醫(yī)療大數(shù)據(jù)隱私保護(hù)技術(shù)的研究進(jìn)展

史婷瑤，馬金剛，曹慧，孟琳，張馳

山東中醫(yī)藥大學(xué) 理工學(xué)院，山東 濟(jì)南 250355

引言

21世紀(jì)，科技的快速發(fā)展使得信息技術(shù)廣泛應(yīng)用于人們生活的各個(gè)方面，日常產(chǎn)生的數(shù)據(jù)量急劇增多，傳統(tǒng)的數(shù)據(jù)模式已不能滿足現(xiàn)在的需求。不可否認(rèn)，大數(shù)據(jù)時(shí)代已經(jīng)來臨。醫(yī)療領(lǐng)域不僅有服務(wù)和行政的運(yùn)營類數(shù)據(jù)，還包括臨床、影像、基因、實(shí)驗(yàn)室及公共衛(wèi)生等復(fù)雜醫(yī)療數(shù)據(jù)，數(shù)據(jù)量大且類型繁多[1]?；颊呔歪t(yī)時(shí)所做檢驗(yàn)（例如影像檢查、化驗(yàn)等）數(shù)據(jù)及結(jié)果、醫(yī)生醫(yī)囑等信息會(huì)被傳送到云端或設(shè)備進(jìn)行存儲(chǔ)[2]。醫(yī)院掌握著患者的個(gè)人信息、病情、用藥情況甚至基因信息，如果能夠合理分析總結(jié)，會(huì)對(duì)醫(yī)學(xué)的發(fā)展提供很大幫助，反之，患者醫(yī)療信息一旦遭到泄露，或許會(huì)為醫(yī)院和患者本人帶來嚴(yán)重的損失?？梢?，大數(shù)據(jù)方便了我們工作生活的同時(shí)，也面臨諸多安全問題。

1 醫(yī)療大數(shù)據(jù)概述

2010年，Apache Hadoop組織把大數(shù)據(jù)定義為“一般普通的計(jì)算機(jī)軟件無法在可接受的時(shí)間內(nèi)獲取、管理、處理、分析的超大規(guī)模的數(shù)據(jù)集”。2011年5月，麥肯錫全研究院在《大數(shù)據(jù):創(chuàng)新、競(jìng)爭(zhēng)和生產(chǎn)力的下一個(gè)前沿領(lǐng)域》中定義，大數(shù)據(jù)是一種在一定時(shí)間內(nèi)無法用傳統(tǒng)數(shù)據(jù)庫軟件工具獲取、儲(chǔ)存、管理、分析的足夠大的數(shù)據(jù)集合。

大數(shù)據(jù)具有數(shù)據(jù)種類繁多、數(shù)據(jù)量龐大、數(shù)據(jù)處理速度快、數(shù)據(jù)價(jià)值密度低等特點(diǎn)，如果其在收集、存儲(chǔ)、傳輸和使用的過程中未被妥善處理會(huì)對(duì)用戶的隱私安全造成威脅，引發(fā)嚴(yán)重的安全問題[3]。

1.1 醫(yī)療大數(shù)據(jù)的定義

醫(yī)療大數(shù)據(jù)是大數(shù)據(jù)在醫(yī)療領(lǐng)域的一個(gè)分支，是指在與人類健康相關(guān)的活動(dòng)中產(chǎn)生的與生命健康和醫(yī)療有關(guān)的數(shù)據(jù)，主要來源于電子健康病歷等臨床類數(shù)據(jù)、醫(yī)院運(yùn)營、生物醫(yī)學(xué)研究、疾病防控、健康保障和食品安全、公共衛(wèi)生及健康管理數(shù)據(jù)、養(yǎng)生保健等方面。醫(yī)療領(lǐng)域是大數(shù)據(jù)的一大重要應(yīng)用領(lǐng)域，Kayyali等[4]指出醫(yī)療領(lǐng)域大數(shù)據(jù)處于初級(jí)階段，許多潛在的價(jià)值正在逐漸顯現(xiàn)。國家衛(wèi)健委提出了“推進(jìn)健康醫(yī)療大數(shù)據(jù)應(yīng)用，制定促進(jìn)健康醫(yī)療大數(shù)據(jù)應(yīng)用的相關(guān)方案，推動(dòng)健康醫(yī)療大數(shù)據(jù)有序發(fā)展的意見”。2018年9月13日，國家衛(wèi)健委公開《國家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法（試行）》，旨在對(duì)醫(yī)療大數(shù)據(jù)的發(fā)展方向加以引導(dǎo)，可見國家對(duì)醫(yī)療大數(shù)據(jù)的重視。

1.2 醫(yī)療大數(shù)據(jù)的特點(diǎn)

除了具備大數(shù)據(jù)的特征，醫(yī)療大數(shù)據(jù)也有其特有的特征[5]。

（1）數(shù)據(jù)具有不完整性。無法全面搜集、處理和反應(yīng)所有疾病的全部信息，數(shù)據(jù)存在殘缺和偏差。

（2）數(shù)據(jù)具有長(zhǎng)期保存性?！夺t(yī)療機(jī)構(gòu)管理?xiàng)l例》規(guī)定，患者門診信息保留時(shí)間不少于15年，住院信息不少于30年，影像信息永久保留。

（3）數(shù)據(jù)具有時(shí)間性。醫(yī)學(xué)檢驗(yàn)的波形和圖像是時(shí)間函數(shù)，或同一種疾病在不同時(shí)間的情況可能不同，這都具有一定的時(shí)間性。

（4）數(shù)據(jù)源多變。在不同領(lǐng)域的醫(yī)學(xué)研究中，數(shù)據(jù)的記錄數(shù)量、存儲(chǔ)量類型、樣本大小及數(shù)據(jù)維都可能不同。

醫(yī)療大數(shù)據(jù)在提取過程中簡(jiǎn)化了原始數(shù)據(jù)，且臨床數(shù)據(jù)是按照固定格式收集的，所以數(shù)據(jù)相對(duì)結(jié)構(gòu)化，這是醫(yī)療大數(shù)據(jù)與其他領(lǐng)域的大數(shù)據(jù)最大的區(qū)別[6]。其次，相較于其他領(lǐng)域，醫(yī)療大數(shù)據(jù)直接關(guān)系到人類生命健康，因而對(duì)分析結(jié)果要求更精確，安全問題也相對(duì)突出。

2 醫(yī)療大數(shù)據(jù)的隱私保護(hù)

馮登國等[7]提出了六種大數(shù)據(jù)的隱私保護(hù)技術(shù)：數(shù)據(jù)發(fā)布匿名保護(hù)技術(shù)、社交網(wǎng)絡(luò)匿名保護(hù)技術(shù)、數(shù)據(jù)水印技術(shù)、數(shù)據(jù)溯源技術(shù)、角色挖掘、風(fēng)險(xiǎn)自適應(yīng)的訪問控制?？偨Y(jié)現(xiàn)有的隱私保護(hù)方法，醫(yī)療領(lǐng)域的隱私保護(hù)技術(shù)主要有醫(yī)療數(shù)據(jù)的分級(jí)保護(hù)制度、基于訪問控制的隱私保護(hù)、基于數(shù)據(jù)加密的隱私保護(hù)、基于匿名化的隱私保護(hù)。

2.1 衛(wèi)生行業(yè)信息系統(tǒng)等級(jí)保護(hù)

國家衛(wèi)計(jì)委在《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》中指出，要優(yōu)先保護(hù)重要信息系統(tǒng)，在信息系統(tǒng)建設(shè)過程中，同步開展等級(jí)保護(hù)工作，并且要根據(jù)信息系統(tǒng)的變化及時(shí)調(diào)整保護(hù)等級(jí)。衛(wèi)生行業(yè)信息系統(tǒng)等級(jí)保護(hù)體系的建設(shè)需要兩方面的支持，一是技術(shù)支持，保障物理、網(wǎng)絡(luò)、主機(jī)、應(yīng)用、數(shù)據(jù)安全；二是管理支持，包括安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理?！队?jì)算機(jī)信息系統(tǒng)安全保護(hù)的等級(jí)劃分準(zhǔn)則》將信息系統(tǒng)劃分為五級(jí)，而重要衛(wèi)生信息系統(tǒng)原則上不低于三級(jí)，可以從邊界安全防護(hù)、網(wǎng)絡(luò)環(huán)境安全防護(hù)、主機(jī)安全防護(hù)和應(yīng)用防護(hù)4個(gè)層次進(jìn)行保護(hù)[8]。雖然國家已經(jīng)出臺(tái)了不少等級(jí)保護(hù)相關(guān)政策，但在實(shí)際保護(hù)和管理過程中仍存在一些問題，如醫(yī)療衛(wèi)生行業(yè)沒有普及等級(jí)保護(hù)的重要意義，領(lǐng)域工作人員責(zé)任感不強(qiáng)；缺乏專門的管理部門和標(biāo)準(zhǔn)化的規(guī)章制度等，我國醫(yī)療衛(wèi)生行業(yè)等級(jí)保護(hù)工作還有很長(zhǎng)一段路要走。

2.2 基于訪問控制的隱私保護(hù)

基于訪問控制的隱私保護(hù)是指通過對(duì)用戶訪問各類資源權(quán)限的限制來防止越界訪問的一種方法。在醫(yī)院信息系統(tǒng)中，參與人員眾多，信息傳遞過程中泄露的機(jī)率也非常大。訪問控制技術(shù)大多是以角色為基礎(chǔ)，訪問和控制為主體，對(duì)不同職責(zé)的人員設(shè)置不同的訪問權(quán)限，這也涉及到了數(shù)據(jù)分級(jí)方面的內(nèi)容。通過建立相應(yīng)的角色樹，根據(jù)一定規(guī)則進(jìn)行創(chuàng)建、分配，明確各部門職責(zé)，財(cái)務(wù)處負(fù)責(zé)財(cái)務(wù)管理，護(hù)理部負(fù)責(zé)病區(qū)管理，藥劑科負(fù)責(zé)藥品管理等，不需要訪問與本部門無關(guān)的信息。但是制定怎樣的規(guī)則和怎樣將權(quán)限分級(jí)并不是一項(xiàng)簡(jiǎn)單的工作，實(shí)際工作中會(huì)存在很多特殊情況需要一一設(shè)定，不便于訪問控制的整體管理和調(diào)整?；诖耍琘armard等[9]基于交互式架構(gòu)提出了一種訪問控制模型，該模型能通過捕獲用戶的動(dòng)態(tài)行為來相應(yīng)地設(shè)定訪問權(quán)限，更好地應(yīng)用于醫(yī)療領(lǐng)域。

2.3 基于數(shù)據(jù)加密的隱私保護(hù)

數(shù)據(jù)加密技術(shù)在保障網(wǎng)絡(luò)信息安全方面有非常重要的作用，基于密鑰的數(shù)據(jù)加密技術(shù)分為常規(guī)密鑰加密和公開密鑰加密，通過對(duì)敏感信息（明文）經(jīng)過密鑰和函數(shù)進(jìn)行替換或移位，轉(zhuǎn)換為不能識(shí)別的亂碼（密文），密文傳輸?shù)叫畔⒔邮辗教?，再通過密鑰和函數(shù)將密文還原為易讀取、有意義的明文，還原的過程稱作解密。

常規(guī)密鑰加密又稱對(duì)稱加密，收發(fā)數(shù)據(jù)的雙方需在數(shù)據(jù)傳輸前商定一個(gè)公用密鑰，隨后用此密鑰和加解密函數(shù)進(jìn)行加密和解密，加密密鑰即解密密鑰，其安全性一方面取決于密鑰復(fù)雜程度，另一方面，如果密鑰在傳遞過程中發(fā)生泄露，對(duì)信息安全也是一大威脅。公開密鑰加密又稱非對(duì)稱加密，信息發(fā)送方使用公鑰對(duì)信息加密，接收方用私鑰解密，公鑰與私鑰不同且不能相互推導(dǎo)。

因此，我們可以不對(duì)公鑰進(jìn)行保密，只保證私鑰的安全性即可[10]。二者加密過程對(duì)比圖如圖1所示。

常規(guī)密鑰加密是目前應(yīng)用最普遍的加密技術(shù)，常用的算法有DES算法。DES是一種具有16輪迭代的分組密碼算法[11]，加密過程與解密過程相似，使用同一密鑰，只是運(yùn)算順序相反。此算法加密速度快，效率高并且應(yīng)用范圍廣，通過將明文以64位為單位進(jìn)行分組，加密后得到64位一組的密文，其中密鑰有八個(gè)字節(jié)共64位，實(shí)際有效的只有56位，8、16、24等八的倍數(shù)位為奇偶校驗(yàn)位未參與運(yùn)算[12]。由于DES算法的密鑰較短，容易受到窮舉法攻擊，即反復(fù)嘗試不同的密鑰直到成功，因此拓展出二重、三重DES等算法，通過延長(zhǎng)密鑰長(zhǎng)度提高安全性[13]。計(jì)算機(jī)運(yùn)行速度的不斷提升可能會(huì)使DES算法的安全性比從前低，但目前來說仍是有效的方法。

圖1 常規(guī)密鑰加密與公開密鑰加密過程對(duì)比圖

公開密鑰加密常用到RSA算法。RSA算法需要產(chǎn)生素p和q（p，q保密），p和q是隨機(jī)生成的且需要足夠長(zhǎng)（長(zhǎng)度約為十進(jìn)制數(shù)的100位或更大），p與q構(gòu)成模n（公開）和Euler函數(shù)φ(n)（保密），n=p×q，φ(n)=（p-1）(q-1)，φ(n)表示n的歐拉數(shù)。選取隨機(jī)的一個(gè)正整數(shù)e作為加密密鑰，e可公開，1＜e＜φ(n)且 gcd(e,φ(n))=1，即 e與 φ(n)互素。通過ed modφ(n)=1計(jì)算得解密密鑰d，d需保密。(n,e)為公鑰，(n,d)為私鑰。假設(shè)明文為m，密文為c，加密過程滿足c=memod n，解密過程中明文m=cemodn[14]，其中，e作為公鑰是公開的，如果模n遭泄露，n=pq被因式分解，即可由p，q計(jì)算出φ(n)，從而能根據(jù)ed modφ(n)=1計(jì)算出密鑰d，計(jì)算獲得明文[15]?？梢哉f，n越長(zhǎng)，因式分解難度越高，RSA安全性越高，但如果不斷增加密鑰長(zhǎng)度，就會(huì)使得加密效率低下。RSA自開發(fā)至今的四十余年，被公認(rèn)為是最完善、應(yīng)用最廣泛的加密算法，但是其加解密速度緩慢仍是一個(gè)不可忽視的缺點(diǎn)。肖振久等[16]提出一種將雙素?cái)?shù)改為四素?cái)?shù)的RSA算法，以提高算法安全性和運(yùn)算效率；李云飛等[17]提出可以將解密時(shí)的一些計(jì)算量轉(zhuǎn)移到加密方，提升算法性能。

面對(duì)日益增大的數(shù)據(jù)量，醫(yī)院陸續(xù)引進(jìn)了醫(yī)院信息系統(tǒng)來管理各部門的信息，達(dá)到使工作更加便捷高效的目的。醫(yī)院信息化在推廣過程中面臨許多風(fēng)險(xiǎn)和問題，例如攻擊者可能假冒患者獲取患者資料，或攻擊通信信道獲得患者信息，從而篡改信息達(dá)到某些目的，針對(duì)這些問題，我們可以將患者的信息加密后再儲(chǔ)存，或者對(duì)通信信息進(jìn)行加密，這樣即使攻擊者獲得了患者信息，也是無法理解的密文。與其他領(lǐng)域數(shù)據(jù)不同的是，醫(yī)療數(shù)據(jù)類型多樣，醫(yī)院系統(tǒng)中儲(chǔ)存的信包含數(shù)值型數(shù)據(jù)、文本、信號(hào)、圖像、音頻、視頻等等，對(duì)于文檔型數(shù)據(jù)，除了用DES、RSA算法進(jìn)行加密，也可以將二者相結(jié)合，加密速度快且強(qiáng)度高。密碼技術(shù)也同樣適用于動(dòng)、靜態(tài)圖像，將圖像顏色的二維數(shù)據(jù)轉(zhuǎn)換為一維數(shù)據(jù)，再以64位為一組進(jìn)行加密。

此外，數(shù)據(jù)加密技術(shù)也應(yīng)用于人類健康醫(yī)療的各個(gè)領(lǐng)域，如遠(yuǎn)程醫(yī)療、無線醫(yī)療傳感網(wǎng)、可穿戴設(shè)備數(shù)據(jù)等，為我們的隱私安全提供保障。數(shù)據(jù)加密還廣泛應(yīng)用于網(wǎng)絡(luò)數(shù)據(jù)庫、軟件、電子商務(wù)和虛擬專用網(wǎng)絡(luò)（VPN）等領(lǐng)域，目前很多醫(yī)院都構(gòu)建了自己的局域網(wǎng)，VPN應(yīng)用于醫(yī)院局域網(wǎng)，通過加密等技術(shù)，可以保證各種醫(yī)療信息安全并有一定訪問控制的功能。

2.4 基于匿名化的隱私保護(hù)

已發(fā)布的信息常常被攻擊者拿來與別的途徑所獲信息進(jìn)行鏈接操作，經(jīng)過推理得到隱私信息，這種隱私獲得方法即為鏈接攻擊，而匿名化是對(duì)抗此類攻擊的主要技術(shù)之一。文獻(xiàn)[18]給出了例子，將醫(yī)療信息表與選民登記表相鏈接，就能基本確定患者的診斷結(jié)果。為了應(yīng)對(duì)鏈接攻擊，Sweeney[18]提出并改進(jìn)了k-匿名。

待發(fā)布的數(shù)據(jù)通常包含四種屬性：① 個(gè)體標(biāo)識(shí)符，可以表示個(gè)體身份的屬性，如姓名、身份證號(hào)等；② 準(zhǔn)標(biāo)識(shí)符（QI），與其他屬性進(jìn)行鏈接從而表示個(gè)體身份的屬性，如性別、年齡、郵編等；③ 敏感屬性，描述個(gè)人隱私，發(fā)布時(shí)需保密的屬性，如收入、健康狀況等；④ 非敏感屬性：公開后對(duì)隱私不造成影響的屬性。

患者的檔案通常以患者的名字、身份證號(hào)等可以確認(rèn)身份的信息進(jìn)行標(biāo)識(shí)，而這些信息本身就是該保護(hù)的部分，所以需要對(duì)其進(jìn)行匿名化保護(hù)，我們可以建立k-匿名模型，通過泛化和抑制兩種方法對(duì)準(zhǔn)標(biāo)識(shí)符進(jìn)行分組[19-20]。泛化是將具體的數(shù)據(jù)替換為抽象模糊的數(shù)據(jù)，如將患者出生日期“1990年1月1日”替換為模糊的“1990年”。抑制是將屬性進(jìn)行隱藏，被抑制的元組在發(fā)布后是看不到的。k-匿名模型要求發(fā)布表中的每個(gè)元組都至少與其他（k-1）個(gè)元組具有完全相同的準(zhǔn)標(biāo)識(shí)符屬性[21]，泛化處理后具有相同準(zhǔn)標(biāo)識(shí)符屬性的稱為一個(gè)等價(jià)類簇，且重復(fù)次數(shù)至少為k（k≥2），這樣使得發(fā)布表中每個(gè)元組主體信息就會(huì)和其他k-1個(gè)元組無法區(qū)分，來保護(hù)隱私信息[22]。

由于k-匿名模型是對(duì)準(zhǔn)標(biāo)識(shí)符屬性進(jìn)行約束，沒考慮敏感屬性，攻擊者可以根據(jù)自己的知識(shí)和已有的信息，推理出匿名數(shù)據(jù)，因此，k-匿名不容易抵擋同質(zhì)性攻擊和背景知識(shí)攻擊[23]。為了解決以上問題，Machanavajjhala等[24]在k-匿名基礎(chǔ)上提出了l-多樣化匿名，這樣使得每一個(gè)等價(jià)類簇中的敏感屬性包含l個(gè)元素，從而解決問題。

現(xiàn)有的匿名模型大多是先刪除身份標(biāo)識(shí)屬性，再將準(zhǔn)標(biāo)識(shí)屬性匿名化，基本都是保證了數(shù)據(jù)的有效性，但會(huì)損失某些數(shù)據(jù)屬性，然而，在信息交互的過程中，丟失的那部分信息可能會(huì)影響正常運(yùn)作?；诖?，童云海等[25]創(chuàng)新地提出了一種隱私數(shù)據(jù)發(fā)布中保留身份信息的匿名方法，提高了信息的有效性。

3 總結(jié)與展望

大數(shù)據(jù)的出現(xiàn)，為各行各業(yè)帶來了或積極或消極的影響，醫(yī)療領(lǐng)域的特殊性使得人們對(duì)隱私安全問題更加重視，通過對(duì)以上方法及技術(shù)的分析可以看出，醫(yī)療衛(wèi)生信息系統(tǒng)等級(jí)保護(hù)還存在醫(yī)療衛(wèi)生工作人員等級(jí)保護(hù)意識(shí)薄弱，缺乏專業(yè)部門管理并缺乏標(biāo)準(zhǔn)化的規(guī)章制度等問題；基于訪問控制技術(shù)效率高，但是靈活性差，特別是在醫(yī)療衛(wèi)生信息系統(tǒng)中參與人員眾多，情況復(fù)雜，往往難以滿足實(shí)際需求；數(shù)據(jù)加密技術(shù)可以保證數(shù)據(jù)安全性，確保信息準(zhǔn)確，是保障網(wǎng)絡(luò)數(shù)據(jù)安全的關(guān)鍵技術(shù)，但因其大運(yùn)算量耗費(fèi)大量時(shí)間，開銷較大；傳統(tǒng)匿名化技術(shù)能夠抵抗推測(cè)類的攻擊，且效率較高，但是經(jīng)過泛化處理后容易丟失某一些信息，降低數(shù)據(jù)可用性。除了本文介紹的幾種基本算法和模型，國內(nèi)外學(xué)者也提出許多新的思路，根據(jù)實(shí)際需求對(duì)算法和模型進(jìn)行改進(jìn)，如將DES與RSA算法相結(jié)合的混合加密方法，加密效率快且加密強(qiáng)度高；將RSA與AES算法相結(jié)合，既能安全保管密鑰，有提高了加密效率；將DES拓展為多重DES算法，通過增加密鑰長(zhǎng)度提高了安全性；對(duì)k-匿名技術(shù)進(jìn)行改進(jìn)，提出基于身份保持或者有損連接的個(gè)性化數(shù)據(jù)發(fā)布保護(hù)方法，既保證運(yùn)算效率又保證數(shù)據(jù)有效性。除了技術(shù)方面的保障，還應(yīng)建立完善的制度保障，在醫(yī)療領(lǐng)域建立完善的隱私保護(hù)體系，為數(shù)據(jù)的存儲(chǔ)、訪問和應(yīng)用形成系統(tǒng)的保護(hù)。