醫(yī)療數(shù)據(jù)信息安全政策研究*

郭 強(qiáng) 王樂子 母健康 朱 翀 胡新龍 張渝翔 路正鵬 馬建輝

(中國(guó)醫(yī)學(xué)科學(xué)院腫瘤醫(yī)院 北京 100021)(神州數(shù)碼醫(yī)療科技股份有限公司 北京 100080)(中國(guó)醫(yī)學(xué)科學(xué)院腫瘤醫(yī)院 北京 100021)(神州數(shù)碼醫(yī)療科技股份有限公司 北京 100080)(中國(guó)醫(yī)學(xué)科學(xué)院腫瘤醫(yī)院 北京 100021)

1 引言

在當(dāng)今信息化迅速發(fā)展的時(shí)代，數(shù)據(jù)爆發(fā)性的增長(zhǎng)給互聯(lián)網(wǎng)、金融、醫(yī)療等行業(yè)帶來了機(jī)遇和變革，與此同時(shí)也面臨數(shù)據(jù)安全的挑戰(zhàn)。在醫(yī)療健康領(lǐng)域，新式健康醫(yī)療智能儀器的廣泛應(yīng)用成為威脅數(shù)據(jù)安全的主要因素之一，移動(dòng)互聯(lián)網(wǎng)正成為醫(yī)療數(shù)據(jù)安全攻防的主戰(zhàn)場(chǎng)，公民個(gè)人隱私和醫(yī)療數(shù)據(jù)應(yīng)用安全的矛盾日益顯露[1]。在隱私權(quán)保護(hù)方面，相比于歐盟和美國(guó)，現(xiàn)階段我國(guó)沒有專門的法律、法規(guī)。涉及個(gè)人隱私保護(hù)有關(guān)的法律法規(guī)分散于近70部法律、行政法規(guī)和200部規(guī)章中[2]，主要有憲法、民法、行政法、訴訟法和刑法等。由于我國(guó)民事立法研究較晚，對(duì)人格權(quán)研究深度不夠，隱私權(quán)與隱私的分界線不甚明顯[3]，與此同時(shí)又深受我國(guó)傳統(tǒng)人文的影響，立法者沒有給予足夠的重視和保護(hù)。由于我國(guó)沒有明確保護(hù)個(gè)人隱私權(quán)的成文法律法規(guī)。在隱私權(quán)相關(guān)案件中司法機(jī)構(gòu)是依靠名譽(yù)權(quán)的形式來保護(hù)隱私權(quán)。2013年9月工信部出臺(tái)《電信和互聯(lián)網(wǎng)用戶個(gè)人信息保護(hù)規(guī)定》，根據(jù)《全國(guó)人民代表大會(huì)常務(wù)委員會(huì)關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》(2012年)，進(jìn)一步深化個(gè)人信息的覆蓋范圍，提出個(gè)人隱私信息的采集、儲(chǔ)存和應(yīng)用規(guī)則及安全保障等要求，為大數(shù)據(jù)應(yīng)用的個(gè)人信息保護(hù)設(shè)立法律法規(guī)保障。這是目前國(guó)內(nèi)最為完備和明確的關(guān)于個(gè)人數(shù)據(jù)隱私保護(hù)的法律[4-5]。

關(guān)于隱私權(quán)的安全保護(hù)措施是對(duì)人們個(gè)人信息負(fù)責(zé)，但也會(huì)妨礙其收集并影響數(shù)據(jù)的研究應(yīng)用，進(jìn)而限制大數(shù)據(jù)的使用和發(fā)展。隨著近年來科技的發(fā)展，個(gè)人信息采集與隱私保護(hù)的矛盾越來越突出。根據(jù)對(duì)醫(yī)療健康大數(shù)據(jù)產(chǎn)業(yè)的研究，從數(shù)據(jù)安全合規(guī)的視角，結(jié)合國(guó)內(nèi)出臺(tái)的有關(guān)法律法規(guī)對(duì)醫(yī)療健康大數(shù)據(jù)行業(yè)個(gè)人隱私保護(hù)與信息共享安全問題進(jìn)行簡(jiǎn)明分析。

2 醫(yī)療信息安全相關(guān)法案

2.1 分析方法

通過Python對(duì)每部法案進(jìn)行全模式切詞分詞[6]，然后去除停用詞并設(shè)置高頻詞、低頻詞閾值[7-8]，最后統(tǒng)計(jì)法案中的關(guān)鍵詞詞頻，結(jié)合法案原文達(dá)到分析的目的。醫(yī)療數(shù)據(jù)的安全主要體現(xiàn)在醫(yī)療數(shù)據(jù)的采集(收集)、傳輸、存儲(chǔ)、使用(應(yīng)用)的整個(gè)流程中，而與數(shù)據(jù)共享相關(guān)主要有“共享”、“標(biāo)準(zhǔn)”、“規(guī)范”、“開放”等詞；所以分析法案特征詞時(shí)將“采集(收集)”、“傳輸”、“存儲(chǔ)”、“使用(應(yīng)用)”、“共享”、“標(biāo)準(zhǔn)”、“規(guī)范”、“開放”等作為特征詞進(jìn)行分析。由于分析時(shí)對(duì)涉及的每部法案進(jìn)行獨(dú)立分析，因此未對(duì)特征詞做權(quán)重處理，僅用法案中的詞頻結(jié)合原文進(jìn)行解讀。本文主要分析多部律法條文，這些律法在醫(yī)療數(shù)據(jù)隱私安全以及共享方面具有代表性[9]。

2.2 醫(yī)療數(shù)據(jù)安全政策

2.2.1 《網(wǎng)絡(luò)安全法》 2016年7月《網(wǎng)絡(luò)安全法(草案)》人大常委會(huì)二次審議稿在人大網(wǎng)對(duì)外發(fā)布征求意見。該草案共7章68條,要點(diǎn)在于保障網(wǎng)絡(luò)空間主權(quán)安全、產(chǎn)品應(yīng)用和服務(wù)網(wǎng)絡(luò)安全、網(wǎng)絡(luò)數(shù)據(jù)信息安全、網(wǎng)絡(luò)安全監(jiān)測(cè)預(yù)警以及突發(fā)事件應(yīng)急處置預(yù)案等[10]?！毒W(wǎng)絡(luò)安全法(草案)》的亮點(diǎn)：一是明確提出維護(hù)國(guó)家網(wǎng)絡(luò)空間主權(quán)，將網(wǎng)絡(luò)空間安全上升到國(guó)家主權(quán)安全的高度。二是將已有的有效規(guī)章法規(guī)上升為法律，與現(xiàn)有的法律法規(guī)實(shí)現(xiàn)較好的銜接，如《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《關(guān)于加強(qiáng)網(wǎng)絡(luò)信息保護(hù)的決定》等，在草案中這些法案均被上升為法律。三是確立對(duì)重要信息相關(guān)的基礎(chǔ)設(shè)施保護(hù)方略，參考國(guó)外法律法規(guī)明確重要信息基礎(chǔ)設(shè)施的安全保護(hù)范圍，另外還規(guī)定購(gòu)買網(wǎng)絡(luò)相關(guān)產(chǎn)品和服務(wù)要通過安全部門審查、向境外輸出數(shù)據(jù)要進(jìn)行信息安全評(píng)估和風(fēng)險(xiǎn)檢測(cè)等，構(gòu)建重要信息基礎(chǔ)設(shè)施的安全保護(hù)體系。四是納入網(wǎng)絡(luò)安全戰(zhàn)略規(guī)劃、人才培養(yǎng)、技術(shù)研發(fā)、標(biāo)準(zhǔn)制定等綜合性內(nèi)容，草案將以上要點(diǎn)納入網(wǎng)絡(luò)安全基本法的范疇，依靠法律手段支持網(wǎng)絡(luò)安全相關(guān)工作[11]。然而草案有其不足的方面：關(guān)于信息安全的范圍表達(dá)不夠準(zhǔn)確；幾乎沒有涉及政府機(jī)關(guān)相應(yīng)信息系統(tǒng)安全；主要是個(gè)人信息保護(hù)，未反映大數(shù)據(jù)時(shí)代的特點(diǎn)；一些條款較籠統(tǒng)、操作性較差。為彌補(bǔ)其不足之處，2017年6月頒布的《網(wǎng)絡(luò)安全法》增加11條修進(jìn)，至此我國(guó)就網(wǎng)絡(luò)安全領(lǐng)域的相關(guān)要求上升至國(guó)家法律層面[12]。在個(gè)人隱私信息保護(hù)方面，《網(wǎng)絡(luò)安全法》有一個(gè)十分明顯的特點(diǎn)，即個(gè)人對(duì)其信息有很強(qiáng)的控制權(quán)[13]。如相關(guān)機(jī)構(gòu)在采集個(gè)人信息時(shí)需經(jīng)被采集者同意；應(yīng)用和儲(chǔ)存?zhèn)€人信息時(shí)必須嚴(yán)格按照與用戶的協(xié)議；如果在使用或儲(chǔ)存?zhèn)€人信息時(shí)違背與用戶的協(xié)議，用戶有權(quán)對(duì)其進(jìn)行刪除和更改。該法案中出現(xiàn)“安全”182次、“共享”1次、“開放”2次、“保護(hù)”39次。該法案規(guī)定了我國(guó)個(gè)人信息保護(hù)的基本框架，即“公布信息采集和應(yīng)用的準(zhǔn)則，明確信息采集、應(yīng)用的目的、形式和范圍并且需要經(jīng)過被收集者同意”[14]，而在個(gè)人信息的開放共享方面未做過多闡述。另外2017年全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)發(fā)布《個(gè)人信息安全規(guī)范》，為企業(yè)及研究機(jī)構(gòu)保護(hù)和使用個(gè)人信息提供更加詳細(xì)的操作規(guī)范[15-19]，自其正式發(fā)布以來被廣泛應(yīng)用于各行各業(yè)的合規(guī)實(shí)踐中。雖然《個(gè)人信息安全規(guī)范》是處理信息安全問題方面國(guó)家推薦的標(biāo)準(zhǔn)，但對(duì)監(jiān)管部門來說該規(guī)范是其在網(wǎng)絡(luò)安全管理和執(zhí)法過程中重要的參考準(zhǔn)則。建議企業(yè)依據(jù)《個(gè)人信息安全規(guī)范》逐步提高個(gè)人信息保護(hù)水平，為其產(chǎn)品與服務(wù)保駕護(hù)航[20]。

2.2.2 《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》(以下簡(jiǎn)稱《行動(dòng)剛要》)和《關(guān)于促進(jìn)和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見》 為推動(dòng)各行業(yè)、各領(lǐng)域中的數(shù)據(jù)資源安全共享，國(guó)務(wù)院于2015年9月5日發(fā)布《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》。其中“共享”、“開放”、“安全”和“隱私”分別出現(xiàn)59、36、74、5次，以此可以看出國(guó)家大數(shù)據(jù)發(fā)展中數(shù)據(jù)安全共享的重要性。該綱要是當(dāng)前我國(guó)為推動(dòng)信息化發(fā)展公布的第1份系統(tǒng)性的權(quán)威文件，是從國(guó)家信息化發(fā)展大局出發(fā)指導(dǎo)未來大數(shù)據(jù)發(fā)展的綱領(lǐng)性文件。近年來隨著信息技術(shù)的發(fā)展，各行各業(yè)的數(shù)據(jù)呈爆炸式增長(zhǎng)，已經(jīng)成為與國(guó)家能源和物質(zhì)同等重要的戰(zhàn)略型儲(chǔ)備資源。數(shù)據(jù)資源雖然具有增長(zhǎng)速度快以及種類豐富等特點(diǎn)，但是來源極為分散且價(jià)值密度低，要想使數(shù)據(jù)資源造福國(guó)家及人民大眾就必須打破地區(qū)和行業(yè)的壁壘，實(shí)現(xiàn)共享開放[21]?？偟膩砜?，《行動(dòng)綱要》是針對(duì)我國(guó)大數(shù)據(jù)發(fā)展過程中“不愿、不敢、不會(huì)共享開放”情況的總體布局規(guī)劃。因此提出建立國(guó)家級(jí)統(tǒng)一數(shù)據(jù)應(yīng)用平臺(tái)并且不同部門之間實(shí)現(xiàn)數(shù)據(jù)共享；構(gòu)建國(guó)家級(jí)網(wǎng)絡(luò)數(shù)據(jù)匯集開放共享和分析平臺(tái)、國(guó)家統(tǒng)一的信譽(yù)信息共享開放平臺(tái)、地市級(jí)及其以上政府統(tǒng)一的政務(wù)和惠民服務(wù)信息平臺(tái)、全國(guó)統(tǒng)一的不同企業(yè)間的公共服務(wù)大數(shù)據(jù)共享開放平臺(tái)?！缎袆?dòng)綱要》設(shè)置的未來發(fā)展目標(biāo)及任務(wù)是我國(guó)大數(shù)據(jù)發(fā)展的前瞻性戰(zhàn)略集成，同時(shí)也面臨不同區(qū)域、行業(yè)、部門之間的壁壘和利益分配以及信息安全等困難挑戰(zhàn)，因此建立健全有效的法律保護(hù)政策是實(shí)現(xiàn)《行動(dòng)綱要》的關(guān)鍵。為貫徹落實(shí)《行動(dòng)綱要》的要求，國(guó)務(wù)院辦公廳于2016年6月發(fā)布《關(guān)于促進(jìn)和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見》，該法規(guī)中“共享”、“開放”、“安全”、“隱私”分別出現(xiàn)25、13、33、6次,可見其重點(diǎn)在于數(shù)據(jù)的開放和共享。其基本原則為以人為本，創(chuàng)新驅(qū)動(dòng)；規(guī)范有序，安全可控；開放融合，共建共享[22]。總的來說該法規(guī)的要點(diǎn)在于加速建立統(tǒng)一權(quán)威、相互聯(lián)通的國(guó)家級(jí)信息健康共享平臺(tái)[23]，推動(dòng)醫(yī)療行業(yè)健康數(shù)據(jù)資源共享，進(jìn)一步深化“互聯(lián)網(wǎng)+健康醫(yī)療”服務(wù)。

2.2.3 《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》(以下簡(jiǎn)稱《指導(dǎo)意見》) 該《指導(dǎo)意見》中“等級(jí)保護(hù)”、“安全”、“信息安全”、“開放”、“共享”、“隱私”分別出現(xiàn)43、89、63、0、0、0次。通過對(duì)相關(guān)詞頻提取分析可知該《指導(dǎo)意見》的重點(diǎn)是信息安全等級(jí)保護(hù)方面。關(guān)于信息安全等級(jí)保護(hù)，國(guó)內(nèi)是從2007年6月《信息安全等級(jí)保護(hù)管理辦法》開始明確相關(guān)單位和部門的職責(zé)、任務(wù)；自2010年4月開始為完成安全等級(jí)測(cè)評(píng)標(biāo)準(zhǔn)體系建設(shè)以及信息系統(tǒng)三級(jí)安全等級(jí)測(cè)評(píng)相關(guān)工作，公安部發(fā)布《關(guān)于推動(dòng)信息安全等級(jí)保護(hù)測(cè)評(píng)體系建設(shè)和開展等級(jí)測(cè)評(píng)工作的通知》。2011年為貫徹執(zhí)行定級(jí)、整改、測(cè)評(píng)相關(guān)國(guó)家標(biāo)準(zhǔn)，原國(guó)家衛(wèi)生部發(fā)布《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》、《關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的通知》。在信息系統(tǒng)定級(jí)工作中相關(guān)國(guó)家標(biāo)準(zhǔn)是《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則》、《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》；系統(tǒng)建設(shè)整改工作中相關(guān)國(guó)家標(biāo)準(zhǔn)是《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》、《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》、《信息系統(tǒng)等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》；信息系統(tǒng)測(cè)評(píng)工作中相關(guān)國(guó)家標(biāo)準(zhǔn)是《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》、《信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南》。另外還有幾十個(gè)國(guó)家和相關(guān)部門頒布和標(biāo)準(zhǔn)、指南等技術(shù)指導(dǎo)性文件，構(gòu)成信息安全等級(jí)保護(hù)的初級(jí)標(biāo)準(zhǔn)體系，基本可以滿足國(guó)家信息安全等級(jí)保護(hù)制度施行的要求。

2.2.4 《信息安全技術(shù) 個(gè)人信息安全規(guī)范》(以下簡(jiǎn)稱《安全規(guī)范》) 出現(xiàn)“個(gè)人信息”607次、“安全”139次“收集”91次、“共享”52次、“轉(zhuǎn)讓”46次、“公開”56次、“隱私”41次、“隱私政策”37次、“去標(biāo)識(shí)化”11次、“傳輸”11次、“存儲(chǔ)”16次，由以上詞頻結(jié)合原文進(jìn)行分析，可以看出《安全規(guī)范》是以國(guó)家制定的準(zhǔn)則來明確個(gè)人數(shù)據(jù)信息的采集、儲(chǔ)存、使用、共享規(guī)范操作，為個(gè)人隱私保護(hù)政策的制定提供方向?！栋踩?guī)范》是在《網(wǎng)絡(luò)安全法》的法律條文規(guī)定基礎(chǔ)之上明確了網(wǎng)絡(luò)信息安全中具體問題的定義。首先，對(duì)于個(gè)人敏感信息的定義是在《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》中提出的，是指?jìng)€(gè)人信息遭受暴露和更改后對(duì)個(gè)人信息主體產(chǎn)生惡劣的影響?！栋踩?guī)范》則進(jìn)一步指出個(gè)人敏感信息被泄密、被惡意使用會(huì)危及個(gè)人信息主體的人身、財(cái)產(chǎn)安全，致使其聲譽(yù)和身心健康受到侵害等不良后果。其次，《安全規(guī)范》給出個(gè)人信息收集的定義，即個(gè)人信息主體自發(fā)給出的、網(wǎng)絡(luò)運(yùn)營(yíng)商通過日志記錄等其他手段自動(dòng)采集的、數(shù)據(jù)使用者從其他機(jī)構(gòu)間接得到的稱為“收集”，另外規(guī)定在終端得到的個(gè)人信息如果沒有傳回相應(yīng)的儲(chǔ)存設(shè)備，不在收集的定義范圍內(nèi)。最后，《安全規(guī)范》對(duì)于個(gè)人信息處理時(shí)的匿名化與去標(biāo)識(shí)化有不同定義，即匿名化處理后的數(shù)據(jù)信息不能還原，不再屬于個(gè)人信息的范疇；而去標(biāo)識(shí)化處理后的數(shù)據(jù)信息僅能在沒有其他關(guān)聯(lián)信息的情況下保證信息主體的安全，但依然存在潛在被關(guān)聯(lián)分析識(shí)別的隱患。2017年8月發(fā)布的《信息安全技術(shù) 個(gè)人信息去標(biāo)識(shí)化指南》征求意見稿中提出去標(biāo)識(shí)化的流程以及相關(guān)處理技術(shù)等，相關(guān)企業(yè)機(jī)構(gòu)在進(jìn)行去標(biāo)識(shí)化數(shù)據(jù)處理時(shí)可以借鑒其具體方法和流程。

2.2.5 《人口健康信息管理辦法(試行)》 2014年國(guó)家發(fā)布《人口健康信息管理辦法》。該法規(guī)一是給出人口健康信息包含范圍，明確指出人口健康信息安全管理制度；二是明確個(gè)人信息采集時(shí)信息主體的知情同意權(quán)；三是明確個(gè)人健康信息的相應(yīng)管理原則，明確規(guī)定個(gè)人信息要分級(jí)保存、定期更新維護(hù)；四是推行使用信息備案登記制度，給出信息使用的條件和模式；五是明確個(gè)人信息隱私安全保護(hù)要求，對(duì)個(gè)人健康數(shù)據(jù)進(jìn)行安全等級(jí)保護(hù)和審查；六是明確相關(guān)法律責(zé)任。該法規(guī)中“共享”、“開放”、“安全”、“隱私”分別出現(xiàn)4、0、15、6次，該律法條文中涉及數(shù)據(jù)采集、存儲(chǔ)、管理及共享等敏感詞，然而法案原文中沒有涉及數(shù)據(jù)安全傳輸?shù)南嚓P(guān)條文規(guī)定，結(jié)合法律原文第13、14條，可以看出該法規(guī)只對(duì)數(shù)據(jù)共享略作描述，沒有解釋實(shí)施細(xì)則，因此《人口健康信息管理辦法》盡管是現(xiàn)階段醫(yī)療健康行業(yè)的權(quán)威法規(guī)，但面對(duì)日益增長(zhǎng)且復(fù)雜的數(shù)據(jù)，在醫(yī)療數(shù)據(jù)方面仍顯不足。

2.2.6 《國(guó)家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法(試行)》 該法規(guī)中出現(xiàn)“健康醫(yī)療”75次、“大數(shù)據(jù)”76次、“安全”54次、“管理”60次、 “標(biāo)準(zhǔn)”37次、“規(guī)范”15次、“共享”7次、“采集”3次、“存儲(chǔ)”6次、“傳輸”3次，從該法規(guī)提取的關(guān)鍵詞詞頻可以看出該法規(guī)涉及醫(yī)療數(shù)據(jù)的安全應(yīng)用和共享以及安全管理的相關(guān)標(biāo)準(zhǔn)。結(jié)合原文從以下4個(gè)方面對(duì)該法規(guī)進(jìn)行分析：一是標(biāo)準(zhǔn)管理方面。對(duì)于醫(yī)療數(shù)據(jù)安全管理倡導(dǎo)多方參與，建設(shè)完備的醫(yī)療健康數(shù)據(jù)標(biāo)準(zhǔn)化管理平臺(tái)，嚴(yán)格制定標(biāo)準(zhǔn)化管理規(guī)范、鼓勵(lì)制約制度以及風(fēng)險(xiǎn)評(píng)估等實(shí)施措施。二是安全管理方面。落實(shí)“一把手”負(fù)責(zé)制，完善數(shù)據(jù)安全人才培育制度，提出數(shù)據(jù)分級(jí)分類儲(chǔ)存要求并對(duì)網(wǎng)絡(luò)安全、數(shù)據(jù)傳輸、監(jiān)測(cè)以及相關(guān)基礎(chǔ)設(shè)施安全等關(guān)鍵管理環(huán)節(jié)提出確切的操作要求。三是在服務(wù)管理方面。實(shí)行統(tǒng)一分級(jí)授權(quán)、分類應(yīng)用管理、權(quán)責(zé)一致的管理制度，明確醫(yī)療大數(shù)據(jù)從形成、采集、保存、應(yīng)用、共享及銷毀等關(guān)鍵環(huán)節(jié)中相關(guān)部門的職責(zé)定位，進(jìn)一步加強(qiáng)對(duì)醫(yī)療健康數(shù)據(jù)的安全共享和開放。四是管理監(jiān)督方面。呼吁相關(guān)機(jī)構(gòu)醫(yī)療健康信息平臺(tái)端口能夠?qū)πl(wèi)生監(jiān)管部門開放。定期開展對(duì)含有醫(yī)療數(shù)據(jù)的信息平臺(tái)的安全評(píng)估檢測(cè)，建立安全管理責(zé)任制。以上幾部法律法規(guī)均有自身的不足之處，或注重網(wǎng)絡(luò)安全，或注重?cái)?shù)據(jù)共享、系統(tǒng)平臺(tái)建設(shè)應(yīng)用等。《國(guó)家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法(試行)》的發(fā)布明確提出健康醫(yī)療大數(shù)據(jù)的含義，制定實(shí)施范圍及總體標(biāo)準(zhǔn)流程，清晰地劃分各級(jí)衛(wèi)生行政部門權(quán)力和責(zé)任。從提取的關(guān)鍵詞詞頻也可以看出該法規(guī)涉及醫(yī)療數(shù)據(jù)的安全應(yīng)用和共享，是我國(guó)現(xiàn)階段法律法規(guī)中關(guān)于醫(yī)療數(shù)據(jù)較為完善的一部法規(guī)。

2.3 醫(yī)療數(shù)據(jù)共享

《網(wǎng)絡(luò)安全法》主要是國(guó)家基于整個(gè)網(wǎng)絡(luò)空間領(lǐng)域安全的法律；《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》和《關(guān)于促進(jìn)和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見》是為推動(dòng)各領(lǐng)域數(shù)據(jù)共享制定的法規(guī)；《“健康中國(guó)2030”規(guī)劃綱要》是為促進(jìn)互聯(lián)網(wǎng)和醫(yī)療健康行業(yè)的融合制定的法規(guī)；《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》是通過等級(jí)保護(hù)來保障醫(yī)療衛(wèi)生行業(yè)信息安全制定的法規(guī)；《信息安全技術(shù) 個(gè)人信息安全規(guī)范》和《信息安全技術(shù) 個(gè)人信息去標(biāo)識(shí)化指南》是為保護(hù)個(gè)人信息安全制定的法規(guī)；《人口健康信息管理辦法(試行)》是關(guān)于保證人口健康信息采集、存儲(chǔ)以及管理數(shù)據(jù)安全制定的法規(guī)；《國(guó)家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法(試行)》涵蓋范圍極廣，是以上多部法律法規(guī)的集成和推廣，是目前國(guó)內(nèi)醫(yī)療健康領(lǐng)域較為權(quán)威的一部法規(guī)。在大數(shù)據(jù)隱私的探討中對(duì)于大數(shù)據(jù)的共享應(yīng)用和隱私保護(hù)一直是被爭(zhēng)論的問題。無論業(yè)內(nèi)人士如何討論，立法者都應(yīng)考量數(shù)據(jù)的隱私安全及其經(jīng)濟(jì)價(jià)值，在發(fā)展大數(shù)據(jù)的同時(shí)也應(yīng)發(fā)展檢測(cè)技術(shù)和監(jiān)管機(jī)制以應(yīng)對(duì)日益增加的數(shù)據(jù)量和復(fù)雜度。企業(yè)本身是趨利的，只有在法律層面對(duì)其做出規(guī)定才能有效解決大數(shù)據(jù)隱私安全和共享問題。加強(qiáng)建設(shè)適合于人工智能應(yīng)用相關(guān)的數(shù)據(jù)安全共享法律法規(guī)，是探索人工智能在遠(yuǎn)程診療、精準(zhǔn)醫(yī)療、臨床診療、公共衛(wèi)生服務(wù)等眾多情景中應(yīng)用的基石。人工智能技術(shù)發(fā)展如火如荼，然而此過程必須以人為本，保證醫(yī)療健康數(shù)據(jù)安全，規(guī)范醫(yī)療數(shù)據(jù)信息的歸屬權(quán)、使用權(quán)。加強(qiáng)數(shù)據(jù)管理及其安全性，對(duì)醫(yī)療健康敏感數(shù)據(jù)信息進(jìn)行分類分級(jí)，建立強(qiáng)大有效的安全防護(hù)體系。醫(yī)療健康大數(shù)據(jù)是新近發(fā)展起來的事物，在應(yīng)用處理的過程中會(huì)遇到各種問題，因此與時(shí)俱進(jìn)地完善管理規(guī)范標(biāo)準(zhǔn)是常態(tài)，也是必要手段。

3 建議

3.1 概述

不論是在歐美發(fā)達(dá)國(guó)家還是在我國(guó)，醫(yī)療機(jī)構(gòu)、保險(xiǎn)公司以及醫(yī)護(hù)人員均有保護(hù)就醫(yī)者隱私的法定義務(wù)。但醫(yī)療機(jī)構(gòu)內(nèi)部管理存在一定漏洞，有可能導(dǎo)致患者隱私數(shù)據(jù)泄露。另外我國(guó)正在致力于建立標(biāo)準(zhǔn)化電子病歷，以達(dá)到區(qū)域或全國(guó)醫(yī)療信息共享，也會(huì)面臨隱私數(shù)據(jù)泄露的問題。醫(yī)療領(lǐng)域的研究人員往往對(duì)于去標(biāo)識(shí)化相關(guān)知識(shí)比較欠缺，僅能根據(jù)常規(guī)手段處理直接標(biāo)識(shí)符。需要注意的是經(jīng)過常規(guī)手段去標(biāo)識(shí)化后的個(gè)人數(shù)據(jù)也不是肯定安全的。因?yàn)殡S著信息技術(shù)的發(fā)展，大數(shù)據(jù)分析能力越來越強(qiáng)大，尤其是醫(yī)療行業(yè)，正朝著多源交叉分析的方向發(fā)展，分析人員更容易通過關(guān)聯(lián)分析挖掘出更多的個(gè)人信息，從而增加隱私信息泄露的危險(xiǎn)。通過學(xué)習(xí)和借鑒其他國(guó)家相關(guān)法律及經(jīng)驗(yàn)并結(jié)合國(guó)內(nèi)相關(guān)法律法規(guī)建設(shè)情況提出相應(yīng)建議。

3.2 以人為本，完善個(gè)人隱私法律法規(guī)

公立醫(yī)院改革是我國(guó)醫(yī)藥衛(wèi)生領(lǐng)域改革的重點(diǎn)，醫(yī)療數(shù)據(jù)的信息化是改革的有效手段。因此應(yīng)盡快對(duì)電子病歷立法，明確醫(yī)療數(shù)據(jù)的歸屬權(quán)、使用權(quán)，確保其應(yīng)用過程中的有效性、認(rèn)可性、安全性，規(guī)范相關(guān)實(shí)體的權(quán)利和義務(wù)，明確對(duì)侵犯?jìng)€(gè)人隱私數(shù)據(jù)所要承擔(dān)的法律后果。

3.3 發(fā)展保護(hù)個(gè)人數(shù)據(jù)隱私的技術(shù)

隨著國(guó)內(nèi)醫(yī)療信息的發(fā)展，可以通過設(shè)置醫(yī)療領(lǐng)域的數(shù)據(jù)失真、數(shù)據(jù)加密、限制發(fā)布等政策加強(qiáng)對(duì)隱私數(shù)據(jù)的防護(hù)。如在信息去標(biāo)識(shí)化方面，相關(guān)加密算法可以考慮使用深度學(xué)習(xí)、區(qū)塊鏈等。同時(shí)還應(yīng)加強(qiáng)去標(biāo)識(shí)化和再識(shí)別風(fēng)險(xiǎn)相關(guān)的算法研究，在共享之前針對(duì)已經(jīng)去標(biāo)識(shí)化的數(shù)據(jù)計(jì)算再識(shí)別風(fēng)險(xiǎn)，以確保共享數(shù)據(jù)的安全?？傊?，在敏感信息處理方面要跟上信息技術(shù)的發(fā)展，以確保醫(yī)療健康數(shù)據(jù)的安全。

3.4 推動(dòng)醫(yī)療數(shù)據(jù)應(yīng)用的全流程管理

雖然我國(guó)正在推動(dòng)醫(yī)療領(lǐng)域的信息披露工作，但是對(duì)個(gè)人數(shù)據(jù)的使用和披露沒有確切的規(guī)定，也沒有完善的數(shù)據(jù)信息保護(hù)機(jī)制。國(guó)家應(yīng)加強(qiáng)醫(yī)療隱私數(shù)據(jù)的安全風(fēng)險(xiǎn)評(píng)估和保護(hù)，盡量做到醫(yī)療數(shù)據(jù)使用和信息保護(hù)的平衡?？梢詤⒖济绹?guó)健康保險(xiǎn)流通與責(zé)任法案(Health Insurance Portability and Accountability Act，HIPAA)或者歐盟通用數(shù)據(jù)保護(hù)條例(General Data Protection Regulation，GDPR),建立醫(yī)療隱私數(shù)據(jù)安全管理機(jī)構(gòu)，包括醫(yī)療數(shù)據(jù)管理委員會(huì)、隱私數(shù)據(jù)業(yè)務(wù)部門、隱私數(shù)據(jù)技術(shù)部門以及風(fēng)險(xiǎn)安全評(píng)估部門。完善數(shù)據(jù)安全共享相關(guān)法律法規(guī)，培訓(xùn)數(shù)據(jù)安全專業(yè)人才。相關(guān)企業(yè)要定期組織員工進(jìn)行信息安全培訓(xùn)指導(dǎo)，增強(qiáng)保護(hù)醫(yī)療隱私數(shù)據(jù)安全的意識(shí)，并做好隱私數(shù)據(jù)安全評(píng)估，預(yù)防可能出現(xiàn)的風(fēng)險(xiǎn)。

4 結(jié)語(yǔ)

總之科技和法律的完善是保證數(shù)據(jù)安全應(yīng)用的基石。雖然現(xiàn)階段人們對(duì)個(gè)人隱私權(quán)不是特別重視，但隨著時(shí)間的推移會(huì)逐漸察覺隱私權(quán)的重要性。我國(guó)迫切需要通過制定確切的醫(yī)療數(shù)據(jù)標(biāo)準(zhǔn)和流程，使人們真正認(rèn)識(shí)到醫(yī)療行業(yè)中信息安全的重要性，這是我國(guó)醫(yī)療行業(yè)持續(xù)健康發(fā)展的保障。