智慧醫(yī)療情境下四方主體隱私行為的交互機理及演化趨勢研究

摘 要： ［目的／ 意義］ 本文針對智慧醫(yī)療情境下隱私行為研究在博弈主體、模型參數(shù)等方面的不足， 探尋患者、醫(yī)療機構、智慧醫(yī)療平臺和政府四方主體之間的隱私行為交互機理與演化趨勢。［方法／ 過程］ 基于演化博弈理論， 構建患者、醫(yī)療機構、智慧醫(yī)療平臺和政府四方博弈模型。根據(jù)不同參數(shù)調節(jié)下各方行為策略的收益、成本、損失等計算收益矩陣， 求解主體的演化穩(wěn)定策略， 并考慮不同因素對主體行為策略及系統(tǒng)穩(wěn)定狀態(tài)的影響。［結果／ 結論］ 患者的隱私披露行為與披露隱私后獲得的服務收益密切相關， 醫(yī)療機構的隱私保護投入成本和隱私泄露概率對其隱私保護行為有顯著影響， 智慧醫(yī)療平臺的政府獎懲、罰款收益和投入成本是影響其嚴格管理行為的關鍵因素， 政府的監(jiān)管行為與獎懲機制等因素密切相關。通過應用本文模型和方法， 可以動態(tài)調整隱私保護機制， 明確各方職責， 推動智慧醫(yī)療可持續(xù)健康發(fā)展。

關鍵詞： 智慧醫(yī)療； 演化博弈； 隱私行為； 患者； 醫(yī)療機構； 智慧醫(yī)療平臺； 政府

ＤＯＩ：１０．３９６９ ／ ｊ．ｉｓｓｎ．１００８－０８２１．２０２５．０１．０１０

〔中圖分類號〕Ｇ２５２ 〔文獻標識碼〕Ａ 〔文章編號〕１００８－０８２１ （２０２５） ０１－０１３５－１５

隨著大數(shù)據(jù)和人工智能等新一代信息技術在健康醫(yī)療領域的廣泛應用， 高效協(xié)同、互聯(lián)互通并能克服時空限制的智慧醫(yī)療已逐漸成為公眾認可的醫(yī)療服務模式［１］ 。智慧醫(yī)療的關鍵在于個人健康醫(yī)療數(shù)據(jù)的披露共享與分析利用［２］ ， 然而， 其云端化的數(shù)據(jù)采集與處理模式存在嚴重的隱私安全隱患， 診斷病例、影像報告等數(shù)據(jù)如果泄露， 會給患者帶來嚴重的隱私侵害［３－４］ 。因此， 如何建立一個有效的醫(yī)療隱私保護機制成為各界廣泛關注的問題。

近年來， 各國（地區(qū)）政府出臺了ＣＣＰＡ（Ｃａｌｉｆｏｒ?ｎｉａ Ｃｏｎｓｕｍｅｒ Ｐｒｉｖａｃｙ Ａｃｔ）、ＧＤＰＲ（Ｇｅｎｅｒａｌ Ｄａｔａ Ｐｒｏ?ｔｅｃｔｉｏｎ Ｒｅｇｕｌａｔｉｏｎ）、《中華人民共和國個人信息保護法》等隱私保護法案［５－７］ ， 在數(shù)據(jù)匿名、隱私計算、聯(lián)邦計算等隱私技術層面也取得了諸多成果［８－１０］ 。同時， 考慮到個體隱私感知的有限理性所導致的隱私價值波動［１１］ ， 學者引入博弈論， 研究隱私安全投入、監(jiān)管等行為的交互機理與最優(yōu)策略［１１－１２］ 。考慮到復雜環(huán)境下的信息不對稱性及個體認知的差異性，已有研究運用演化博弈分析政府、平臺、企業(yè)、用戶等不同主體的隱私行為演化規(guī)律與穩(wěn)定策略［１３－１４］ 。然而， 現(xiàn)有研究大多基于雙方或三方行為主體構建博弈模型， 少有同時關注監(jiān)管、披露、管理、投入等多種行為的交互影響。此外， 個人醫(yī)療數(shù)據(jù)的高敏感性、價值波動性等特征使得數(shù)據(jù)擁有者對隱私泄露存在感知局限， 現(xiàn)有研究也鮮少考慮隱私泄露損失概率對披露決策的影響。

基于此， 本文旨在剖析患者、醫(yī)療機構、智慧醫(yī)療平臺、政府四方主體間的博弈關系， 運用演化博弈分析數(shù)據(jù)披露、安全投入、平臺管理、政府監(jiān)管等隱私行為的交互機理與演化趨勢， 求解多方主體的演化穩(wěn)定策略（Ｅｖｏｌｕｔｉｏｎａｒｉｌｙ Ｓｔａｂｌｅ Ｓｔｒａｔｅｇｙ， ＥＳＳ）。在此基礎上， 對智慧醫(yī)療情境下隱私數(shù)據(jù)的合理利用和有效保護提出對策建議。

１ 國內外研究現(xiàn)狀

智慧醫(yī)療情境下的隱私研究大致分為隱私技術和隱私行為兩個方面。隱私技術研究集中于匿名和訪問控制領域， 但單純依靠技術手段缺乏對隱私偏好的分析， 易出現(xiàn)主體感知偏差， 造成“過度保護”［１５］ 。此外， 忽視了不同主體隱私行為動機的分析， 易導致隱私保護過程中的“權責不清”［１６］ ?；诖?， 本文立足于隱私行為研究， 圍繞個人醫(yī)療隱私的披露行為與隱私安全行為博弈展開研究述評。

１. １ 個人醫(yī)療隱私的披露行為研究

個人醫(yī)療隱私主要包括過敏藥品、診斷報告等健康記錄， 屬于特殊類型的隱私信息， 其隱私感知與關注會影響主體的披露決策［１７］ 。相關研究將隱私感知與關注作為自變量、中介變量或調節(jié)變量，引入隱私計算理論、保護動機理論、多維發(fā)展理論等理論模型， 研究隱私感知與關注對披露決策的影響機理， 以及在感知價值與披露決策等關系中的調節(jié)或中介作用。如Ｈｏｎｇ Ｗ Ｙ 等［１８］ 采用多維發(fā)展理論， 通過在線調查測試， 發(fā)現(xiàn)信息敏感性、隱私披露收益、隱私保護等均會對隱私披露行為產生影響。Ｌｉｕ Ｂ Ｌ 等［１９］基于公平理論， 構建了一個關于感知公平、隱私反饋和隱私披露意愿的理論模型。劉爽［２０］基于隱私計算理論提出感知收益能提高移動健康類ＡＰＰ 用戶的健康隱私披露意愿， 而感知風險對其健康隱私披露意愿的影響則相反。孫倬等［２１］ 基于計劃行為理論， 研究隱私計算、風險計算和隱私披露意愿之間的關系。

為獲取精準化的智慧醫(yī)療服務， 患者在保持較高隱私感知水平的同時仍會選擇披露個人醫(yī)療隱私，出現(xiàn)隱私關注與披露行為相背離的現(xiàn)象， 即隱私悖論［２２］ ?，F(xiàn)有研究以信念更新、從眾效應等理論為基礎， 研究隱私悖論的成因及隱私政策等外部因素對隱私悖論的作用效應［２３－２５］ 。如Ｈａｎａａ Ｆ［２６］ 采用敘事理論， 從數(shù)字健康管理的角度探討電子健康記錄中的隱私悖論， 證實了認知偏差、對隱私風險缺乏認識、對技術提供商的信任以及感知收益大于感知風險共同影響用戶隱私決策。Ｚｈｕ Ｍ Ｘ 等［２７］ 從隱私疲勞角度探討了移動醫(yī)療中的隱私悖論， 并發(fā)現(xiàn)感知收益能顯著影響用戶披露意愿， 但隱私疲勞不能對其產生顯著影響。

１. ２ 隱私安全行為博弈研究

針對上述研究中提及的“隱私悖論” 現(xiàn)象， 隱私披露行為與感知收益及風險密切相關， 而隱私安全投入、監(jiān)管行為也受收益、成本影響。因此， 相關研究引入博弈論， 從經濟學的“收益—成本—損失” 視角， 研究不同隱私安全行為間的交互機理與最優(yōu)策略問題。Ｇｏｒｄｏｎ Ｌ Ａ 等［２８］ 提出一個基于博弈論的信息安全最優(yōu)投入模型， 該模型重點探尋信息系統(tǒng)脆弱性和數(shù)據(jù)泄漏風險對信息安全投資的影響， 同時也指出缺乏激勵措施是信息安全失敗的主要原因； Ｈｏｎｇ Ｓ 等［２９］ 運用貝葉斯博弈描述基于位置信息的個性化服務中披露者和瀏覽者的相應策略，并證明了具有服務靈活性的用戶不會報告真實位置。Ｌｉ Ｃ 等［３０］ 構建了一個數(shù)據(jù)提供商和用戶之間的斯塔伯格博弈模型， 引入用戶需求、效用函數(shù)、利益函數(shù)等參數(shù)， 分析數(shù)據(jù)交易公平性和隱私保護下的數(shù)據(jù)定價策略。明盛智等［３１］ 和冉克平等［３２］ 采用重復博弈方法， 模擬用戶和在線醫(yī)療平臺之間的隱私信息價值多階段決策過程， 以分析服務收益、用戶損失、隱私保護成本等因素對最優(yōu)決策的影響。

隨著市場相互依賴性的提高， 有學者發(fā)現(xiàn)， 信息共享和戰(zhàn)略合作可以提高信息系統(tǒng)的隱私保護水平。Ｌｉａｏ Ｇ Ｃ 等［３３］ 運用貝葉斯博弈， 模擬數(shù)據(jù)收集者和數(shù)據(jù)報告者之間的隱私保護決策過程， 以分析最佳的隱私保護機制。Ｙｏｕ Ｙ 等［３４］ 將隱私保護和能源管理定義為一種非合作博弈， 分析用戶的最優(yōu)博弈行為。楊少杰等［３５］ 提出了一個基于博弈理論的隱私保護模型， 該模型重點探尋共享誠信和隱私泄露對用戶共享位置信息決定的影響。秦軍昌等［３６］ 構建了企業(yè)和消費者之間的數(shù)據(jù)共享博弈模型， 探討消費者的風險態(tài)度和企業(yè)的隱私保護方式對數(shù)據(jù)共享行為決策的影響。

在大規(guī)模交互系統(tǒng)中， 由于主體行為具有有限理性和信息不對稱性的特點， 同時會受到投入成本、行為收益、外部環(huán)境等因素的影響， 行為主體在單次行為和決策中難以選擇最優(yōu)策略。為逐步達到較高收益下的穩(wěn)定狀態(tài)， 行為主體需要進行多次模仿［３７］ 。相較于斯塔伯格博弈、貝葉斯博弈等模型，演化博弈更適合探索大規(guī)模交互系統(tǒng)中的行為策略，目前已被廣泛地應用于各類隱私行為決策問題的研究中。如Ｌｉｕ Ｗ Ｈ 等［３８］ 基于大數(shù)據(jù)歧視性定價背景， 模擬服務平臺、政府和消費者之間的策略選擇，并提出了防止服務平臺進行大數(shù)據(jù)歧視性定價行為的治理機制。韓普等［３９］ 構建了患者、醫(yī)療服務機構和政府的三方演化博弈模型， 探究三方參與主體對醫(yī)療數(shù)據(jù)共享的參與意愿， 研究發(fā)現(xiàn)患者參與是推進醫(yī)療數(shù)據(jù)共享的關鍵因素。洪蕾等［４０］ 建立了一個“平臺—用戶” 雙方演化博弈模型， 研究結果表明， 平臺合規(guī)經營成本和平臺違規(guī)經營損失均影響用戶信息披露行為。蔣知義等［４１］ 構建了用戶和在線健康社區(qū)的雙方博弈模型， 發(fā)現(xiàn)合理的激勵機制能增強用戶隱私安全意識， 解決隱私安全隱患。

１. ３ 研究述評

整體來看， 國內外研究在隱私行為及安全行為博弈領域已取得諸多成果， 但仍存在以下不足：

１） 現(xiàn)有研究運用貝葉斯博弈、斯塔伯格博弈、演化博弈等構建博弈模型， 研究行為交互機理， 但大多關注在雙方或三方主體。智慧醫(yī)療情境下患者、醫(yī)療機構、智慧醫(yī)療平臺和政府代表了信息生命周期中的數(shù)據(jù)擁有者、數(shù)據(jù)使用者、數(shù)據(jù)管理者和數(shù)據(jù)監(jiān)管者， 因此有必要將上述四方主體整體納入博弈模型， 關注其隱私行為的博弈過程和演化機理。

２） 由于智慧醫(yī)療情境下智慧服務平臺、醫(yī)療機構與患者之間的信息不對稱性， 患者難以清楚了解自身醫(yī)療數(shù)據(jù)的使用范圍與泄露途徑。與此同時，醫(yī)療隱私的高敏感性、價值波動性等特征， 也使得數(shù)據(jù)擁有者（患者）對隱私泄露存在感知局限。然而， 現(xiàn)有隱私安全行為博弈研究大多探討服務收益、監(jiān)管損失等因素對行為策略的影響， 鮮有研究關注隱私泄露損失對隱私披露行為的影響。因此， 有必要從微觀角度， 將隱私泄露概率及損失引入博弈模型， 分析不同隱私泄露損失下的行為演化路徑和穩(wěn)定策略。

２ 模型構建

２. １ 應用情景與博弈主體

個人醫(yī)療隱私信息從產生、傳播、使用至銷毀是一個完整的生命周期過程， 其存儲傳播、分析利用、監(jiān)管保護等行為涉及醫(yī)療機構、運營平臺、政府部門等多個隱私主體， 不同主體之間的隱私行為相互影響， 具有交互博弈特性［４２］ 。此外， 智慧醫(yī)療情境的動態(tài)性和時移性會導致行為主體隱私感知的演化特性［４３］ 。

演化博弈認為行為主體是有限理性的， 需要通過多次模仿才能達到一種穩(wěn)定均衡狀態(tài)。演化博弈的基本思想是： 假設存在一個較大的群體Ａ， 選擇某一特定策略Ｍ， 同時存在一個較小的異樣群體Ｂ，選擇不同策略Ｎ。當群體Ａ 侵入群體Ｂ 形成一個混合群體時， 如果小群體Ｂ 在混合群體中獲得的收益大于群體Ａ 的原有收益， 則小群體Ｂ 會影響到大群體Ａ 的策略選擇； 反之， 群體Ｂ 逐漸傾向于與大群體Ａ 選擇相同的策略。最后， 如果大群體不被任何小群體影響策略的選擇， 則認為該群體達到了穩(wěn)定狀態(tài)， 稱該策略為演化穩(wěn)定策略［４４］ 。

基于此， 本文引入演化博弈理論， 定義患者、醫(yī)療機構、智慧醫(yī)療平臺、政府為四方博弈主體，綜合分析數(shù)據(jù)披露、安全投入、平臺運營、政府監(jiān)管等隱私行為的交互機理與演化趨勢， 以探尋不同“收益—成本—損失” 條件下不同主體的最優(yōu)隱私策略。四方主體的演化博弈關系如圖１ 所示。

博弈主體與策略定義如下：

１） 患者?；颊呤莻€人醫(yī)療隱私的擁有者。智慧醫(yī)療服務價值正向影響患者披露意愿， 隱私擔憂負向影響患者披露意愿。若隱私擔憂低于智慧醫(yī)療服務價值， 則患者傾向于選擇“披露隱私”； 若隱私擔憂高于智慧醫(yī)療服務價值， 則患者傾向于選擇“不披露隱私”。因此， 患者需要在（披露隱私， 不披露隱私）兩種策略中進行博弈， 其策略選擇與智慧醫(yī)療平臺使用收益、隱私泄露損失、政府監(jiān)管等因素密切相關［４５－４６］ 。

２） 醫(yī)療機構。醫(yī)療機構（如醫(yī)院、個人診所、醫(yī)學研究所等）是個人醫(yī)療隱私的使用者。為挖掘醫(yī)療數(shù)據(jù)價值， 提升醫(yī)療服務水平并提高收益， 醫(yī)療機構需要投入大量資金， 完善醫(yī)療服務模式， 確保數(shù)據(jù)安全。若投入成本低于期望收益， 醫(yī)療機構傾向于選擇“積極保護”； 若投入成本高于預期收益， 醫(yī)療機構傾向于選擇“消極保護”。因此， 醫(yī)療機構需要在（積極保護， 消極保護）兩種策略中進行博弈， 其策略選擇與信息化水平、隱私保護收益、技術成本等因素密切相關［４７］ 。

３） 智慧醫(yī)療平臺。智慧醫(yī)療平臺作為連接患者和醫(yī)療機構的運營商（如丁香醫(yī)生、好大夫在線等）， 是個人醫(yī)療隱私的管理者。為吸引醫(yī)療機構入駐平臺， 聚合優(yōu)質醫(yī)療資源， 智慧醫(yī)療平臺需要采取技術升級、設備購置、人員培訓等措施提升智慧醫(yī)療的服務管理和隱私保護水平， 保障不同主體的合法權益。因此， 與醫(yī)療機構類似， 智慧醫(yī)療平臺需要在（嚴格管理， 消極管理）兩種策略中進行博弈， 其策略選擇與政府監(jiān)管、隱私損失、患者信任等因素密切相關［４８］ 。

４） 政府。政府是個人醫(yī)療數(shù)據(jù)的監(jiān)管者。政府可以采取多種獎懲措施監(jiān)管醫(yī)療機構與智慧醫(yī)療服務商， 從而提升政府公信力。若監(jiān)管成本低于預期收益， 則政府傾向于“高投入監(jiān)管”； 若監(jiān)管成本低于預期收益， 則傾向于“低投入監(jiān)管”。因此，政府需要在（高投入監(jiān)管， 低投入監(jiān)管）兩種策略中進行博弈， 其策略選擇與政府公信力、隱私損失、監(jiān)管成本等因素密切相關［４９－５０］ 。

２. ２ 模型假設與參數(shù)定義

為保證本文構建模型的現(xiàn)實性和有效性， 筆者對丁香醫(yī)生、好大夫、春雨醫(yī)生等智慧醫(yī)療平臺進行深入調研， 了解其隱私政策與保護機制。與此同時， 走訪江蘇省中醫(yī)院、南京鼓樓醫(yī)院、南京市衛(wèi)生局等多家醫(yī)療機構和監(jiān)管部門， 對隱私監(jiān)管的現(xiàn)狀和需求進行深入了解。在上述調研的基礎上， 為了便于模型構建與求解， 作出以下假設：

１） “經濟人” 假設。行為主體的目的均是為了實現(xiàn)自身利益最大化?；颊吲秱€人隱私信息時，尋求醫(yī)療服務效益最大化； 醫(yī)療機構尋求的是利益和信譽的最大化； 智慧醫(yī)療平臺尋求的是平臺的生態(tài)經濟長期可持續(xù)發(fā)展； 政府尋求的是公信力與社會整體利益最大化。

２） 有限理性假設。由于不同主體在隱私感知、隱私信息利用、隱私保護投入等方面存在著較大差異， 且隨著時間的推移， 其隱私保護水平也會發(fā)生動態(tài)變化， 故上述博弈過程具有明顯的演化特征，即不同主體的最優(yōu)策略不是一個確定的值， 而是在不斷地學習和模仿過程中， 隨著環(huán)境的變化而發(fā)生改變。基于上述考慮， 本文在傳統(tǒng)博弈理論的基礎上引入有限理性來描述智慧醫(yī)療領域患者、醫(yī)療機構、智慧醫(yī)療平臺和政府之間的博弈過程， 更符合智慧醫(yī)療實際應用情境。

３） 博弈策略。本文假設患者在“披露隱私” 和“不披露隱私” 之間存在博弈選擇。醫(yī)療機構在“積極保護” 與“消極保護” 之間存在博弈選擇?！胺e極保護” 指醫(yī)療機構具有較強的隱私保護技術水平， 如采用專業(yè)、高效、自主可控的信息系統(tǒng)，通過技術手段避免數(shù)據(jù)泄露事件。這往往需要持續(xù)性高成本投入?！跋麡O保護” 指醫(yī)療機構安全意識較低或不愿承擔高額隱私保護成本。智慧醫(yī)療平臺有“嚴格管理” 與“寬松管理” 兩種管理策略?！皣栏窆芾怼?指智慧醫(yī)療平臺高度重視患者隱私權益以及平臺生態(tài)的健康發(fā)展， 積極執(zhí)行相關規(guī)章管理制度和獎懲措施?！皩捤晒芾怼?指智慧醫(yī)療平臺對相關規(guī)章制度管理松散， 不能按時履行規(guī)定的責任。政府在“高投入監(jiān)管” 和“低投入監(jiān)管” 之間存在博弈選擇?！案咄度氡O(jiān)管” 指政府在技術和管理中投入大量資金， 高度重視醫(yī)療機構隱私保護行為和智慧醫(yī)療平臺管理力度方面的監(jiān)管。“低投入監(jiān)管” 是指政府為了節(jié)省成本而放松對醫(yī)療機構隱私保護行為的監(jiān)管， 降低對智慧醫(yī)療平臺的管理力度， 不進行過多干預。

在上述假設基礎上， 參考以往研究［１２，５１］ ， 考慮患者、醫(yī)療機構、智慧醫(yī)療平臺和政府在選擇博弈策略時所考慮的主要因素， 對模型參數(shù)進行定義， 各參數(shù)符號及其含義如表１ 所示。