， ，，

隨著移動通信技術與健康行業(yè)的緊密結合，健康互聯的廣闊應用前景已成為國際共識，為健康服務帶來革命性變革[1]。健康醫(yī)療可穿戴設備作為健康互聯中重要的網絡節(jié)點，利用物聯網和感知技術將患者、醫(yī)院、健康管理機構和醫(yī)療保險公司連接起來，形成一個龐大的醫(yī)療專屬網絡，為個人精準衛(wèi)生保健與疾病治療服務的發(fā)展奠定了新基礎，成為新型智慧醫(yī)療的重要組成部分。

健康醫(yī)療可穿戴設備作為新型健康醫(yī)療數據的載體，數據采集和上傳過程都與傳統(tǒng)醫(yī)療模式或 HIS 系統(tǒng)內的數據傳遞方式有很大的區(qū)別。健康醫(yī)療可穿戴設備可實時采集用戶行為、情緒和睡眠等與用戶健康高度相關的數據，數據采集、傳輸不受時間、地點控制，這些數據隱含著巨大的商業(yè)價值和社會價值。由于可穿戴設備自身的技術缺陷以及數據流通環(huán)節(jié)管控缺失等問題，較易發(fā)生數據和隱私泄露。如何在合理利用健康醫(yī)療可穿戴設備采集數據的同時，確保數據安全和用戶隱私，是一個值得研究的問題。

本文以健康醫(yī)療可穿戴設備的數據為對象，從技術、管理、法律和倫理等方面，對健康醫(yī)療可穿戴設備的數據安全與隱私保護問題進行了研究并提出了相應對策，以保護用戶隱私和數據安全，促進健康醫(yī)療可穿戴設備產業(yè)的可持續(xù)發(fā)展和采集數據的科學使用。

1 健康醫(yī)療可穿戴設備采集數據的特點

健康醫(yī)療可穿戴設備體積微小、移動性強，采集的數據類型廣泛，數據流動環(huán)節(jié)與傳統(tǒng)醫(yī)療模式(院內診療活動)相比有很大區(qū)別(表1)。

健康醫(yī)療可穿戴設備擴展了傳統(tǒng)醫(yī)療模式下采集的數據內容，如運動行為、社交互動等數據，具有可實時采集、不受時間地點控制的特點。但由于健康醫(yī)療可穿戴設備使用的是安全風險較高的傳輸介質，數據流動環(huán)節(jié)增多，加大了數據與隱私泄露的風險，阻礙了健康醫(yī)療可穿戴設備的應用與推廣。

表1 健康醫(yī)療可穿戴設備與傳統(tǒng)醫(yī)療數據安全與隱私特點對比

2 健康醫(yī)療可穿戴設備數據安全與隱私保護存在的問題

基于健康醫(yī)療可穿戴設備數據采集、流動的特點，結合我國國情，將從技術安全、數據管理、法律法規(guī)和隱私倫理4方面，總結出健康醫(yī)療可穿戴設備在數據安全和隱私保護方面存在的問題。

2.1 技術安全問題

健康醫(yī)療可穿戴設備高度依賴IOS和Android系統(tǒng)[2]，系統(tǒng)漏洞容易被黑客攻擊,會造成隱私數據泄露。在數據采集過程中，由于缺乏對設備及數據權限的控制，用戶無法選擇單獨關閉某個傳感器中斷或取消數據采集，難以對數據的查看和使用進行授權[3]。在數據傳輸過程中，健康醫(yī)療可穿戴設備的MAC地址基本固定且多使用較為簡單的數據格式(如JSON等)，直接交互傳遞采集的數據值或圖片，缺少多重加密的數據模糊處理措施[4]，使他人易與設備連接并獲取數據信息。此外，由于設備缺少遠程控制功能，一旦設備被竊或丟失，設備中存儲的信息有可能被他人捕獲和利用[5]。

2.2 數據管理問題

健康醫(yī)療可穿戴設備發(fā)展迅速，各種設備產生的數據傳輸格式、加密保密、集成平臺接口、數據傳輸協議等都缺少統(tǒng)一的行業(yè)標準，出現了如信息孤島和隱私保護等一系列問題。利用健康醫(yī)療可穿戴設備采集的數據可用于個性化醫(yī)療、流行病監(jiān)測、輔助臨床決策及新藥研發(fā)等，具有巨大的經濟價值[6]。在利益的驅使下，某些機構或組織，如醫(yī)療機構、保險公司或者其他決策咨詢機構，可能會在未經用戶同意的情況下對健康醫(yī)療可穿戴設備采集的用戶數據進行挖掘、分析，預測用戶健康狀況。這不僅易造成用戶健康信息泄漏，引起健康歧視，還可能危及國家安全與穩(wěn)定。

2.3 法律法規(guī)問題

可穿戴設備產業(yè)是一個剛剛興起且發(fā)展迅速的產業(yè)，國家目前尚缺乏針對可穿戴設備尤其是健康醫(yī)療可穿戴設備的數據安全和隱私保護方面的政策法規(guī)，一旦可穿戴設備生產商私自售賣用戶數據將難于依法追究其責任。此外，目前健康醫(yī)療可穿戴設備采集的數據格式、內容尚無統(tǒng)一的行業(yè)標準，給數據的存儲和管理帶來巨大困難，不利于數據的整合利用。

2.4 倫理隱私問題

2012年倫敦奧運會期間的智能垃圾箱事件讓我們意識到，大數據對個人隱私保護提出了嚴峻的挑戰(zhàn)。隨著智能手機、傳感器、個人穿戴式等設備的不斷普及，個人數據的網絡化和透明化將成為趨勢。健康醫(yī)療可穿戴設備產生的大部分數據都是隱私數據，明確這些數據的商業(yè)化邊界牽涉到用戶隱私安全。此外，大多數用戶隱私保護意識薄弱，為了能夠得到全面的健康醫(yī)療服務忽略對個人隱私的保密，容易給利用個人隱私數據牟利者提供可乘之機。

3 健康醫(yī)療可穿戴設備數據安全與隱私保護對策

通過剖析健康醫(yī)療可穿戴設備數據安全與隱私保護存在的技術安全、數據管理、法律法規(guī)及倫理隱私問題，本文從技術、管理、法律等方面提出了相應對策以供同行參考。

3.1 技術方面

3.1.1 應用多重數據加密技術

由于缺乏強制性保護措施和統(tǒng)一標準規(guī)范，數據易被攔截和篡改，因此健康醫(yī)療可穿戴設備應在設備終端及云端應用多重數據加密技術。目前學術界探討的互聯網環(huán)境下健康醫(yī)療數據加密技術有SSL(Secure Sockets Layer)數據加密傳輸技術[7]、K-匿名技術、Hash函數加密、RSA公鑰加密算法及ECC橢圓曲線加密算法[8]等。數據加密應由設備生產商和用戶雙方進行操作，當需要用戶開啟數據加密功能時，設備需提前向用戶發(fā)送通知并說明理由。此外，健康醫(yī)療設備應默認開啟數據加密功能，防止個人信息泄露。

3.1.2 建立分級數據管控模式

等級保護制度是我國信息安全保障領域的基本制度，對提高我國信息安全保障能力和水平，促進信息化建設健康發(fā)展，維護國家安全、社會穩(wěn)定和公共利益具有重要意義[9]。健康醫(yī)療可穿戴設備的數據也應根據數據的社會價值、商業(yè)價值和對國家或個人數據安全與隱私威脅的嚴重程度建立分級分類的數據管控模式。

根據HIPAA法案對個人可識別信息保護的內容和我國的《信息安全等級保護管理辦法》《信息安全技術信息系統(tǒng)安全等級保護定級指南》等相關要求，可將健康醫(yī)療可穿戴設備數據保護分為數據內容保護和數據流動環(huán)節(jié)多級保障兩種方式。

3.1.2.1 劃分數據內容保護級別

設置數據內容保護級別可增加操作權限的靈活性，合理控制數據保護成本。

本文將健康醫(yī)療可穿戴設備數據隱私保護劃分為5類(表2)，結合數據隱私泄露對國家與個人造成的影響以及數據的價值，將隱私保護級別劃分為3級，其中A級和B級的隱私保護又各劃分為2級(A+和A、B+和B)。

表2 健康醫(yī)療可穿戴設備數據隱私保護級別劃分表

各級別均有具體的要求。A級的要求是采用最嚴格的加密與認證保護技術，非法律許可禁止搜集、查看和使用，且A+和A級法律監(jiān)管與處罰有所不同，隱私保護級別為A+的Ⅰ類數據與隱私保護級別為A 的Ⅱ類數據都需要去敏感化利用；B級的要求是在用戶知情同意后，由授權對象在指定的服務和范圍內查看、使用、修改數據，應使用身份認證技術保障授權身份的合理性，其中B+級別的數據應滿足臨床數據保護標準，B級隱私數據可結合臨床情況予以開放；C級的要求是用戶可在健康醫(yī)療可穿戴設備終端自主共享V類數據，但提供倫理上尊重他人隱私的風險說明。

3.1.2.2 設置數據流動環(huán)節(jié)多級保障

健康醫(yī)療可穿戴設備的數據在采集、上傳、集成交互、信息反饋等環(huán)節(jié)的流動方式不同，每個流動環(huán)節(jié)承載的隱私內容也有所不同。因此，在采取數據流動環(huán)節(jié)多級保障措施前，需對數據流動環(huán)節(jié)進行安全風險等級評估。

選取數據流動環(huán)節(jié)中的數據內容、數據交互程度、安全與隱私保護意識、是否已有數據安全與隱私保護機制4個風險因素進行風險等級評估。將各風險因素劃分為3個等級，其中數據內容分為“高度敏感”“較敏感”“低敏感”3個等級，數據保護難度分為“非常復雜”“較復雜”“不復雜”3個等級，數據及保護能力分為“缺少保護能力”“有一定保護能力”“有較強保護能力”3個等級，是否有數據安全與隱私保護標準分為“缺少保護標準”“有一定保護標準”“在成熟可靠保護標準”3個等級。使用“★”代表安全風險高，“☆”表示有一定的安全風險，安全風險程度較低的級別不使用符號。健康醫(yī)療可穿戴設備數據各流動環(huán)節(jié)中數據及隱私泄露的風險度見圖1。

圖1 健康醫(yī)療可穿戴設備數據各流動環(huán)節(jié)中數據及隱私泄露的風險度

通過對健康醫(yī)療可穿戴設備數據流動環(huán)節(jié)中數據及隱私泄露風險度的分析，發(fā)現除已有的數據交換與共享模式(健康醫(yī)療相關服務機構->健康大數據云平臺以及健康大數據的科學研究與決策支持應用)外，其他的數據流動環(huán)節(jié)均缺乏安全保障機制且角色主體數據保護能力薄弱，終端或網絡安全防護措施較差，易造成數據安全隱患與隱私泄露。對不同風險級別的數據流動環(huán)節(jié)應采取差別化的安全防護措施，如三星級以上的風險數據流動環(huán)節(jié)，必須使用指定數據傳輸格式與標準，利用專屬通信網絡，嚴格控制角色主體的數據存取，安裝防火墻與隱私泄露威脅識別工具；二星級以上但未達到三星級風險的數據流動環(huán)節(jié)，需使用專屬網絡與信息系統(tǒng)進行數據共享行為，對數據傳輸標準與共享機制提供推薦性技術標準等。此外，在數據流動環(huán)節(jié)中需增加日志記錄功能。

3.1.3 增加設備遠程控制功能

由于可穿戴設備體積小、質量輕，設備丟失或被盜是導致數據泄露最常見途徑之一[10]，所以健康醫(yī)療可穿戴設備應提供丟失提醒和數據遠程擦除功能。設備丟失提醒是指一旦設備超出指定范圍，會向用戶發(fā)出警報，提醒用戶。用戶可選擇關閉連接，執(zhí)行遠程數據擦除或報警等措施，保護數據及隱私免于非法盜取和泄露。遠程數據擦除應分為部分擦除與全部清空兩種選擇，設置包含個人健康醫(yī)療可穿戴設備數據的個人健康檔案(PHR)后可同步到認證后的新設備，防止數據二次丟失。設備丟失提醒功能應在默認情況下開啟。

3.2 管理方面

3.2.1 建立政府監(jiān)管部門

健康醫(yī)療可穿戴設備采集的數據規(guī)模大、種類繁多，可輔助描述較精準的個人畫像和精準分析評估用戶健康情況。這既可為刑事偵查提供新途徑，也為健康醫(yī)療服務機構、醫(yī)藥保健公司、商業(yè)保險等公司進行精準健康醫(yī)療服務和個人保險營銷提供巨大商機。為防止個人健康醫(yī)療數據被不法分子或機構盜用，需建立政府監(jiān)管部門，對可能存在非法獲取數據的個人或機構進行監(jiān)督管控。

3.2.2 完善數據使用追責機制

利用健康醫(yī)療可穿戴設備采集的數據進行分析與決策的科研人員、政府或共享自身健康數據的社交網絡平臺等，都是健康醫(yī)療可穿戴設備數據流動過程中的角色主體。完善數據使用追責機制是保障各角色主體在合理范圍內采集、傳輸、共享利用數據的前提條件，明確不同角色主體的權利與責任義務，在出現數據泄露或破壞等情況時能快速定位責任主體，督促其采取相應措施和承擔民事、刑事責任等。

3.2.3 平衡數據使用風險與利益

健康醫(yī)療可穿戴設備采集的數據與個體生命健康以及生活方式直接相關，具有巨大的價值[11]。數據隱私保護和數據共享之間的平衡是醫(yī)療健康信息利用實踐和研究的焦點問題，因而必須要平衡數據使用利益與可能帶來的隱私泄露風險，然后再合理利用數據進行分析、挖掘、共享等。在評估數據使用利益與風險過程中，應秉持“數據使用利益最大化，數據安全隱私風險最小化”原則，利用風險管理模型，科學評估數據使用風險。

3.2.4 加強隱私數據保護宣傳，提高用戶隱私保護意識

除對健康醫(yī)療可穿戴設備用戶進行隱私數據保護宣傳外，還需對健康醫(yī)療服務機構的醫(yī)務人員以及第三方數據管理者進行數據安全與隱私保護的知識宣講，加強用戶、醫(yī)務人員以及數據管理者的數據安全與隱私保護意識，避免他們在無意中泄漏個人或用戶的隱私數據，提高隱私保護意識?？赏ㄟ^知識宣傳、科普視頻、數據使用與授權機制培訓課程，定期開展相關主題討論會等手段，進行健康醫(yī)療可穿戴設備數據安全與隱私保護的知識宣傳。

3.3 法律法規(guī)方面

3.3.1 建立個人健康醫(yī)療數據保護法律體系

結合健康醫(yī)療行業(yè)和可穿戴設備行業(yè)的特性，加快建立個人健康醫(yī)療數據保護法律體系，保障用戶的隱私權在受到侵害時，可利用法律手段進行維權。制定個人健康醫(yī)療數據商業(yè)應用法律法規(guī)是個人健康醫(yī)療數據保護法律體系不可或缺的一部分，可防止個人或機構濫用用戶個人健康醫(yī)療數據謀取非法利益。在制定個人健康醫(yī)療數據商業(yè)應用法律法規(guī)時，應明確健康醫(yī)療機構數據使用的范圍及商業(yè)合作中數據挖掘的邊界，以及商業(yè)機構在使用用戶數據時應履行的法定責任與義務。

3.3.2 制定數據保護標準

制定數據保護標準，一方面可以保證執(zhí)行力度，另一方面可以減少健康醫(yī)療可穿戴設備數據保護工作中的重復標準，保障數據流動過程中的數據安全與隱私不受侵犯。國際上已有一定數量的數據安全及個人可識別信息安全保護的強制性標準協議，如《資訊科技安全技術存儲安全》《PII 保護實用規(guī)則》《個人可識別數據 PII 機密性保護指南》，但我國目前尚未有統(tǒng)一的健康醫(yī)療可穿戴設備數據保護標準。政府可從健康醫(yī)療可穿戴設備的數據內容、數據涉及的角色主體和數據控制等角度，結合國際標準和我國國情制定健康醫(yī)療可穿戴設備數據保護標準，統(tǒng)一數據保護級別和方式。

3.3.3 保障用戶知情同意權利

保障用戶知情同意是用戶使用設備采集自身醫(yī)療健康數據的必要條件。知情同意權一方面指在數據采集前，可穿戴設備生產商需將采集的數據項、采集形式與頻率、數據關聯方式與深度、使用場景等向用戶提供合理說明，征得用戶同意后方可進行數據采集；另一方面指公民擁有要求他人對自身隱私的尊重與保護的權利，主要是指他人將健康醫(yī)療可穿戴設備帶入公共場合或辦公環(huán)境中使用，即 WYOD(Wear Your Own Device)。此種場景下，健康醫(yī)療可穿戴設備可能會采集到用戶周圍環(huán)境的數據，若設備在連接狀態(tài)中還有可能會連接到周圍人的設備上，采集周圍設備的數據[6]。因此，在WYOD場景中，必須要征得他人同意后才可使用設備或連接網絡，尊重和保護他人隱私。

4 結語

“互聯網+醫(yī)療”的發(fā)展離不開健康醫(yī)療可穿戴設備的輔助。健康醫(yī)療可穿戴設備若要有效地服務于個體預防、健康診斷和精準醫(yī)療，需正視其現存的數據安全與隱私保護問題，如設備自身存在的安全隱患，數據采集傳輸過程缺乏嚴格的數據保護機制、缺乏對數據安全與隱私保護的國家監(jiān)管、缺乏隱私數據范圍的明確規(guī)定等。用戶、設備生產商、數據管理者和國家政府部門應共同合作，把控數據流動的每一環(huán)節(jié)，為健康醫(yī)療可穿戴設備采集到的數據制定詳細的安全與隱私保護標準及政策法規(guī)，促進數據良性流動，為科研和健康決策供數據支持，促進社會健康醫(yī)療事業(yè)的發(fā)展。