大數(shù)據(jù)環(huán)境下醫(yī)療數(shù)據(jù)隱私保護面臨的挑戰(zhàn)及相關技術梳理

陳鶴群

摘 要

隨著大數(shù)據(jù)技術的迅猛發(fā)展，已經給許多領域帶來了巨大的影響，但大數(shù)據(jù)也同時帶來了隱私防護方面新的安全挑戰(zhàn)。醫(yī)療大數(shù)據(jù)對傳統(tǒng)的就醫(yī)模式也帶來了革命性的改變，但其便于共享、傳播、挖掘等特性再加上醫(yī)療行業(yè)的特殊性，又不得不讓人們更加重視隱私保護這一敏感問題。本文旨在對目前醫(yī)療大數(shù)據(jù)的現(xiàn)狀進行分析并對其可能面臨的隱私保護問題進行討論，并對目前技術與規(guī)范方面的隱私保護手段進行梳理，從而為在大數(shù)據(jù)環(huán)境下醫(yī)療數(shù)據(jù)的隱私保護尋求可行的方法，并對醫(yī)療大數(shù)據(jù)隱私保護體系的發(fā)展方向進行了展望。

【關鍵詞】大數(shù)據(jù) 醫(yī)療大數(shù)據(jù) 隱私保護

1 背景

由于信息化和網絡化技術與產業(yè)的迅猛發(fā)展，導致產生的數(shù)據(jù)量爆炸式的增長，大數(shù)據(jù)（Big Data）概念已儼然成為學術界與產業(yè)界的熱點。大數(shù)據(jù)正悄然影響并改變著人們的日常生活方式、工作方式和思考方式。在維基百科中大數(shù)據(jù)被定義為所涉及的數(shù)據(jù)量規(guī)模巨大到無法通過人工，在合理時間內達到截取、管理、處理、并整理成為人類所能解讀的信息。如今，每時每刻均有大量的數(shù)據(jù)不斷產生，其中既有互聯(lián)網用戶主動產生的（如：搜索引擎的使用、微博等），同時各種檢測設備也在源源不斷的產生大量數(shù)據(jù)。根據(jù)分析調研機構IDC發(fā)布的報告，2012年全球數(shù)據(jù)總量已經達到2.7ZB，并預計這一數(shù)字在2015年將達到8ZB，這更說明了大數(shù)據(jù)時代的來臨。大數(shù)據(jù)的意義不在于擁有巨大的數(shù)據(jù)信息，而是通過專業(yè)的技術手段對這些數(shù)據(jù)進行處理，并提煉出有意義的信息，實現(xiàn)數(shù)據(jù)的增值。為了實現(xiàn)最終的增值，大數(shù)據(jù)處理主要涉及以下的各階段：（1）數(shù)據(jù)采集與預處理；（2）數(shù)據(jù)分析；（3）數(shù)據(jù)解釋。

王利明教授在其主編的《人格權法新論》一書中認為：隱私權是自然人享有的對其個人的與公共利益無關的個人信息、私人活動和私有領域進行支配的一種人格權。個人數(shù)據(jù)作為個人隱私的一部分，也應受到法律法規(guī)的保護。在如今的日常生活中互聯(lián)網技術已經被廣泛使用，這也引發(fā)了許多侵害個人隱私權的問題，其核心問題就是個人數(shù)據(jù)的權利問題。隨著信息技術的不斷更新發(fā)展，在其發(fā)展過程中對個人隱私保護還將帶來許多意想不到的問題。

大數(shù)據(jù)技術就是一個典型的示例，作為一個新興技術大數(shù)據(jù)技術在數(shù)據(jù)處理過程及應用等方面，產生的數(shù)據(jù)交互、展示等均可能造成對客體隱私的侵害。所以在大數(shù)據(jù)技術不斷發(fā)展的同時，人們開始關注大數(shù)據(jù)技術所帶來的隱私保護問題。

馮登國等在《大數(shù)據(jù)安全與隱私保護》一文中提出，與傳統(tǒng)信息安全問題相比，大數(shù)據(jù)在用戶隱私保護方面面臨著新的挑戰(zhàn)。大量事實已經表明，大數(shù)據(jù)未能妥善處理會對用戶的隱私造成極大的侵害。根據(jù)需要保護的內容不同，隱私保護由可以進一步細分為位置隱私保護、標識隱私匿名保護、連接關系匿名保護。而醫(yī)療個人數(shù)據(jù)作為一種機具特殊性及敏感的個人數(shù)據(jù)，其在大數(shù)據(jù)環(huán)境中如何保護個人隱私不被侵害也變得日趨重要。

本文旨在對目前醫(yī)療大數(shù)據(jù)的現(xiàn)狀進行分析并對其可能面臨的隱私保護問題進行討論，并對目前技術與規(guī)范方面的隱私保護手段進行梳理，從而為在大數(shù)據(jù)環(huán)境下醫(yī)療數(shù)據(jù)的隱私保護尋求可行的方法。

2 醫(yī)療大數(shù)據(jù)的現(xiàn)狀

近年來，醫(yī)療衛(wèi)生行業(yè)信息化技術的不斷發(fā)展及各系統(tǒng)的不斷建設，信息系統(tǒng)使用的范圍也隨之不斷擴大。如電子病歷的出現(xiàn)取代了傳統(tǒng)手寫病歷，以信息化的手段記錄保存了患者在醫(yī)院中發(fā)生的診斷治療行為的全過程，除此之外其還提供了其他相關服務。在信息系統(tǒng)被廣泛使用后，每天都產生大量的數(shù)據(jù)，而產生的大量數(shù)據(jù)不再僅僅是對醫(yī)療過程的記錄，通過進一步挖掘及使用后均能產生更大的意義。所以根據(jù)這些特性可以說醫(yī)療數(shù)據(jù)已經進入了大數(shù)據(jù)的時代，依照這些數(shù)據(jù)的性質可以分為醫(yī)院與區(qū)域性平臺兩個層面：

在醫(yī)院層面上，信息化系統(tǒng)的使用范圍與使用模式已不再僅僅基于原有的掛號收費方式，信息系統(tǒng)應當對患者在整個就醫(yī)的過程進行全程的記錄，并將進一步擴展至患者的其他個人健康信息。

電子病歷系統(tǒng)在醫(yī)院的使用，徹底改變了原有的就醫(yī)模式，將原有患者自管的紙質病歷改為了由醫(yī)院統(tǒng)一管理的電子化病歷。這樣醫(yī)生就可以更方便、快捷的查詢患者之前的就診記錄，有助于醫(yī)生作為更加安全準確的診斷。其保存的醫(yī)囑數(shù)據(jù)、診斷數(shù)據(jù)等，更是為科研教學提供了有力的數(shù)據(jù)支撐。作為一份完整電子病歷，其還應包括醫(yī)技科室產生的檢驗檢查信息。

目前醫(yī)技科室使用的專業(yè)化信息系統(tǒng)：如檢驗科室使用的LIS系統(tǒng)，通過儀器與信息系統(tǒng)的連接，實現(xiàn)了在系統(tǒng)中對實驗室樣品，數(shù)據(jù)的存儲與管理，與此同時其還提供了報告審核等其它相關的服務，實現(xiàn)了醫(yī)院檢驗科室規(guī)范化、智能化和自動化的管理。其它的如PACS、手術麻醉等專業(yè)信息系統(tǒng)，均如同LIS系統(tǒng)一樣為相關科室提供便捷并有助于提高管理水平，醫(yī)療質量，減少差錯的發(fā)生。這類系統(tǒng)的使用也使得收集診療數(shù)據(jù)成為可能，讓電子病歷變得更加完整，勢必也將有實驗室報告、影像信息等被記錄保存。

除此之外，對于一些專科與專病的需求，還將有其它的患者信息被收集記錄，如體征信息，對于高血壓病人持續(xù)記錄其血壓、心率等體征信息對于醫(yī)療行為也是非常有意義的。如其它健康信息，患者是否有吸煙史等信息對于某些疾病的治療也是

另一方面，隨著醫(yī)療衛(wèi)生體制改革的不斷深化，區(qū)域性醫(yī)療衛(wèi)生信息平臺建設已成為衛(wèi)生信息化的建設重點，各地也相繼建成區(qū)縣級或省市及的區(qū)域平臺，打破了各系統(tǒng)各醫(yī)院間的信息孤島，實現(xiàn)了互聯(lián)互通、數(shù)據(jù)共享、業(yè)務協(xié)同，并建立了區(qū)域醫(yī)療衛(wèi)生信息數(shù)據(jù)中心及全民健康檔案等。以上海為例，由上海申康醫(yī)院發(fā)展中心自2006開始主持規(guī)劃的上海醫(yī)聯(lián)工程，在申康所轄的38市級醫(yī)院之間建立了一個信息交換共享集成平臺及數(shù)據(jù)中心。不僅僅是醫(yī)院數(shù)據(jù)的抽取收集，而是在這些數(shù)據(jù)的基礎上進行提煉利用。

隨著數(shù)據(jù)采集范圍的不斷擴大和系統(tǒng)的運作，無論是在醫(yī)院還是區(qū)域平臺的數(shù)據(jù)中心中的數(shù)據(jù)量不斷累積，均已形成了醫(yī)療大數(shù)據(jù)的數(shù)據(jù)中心，endprint

大數(shù)據(jù)對醫(yī)療衛(wèi)生行業(yè)的影響已不言而喻，近幾年醫(yī)療服務產生的數(shù)據(jù)總量更是急速增長，所以說醫(yī)療行業(yè)正處于一個重要的轉折點。

根據(jù)大數(shù)據(jù)的特性，醫(yī)療大數(shù)據(jù)需要在以下4個方面得到支持：

（1）數(shù)據(jù)量：診療數(shù)據(jù)、設備產生的數(shù)據(jù)；

（2）類型：結構化、非結構化；

（3）價值：基于現(xiàn)有數(shù)據(jù)庫中的數(shù)據(jù)進行分析，來支持不能種類的業(yè)務：如患者病史、歸檔檢驗結果分析，實時臨床決策分析；

（4）速度：實時數(shù)據(jù)分析，而非傳統(tǒng)的批量處理分析，對于實時運行中的每個時間節(jié)點產生影響，而不是事后處理。

大數(shù)據(jù)則因為有效的數(shù)據(jù)整合模式，可以滿足以患者為中心醫(yī)療服務的個性化醫(yī)療、協(xié)調和溝通、患者支持和賦權以及良好可及性等多方面需求，為其提供卓越的技術平臺，從醫(yī)學研究、臨床決策、疾病管理、患者參與以及醫(yī)療衛(wèi)生決策等方面推動醫(yī)療模式的轉變。

3 醫(yī)療大數(shù)據(jù)面臨的隱私保護挑戰(zhàn)

隨著數(shù)據(jù)采集、加工和應用，不可避免的會發(fā)生泄漏的情況，也將會造成隱私的泄漏。醫(yī)療信息的隱私數(shù)據(jù)泄露的主要途徑包含以下兩個方面：

3.1 非交互式泄露

從醫(yī)院內部信息系統(tǒng)中的隱私泄露，在醫(yī)院的內部業(yè)務流程中有多個節(jié)點可以對數(shù)據(jù)進行訪問；

3.2 交互式泄露

主要針對在信息使用傳遞過程中，發(fā)生的泄露，可能包括科學研究的過程，區(qū)域性平臺數(shù)據(jù)交互等可使用基于角色訪問控制技術，但是對于權限分級、設定、信息分級等方面有較大的難度。

因為數(shù)據(jù)內容的特殊性，數(shù)據(jù)未能妥善處理會對個人隱私帶來極大的傷害。如孕婦個人信息的泄漏，可能帶來的一系列推銷、詐騙等問題，而在大數(shù)據(jù)環(huán)境下隱私泄漏的危險不僅僅限于其泄漏本身，而還在于基于數(shù)據(jù)對于下一步行為的預測與判斷。如得到患者的某個檢驗指標，便可以對其的健康狀況進行判斷并對其下一步的行為進行預判。在很多情況下人們認為只要對數(shù)據(jù)進行匿名處理或者對重要字段進行保護，個人隱私就是安全的，但是大量的事實已經證明，可以通過收集其他信息還是很容易的可以定位到具體的個人。如患者的診斷信息作為重要隱私進行保護，但是還是可以通過用藥信息或者實驗室報告的某個相關指標輕松的推斷出患者的診斷。所以醫(yī)療數(shù)據(jù)的隱私保護需要根據(jù)保護內容的不同進行進一步的細分。

4 現(xiàn)狀研究

針對以上提出的問題，以下將從制度與技術兩個方面對目前針對醫(yī)療數(shù)據(jù)的隱私保護進行展開。

從技術角度而言，大數(shù)據(jù)的隱私保護主要還是依賴于傳統(tǒng)數(shù)據(jù)隱私保護的一些密碼學技術，而醫(yī)療數(shù)據(jù)因為其特殊性對隱私保護技術的要求也有別與其它的系統(tǒng)。針對這些主要將需要保護的內容聚焦于以下幾點，并結合目前已有的技術手段，進行討論：

4.1 標識隱私匿名保護

在患者診療檔案中，往往會以患者的姓名、身份證號碼等作為患者的唯一標識，但是這些信息本身就應該是隱私保護的內容，所以需要在不影響信息準性的前提情況下對這些信息進行匿名保護。

童云海等提出了一種隱私保護數(shù)據(jù)發(fā)布中身份保持的匿名方法，在數(shù)據(jù)發(fā)布中先刪除身份標識準備，然后對準標識數(shù)據(jù)進行處理，在保持隱私的同時進一步提高了信息有效性，并采用概化和有損連接兩種實現(xiàn)方式。

可以看出標識匿名隱私保護，主要都是采取在保證數(shù)據(jù)有效性的前提下?lián)p失一些數(shù)據(jù)屬性，來保證數(shù)據(jù)的安全性，目前大部分的技術均采用了這種方式。但是在目前患者電子診療信息交互的過程中，信息的損失可能會影響正常流程的運行。在很難同時兼顧可用性與安全性的前提下，需要一種針對醫(yī)院及區(qū)域性平臺運作特點的算法，來找到可用與安全的折中點。

4.2 醫(yī)療數(shù)據(jù)的分級保護制度

以一份完整的診療檔案為例，其構成應當包含了各種信息，如患者基本信息、診斷信息、醫(yī)囑信息、檢驗檢查信息、藥品信息、收費信息、主治醫(yī)生信息等等。這些信息在隱私保護中都有著不同的權重，如果一概而論對所有信息都采用高級別的保護手段，會影響實際運作的效率，同時也是對資源的浪費。但如果只對核心信息進行保護，也會造成隱形泄露的問題。如只對檢驗報告進行保護，那么檢驗數(shù)據(jù)的泄露可以也容易的推導出檢驗報告的結果。所以需要建立一套數(shù)據(jù)的分級制度，對于不同級別的信息采用不同的保護措施，但由于涉及不同的系統(tǒng)和運作方式，制定一套完善分級制度有相當?shù)碾y度，同時還涉及到了以下的訪問權限的控制；

4.3 基于訪問控制的隱私保護

醫(yī)療系統(tǒng)中隱私保護的難點還在于參與的人員節(jié)點多，導致了潛在的泄露點也多。訪問控制技術可以對不同的人員設置不同的權限來限制其訪問的內容，這其實就包括了數(shù)據(jù)分級的問題。如財務部門的人員應該只能訪問相關的收費信息而不能訪問醫(yī)生的診斷信息。

而目前大部分的訪問控制技術均是基于角色的訪問控制，更夠很好的控制角色能夠訪問的內容以及其相應的操作。但是規(guī)則的設置與權限的分級的實現(xiàn)手段比較復雜，無法通過統(tǒng)一的規(guī)則設置來進行統(tǒng)一的授權，許多情況下需要對角色的特殊情況進行單獨設置，也不便與進行整體的管理和調整。需要對規(guī)則引擎進行進一步的研究在適應醫(yī)療領域實際應用的需要。

通過以上對于不同問題不同技術手段的分析可以看出，在醫(yī)療大數(shù)據(jù)領域技術手段還不能很好的滿足實際應用的需求。同時需要建立一套適用于醫(yī)療大數(shù)據(jù)領域的完整隱私保護體系，在醫(yī)療數(shù)據(jù)的存儲環(huán)節(jié)、訪問環(huán)節(jié)、應用環(huán)節(jié)等形成系統(tǒng)性的保護。而在構建隱私保護體系時，除了相關技術，更應用完善制度保障。

技術作為隱私保護的必要條件，在有了技術的基礎上還是需要有相應切實可行的制度來規(guī)范人們的行為以及技術手段順利執(zhí)行。如密碼學中的社會工程攻擊法，它并沒有直接針對任何加密系統(tǒng)，只是利用人們在執(zhí)行過程中的一些弱點與漏洞來達到攻擊的目的，所有隱私保護同樣離不開法律、政策等的支撐。endprint

美國在這方面起步的最早，1974年美國就正式制定了《隱私權法》1996年美國國會就頒布了《健康保險攜帶和責任法案》（Health Insurance Portability and Accountability Act，HIPAA），2000年美國衛(wèi)生和福利部（HHS）依據(jù)該法授權制定《個人可識別健康信息的隱私標準》。由此可以看出，美國已經建立了一個完整的醫(yī)療隱私保護體系。相比較我國對于這方面的法律政策還比較欠缺目前還有專門關于患者隱私保護方面的內容，只是有少數(shù)條文零星的涉及。2013年底，國家衛(wèi)計委下發(fā)了關于《人口健康信息管理辦法（試行）》（征求意見稿），針對患者的電子信息對信息采集方的義務和行為進行規(guī)范了說明，并明確“誰采集、誰負責”的原則。除此之外，還需要明確的是患者電子診療檔案歸屬權的問題，患者的電子診療信息雖然產生在醫(yī)院并由醫(yī)院采集保管，但其所屬權是否應當屬于患者。即電子診療信息的用途應當僅限于為患者提供醫(yī)療服務，若為了其它目的使用時，如科研、教學等，使用者應當告知患者。

5 小結

在本文中對大數(shù)據(jù)環(huán)境下醫(yī)療大數(shù)據(jù)的形成進行了分析，并對醫(yī)療大數(shù)據(jù)所面臨的隱私安全問題以及相應的技術手段進行了梳理。隨著大數(shù)據(jù)技術的迅猛發(fā)展，醫(yī)療大數(shù)據(jù)已經初具規(guī)模。在享用醫(yī)療大數(shù)據(jù)帶來的便利同時，不得不去考慮其帶來的一系統(tǒng)隱私保護問題。相對而言國內目前的相關技術和制度研究均處于剛起步階段，還缺乏系統(tǒng)性的整體架構來對患者隱私進行保護。通過對目前一些隱私保護技術的梳理可以看到，每項技術雖然都有不同的特點，但是其真正在醫(yī)療領域的使用范圍及性能都受到了一定的限制，而且在一定程度上還缺乏對應的制度保障。只有通過對于技術手段和法規(guī)制度相結合的方式，針對醫(yī)療領域和醫(yī)療大數(shù)據(jù)的特性，才能構建出一套完善的隱私保護體系，相關的工作還需要我們進一步的研究。

參考文獻

[1]維基百科，大數(shù)據(jù)，http：//zh.wikipedia.org/wiki/%E5%A4%A7%E6%95%B0%E6%8D%AE

[2]馮國登，張敏，李昊.大數(shù)據(jù)安全與隱私保護[J].計算機學報，2014.

[3]楊吉江，許有志，王青.面向醫(yī)療信息的數(shù)據(jù)隱私保護技術[J].中國數(shù)字醫(yī)學，2010，05（08）.

[4]喬巖，王偉.大數(shù)據(jù)時代的醫(yī)療模式，醫(yī)學論壇網 http：//circ.cmt.com.cn/detail/345715.html.

[5]童云海，陶有東，唐世渭.隱私保護數(shù)據(jù)發(fā)布中身份保持的匿名方法[J].軟件學報，2010（04）：771-781.

作者單位

上海軟中信息技術有限公司 上海市 200235endprint