王曉君，周翔宇

(邯鄲市中心醫(yī)院，河北 邯鄲 056008)

健康檔案是民眾健康狀況的晴雨表，居民健康數(shù)據(jù)的整合與開發(fā)利用不僅可對全民健康狀況進行實時管理和分析，亦可對國家的衛(wèi)生走向進行有效預(yù)測，助力健康中國早日到來。近年來，隨著大數(shù)據(jù)在健康檔案領(lǐng)域的普及和應(yīng)用，極大地推動了檔案事業(yè)和醫(yī)療行業(yè)的發(fā)展。但互聯(lián)網(wǎng)這把雙刃劍因開放性和復(fù)雜性使民眾的健康隱私面臨極大挑戰(zhàn)。如何平衡好健康檔案的開發(fā)利用與健康數(shù)據(jù)的隱私安全，是健康事業(yè)長遠發(fā)展、健康中國由藍圖變?yōu)閷嵕暗谋亟?jīng)之途。因此，本文利用萬方學(xué)術(shù)、CNKI等數(shù)據(jù)庫，通過系統(tǒng)的文獻回顧，并結(jié)合工作實際，從居民健康檔案的全生命周期視角入手，針對健康數(shù)據(jù)采集、整合、初次利用和再次利用等不同環(huán)節(jié)的泄露風(fēng)險提出相應(yīng)隱私保護建議，以期為居民健康數(shù)據(jù)整合和利用中的信息安全與隱私保護提供策略支持。

1 “互聯(lián)網(wǎng)+居民健康檔案”數(shù)據(jù)整合與開發(fā)利用的意義

“互聯(lián)網(wǎng)+居民健康檔案”數(shù)據(jù)整合與開發(fā)利用是將涵蓋民眾個體信息、健康狀況、診療記錄和衛(wèi)生服務(wù)等健康信息進行數(shù)字化、網(wǎng)絡(luò)化管理，并利用大數(shù)據(jù)為個體疾病診療、民眾健康狀況、未來醫(yī)療走向，以及衛(wèi)生決策研究提供可靠的數(shù)據(jù)支持[1]。

具體來說，居民健康檔案的數(shù)據(jù)整合與開發(fā)利用，一是有助于民眾個體提高自我預(yù)防保健和主動識別健康危險因素的能力，并為各階段疾病的診治提供病史依據(jù)。二是有助于衛(wèi)生管理者及時掌握民眾健康狀況、衛(wèi)生服務(wù)工作的質(zhì)量和效果，以及醫(yī)療費用負擔(dān)，并為疾病分析研究、衛(wèi)生政策制定和預(yù)防突發(fā)公共衛(wèi)生事件提供科學(xué)的決策依據(jù)。三是健康檔案數(shù)據(jù)資源的整合與開發(fā)利用，在很大程度上，解決了健康檔案數(shù)據(jù)無序性的問題，通過數(shù)據(jù)整合、系統(tǒng)管理和開發(fā)利用，讓健康檔案的數(shù)據(jù)共享與利用更具現(xiàn)實意義[2]。當前，居民健康數(shù)據(jù)共享利用已成為各方達成的共識，75%的民眾愿意提供個人健康醫(yī)療數(shù)據(jù)用于研發(fā)和公共衛(wèi)生，但其前提是隱私保護和數(shù)據(jù)安全[3]。

2 健康數(shù)據(jù)整合與開發(fā)利用中的隱私安全問題

當前“健康數(shù)據(jù)隱私”并無明確定義，健康數(shù)據(jù)隱私實際上是隱私概念在醫(yī)療健康領(lǐng)域的具體化。從寬泛意義上來講，健康數(shù)據(jù)隱私是自然人身體健康狀況及醫(yī)療行為的全部信息[4]。其主要來自患者就醫(yī)、臨床科研、穿戴設(shè)備等方面，具有多源異構(gòu)的特性，而健康數(shù)據(jù)整合與開發(fā)利用的整個過程都會涉及健康數(shù)據(jù)隱私的問題[5]。

2.1 院外階段：健康管理與數(shù)據(jù)整合

健康檔案的數(shù)據(jù)整合與開發(fā)利用有助于提高民眾整體健康水平，減少大病或大規(guī)模疾病爆發(fā)的概率。在“互聯(lián)網(wǎng)+”浪潮的不斷推進下，健康檔案管理工作已實現(xiàn)信息化、移動化、網(wǎng)絡(luò)化，并將成為“治末病”的主要預(yù)防途徑之一。也就是通過健康檔案系統(tǒng)地掌握民眾個體的健康狀況，及時發(fā)現(xiàn)健康問題、篩選出高危人群并實施有針對性的防治措施，從而達到預(yù)防為主和健康促進的目的。但是健康檔案采集整合過程的多個節(jié)點都涉及隱私安全。一是數(shù)據(jù)更新的過程中，民眾需對自己的數(shù)據(jù)進行及時補充更新。例如：對基因數(shù)據(jù)、代謝數(shù)據(jù)和性狀數(shù)據(jù)等進行及時上傳與完善，其間因疏忽和失誤導(dǎo)致數(shù)據(jù)意外泄露事件時有發(fā)生[6]。二是數(shù)據(jù)管理的過程中，健康檔案數(shù)據(jù)被未授權(quán)用戶非法使用、惡意獲取、非法轉(zhuǎn)移，以及公開發(fā)布的健康數(shù)據(jù)被過度識別和攻擊等致使健康數(shù)據(jù)泄露，危及患者健康隱私。三是數(shù)據(jù)傳輸過程中，健康管理類可穿戴設(shè)備、慢性病管理類監(jiān)測設(shè)備，以及適用于遠程醫(yī)療的監(jiān)控設(shè)備等移動醫(yī)療設(shè)備具有匯總、分析患者數(shù)據(jù)的功能，甚至還會關(guān)聯(lián)暴露患者的其他信息，而當前國內(nèi)對此類設(shè)備的數(shù)據(jù)采集和利用并無具體規(guī)定。

2.2 院前、院中診療階段：健康數(shù)據(jù)的初利用

居民健康數(shù)據(jù)的初利用是指將健康信息直接用于個體的疾病診斷和治療等醫(yī)療服務(wù)。如：在“互聯(lián)網(wǎng)+健康檔案”的大背景下，患者通過在線咨詢的方式就可以向?qū)I(yè)醫(yī)生尋求醫(yī)療幫助。在就醫(yī)診療的過程中，醫(yī)患之間的數(shù)據(jù)傳輸或者不同醫(yī)療機構(gòu)之間的數(shù)據(jù)共享，都需要將患者的病理學(xué)診斷、影像學(xué)診斷等資料通過互聯(lián)網(wǎng)進行傳送，傳送中數(shù)據(jù)極易受到攔截、竊聽，甚至篡改[7]。加之患者會上傳一些個人信息，這些碎片信息單獨看毫無價值，但是在大數(shù)據(jù)的背景下，隨著數(shù)據(jù)規(guī)模的劇增，即使對個人關(guān)鍵敏感信息進行匿名化處理，通過對數(shù)據(jù)集的校驗與患者提供的其他信息關(guān)聯(lián)，仍可準確定位出該信息的主人，暴露其身份信息及個人隱私[8，9]。

2.3 院后階段：科研應(yīng)用及健康數(shù)據(jù)再利用

健康數(shù)據(jù)再利用環(huán)節(jié)主要是指將個人健康信息用于為個體提供直接醫(yī)療服務(wù)之外的領(lǐng)域，包括疾病研究、公共衛(wèi)生、衛(wèi)生服務(wù)質(zhì)量測評和商業(yè)性質(zhì)的活動等[10]。再利用環(huán)節(jié)是健康隱私泄露的風(fēng)險點，也是健康隱私保護的關(guān)鍵點。在健康數(shù)據(jù)再利用的過程中，個人信息是否被泄漏、健康隱私是否得到保護，以及健康信息用于何途是民眾最關(guān)心，也是保障個人健康數(shù)據(jù)安全的最重要的3個節(jié)點。然而就健康數(shù)據(jù)的管理與應(yīng)用而言，民眾并沒有足夠地參與其中。健康數(shù)據(jù)的權(quán)屬擁有者與持有者一開始就是分離的，并且兩者之間沒有公認可行的界定和管理方法[3]。比如：健康數(shù)據(jù)的權(quán)屬是患者，數(shù)據(jù)的持有者和使用者通常卻不止患者。如果數(shù)據(jù)持有方未經(jīng)充分授權(quán)，在去除姓名和身份信息后未經(jīng)脫敏處理就對醫(yī)療數(shù)據(jù)進行分析挖掘。那么當某組數(shù)據(jù)與另一組數(shù)據(jù)連在一起時，則有暴露個人隱私的危險。其中含有基因數(shù)據(jù)時隱私安全威脅會更明顯[11]。

3 對策建議

健康數(shù)據(jù)整合與開發(fā)利用有助于對全民健康狀況進行實時管理，并對國家衛(wèi)生走向進行有效預(yù)測。隨著社會的發(fā)展，民眾對醫(yī)療健康服務(wù)的需求越來越高，建立“互聯(lián)網(wǎng)+健康檔案”，整合個人健康信息，實現(xiàn)健康數(shù)據(jù)的開發(fā)利用是時代發(fā)展的必然要求。針對其過程管理中可能出現(xiàn)的隱私安全問題，本文擬從監(jiān)管機構(gòu)、范圍界定、法律支持、技術(shù)保障和民眾參與等層面提出對策建議。

3.1 設(shè)置獨立監(jiān)管機構(gòu)

通過對國外健康檔案的研究發(fā)現(xiàn)，大多數(shù)國家都設(shè)立專門的醫(yī)療健康信息管理機構(gòu)，此類機構(gòu)具有對健康隱私保護的調(diào)查、調(diào)解和執(zhí)法職責(zé)，并且獨立運行不受其他部門管轄控制，這樣既可以最大限度地保護健康隱私，也利于其合理高效利用。如：英國二次利用服務(wù)體系(Secondary Use Service)、加拿大全民數(shù)據(jù)庫(Population Data)等，在對系統(tǒng)的管理和運行上都設(shè)有獨立機構(gòu)對其進行管理。同時為了保證客觀中立性，其管理部門不能進行與衛(wèi)生健康相關(guān)的研究[12]。當前，我國電子健康信息管理工作由衛(wèi)生健康委員會牽頭，這種隱私保護和安全監(jiān)管雙肩挑的模式有待改進?；谖覈鴩楹彤斚箩t(yī)改進程，我國需要整合已有管理機構(gòu)，設(shè)置“總裁判”，或由同級政府或相關(guān)部門監(jiān)管衛(wèi)生健康委員會，同時建立監(jiān)管體系，完善監(jiān)管細則。

3.2 明確數(shù)據(jù)利用范圍

居民健康數(shù)據(jù)包括個人身份、病情診斷、治療方案、財務(wù)信息等多重內(nèi)容，健康數(shù)據(jù)安全利用的前提是明確數(shù)據(jù)利用、信息安全和隱私保護之間的邊界。首先需要明確定義健康數(shù)據(jù)，界定健康數(shù)據(jù)整合與開發(fā)利用過程中的保護范圍、保存年限、使用方式，以及個人信息收集和再使用的流程。另外對不同類型的健康數(shù)據(jù)采取不同級別的防護措施。如：建立“分級授權(quán)、分類應(yīng)用、權(quán)責(zé)一致”的管理制度，并具體到個人身份信息編碼轉(zhuǎn)換，財務(wù)信息禁止披露等細節(jié)。同時還需進一步明確健康數(shù)據(jù)的所有權(quán)和使用權(quán)。居民是健康數(shù)據(jù)的所有者，數(shù)據(jù)采集和存儲機構(gòu)擁有個體知情同意條件下的保管權(quán)和使用權(quán)。當出于公共利益開展統(tǒng)計或?qū)W術(shù)研究時，要對數(shù)據(jù)進行封裝、分離、取出個人標識信息等前期處理。

3.3 加強法律法規(guī)保護

在應(yīng)對健康數(shù)據(jù)安全建設(shè)方面，各國都在不斷強化醫(yī)療數(shù)據(jù)隱私的法律保護。澳大利亞、英國、加拿大、美國等頒布了專門的法律法規(guī)，明確健康信息隱私保護標準、實施指南，以及醫(yī)療數(shù)據(jù)安全等級和脫密方式，旨在加強對健康數(shù)據(jù)和健康隱私的保護。我國于2018年5月頒布《信息安全技術(shù)個人信息安全規(guī)范》，將醫(yī)療相關(guān)數(shù)據(jù)定義為個人敏感數(shù)據(jù)。但規(guī)范中沒有提出專門針對健康數(shù)據(jù)標識化處理的條款，以指導(dǎo)數(shù)據(jù)收集方如何生成可以滿足條件的脫敏數(shù)據(jù)[11]。在相關(guān)安全規(guī)范中，雖明確要求收集和使用健康數(shù)據(jù)前需獲得個人知情同意(并列出3種除外情況)。但在整體立法保護的基礎(chǔ)上，缺乏針對健康檔案隱私保護的專門法律法規(guī)。因此在具體實施中，應(yīng)加強前端控制，細化健康數(shù)據(jù)規(guī)劃、收集、存儲、利用、銷毀等全生命周期的隱私安全保護舉措和法律支持，提高立法的可操作性和違法的犯罪成本。

3.4 平衡數(shù)據(jù)利用與隱私安全

數(shù)據(jù)利用是健康檔案資源潛在價值得以實現(xiàn)的過程。健康隱私是個人對自身健康數(shù)據(jù)的收集、使用和披露做出選擇的權(quán)利；數(shù)據(jù)利用與隱私保護之間的博弈是健康數(shù)據(jù)研究和開發(fā)利用的焦點問題。因此，相關(guān)人員應(yīng)積極借助數(shù)據(jù)擾亂、數(shù)據(jù)加密、數(shù)據(jù)匿名、訪問控制等信息安全技術(shù)保障數(shù)據(jù)安全。如：利用豁免權(quán)、例外等技術(shù)手段，以最小化的原則披露健康數(shù)據(jù)，用最大化的原則挖掘和利用健康信息。通過設(shè)置N次失敗獲取數(shù)據(jù)后設(shè)備自動刪除，或生物特征識別技術(shù)等方案來解決隱私泄露問題[13]。對采集和暴露個人行蹤的社交媒體、移動客戶端、GPS等要加強技術(shù)支持來避免數(shù)據(jù)身份人信息被逆向識別，讓信息技術(shù)成為保護健康隱私安全的重要屏障。除此之外，多措并舉強化物理、行政等措施以保護健康數(shù)據(jù)的安全性、機密性和完整性。

3.5 引導(dǎo)民眾參與過程管理

開放的“互聯(lián)網(wǎng)+”時代，單純依賴技術(shù)革新、物理屏障和政策保護來實現(xiàn)個人健康隱私保護是不夠的。未來醫(yī)療將是全民主動參與的時代，每個人都是數(shù)據(jù)的提供者、使用者和受益者。因此要普及健康隱私保護的安全技能，使民眾掌握采集數(shù)據(jù)的內(nèi)容、時間與使用范圍，賦予民眾充分的知情選擇權(quán)，盡量降低健康數(shù)據(jù)意外泄露的概率。同時還要利用宣教來提升民眾的防范意識，以及主動管理、維護健康檔案的意識，給予個人對健康隱私的掌控力。如：及時設(shè)置更改電子健康檔案隱私訪問權(quán)限，實時監(jiān)控電子健康檔案訪問及利用情況，對于不愿用于科研或公共健康方面的個人健康信息可在系統(tǒng)中做出設(shè)置或選擇。多方著手有效保護個人健康隱私，以期實現(xiàn)“互聯(lián)網(wǎng)+”背景下健康數(shù)據(jù)整合與開發(fā)利用中的隱私安全和保護。

4 結(jié)語

居民健康檔案數(shù)據(jù)整合與開發(fā)利用是“健康中國”戰(zhàn)略中的一項基礎(chǔ)性工作，“互聯(lián)網(wǎng)+時代居民健康檔案”不僅能夠改善居民在社會生活過程中的就診體驗，更能使居民享受智能化的智慧服務(wù)。但還需加大其安全防護力度，全方位保護患者健康隱私，全流程安全利用健康數(shù)據(jù)，才能讓“互聯(lián)網(wǎng)+居民健康檔案”真正發(fā)揮效能。