電子健康檔案信息安全和隱私保護的關鍵問題和研究進展

，，，

電子健康檔案系統(Electric Health Records，EHR)作為繼HIS之后出現的醫療衛生信息系統，是區域醫療衛生服務信息共享和交換的主要支撐平臺，在雙向轉診與遠程會診、衛生機構決策支持、臨床科研、個人健康管理和健康教育等諸多領域都發揮著重要作用。20世紀90年代，美英等西方國家開始規劃和推進電子健康檔案的研究。我國在這方面的研究起步較晚，2009年國務院提出“要以建立居民健康檔案為重點，構建鄉村和社區衛生信息網絡平臺；以醫院管理和電子病歷為重點，推進醫院信息化建設”[1]。

隨著醫療健康數據的爆發式增長和區域協同醫療服務體系的推進發展，醫療健康進入了大數據和云計算時代，電子健康檔案的信息安全和隱私保護面臨極大挑戰[2]，網絡數據中心被黑客攻陷導致用戶信息大量泄露的安全事件層出不窮。由于關乎個人生命健康，醫療領域的信息安全和隱私保護問題格外受到關注。因此，對電子健康檔案信息安全和隱私保護進行全面、系統的梳理是非常必要的，以此把握安全形勢，明確發展方向。

本文利用萬方學術、CNKI、Web of Science等數據庫，通過系統的文獻調研，對電子健康檔案信息安全和隱私保護的關鍵問題進行總結梳理，為電子健康檔案信息安全和隱私保護的法規制定、體系建設、模型研究、技術革新等提供參考借鑒。

1 電子健康檔案信息安全和隱私保護的關鍵問題

研究電子健康檔案的信息安全和隱私保護問題，首先要辨析和明確相關概念。信息安全和隱私保護是兩個方面的問題，二者既有聯系又有區別[3]。它們之間的聯系概括為三點：信息安全的目標之一是完成對隱私的保護，信息安全的技術手段可以用于隱私保護，信息安全和隱私保護都是有等級要求的。它們的區別也可概括為三點：信息安全的內容范圍更大，但并不是包含隱私，而是與隱私有交集；信息安全的法律和技術不足以滿足隱私保護的要求；信息安全更偏重過程的實施，隱私保護更偏重利益的結果。

目前對電子健康檔案的信息安全和隱私保護還沒有明確的定義。我們參考HIPAA條例[4]和相關文獻[5]，作出如下界定：電子健康檔案信息安全是指電子健康檔案信息系統在物理和網絡環境、系統自身、系統內的數據以及管理機制等4個維度上確保檔案信息的保密性、一致性、可用性；電子健康檔案隱私保護是指檔案信息在患者意愿同意、可拒絕、不允許三種類型下使用，并在法律和技術上提供保護。

電子健康檔案信息安全和隱私保護的關鍵問題既包含了傳統的安全和隱私問題，又涉及到醫療大數據和健康云服務的特性問題，如圖1所示。其中電子健康檔案信息安全的六類問題，與國標《信息安全技術信息系統安全等級保護基本要求》[6]一致。電子健康檔案隱私保護問題是從文獻[7-11]中總結梳理所得，有些是目前領域內正在深入研究的問題，有些則是鮮有研究或起步開始研究的問題。

信息安全主要影響機構和群體，隱私保護則直接關乎個人利益。圖1所示問題如果得不到解決，就會對以電子健康檔案為代表的醫療信息系統和個人隱私造成不同程度的危害[12]。如2015年5月福建某醫院因電力故障導致信息系統癱瘓的安全事件、2011年深圳黑客“統方”勒索案、2008年婦幼保健院母嬰信息公開出售案。

上述安全事件說明醫療領域信息安全存在諸多問題，電子健康檔案的信息安全和隱私安全問題日益凸顯。

2 電子健康檔案信息安全研究進展

電子健康檔案信息安全研究圍繞保密性、完整性、可用性、可控性和不可否認性這5個安全目標，主要涉及法規政策制定、區域平臺建設、訪問權限控制和安全技術防范等，分別對應了法規研究、架構研究、模型研究和技術研究4方面。本文從問題分類、熱點問題、主要研究進展3個層面進行梳理總結，詳見表1。

表1 電子健康檔案信息安全研究進展

在電子健康檔案法規政策研究上，國外有成文的法律，如HIPAA和HITECH對電子信息交換的安全標準，以及關于管理、技術、物質的安全程序都有明確的要求，以保護電子醫療信息的安全[28]。我國關于電子健康檔案的明確法規研究還不夠深入，但已有信息安全等級保護的國家標準和《全國醫療衛生服務體系規劃綱要(2015-2020年)》等政府文件，為電子健康檔案信息安全法律支持奠定了堅實基礎。

在電子健康檔案區域平臺建設研究上，國內學者圍繞電子健康檔案云安全、安全架構、醫院信息系統等級保護情況等問題展開研究。張志美等探討了云環境電子健康檔案的存儲和終端安全[15]，柴文磊等設計和開發了云計算模式下電子健康檔案服務的安全架構[16]，王麗娜等對河南省37所醫院信息系統信息安全現狀進行了調查和對策探討[18]。這些研究為國內城鎮區域醫療服務平臺建設的安全問題提供了現實依據和方向指引，也為各級醫院的安全等級保護提供建議方案。

在電子健康檔案訪問權限模型研究上，主要以基于角色的訪問控制為基礎，研究成果較豐碩。霍成義等提出了面向患者的POPPAC模型和個性化訪問控制策略[21]，劉逸敏等研究了基于視圖和數據標簽的數據庫細粒度訪問控制模型[22]，王霏等介紹了共享調閱過程中“事前授權、事中控制、事后審計”的權限控制方法[23]。這些研究契合電子健康檔案數據龐大集中的特點，防范了非法訪問等安全隱患，提高了系統整體安全性。

在電子健康檔案安全技術研究上，重視從準備檢查階段、實施發現階段、入侵處理階段等各個節點上全面多維進行安全防護[19]，應用的技術有口令保護、數據加密、存取控制、數字簽名、接入控制、跟蹤審計等[26]。楊霜英等從技術層面探討了醫院信息管理系統安全運行的保障方法[25]，丁茂震等創新研究了電子健康檔案數據的AES和DNA兩種加密方法、提出了多關鍵詞可檢索公鑰加密方案以及云環境的密文搜索方法[27]。這些研究充實和豐富了電子健康檔案的安全技術，不過由于技術的革新速度是最快的，電子健康檔案的信息安全不能僅依靠末端的信息安全技術，而是要實現頂層到末端的全面防護。

3 電子健康檔案隱私保護研究進展

醫療信息隱私具有特殊的社會價值和經濟價值[29]。《執業醫師法》、《護士條例》等相關法規規定不得泄露患者的隱私，但目前仍缺乏對電子健康檔案隱私保護的明文規定。電子健康檔案的隱私保護具有自主性、專業性、敏感性、可辨別性、保護有限性[30]等特性，相關研究涉及隱私保護策略、數據匿名算法、數據溯源機制、數據挖掘的隱私保護等方面，如表2所示。

表2 電子健康檔案隱私保護研究進展

電子健康檔案隱私保護策略是國內外學者重點研究的內容，他們通過策略研究、整體架構和模型的設計，提出了具體的電子健康檔案隱私保護可行性方案。德國弗萊堡大學的Sebastian Haas等研究了電子健康檔案隱私保護系統的整體方案，包括數據服務模型和患者服務模型[32]；國內李冰華等根據領域分析的結果，構建了關于區域醫療信息共享中健康檔案安全與隱私保護的領域模型[33]；黃中睿等利用Airavat強制訪問控制和差分隱私保護技術設計和實現了醫療信息的訪問控制與隱私保護方案[35]。這些研究為算法和技術的相關研究提供理論基礎和方向指引。

電子健康檔案數據匿名算法是隱私保護三大方法之一。數據匿名在醫療數據發布、醫學研究過程中，能很好地保護個人身份標識信息和醫療敏感信息的泄露。數據匿名算法以K匿名為基礎，童云海等提出了保持身份標識屬性的匿名方法[37]；史漢發等提出了一種新的醫療數據發布中多敏感屬性隱私保護(AHPK匿名)算法，對準標識符(QI)加權處理使用[38]；朱青等針對Web查詢服務提出了基于信息損失懲罰的滿足L-Diversity的算法，提高隱私保護的效率和性能[40]。各種匿名算法為電子健康檔案隱私保護提供了技術支持，也為技術革新奠定了良好基礎。

數據溯源機制研究和數據挖掘的隱私保護兩個熱點問題是比較新的研究方向和內容，但在電子健康檔案這一特定領域的研究中還處于剛起步階段，需要借鑒已有的基本理論和研究成果。明華等介紹了 7種數據溯源模型，比較分析了幾種典型數據溯源方法[41]；王忠等闡述了大數據下個人隱私數據溯源的基本概念、路徑分析、機制設計[42]；陳煒等研究了基于背景知識攻擊的電子病歷隱私保護新算法，通過對敏感屬性的微聚類，提高了等價組信息的相似性并確保了差異性，降低了隱私泄露風險[43]。

4 討論

電子健康檔案的發展從國家到社區、從頂層設計到具體應用，需要很多的嘗試和探索。信息安全和隱私保護問題無論在法律制度還是技術創新層面，都要在充分考慮我國國情和形勢的前提下，學習借鑒世界先進的理論和成果，發現并解決問題，不斷為電子健康檔案建設發展提供法律、策略、技術的全面支持。

隨著電子健康檔案、可穿戴健康監測設備、轉化醫學和基因測試的興起和流行，越來越多的個人健康信息連入網絡，其利益影響之重大，面臨威脅之嚴峻，已經超出了傳統的信息安全和隱私保護研究范疇。雖然國內外學者提出了一系列新的觀點、模型和方法，但還不能完全滿足電子健康檔案全面建設與深化應用的要求。如去隱私化在大數據背景下很難真正實現，無論是4種典型匿名算法，還是各種改進的匿名算法，都只是對數據隱私保護的初步探索。大數據應用和大數據安全防護在信息化快速發展的進程中扮演著矛和盾的激烈對抗，是未來個人健康隱私保護在實際應用中有新的突破所必須重視和權衡的關鍵因素。