王曉君，周翔宇

(邯鄲市中心醫(yī)院，河北 邯鄲 056008)

健康檔案是民眾健康狀況的晴雨表，居民健康數(shù)據(jù)的整合與開發(fā)利用不僅可對(duì)全民健康狀況進(jìn)行實(shí)時(shí)管理和分析，亦可對(duì)國(guó)家的衛(wèi)生走向進(jìn)行有效預(yù)測(cè)，助力健康中國(guó)早日到來。近年來，隨著大數(shù)據(jù)在健康檔案領(lǐng)域的普及和應(yīng)用，極大地推動(dòng)了檔案事業(yè)和醫(yī)療行業(yè)的發(fā)展。但互聯(lián)網(wǎng)這把雙刃劍因開放性和復(fù)雜性使民眾的健康隱私面臨極大挑戰(zhàn)。如何平衡好健康檔案的開發(fā)利用與健康數(shù)據(jù)的隱私安全，是健康事業(yè)長(zhǎng)遠(yuǎn)發(fā)展、健康中國(guó)由藍(lán)圖變?yōu)閷?shí)景的必經(jīng)之途。因此，本文利用萬方學(xué)術(shù)、CNKI等數(shù)據(jù)庫(kù)，通過系統(tǒng)的文獻(xiàn)回顧，并結(jié)合工作實(shí)際，從居民健康檔案的全生命周期視角入手，針對(duì)健康數(shù)據(jù)采集、整合、初次利用和再次利用等不同環(huán)節(jié)的泄露風(fēng)險(xiǎn)提出相應(yīng)隱私保護(hù)建議，以期為居民健康數(shù)據(jù)整合和利用中的信息安全與隱私保護(hù)提供策略支持。

1 “互聯(lián)網(wǎng)+居民健康檔案”數(shù)據(jù)整合與開發(fā)利用的意義

“互聯(lián)網(wǎng)+居民健康檔案”數(shù)據(jù)整合與開發(fā)利用是將涵蓋民眾個(gè)體信息、健康狀況、診療記錄和衛(wèi)生服務(wù)等健康信息進(jìn)行數(shù)字化、網(wǎng)絡(luò)化管理，并利用大數(shù)據(jù)為個(gè)體疾病診療、民眾健康狀況、未來醫(yī)療走向，以及衛(wèi)生決策研究提供可靠的數(shù)據(jù)支持[1]。

具體來說，居民健康檔案的數(shù)據(jù)整合與開發(fā)利用，一是有助于民眾個(gè)體提高自我預(yù)防保健和主動(dòng)識(shí)別健康危險(xiǎn)因素的能力，并為各階段疾病的診治提供病史依據(jù)。二是有助于衛(wèi)生管理者及時(shí)掌握民眾健康狀況、衛(wèi)生服務(wù)工作的質(zhì)量和效果，以及醫(yī)療費(fèi)用負(fù)擔(dān)，并為疾病分析研究、衛(wèi)生政策制定和預(yù)防突發(fā)公共衛(wèi)生事件提供科學(xué)的決策依據(jù)。三是健康檔案數(shù)據(jù)資源的整合與開發(fā)利用，在很大程度上，解決了健康檔案數(shù)據(jù)無序性的問題，通過數(shù)據(jù)整合、系統(tǒng)管理和開發(fā)利用，讓健康檔案的數(shù)據(jù)共享與利用更具現(xiàn)實(shí)意義[2]。當(dāng)前，居民健康數(shù)據(jù)共享利用已成為各方達(dá)成的共識(shí)，75%的民眾愿意提供個(gè)人健康醫(yī)療數(shù)據(jù)用于研發(fā)和公共衛(wèi)生，但其前提是隱私保護(hù)和數(shù)據(jù)安全[3]。

2 健康數(shù)據(jù)整合與開發(fā)利用中的隱私安全問題

當(dāng)前“健康數(shù)據(jù)隱私”并無明確定義，健康數(shù)據(jù)隱私實(shí)際上是隱私概念在醫(yī)療健康領(lǐng)域的具體化。從寬泛意義上來講，健康數(shù)據(jù)隱私是自然人身體健康狀況及醫(yī)療行為的全部信息[4]。其主要來自患者就醫(yī)、臨床科研、穿戴設(shè)備等方面，具有多源異構(gòu)的特性，而健康數(shù)據(jù)整合與開發(fā)利用的整個(gè)過程都會(huì)涉及健康數(shù)據(jù)隱私的問題[5]。

2.1 院外階段：健康管理與數(shù)據(jù)整合

健康檔案的數(shù)據(jù)整合與開發(fā)利用有助于提高民眾整體健康水平，減少大病或大規(guī)模疾病爆發(fā)的概率。在“互聯(lián)網(wǎng)+”浪潮的不斷推進(jìn)下，健康檔案管理工作已實(shí)現(xiàn)信息化、移動(dòng)化、網(wǎng)絡(luò)化，并將成為“治末病”的主要預(yù)防途徑之一。也就是通過健康檔案系統(tǒng)地掌握民眾個(gè)體的健康狀況，及時(shí)發(fā)現(xiàn)健康問題、篩選出高危人群并實(shí)施有針對(duì)性的防治措施，從而達(dá)到預(yù)防為主和健康促進(jìn)的目的。但是健康檔案采集整合過程的多個(gè)節(jié)點(diǎn)都涉及隱私安全。一是數(shù)據(jù)更新的過程中，民眾需對(duì)自己的數(shù)據(jù)進(jìn)行及時(shí)補(bǔ)充更新。例如：對(duì)基因數(shù)據(jù)、代謝數(shù)據(jù)和性狀數(shù)據(jù)等進(jìn)行及時(shí)上傳與完善，其間因疏忽和失誤導(dǎo)致數(shù)據(jù)意外泄露事件時(shí)有發(fā)生[6]。二是數(shù)據(jù)管理的過程中，健康檔案數(shù)據(jù)被未授權(quán)用戶非法使用、惡意獲取、非法轉(zhuǎn)移，以及公開發(fā)布的健康數(shù)據(jù)被過度識(shí)別和攻擊等致使健康數(shù)據(jù)泄露，危及患者健康隱私。三是數(shù)據(jù)傳輸過程中，健康管理類可穿戴設(shè)備、慢性病管理類監(jiān)測(cè)設(shè)備，以及適用于遠(yuǎn)程醫(yī)療的監(jiān)控設(shè)備等移動(dòng)醫(yī)療設(shè)備具有匯總、分析患者數(shù)據(jù)的功能，甚至還會(huì)關(guān)聯(lián)暴露患者的其他信息，而當(dāng)前國(guó)內(nèi)對(duì)此類設(shè)備的數(shù)據(jù)采集和利用并無具體規(guī)定。

2.2 院前、院中診療階段：健康數(shù)據(jù)的初利用

居民健康數(shù)據(jù)的初利用是指將健康信息直接用于個(gè)體的疾病診斷和治療等醫(yī)療服務(wù)。如：在“互聯(lián)網(wǎng)+健康檔案”的大背景下，患者通過在線咨詢的方式就可以向?qū)I(yè)醫(yī)生尋求醫(yī)療幫助。在就醫(yī)診療的過程中，醫(yī)患之間的數(shù)據(jù)傳輸或者不同醫(yī)療機(jī)構(gòu)之間的數(shù)據(jù)共享，都需要將患者的病理學(xué)診斷、影像學(xué)診斷等資料通過互聯(lián)網(wǎng)進(jìn)行傳送，傳送中數(shù)據(jù)極易受到攔截、竊聽，甚至篡改[7]。加之患者會(huì)上傳一些個(gè)人信息，這些碎片信息單獨(dú)看毫無價(jià)值，但是在大數(shù)據(jù)的背景下，隨著數(shù)據(jù)規(guī)模的劇增，即使對(duì)個(gè)人關(guān)鍵敏感信息進(jìn)行匿名化處理，通過對(duì)數(shù)據(jù)集的校驗(yàn)與患者提供的其他信息關(guān)聯(lián)，仍可準(zhǔn)確定位出該信息的主人，暴露其身份信息及個(gè)人隱私[8，9]。

2.3 院后階段：科研應(yīng)用及健康數(shù)據(jù)再利用

健康數(shù)據(jù)再利用環(huán)節(jié)主要是指將個(gè)人健康信息用于為個(gè)體提供直接醫(yī)療服務(wù)之外的領(lǐng)域，包括疾病研究、公共衛(wèi)生、衛(wèi)生服務(wù)質(zhì)量測(cè)評(píng)和商業(yè)性質(zhì)的活動(dòng)等[10]。再利用環(huán)節(jié)是健康隱私泄露的風(fēng)險(xiǎn)點(diǎn)，也是健康隱私保護(hù)的關(guān)鍵點(diǎn)。在健康數(shù)據(jù)再利用的過程中，個(gè)人信息是否被泄漏、健康隱私是否得到保護(hù)，以及健康信息用于何途是民眾最關(guān)心，也是保障個(gè)人健康數(shù)據(jù)安全的最重要的3個(gè)節(jié)點(diǎn)。然而就健康數(shù)據(jù)的管理與應(yīng)用而言，民眾并沒有足夠地參與其中。健康數(shù)據(jù)的權(quán)屬擁有者與持有者一開始就是分離的，并且兩者之間沒有公認(rèn)可行的界定和管理方法[3]。比如：健康數(shù)據(jù)的權(quán)屬是患者，數(shù)據(jù)的持有者和使用者通常卻不止患者。如果數(shù)據(jù)持有方未經(jīng)充分授權(quán)，在去除姓名和身份信息后未經(jīng)脫敏處理就對(duì)醫(yī)療數(shù)據(jù)進(jìn)行分析挖掘。那么當(dāng)某組數(shù)據(jù)與另一組數(shù)據(jù)連在一起時(shí)，則有暴露個(gè)人隱私的危險(xiǎn)。其中含有基因數(shù)據(jù)時(shí)隱私安全威脅會(huì)更明顯[11]。

3 對(duì)策建議

健康數(shù)據(jù)整合與開發(fā)利用有助于對(duì)全民健康狀況進(jìn)行實(shí)時(shí)管理，并對(duì)國(guó)家衛(wèi)生走向進(jìn)行有效預(yù)測(cè)。隨著社會(huì)的發(fā)展，民眾對(duì)醫(yī)療健康服務(wù)的需求越來越高，建立“互聯(lián)網(wǎng)+健康檔案”，整合個(gè)人健康信息，實(shí)現(xiàn)健康數(shù)據(jù)的開發(fā)利用是時(shí)代發(fā)展的必然要求。針對(duì)其過程管理中可能出現(xiàn)的隱私安全問題，本文擬從監(jiān)管機(jī)構(gòu)、范圍界定、法律支持、技術(shù)保障和民眾參與等層面提出對(duì)策建議。

3.1 設(shè)置獨(dú)立監(jiān)管機(jī)構(gòu)

通過對(duì)國(guó)外健康檔案的研究發(fā)現(xiàn)，大多數(shù)國(guó)家都設(shè)立專門的醫(yī)療健康信息管理機(jī)構(gòu)，此類機(jī)構(gòu)具有對(duì)健康隱私保護(hù)的調(diào)查、調(diào)解和執(zhí)法職責(zé)，并且獨(dú)立運(yùn)行不受其他部門管轄控制，這樣既可以最大限度地保護(hù)健康隱私，也利于其合理高效利用。如：英國(guó)二次利用服務(wù)體系(Secondary Use Service)、加拿大全民數(shù)據(jù)庫(kù)(Population Data)等，在對(duì)系統(tǒng)的管理和運(yùn)行上都設(shè)有獨(dú)立機(jī)構(gòu)對(duì)其進(jìn)行管理。同時(shí)為了保證客觀中立性，其管理部門不能進(jìn)行與衛(wèi)生健康相關(guān)的研究[12]。當(dāng)前，我國(guó)電子健康信息管理工作由衛(wèi)生健康委員會(huì)牽頭，這種隱私保護(hù)和安全監(jiān)管雙肩挑的模式有待改進(jìn)?；谖覈?guó)國(guó)情和當(dāng)下醫(yī)改進(jìn)程，我國(guó)需要整合已有管理機(jī)構(gòu)，設(shè)置“總裁判”，或由同級(jí)政府或相關(guān)部門監(jiān)管衛(wèi)生健康委員會(huì)，同時(shí)建立監(jiān)管體系，完善監(jiān)管細(xì)則。

3.2 明確數(shù)據(jù)利用范圍

居民健康數(shù)據(jù)包括個(gè)人身份、病情診斷、治療方案、財(cái)務(wù)信息等多重內(nèi)容，健康數(shù)據(jù)安全利用的前提是明確數(shù)據(jù)利用、信息安全和隱私保護(hù)之間的邊界。首先需要明確定義健康數(shù)據(jù)，界定健康數(shù)據(jù)整合與開發(fā)利用過程中的保護(hù)范圍、保存年限、使用方式，以及個(gè)人信息收集和再使用的流程。另外對(duì)不同類型的健康數(shù)據(jù)采取不同級(jí)別的防護(hù)措施。如：建立“分級(jí)授權(quán)、分類應(yīng)用、權(quán)責(zé)一致”的管理制度，并具體到個(gè)人身份信息編碼轉(zhuǎn)換，財(cái)務(wù)信息禁止披露等細(xì)節(jié)。同時(shí)還需進(jìn)一步明確健康數(shù)據(jù)的所有權(quán)和使用權(quán)。居民是健康數(shù)據(jù)的所有者，數(shù)據(jù)采集和存儲(chǔ)機(jī)構(gòu)擁有個(gè)體知情同意條件下的保管權(quán)和使用權(quán)。當(dāng)出于公共利益開展統(tǒng)計(jì)或?qū)W術(shù)研究時(shí)，要對(duì)數(shù)據(jù)進(jìn)行封裝、分離、取出個(gè)人標(biāo)識(shí)信息等前期處理。

3.3 加強(qiáng)法律法規(guī)保護(hù)

在應(yīng)對(duì)健康數(shù)據(jù)安全建設(shè)方面，各國(guó)都在不斷強(qiáng)化醫(yī)療數(shù)據(jù)隱私的法律保護(hù)。澳大利亞、英國(guó)、加拿大、美國(guó)等頒布了專門的法律法規(guī)，明確健康信息隱私保護(hù)標(biāo)準(zhǔn)、實(shí)施指南，以及醫(yī)療數(shù)據(jù)安全等級(jí)和脫密方式，旨在加強(qiáng)對(duì)健康數(shù)據(jù)和健康隱私的保護(hù)。我國(guó)于2018年5月頒布《信息安全技術(shù)個(gè)人信息安全規(guī)范》，將醫(yī)療相關(guān)數(shù)據(jù)定義為個(gè)人敏感數(shù)據(jù)。但規(guī)范中沒有提出專門針對(duì)健康數(shù)據(jù)標(biāo)識(shí)化處理的條款，以指導(dǎo)數(shù)據(jù)收集方如何生成可以滿足條件的脫敏數(shù)據(jù)[11]。在相關(guān)安全規(guī)范中，雖明確要求收集和使用健康數(shù)據(jù)前需獲得個(gè)人知情同意(并列出3種除外情況)。但在整體立法保護(hù)的基礎(chǔ)上，缺乏針對(duì)健康檔案隱私保護(hù)的專門法律法規(guī)。因此在具體實(shí)施中，應(yīng)加強(qiáng)前端控制，細(xì)化健康數(shù)據(jù)規(guī)劃、收集、存儲(chǔ)、利用、銷毀等全生命周期的隱私安全保護(hù)舉措和法律支持，提高立法的可操作性和違法的犯罪成本。

3.4 平衡數(shù)據(jù)利用與隱私安全

數(shù)據(jù)利用是健康檔案資源潛在價(jià)值得以實(shí)現(xiàn)的過程。健康隱私是個(gè)人對(duì)自身健康數(shù)據(jù)的收集、使用和披露做出選擇的權(quán)利；數(shù)據(jù)利用與隱私保護(hù)之間的博弈是健康數(shù)據(jù)研究和開發(fā)利用的焦點(diǎn)問題。因此，相關(guān)人員應(yīng)積極借助數(shù)據(jù)擾亂、數(shù)據(jù)加密、數(shù)據(jù)匿名、訪問控制等信息安全技術(shù)保障數(shù)據(jù)安全。如：利用豁免權(quán)、例外等技術(shù)手段，以最小化的原則披露健康數(shù)據(jù)，用最大化的原則挖掘和利用健康信息。通過設(shè)置N次失敗獲取數(shù)據(jù)后設(shè)備自動(dòng)刪除，或生物特征識(shí)別技術(shù)等方案來解決隱私泄露問題[13]。對(duì)采集和暴露個(gè)人行蹤的社交媒體、移動(dòng)客戶端、GPS等要加強(qiáng)技術(shù)支持來避免數(shù)據(jù)身份人信息被逆向識(shí)別，讓信息技術(shù)成為保護(hù)健康隱私安全的重要屏障。除此之外，多措并舉強(qiáng)化物理、行政等措施以保護(hù)健康數(shù)據(jù)的安全性、機(jī)密性和完整性。

3.5 引導(dǎo)民眾參與過程管理

開放的“互聯(lián)網(wǎng)+”時(shí)代，單純依賴技術(shù)革新、物理屏障和政策保護(hù)來實(shí)現(xiàn)個(gè)人健康隱私保護(hù)是不夠的。未來醫(yī)療將是全民主動(dòng)參與的時(shí)代，每個(gè)人都是數(shù)據(jù)的提供者、使用者和受益者。因此要普及健康隱私保護(hù)的安全技能，使民眾掌握采集數(shù)據(jù)的內(nèi)容、時(shí)間與使用范圍，賦予民眾充分的知情選擇權(quán)，盡量降低健康數(shù)據(jù)意外泄露的概率。同時(shí)還要利用宣教來提升民眾的防范意識(shí)，以及主動(dòng)管理、維護(hù)健康檔案的意識(shí)，給予個(gè)人對(duì)健康隱私的掌控力。如：及時(shí)設(shè)置更改電子健康檔案隱私訪問權(quán)限，實(shí)時(shí)監(jiān)控電子健康檔案訪問及利用情況，對(duì)于不愿用于科研或公共健康方面的個(gè)人健康信息可在系統(tǒng)中做出設(shè)置或選擇。多方著手有效保護(hù)個(gè)人健康隱私，以期實(shí)現(xiàn)“互聯(lián)網(wǎng)+”背景下健康數(shù)據(jù)整合與開發(fā)利用中的隱私安全和保護(hù)。

4 結(jié)語

居民健康檔案數(shù)據(jù)整合與開發(fā)利用是“健康中國(guó)”戰(zhàn)略中的一項(xiàng)基礎(chǔ)性工作，“互聯(lián)網(wǎng)+時(shí)代居民健康檔案”不僅能夠改善居民在社會(huì)生活過程中的就診體驗(yàn)，更能使居民享受智能化的智慧服務(wù)。但還需加大其安全防護(hù)力度，全方位保護(hù)患者健康隱私，全流程安全利用健康數(shù)據(jù)，才能讓“互聯(lián)網(wǎng)+居民健康檔案”真正發(fā)揮效能。