人健康醫(yī)療數(shù)據(jù)商業(yè)應用法律法規(guī)時，應明確健康醫(yī)療機構(gòu)數(shù)據(jù)使用的范圍及商業(yè)合作中數(shù)據(jù)挖掘的邊界，以及商業(yè)機構(gòu)在使用用戶數(shù)據(jù)時應履行的法定責任與義務。

3.3.2 制定數(shù)據(jù)保護標準

制定數(shù)據(jù)保護標準，一方面可以保證執(zhí)行力度，另一方面可以減少健康醫(yī)療可穿戴設備數(shù)據(jù)保護工作中的重復標準，保障數(shù)據(jù)流動過程中的數(shù)據(jù)安全與隱私不受侵犯。國際上已有一定數(shù)量的數(shù)據(jù)安全及個人可識別信息安全保護的強制性標準協(xié)議，如《資訊科技安全技術(shù)存儲安全》《PII 保護實用規(guī)則》《個人可識別數(shù)據(jù) PII 機密性保護指南》，但我國目前尚未有統(tǒng)一的健康醫(yī)療可穿戴設備數(shù)據(jù)保護標準。政府可從健康醫(yī)療可穿戴設備的數(shù)據(jù)內(nèi)容、數(shù)據(jù)涉及的角色主體和數(shù)據(jù)控制等角度，結(jié)合國際標準和我國國情制定健康醫(yī)療可穿戴設備數(shù)據(jù)保護標準，統(tǒng)一數(shù)據(jù)保護級別和方式。

3.3.3 保障用戶知情同意權(quán)利

保障用戶知情同意是用戶使用設備采集自身醫(yī)療健康數(shù)據(jù)的必要條件。知情同意權(quán)一方面指在數(shù)據(jù)采集前，可穿戴設備生產(chǎn)商需將采集的數(shù)據(jù)項、采集形式與頻率、數(shù)據(jù)關聯(lián)方式與深度、使用場景等向用戶提供合理說明，征得用戶同意后方可進行數(shù)據(jù)采集；另一方面指公民擁有要求他人對自身隱私的尊重與保護的權(quán)利，主要是指他人將健康醫(yī)療可穿戴設備帶入公共場合或辦公環(huán)境中使用，即 WYOD(Wear Your Own Device)。此種場景下，健康醫(yī)療可穿戴設備可能會采集到用戶周圍環(huán)境的數(shù)據(jù)，若設備在連接狀態(tài)中還有可能會連接到周圍人的設備上，采集周圍設備的數(shù)據(jù)[6]。因此，在WYOD場景中，必須要征得他人同意后才可使用設備或連接網(wǎng)絡，尊重和保護他人隱私。

4 結(jié)語

“互聯(lián)網(wǎng)+醫(yī)療”的發(fā)展離不開健康醫(yī)療可穿戴設備的輔助。健康醫(yī)療可穿戴設備若要有效地服務于個體預防、健康診斷和精準醫(yī)療，需正視其現(xiàn)存的數(shù)據(jù)安全與隱私保護問題，如設備自身存在的安全隱患，數(shù)據(jù)采集傳輸過程缺乏嚴格的數(shù)據(jù)保護機制、缺乏對數(shù)據(jù)安全與隱私保護的國家監(jiān)管、缺乏隱私數(shù)據(jù)范圍的明確規(guī)定等。用戶、設備生產(chǎn)商、數(shù)據(jù)管理者和國家政府部門應共同合作，把控數(shù)據(jù)流動的每一環(huán)節(jié)，為健康醫(yī)療可穿戴設備采集到的數(shù)據(jù)制定詳細的安全與隱私保護標準及政策法規(guī)，促進數(shù)據(jù)良性流動，為科研和健康決策供數(shù)據(jù)支持，促進社會健康醫(yī)療事業(yè)的發(fā)展。