Kayaalp M著，袁 楊 編譯

隱私在1948年聯(lián)合國大會的“世界人權宣言”中被定義為基本人權。然而，關于什么是隱私仍然沒有達成共識。HIPAA法案的隱私法則對監(jiān)管框架進行了界定，并在保護措施和獲得用于研究的健康信息的權限之間達成平衡，規(guī)定了健康信息受法律保護的條件以及受保護的健康信息如何被去除標識以供二次使用。隨著人工智能和計算語言學的發(fā)展，文本去標識算法產(chǎn)生的結果幾乎與人類得出的去標識結果一樣好，但速度更快更一致且基本上免費。但是，臨床文本去標識過程仍然有瑕疵。為了最大限度地保護患者隱私并從電子醫(yī)療保健系統(tǒng)中獲取臨床和科研信息，所有利益相關者必須密切合作，包括患者、醫(yī)療機構和審查委員會、科學家以及監(jiān)管和執(zhí)法機構。一方面，公共衛(wèi)生法律和隱私法規(guī)定了原則，例如請求和授予科學研究所需的健康信息量。另一方面，去除身份標識系統(tǒng)的開發(fā)者提供了不同操作模式的指導方針，最大限度地提高工具的有效性和去除身份標識的成功率。為了保護好患者隱私，擁有臨床儲存庫的機構要嚴格遵守這些準則。

1 保護包含患者標識符的健康信息

隨著數(shù)字通信革命的到來，社交媒體變得無處不在?，F(xiàn)在隱私被定義為維護對個人信息的控制權，包括財產(chǎn)、通信、行為和其他事務的信息。健康信息(HI)是指與個人過去、現(xiàn)在和未來的健康狀況有關或衛(wèi)生保健支付相關的信息?？勺R別的健康信息是HI的一個子集，包含可用于識別健康信息主體的標識符或其他此類信息。大多數(shù)個人可識別的健康信息都是受保護的健康信息(PHI)，過去50年內死亡者的健康信息被認為是PHI。個人身份標識信息PII經(jīng)常與個人可識別的健康信息混淆。某些PII元素(如個人姓名和聯(lián)系號碼)可以在醫(yī)療記錄中找到，但它們不是健康信息，因此不是PHI。我們將PHI視為健康信息和PII重合部分的集合。

2 HIPAA隱私法則

1996年，美國國會制定了“健康保險流通與責任法案”(HIPAA)，并要求衛(wèi)生與公眾服務部門(HHS)頒布以下處理標準：①個人可識別HI信息的主體應該具有的權利；②為行使這些權利應該制定的程序；③應當授權或請求的信息使用和公開。1999年，HHS提出隱私規(guī)則的初始版本作為處理和傳輸個人HI的一套隱私保護標準。該規(guī)則的最新版本包含了2008年經(jīng)濟和臨床健康衛(wèi)生信息技術法(HITECH)和2008年遺傳信息非歧視法(GINA)修正案。

隱私法則禁止出售PHI或將其用于市場營銷目的，除非獲得個人的書面授權。個人有權在公開PHI信息之前得到知曉并限制信息公開。個人死亡后，提供者可以向家庭成員或指定人員公開PHI，除非個人對此類公開提出要求。PHI也可以在特定的情況下使用或公開二次利用。

研究人員如果從PHI的主體獲得授權，則可以使用PHI。沒有這種授權，也稱為知情同意，研究人員必須向機構審查委員會申請放棄授權，獲批后可向研究人員公布必要的最少PHI。在兩種情況下，醫(yī)療機構可以授予研究人員無須IRB批準即可獲取PHI的權利：(a)PHI數(shù)據(jù)屬于已故個人。(b)該請求僅限于查看PHI來籌備研究，不從研究機構獲取PHI信息。此外，研究人員必須證明：①研究涉及的對象風險最小化；②放棄或變更不會對受試者的權利和福利造成不利影響；③在沒有放棄或變更的情況下進行研究并不切實可行；④在適當?shù)臅r候，將為受試者提供更多的相關信息。

3 去標識

從PHI中去除PII元素的過程稱為去標識。隱私法則提供了兩種不同的去標識方法。第一種方法是專家確定，專家解除PHI標識，記錄方法，并使用公認的統(tǒng)計和科學方法量化重新識別的最小風險。第二種稱為安全港方法，需要從數(shù)據(jù)中刪除18種類型的標識符(PII元素)。18個PII元素中不包括人口統(tǒng)計信息，這些信息在臨床研究中最常用，如年齡、性別、民族和職業(yè)等。

數(shù)據(jù)類型有四種：表格、圖像/視頻、信號和文本數(shù)據(jù)。如果確定了字段的標準，則清除表格結構化數(shù)據(jù)非常簡單，基因組數(shù)據(jù)本質上也是表格。大多數(shù)信號數(shù)據(jù)，如心電圖和腦電圖是不需要去標識的。需要去除標識的唯一信號數(shù)據(jù)是語音，通過數(shù)學分析，從聲紋可以重新識別個人。每個人的基因組數(shù)據(jù)都是獨一無二的，在大量基因組序列中可以檢測出(個體的)特定基因組序列，但是基因序列本身不能識別個體。通過從基因組數(shù)據(jù)庫中刪除所有不必要的人口統(tǒng)計數(shù)據(jù)、日期和位置信息，并最小化基本人口統(tǒng)計信息(例如年齡)，可以大大降低隱私泄露的風險。

文本數(shù)據(jù)的去標識比表格數(shù)據(jù)要復雜得多，同一詞語(例如“可能”)在不同情況下可以具有多種含義。因此，將健康信息與PII區(qū)分開來是比較困難的。如果文本數(shù)量有限且有經(jīng)驗的身份標識專業(yè)人員訓練有素，可以手動對臨床報告去標識。但在大數(shù)據(jù)時代，第一個前提幾乎不適用。隨著依靠臨床報告的研究數(shù)量的增加，手動去標識對機構而言可能非常昂貴且不可行。

4 去除身份標識的模式

從臨床數(shù)據(jù)科學家的角度來看，只要臨床文本自動去標識應用程序產(chǎn)生所需的輸出，去標識的基本機制并不重要。以下三種去標識系統(tǒng)的模式涉及不同的利益相關者，可以結合使用，最大限度地保護患者的隱私和去標識數(shù)據(jù)的完整性。

存儲庫范圍的批量去標識是大多數(shù)現(xiàn)有系統(tǒng)采用的默認操作模式，對整個存儲庫去除標識，并在需要時向研究人員提供去標識數(shù)據(jù)，無須額外的操作開銷。但是，這些數(shù)據(jù)可能不完整或不正確。按需要特定的去標識模式需要將去標識系統(tǒng)集成到EHR系統(tǒng)中，查詢結果在向研究人員顯示之前即時去除標識，結果的準確性顯著提高。科學家參與的去標識模式會產(chǎn)生更好的結果，增加系統(tǒng)識別PII元素的靈敏度，可以更好地保護患者的隱私，并提供具有更高科學價值和數(shù)據(jù)完整性的去標識數(shù)據(jù)。

保護患者隱私需要各種技術工具，涉及分享、去除標識、安全存儲、傳輸和處理PHI的規(guī)定，涉及隱私法律和協(xié)議，需要建立監(jiān)測隱私泄露的規(guī)則。在這套隱私工具中，去除身份標識是不可或缺的工具。

保護患者隱私需要所有利益相關者之間的合作，包括患者、PHI機構、HI用戶、自動去除身份標識工具的開發(fā)者以及監(jiān)管和執(zhí)法機構，都有不同的角色和責任。持有PHI的較小機構可能會因運營和財務管理費用而不堪重負，應該建立激勵機制來支持這些機構，并為推動科學發(fā)展作出貢獻。

總之，大數(shù)據(jù)使得患者隱私保護問題變得更突出，難度也更大。去標識方法能夠最大限度地降低患者隱私風險，從而獲取大量健康數(shù)據(jù)。在大數(shù)據(jù)時代，開發(fā)監(jiān)管和隱私保護工具方面取得的進展值得肯定，但是，這項工作需要持續(xù)進行關注。