柳 薇，吳丁娟

（廣州醫(yī)科大學 衛(wèi)生管理學院，廣東 廣州 511436）

0 引言

隨著大數(shù)據(jù)技術(shù)飛速發(fā)展，大數(shù)據(jù)應(yīng)用已經(jīng)融入到各行各業(yè)。目前大數(shù)據(jù)的應(yīng)用在交通出行、醫(yī)療、餐飲等方面都有所呈現(xiàn)。大數(shù)據(jù)帶來便利的同時也帶來諸多挑戰(zhàn)，醫(yī)療大數(shù)據(jù)的開發(fā)與應(yīng)用，導(dǎo)致醫(yī)療領(lǐng)域內(nèi)數(shù)據(jù)爆炸式增長，給醫(yī)療機構(gòu)的管理帶來壓力，醫(yī)療機構(gòu)之間、醫(yī)療機構(gòu)與第三方之間的醫(yī)療數(shù)據(jù)共享也存在很大的安全隱患。并且，醫(yī)療數(shù)據(jù)泄露事件也在近幾年不斷曝出，2018年美國醫(yī)療保健公司Life Bridge Health發(fā)現(xiàn)服務(wù)器感染惡意軟件，導(dǎo)致50萬名患者醫(yī)療數(shù)據(jù)被泄露，其中包括患者診斷、用藥信息和社會保障號碼等；同年墨西哥200萬人醫(yī)療數(shù)據(jù)遭到在線泄露，該數(shù)據(jù)庫完全暴露在互聯(lián)網(wǎng)上，無須密碼便可訪問編輯，具體信息包括個人身份信息、保險信息、殘疾狀況和家庭住址等。這些重大的醫(yī)療數(shù)據(jù)泄露事件給人們帶來巨大的損害，同時人們也越來越重視對個人隱私的保護，醫(yī)療隱私保護也成為學界關(guān)注的熱點話題。

目前，醫(yī)療隱私保護的研究總量并不多，綜述類文獻更是鮮為少見。并且，國內(nèi)對醫(yī)療隱私保護仍處于初探階段，相關(guān)專家學者仍在積極探索?；诖耍疚臍w納總結(jié)了當前國內(nèi)外有關(guān)醫(yī)療隱私保護的文獻，并梳理現(xiàn)有研究的不足之處，希望對未來醫(yī)療隱私保護的研究工作有所啟示和幫助。

1 醫(yī)療隱私的相關(guān)概念

1.1 隱私

關(guān)于隱私研究的起源，一般認為是在1890年由美國學者沃倫（Warren）和布蘭戴斯（Brandeis）在《隱私權(quán)》一書中提出了“隱私”的概念，并將其描述為“不受外界干擾的獨處權(quán)利”[1]。最早對隱私概念進行界定是 1968年，Westin A F在論文Privacy and Freedom中將“隱私”定義為：“是自然人自愿在身體或精神上短時間內(nèi)遠離社會，或在大群體社會交往中匿名或隱藏部分信息的一種小群體親密狀態(tài)”[2]。1974年Marshall在Westin A F研究的基礎(chǔ)上將隱私細分為六個維度，認為掌控他人接觸自己程度的能力是隱私概念的核心[3]。1975年Altman認為隱私是一個人際邊界控制過程，是在與他人社會交往中調(diào)整自己對他人開放程度界限的動態(tài)處理過程，它制約和調(diào)節(jié)與他人的互動[4]。

盡管“隱私”概念發(fā)展悠久，但至今學術(shù)界對隱私的定義一直沒有統(tǒng)一[5]。隨著人們對隱私重視程度的增加，隱私的含義不再僅僅指“當事人不愿別人干涉或別人侵入的個人領(lǐng)域”，逐漸上升為一種人格權(quán)利，納入法律的保護。王利明認為隱私應(yīng)當以私人生活秘密和私人空間為內(nèi)容，是自然人生活秘密和私人空間不被他人非法侵擾、知悉、搜集、利用和公開的一種人格權(quán)[6]。

1.2 患者隱私與患者隱私權(quán)

盡管患者隱私是在自然人隱私基礎(chǔ)之上所產(chǎn)生的，但患者作為一個特殊群體，具有特殊性，患者隱私的定義與隱私定義有所區(qū)別。目前學術(shù)界對患者隱私的定義并不統(tǒng)一，大致可以分為三類，第一類是學者們認為患者隱私就是涉及患者個人與公共利益無關(guān)的，患者不愿他人知悉的個人秘密[7]。第二類學者們主要是將患者隱私涉及的內(nèi)容列舉出來作為隱私的定義，認為患者隱私即患者個人病情、病因、診斷治療信息等內(nèi)容。第三類學者們認為患者隱私僅僅涉及患者在醫(yī)療機構(gòu)接受醫(yī)療服務(wù)的過程中因診療服務(wù)的需要而被醫(yī)務(wù)人員或醫(yī)療機構(gòu)合法獲悉而不能非法泄露的個人信息[8]。

因?qū)颊唠[私的定義不同，對于患者隱私權(quán)的定義也沒有統(tǒng)一的說法。一般認為，患者隱私權(quán)是指法律賦予患者接受醫(yī)療服務(wù)時享有的權(quán)利，即要求醫(yī)療機構(gòu)和醫(yī)務(wù)人員對合法掌握的涉及患者個人隱私的各種秘密不得私自泄露，并排斥醫(yī)療機構(gòu)及醫(yī)務(wù)人員非法侵犯的權(quán)利[9]。

2 研究現(xiàn)狀

隱私保護問題已經(jīng)成為了全球范圍內(nèi)的研究熱點[10]。目前國內(nèi)外學者對于醫(yī)療隱私保護的相關(guān)研究主要集中在三個層面：醫(yī)療隱私保護的倫理、醫(yī)療隱私保護的法律法規(guī)和醫(yī)療隱私保護技術(shù)。

2.1 醫(yī)療隱私保護的倫理討論

人們對隱私的關(guān)注度伴隨著計算機技術(shù)和網(wǎng)絡(luò)技術(shù)的發(fā)展逐漸加強，醫(yī)療隱私保護也成為社會關(guān)注的話題，許多學者從倫理層面進行探索和研究。

國外學者對于隱私保護提出不同的倫理辯護，大致可以分為兩種類型：一種是基于絕對價值或內(nèi)在價值的倫理辯護[11]，另一種是基于相對價值或工具價值的倫理辯護[12]。前者主張隱私具有與一般人類權(quán)利相同的地位，認為隱私權(quán)是一種人類基本權(quán)利或自然權(quán)利，隱私具有絕對價值，后者主張隱私僅僅具有工具價值或相對價值，隱私權(quán)是人類基本權(quán)利中派生出來的權(quán)利。國內(nèi)對于隱私保護的倫理思考相對滯后，較早提出對隱私保護進行倫理思考的是呂耀懷[13]教授，其對后期學者研究起到了啟蒙的作用。王強芬指出使用醫(yī)療數(shù)據(jù)的過程必須符合自主性原則和透明化原則，即醫(yī)療數(shù)據(jù)地采集與處理必須取得患者的同意，尊重患者的意見，并且個人享有對自身信息的支配權(quán)，最大限度保障個體隱私不受侵害[14]。田海平等以大數(shù)據(jù)健康革命為例進行研究，指出大數(shù)據(jù)帶來的倫理挑戰(zhàn)迫使人們重新思考隱私、隱私權(quán)以及相關(guān)隱私倫理論域，凸顯了隱私保護的倫理與數(shù)據(jù)共享的倫理以技術(shù)方式和價值方式在大數(shù)據(jù)時代同時呈現(xiàn)的任務(wù)[15]。呂耀懷等認為在大數(shù)據(jù)背景下，基因信息中的隱私問題更為復(fù)雜，亟需給予基因信息的倫理辯護和法律保護，基于對基因信息隱私的倫理導(dǎo)向和價值依據(jù)的討論，提出在大數(shù)據(jù)時代的基因信息隱私倫理保護對策應(yīng)包含一般和特殊兩個層面[16]。

此外，部分學者審視了大數(shù)據(jù)時代引發(fā)的新的倫理挑戰(zhàn)，尋求合理的解決之道。薛孚和唐凱麟分別從科技倫理視角和信息倫理視角出發(fā)，薛孚等指出大數(shù)據(jù)時代新的倫理挑戰(zhàn)表現(xiàn)在數(shù)據(jù)挖掘、數(shù)據(jù)預(yù)測和更全面的監(jiān)控等方面，并從技術(shù)性、社會性、現(xiàn)實性和個體性層面出發(fā)探究大數(shù)據(jù)時代隱私倫理問題的根源，提出提高數(shù)據(jù)用途透明度、尋求合理的倫理決策點、調(diào)整個人隱私觀和搭建共同價值平臺等對策[17]。唐凱麟等指出大數(shù)據(jù)技術(shù)引發(fā)的隱私倫理問題主要表現(xiàn)在個人身份信息、行為信息和偏好信息的泄露，并從主觀、客觀和社會三方面分析隱私倫理問題產(chǎn)生的原因，提出主觀方面大數(shù)據(jù)應(yīng)用主體應(yīng)樹立與時俱進的隱私觀、大力開展道德教育，客觀方面應(yīng)完善大數(shù)據(jù)技術(shù)，社會方面應(yīng)創(chuàng)建通用的道德標準、完善法律法規(guī)[18]。

2.2 醫(yī)療隱私保護法律法規(guī)研究

醫(yī)療隱私保護的一個重要環(huán)節(jié)就是建立健全相關(guān)法律法規(guī)，用科學的立法來防止隱私的泄露，用法律的手段來嚴懲故意泄露他人隱私的行為，為保障醫(yī)療隱私提供良好的法律環(huán)境基礎(chǔ)。世界上諸多國家均從法律法規(guī)層面進行探索。美國是世界上最早提出隱私權(quán)理論的國家，1974年美國聯(lián)邦頒布了《隱私法》用以保護公民的個人隱私權(quán)[19]。隨后于 1996年頒布《健康保險便利及責任法》（簡稱《HIPPA法案》）和2009年頒布《經(jīng)濟和臨床健康信息技術(shù)法》（簡稱《HITECH法案》），這兩部法律都是針對醫(yī)療數(shù)據(jù)管理和醫(yī)療隱私保護的專門立法。德國于1977年制定《數(shù)據(jù)保護法》來保護個人隱私，在1990年《新數(shù)據(jù)保護法》中針對醫(yī)療數(shù)據(jù)保護作了相關(guān)說明。而英國在1998年制定《人權(quán)法案》將個人隱私作為一種重要的基本人權(quán)，并在之后頒布的多條政令中提到將患者隱私保護列為重要內(nèi)容。西方國家在醫(yī)療隱私保護立法方面的研究較早且較為成熟，我國關(guān)于隱私保護的立法起步較晚，對個人醫(yī)療健康信息的隱私保護也只散見于《精神衛(wèi)生法》、《護士管理辦法》、《傳染病防治法》、《職業(yè)病防治法》和《母嬰保健法》等醫(yī)療衛(wèi)生相關(guān)法律以及一些行政法規(guī)、司法解釋之中。

眾多學者集中探究國外醫(yī)療隱私保護立法進展，為我國隱私立法提出建議。具體地，劉愷通過探析美國患者隱私權(quán)法，針對我國目前缺少完整的患者隱私權(quán)法體系，患者隱私信息范圍過于狹窄等問題提出了美國經(jīng)驗的立法啟示[20]。秦宇辰等探究歐美國家的隱私保護立法情況，總結(jié)出發(fā)達國家患者隱私立法的基本立法保護原則，提出我國隱私立法還處于初級階段，需要大力推進患者隱私保護立法工作，強調(diào)應(yīng)系統(tǒng)謀劃精細立法，關(guān)注立法的細節(jié)設(shè)計及可行性考量[21]。王少輝等對新西蘭個人隱私保護制度和大數(shù)據(jù)時代新西蘭立法保護最新發(fā)展進行分析，認為我國應(yīng)加強立法，完備法律體系，在大數(shù)據(jù)時代應(yīng)積極開展跨國交流，開辟隱私保護跨境合作渠道，同時促進國內(nèi)各部門之間的隱私保護合作[22]。蔡宏偉等針對美國的HIPPA法案單獨進行探討，并總結(jié)出HIPAA法案適用范圍廣、隱私規(guī)則內(nèi)容豐富、體系性強等優(yōu)點，提出我國應(yīng)明確立法法理和健康信息隱私侵權(quán)主體、增強立法的執(zhí)行性，同時立法過程中要注意平衡隱私保護與社會利益之間的矛盾，賦予個人更多的自主權(quán)利[23]。

此外，栗丹等認為當前我國的隱私保護立法一直處于缺位狀態(tài)，是因為立法準備的不足，對于信息隱私保護立法中的核心問題沒有澄清，通過逐一對問題進行論證和分析，提出健康醫(yī)療隱私保護的是個人信息中的敏感信息，應(yīng)明確個人信息權(quán)，采取公私并進、私法為主的保護模式，構(gòu)建從國際法到國內(nèi)法的綜合保護框架[24]。

2.3 醫(yī)療隱私保護技術(shù)研究

隱私保護技術(shù)是最直接地保護個人醫(yī)療隱私不被泄露的方法，因此技術(shù)研究受到許多學者的關(guān)注，已有文獻中涉及的隱私保護技術(shù)主要有匿名化技術(shù)、數(shù)據(jù)加密技術(shù)和訪問控制三大類。

（1）匿名技術(shù)

匿名技術(shù)的目的就是切斷發(fā)布的原始數(shù)據(jù)集中敏感屬性和主體之間的關(guān)聯(lián)關(guān)系，從而防止惡意用戶挖掘敏感信息。

匿名化的概念最早由Samarati P和Sweeney L在 1998年提出[25]。隨后，Sweeney等提出 K-匿名技術(shù)，其基本思想是對準標識符中的屬性值進行泛化操作，保證數(shù)據(jù)表中任何一條記錄的準標識符都有至少K-1條記錄與此相同，無法區(qū)分，以此達到隱私保護的目的[26]。K-匿名模型是隱私匿名保護技術(shù)中最基本的一種模型，目前大多數(shù)匿名模型都是基于K-匿名技術(shù)發(fā)展而來的。由于K-匿名模型中未對敏感屬性值進行約束，可能會出現(xiàn)同一等價類敏感屬性相同，除此之外攻擊者可以通過掌握足夠的背景知識來獲得敏感屬性與主體之間的對應(yīng)關(guān)系，即同質(zhì)攻擊和背景知識攻擊。針對該模型的缺陷，Machanavajjhala等提出 l-diversity模型，考慮了對敏感屬性值的約束，有效抵抗了同質(zhì)攻擊和背景知識攻擊[27]。有學者借助 l-diversity模型思想提出P-Sensitive K匿名技術(shù)，在滿足K-匿名的基礎(chǔ)上，還實現(xiàn)要求每個等價類中至少出現(xiàn)P個不同的敏感屬性值[28]。Li提出了t-closeness技術(shù)，該技術(shù)考慮了敏感屬性值的分布問題，要求任何一組等價類中的敏感值分布與該屬性的全局分布差異不能超過預(yù)先設(shè)定的閾值，分布盡可能的相近，該模型有效地抵抗了偏態(tài)攻擊和近似攻擊[29]。如表1所示。

此外，還有部分學者從隱私保護需要滿足個性化需求的角度進行研究，提出了個性化的匿名模型。文獻[31]和文獻[32]是分別從個性化匿名原則中面向個人機制和面向敏感值機制的視角出發(fā)，根據(jù)個人的喜好和敏感屬性值的敏感程度設(shè)置不同的約束。在保護醫(yī)療信息的過程中，匿名化技術(shù)主要是對信息的屬性值進行抑制，使不法分子無法推測出醫(yī)療記錄與患者之間對應(yīng)關(guān)系，從而實現(xiàn)對隱私的保護。

表1 早期匿名模型抵御能力[30]Tab.1 Early anonymous model resistance

（2）數(shù)據(jù)加密技術(shù)

數(shù)據(jù)加密技術(shù)主要是采取密碼學中的相關(guān)算法[33]，對信息進行加密處理，以此來防止隱私的泄露。傳統(tǒng)的數(shù)據(jù)加密技術(shù)大體可以分為三類，即對稱加密、非對稱加密和單向加密技術(shù)。對稱加密技術(shù)是指一組加密信息的傳輸者和接收者的加密方式、解密方式是一樣的，秘鑰相同。DES算法是最常見的對稱加密算法，最早是由美國IBM公司提出，當時主要是用來保護政府機構(gòu)的電子數(shù)據(jù)。雖然DES算法的提出是密碼學的一個創(chuàng)世之舉，但是存在明顯的缺陷，DES算法秘鑰較短，安全性低。比利時密碼學家Joan Daemen和Vincent Rijmen設(shè)計出新的算法即Rijndael加密法，該算法被選為AES算法。AES算法密鑰長度設(shè)計更加靈活，并且運行速度很快，實現(xiàn)效率高，安全性更強，逐漸取代了DES算法，成為對稱加密技術(shù)中一種主流算法。非對稱加密技術(shù)是指傳輸者與接受者的加密方式、解密方式不同，秘鑰由公開秘鑰和私有秘鑰共同組成，分別用于加密和解密，最流行的算法就是 Rivet、Shamir、Adelman等人提出的RSA算法[34]。相較于對稱加密技術(shù)，非對稱加密技術(shù)能更好地實現(xiàn)對數(shù)據(jù)的加密[35]。單向加密技術(shù)又稱不可逆加密技術(shù)，整個加密過程中不需要使用密鑰，系統(tǒng)直接通過加密算法將明文轉(zhuǎn)換成密文。專家學者們后期對基本算法和秘鑰管理進行改進和優(yōu)化。肖克芝等人提出一種簡單的DES密鑰延長做法，該方法使用兩組各64位的密鑰，分別獨立地生成各自的子密鑰，并且加密過程中使用不同密鑰產(chǎn)生的子密鑰，該方法使密鑰長度由原來的56位擴展到112位，增強了DES算法抵抗暴力攻擊的能力[36]。張堯等人在確保加密算法安全的前提下，對AES算法的輪數(shù)進行簡化，并利用查表法對算法的輪函數(shù)進行了優(yōu)化，提出一種實現(xiàn)無線傳感網(wǎng)絡(luò)WSN（wireless sensor networks）安全通信的輕量級高加密標準LAES（light weight，AES）算法，該算法運用資源低且執(zhí)行效率高[37]。

（3）訪問控制

數(shù)據(jù)匿名化和加密技術(shù)雖然能夠在一定程度保護醫(yī)療隱私不被泄露，但是也會降低數(shù)據(jù)的準確性，在醫(yī)療服務(wù)中會影響患者的救治。許多研究者開始關(guān)注基于訪問控制的隱私保護技術(shù)，通過限制用戶訪問的權(quán)限和訪問資源來保護醫(yī)療隱私，防止用戶越權(quán)使用數(shù)據(jù)。有學者提出基于角色的訪問控制模型RABC（Role-Based Access Control），將“角色”這一概念引入控制模型，將權(quán)限賦予角色，再將預(yù)先定義的角色賦予用戶，在用戶與權(quán)限中加入角色，將更加靈活更利于系統(tǒng)的管理[38]?；舫闪x等基于RABC模型提出面向患者隱私數(shù)據(jù)保護的訪問控制模型 POPPAC（Patient-Oriented Privacy Preserving Access Control Model for HIS），該模型允許患者自身參與數(shù)據(jù)訪問權(quán)限的授予，即患者可根據(jù)自己的隱私偏好定義個性化的訪問控制策略，決定敏感數(shù)據(jù)的訪問權(quán)限[39]。為了實現(xiàn)訪問控制的自主性和適應(yīng)性，許多學者將風險引入訪問控制模型，通過計算風險的大小授予用戶不同程度的權(quán)限，并根據(jù)風險的變化自動調(diào)整用戶訪問的權(quán)限。JASON[40]計劃辦公室是較早將風險引入訪問控制研究，并給出風險量化和風險配額相關(guān)概念，以此思想為基礎(chǔ)，許多學者展開探索。McGraw等提出了一種風險自適應(yīng)的訪問控制（RAdAC）機制，通過計算訪問的風險大小和訪問的需求程度來判定是否允許訪問，只有當訪問的需求程度大于風險時用戶才可訪問數(shù)據(jù)[41]。Wang等則基于RAdAC模型的思想，提出一種用于醫(yī)療系統(tǒng)的風險訪問控制模型，根據(jù)醫(yī)生的工作目標和訪問的醫(yī)療記錄之間的相關(guān)性來判斷風險，當訪問與工作目標相關(guān)的醫(yī)療記錄時產(chǎn)生低風險，訪問不相關(guān)的醫(yī)療記錄時產(chǎn)生高風險[42]。惠榛等則是基于 Wang提出的敵手模型進行改進，考慮了醫(yī)生偽造工作目標的情況，并使用信息熵和 EM算法量化醫(yī)生侵犯隱私造成的風險，實現(xiàn)能夠自動化地配置和適應(yīng)性地調(diào)整用戶的控制能力，同時保證特殊情況下能夠正常訪問[43]。

3 研究現(xiàn)狀的評述

（1）研究數(shù)量增多，但持續(xù)性不夠

通過查找和統(tǒng)計文獻可以發(fā)現(xiàn)，國外對隱私問題的研究較早，且較為成熟，國內(nèi)在該領(lǐng)域的研究起步比較晚。近幾年關(guān)于隱私保護的文獻數(shù)量迅速增多，表明越來越多的專家學者開始關(guān)注隱私問題，也反映了當前人們對隱私保護的重視。雖然當前有較多學者涉足隱私問題進行研究，但是大多都對研究缺乏持續(xù)性關(guān)注，且研究不夠深入。

（2）醫(yī)療隱私保護倫理討論、法律法規(guī)和技術(shù)研究依然欠缺

通過制定法律法規(guī)來保護隱私一直是世界各國關(guān)注的熱點話題，許多國家均從法律層面進行一系列探索研究，取得了顯著的成果。以美國為代表的一些發(fā)達國家相繼頒布隱私保護法，逐漸建立和完善相關(guān)法律法規(guī)，形成成熟的法律體系。與國外隱私保護立法相比，國內(nèi)立法起步較晚，且立法推進工作存在明顯的滯后性。目前我國對于隱私的法律保護散見在其他法律之中，缺乏對隱私保護的單獨立法。日后應(yīng)大力推進隱私保護立法工作，特別是加強對醫(yī)療隱私的法律保護，努力構(gòu)建完整、全面、協(xié)調(diào)的立法體系。立法準備不足。應(yīng)厘清隱私保護范圍，合理確定法律適用范圍和立法原則，明確立法保護模式，確?？茖W立法。

技術(shù)層面的眾多研究中，隱私保護技術(shù)主要集中在數(shù)據(jù)匿名、數(shù)據(jù)加密和訪問控制等，各項技術(shù)一直在不斷改善，能夠有效防止數(shù)據(jù)的泄露。但是衍生出來的眾多隱私保護模型，多是針對整個領(lǐng)域通用，缺乏專門針對醫(yī)療隱私保護技術(shù)的研究，未來應(yīng)加強對醫(yī)療隱私保護技術(shù)的研究。

從對文獻的梳理可以發(fā)現(xiàn)，國內(nèi)外現(xiàn)有研究主要集中于法律和技術(shù)兩個領(lǐng)域，從倫理學視角對隱私保護問題的研究較少，隱私保護問題不能僅僅依靠法律的強制性手段輕易解決，也不能完全通過技術(shù)手段徹底解決。往后學者們應(yīng)重視對隱私保護倫理層面的研究。

4 結(jié)論

醫(yī)療隱私保護已經(jīng)引起社會的廣泛關(guān)注，學術(shù)界紛紛從不同視角對隱私問題進行探索研究，通過梳理和總結(jié)相關(guān)文獻資料，可以發(fā)現(xiàn)現(xiàn)有的隱私保護方法分別基于倫理、法律法規(guī)和技術(shù)等幾個方面展開，目前已取得了一定的成效。然而隨著人們對隱私保護需求的提高，大數(shù)據(jù)技術(shù)等廣泛應(yīng)用，醫(yī)療隱私保護迎來新的挑戰(zhàn)，因此仍然需要不斷完善相關(guān)法律法規(guī)、制定通用的倫理準則，研究更加合理的技術(shù)算法，形成包含法律法規(guī)、政策規(guī)范、倫理規(guī)范和技術(shù)保護為一體的社會治理體系。