區(qū)域健康醫(yī)療數(shù)據(jù)共享及隱私保護(hù)策略研究

王換換+吳響+王輝

摘 要：本研究針對區(qū)域健康醫(yī)療數(shù)據(jù)共享及其隱私保護(hù)問題，運(yùn)用隱私保護(hù)理論及系統(tǒng)建模理論，構(gòu)建區(qū)域健康醫(yī)療數(shù)據(jù)共享平臺(tái)，對健康醫(yī)療數(shù)據(jù)的隱私保護(hù)進(jìn)行系統(tǒng)研究。探索區(qū)域健康醫(yī)療大數(shù)據(jù)隱私泄露的可能因素，為構(gòu)建健康醫(yī)療數(shù)據(jù)共享平臺(tái)及醫(yī)療數(shù)據(jù)的隱私保護(hù)提供對策與建議。

關(guān)鍵詞：區(qū)域健康醫(yī)療數(shù)據(jù)；共享；隱私保護(hù)

中圖分類號(hào)：R197 文獻(xiàn)標(biāo)志碼：A 文章編號(hào)：2095-2945（2017）31-0181-02

引言

當(dāng)前，很多醫(yī)療機(jī)構(gòu)，包括醫(yī)院、婦幼保健所、疾病控制中心、社區(qū)衛(wèi)生服務(wù)中心（站）等，已經(jīng)構(gòu)建了基層業(yè)務(wù)信息系統(tǒng)，標(biāo)志著區(qū)域醫(yī)療信息化已取得了很大的進(jìn)展。系統(tǒng)的構(gòu)建為區(qū)域信息平臺(tái)提供終端數(shù)據(jù)接入，例如 HIS、EMR、LIS、RIS、PACS等，有效推進(jìn)了區(qū)域醫(yī)療業(yè)務(wù)與科技信息軟件服務(wù)的廣泛使用。

然而，隨著區(qū)域醫(yī)療信息化快速發(fā)展的同時(shí)也暴露出了很大的安全問題——醫(yī)療隱私泄漏。據(jù)有關(guān)監(jiān)測平臺(tái)數(shù)據(jù)分析，2016年至今全國有關(guān)衛(wèi)生、醫(yī)療、兒童、疾控、婦幼、預(yù)防、接種、疫苗發(fā)生的醫(yī)療隱私泄露事件共1322起。

從表1中健康醫(yī)療數(shù)據(jù)泄漏的量級(jí)及不同量級(jí)所占百分比來看，涉及百萬級(jí)數(shù)據(jù)泄漏的事件占比很高，其中不乏有上億級(jí)的數(shù)據(jù)泄漏事件。大數(shù)據(jù)、云計(jì)算時(shí)代，在為我們帶來了便利的同時(shí)，也為安全帶來了巨大的挑戰(zhàn)。

作為基礎(chǔ)資源之一的居民健康醫(yī)療數(shù)據(jù)，不僅促進(jìn)區(qū)域醫(yī)療與公共衛(wèi)生服務(wù)的統(tǒng)籌和融合發(fā)展，而且能夠預(yù)防、監(jiān)控重大疾病和突發(fā)公共衛(wèi)生事件，健康醫(yī)療數(shù)據(jù)隱私保護(hù)體系的構(gòu)建能夠打破隱私泄露的壁壘，提供全面準(zhǔn)確科學(xué)依據(jù)和決策支持。在確保個(gè)人健康醫(yī)療數(shù)據(jù)隱私安全的情況下，整合更多的健康醫(yī)療資源，形成資源利用的良性循環(huán)，從而逐步改善醫(yī)療衛(wèi)生服務(wù)需要與服務(wù)供給的平衡力，是居民健康需求的重要保障，具有多方重要意義。

1 區(qū)域醫(yī)療大數(shù)據(jù)隱私泄漏分析

通過大量的調(diào)研及文獻(xiàn)查閱，醫(yī)療隱私數(shù)據(jù)泄露主要有以下幾點(diǎn)原因：

1.1共享標(biāo)準(zhǔn)不一

醫(yī)院信息數(shù)據(jù)的傳輸標(biāo)準(zhǔn)及方式存在差異，需要通過連接不同“接口”的系統(tǒng)實(shí)現(xiàn)健康醫(yī)療數(shù)據(jù)共享。然而由HIS、LIS、PACS、RIS等多個(gè)系統(tǒng)組成的醫(yī)院電子病歷系統(tǒng)并不具備規(guī)范及安全的醫(yī)療數(shù)據(jù)傳輸標(biāo)準(zhǔn)。同時(shí)，不同部門由于技術(shù)水平限制，以“接口”的方式來共享信息也進(jìn)一步增加了各系統(tǒng)的負(fù)荷，造成了較大的安全隱患，病人隱私安全受到嚴(yán)重影響。

1.2 管理不規(guī)范

當(dāng)下各區(qū)域還未建成有統(tǒng)一標(biāo)準(zhǔn)及規(guī)劃的健康醫(yī)療共享平臺(tái)，存在病人隱私被超越權(quán)限獲取的隱患。通過對“電子病歷交換中心”等方式進(jìn)行密碼、權(quán)限的科學(xué)規(guī)范設(shè)置來實(shí)現(xiàn)健康醫(yī)療數(shù)據(jù)的共享，減少與診療無關(guān)的人員獲取病人信息的發(fā)生，從而保護(hù)患者隱私安全。

1.3 醫(yī)療資源分配不均

醫(yī)療資源的分配不均必將衍生出黑市對病患醫(yī)療信息數(shù)據(jù)的旺盛需求，因此居民醫(yī)療數(shù)據(jù)在醫(yī)療保健產(chǎn)業(yè)鏈中有著重要的商業(yè)價(jià)值。如果沒有有效的醫(yī)療數(shù)據(jù)隱私保護(hù)手段，可能會(huì)嚴(yán)重影響居民對醫(yī)療機(jī)構(gòu)保障居民信息安全的信心，從而影響醫(yī)療保健事業(yè)的長遠(yuǎn)進(jìn)步和科學(xué)發(fā)展。

1.4 醫(yī)務(wù)人員法律意識(shí)淡薄

針對電子病歷系統(tǒng)的個(gè)人專用“密碼”保管不善或隨意透露給他人，這樣進(jìn)一步加大了患者信息泄露的范圍，增加了隱私泄露的風(fēng)險(xiǎn)，因此，當(dāng)前需要對醫(yī)務(wù)人員保密意識(shí)的加強(qiáng)，并制定嚴(yán)格的懲罰措施。

因此，在醫(yī)療信息化快速發(fā)展的今天，醫(yī)療信息化大趨勢讓患者不得不擔(dān)心個(gè)人的病患信息。有調(diào)查顯示，相關(guān)醫(yī)療行業(yè)的數(shù)據(jù)泄漏問題要遠(yuǎn)高于其他行業(yè)，約占60%，健康醫(yī)療數(shù)據(jù)在共享過程中的隱私保護(hù)問題日趨重要。

2 區(qū)域醫(yī)療大數(shù)據(jù)共享平臺(tái)的構(gòu)建及隱私保護(hù)策略研究

2.1 區(qū)域醫(yī)療大數(shù)據(jù)共享平臺(tái)的構(gòu)建

構(gòu)建以居民診療檔案和健康檔案為中心，能夠?qū)崿F(xiàn)醫(yī)療衛(wèi)生信息跨業(yè)務(wù)、跨地域互聯(lián)互通的具有拓展業(yè)務(wù)模式和提升管理水平的區(qū)域醫(yī)療大數(shù)據(jù)共享平臺(tái)。其平臺(tái)架構(gòu)見圖1，關(guān)鍵技術(shù)如下：

（1）醫(yī)學(xué)術(shù)語知識(shí)庫的構(gòu)建及信息抽取技術(shù)

建立服務(wù)于機(jī)器學(xué)習(xí)算法的中文醫(yī)學(xué)術(shù)語知識(shí)庫是信息抽取技術(shù)的基礎(chǔ)，其中，領(lǐng)域相關(guān)的語義信息和關(guān)系描述是抽取中常用到的兩個(gè)子語言語法規(guī)則，這時(shí)受控詞匯表中有良好定義的概念就是某一概念的不同表達(dá)方式的映射，而這些也要從專業(yè)擁有語義網(wǎng)絡(luò)的醫(yī)學(xué)術(shù)語知識(shí)庫中抽取。本課題基于所建立的中文醫(yī)學(xué)術(shù)語知識(shí)庫和成熟的英文信息抽取技術(shù)。在已有的條件之下，統(tǒng)計(jì)學(xué)方法的訓(xùn)練集可以通過適當(dāng)?shù)娜肆?biāo)注少量的醫(yī)學(xué)病歷，進(jìn)一步探究新的適用于醫(yī)學(xué)問題識(shí)別的統(tǒng)計(jì)學(xué)算法，構(gòu)建一個(gè)可以表明人物及其相應(yīng)醫(yī)學(xué)問題的信息表示方案。

（2）Spark分布式并行化算法處理技術(shù)

k-匿名算法[1-4]是需要多次對數(shù)據(jù)操作即多次訪問I/O端口，故可以通過減少k-匿名時(shí)的I/O操作較少匿名化時(shí)間，采用Spark平臺(tái)把數(shù)據(jù)存儲(chǔ)在內(nèi)存中，避免了不斷從硬盤讀取數(shù)據(jù)，節(jié)省了訪問I/O端口的通訊時(shí)間。

2.2 健康醫(yī)療數(shù)據(jù)的隱私保護(hù)策略模型構(gòu)建

（1）健康醫(yī)療數(shù)據(jù)隱私保護(hù)體系構(gòu)建

在區(qū)域醫(yī)療大數(shù)據(jù)共享平臺(tái)基礎(chǔ)上，我們從大數(shù)據(jù)生命周期的四個(gè)階段進(jìn)行保護(hù)。目的是為健康數(shù)據(jù)內(nèi)部管理隱私保護(hù)策略的具體實(shí)施制定統(tǒng)一規(guī)范。同時(shí)結(jié)合基于角色的訪問控制（RBAC：Role Based Access Control）模型中用戶角色的理念及初始信息匿名技術(shù)[5]，構(gòu)建使用簡單業(yè)務(wù)對象描述隱私策略的表示方法。

（2）隱私保護(hù)模型的設(shè)計(jì)與實(shí)現(xiàn)

本文所實(shí)現(xiàn)的隱私保護(hù)模型首先將原始數(shù)據(jù)進(jìn)行匿名化處理，匿名化處理工具主要由共享平臺(tái)提供，這樣即使在數(shù)據(jù)周期的其他環(huán)節(jié)數(shù)據(jù)泄漏，也能在一定程度上保證醫(yī)療數(shù)據(jù)的安全。模型設(shè)計(jì)的核心，其功能模塊封裝成塊，對于上層業(yè)務(wù)來說，隱藏了實(shí)現(xiàn)細(xì)節(jié)，實(shí)現(xiàn)了不同模塊之間的隱私保護(hù)及訪問控制功能[6]。模塊之間不需要知道隱私保護(hù)的具體實(shí)現(xiàn)，因?yàn)槟K之間能夠?qū)崿F(xiàn)調(diào)用，且各模塊只處理較為復(fù)雜的業(yè)務(wù)邏輯。其核心流程設(shè)計(jì)如下：endprint

a.定義事件：選擇受保護(hù)對象，包括三要素（用戶，實(shí)施，實(shí)施目標(biāo)）。b.指明執(zhí)行該事件的目的。c.定義條件：指定事件執(zhí)行需要滿足的條件。d.提交：從前端頁面將隱私策略數(shù)據(jù)傳遞到后臺(tái)。e.策略翻譯：將用戶提交的數(shù)據(jù)轉(zhuǎn)為標(biāo)準(zhǔn)的隱私策略定義形式。f.沖突檢測：隱私策略創(chuàng)建完畢，檢測可能發(fā)生沖突的隱私策略組，沖突存在，提示再次修改提交。g.存儲(chǔ)：檢測完畢無沖突，新建隱私策略存放至隱私策略數(shù)據(jù)庫；結(jié)束。

3 結(jié)束語

在健康醫(yī)療信息化的發(fā)展趨勢下，信息安全與隱私保護(hù)成為醫(yī)療數(shù)據(jù)信息化可持續(xù)發(fā)展的重要保障，需要通過投入大量資金、建立相應(yīng)的組織管理機(jī)構(gòu)等方式，統(tǒng)籌、平衡發(fā)展醫(yī)療數(shù)據(jù)信息化建設(shè)，高度重視數(shù)據(jù)共享及安全隱私保護(hù)問題。與此同時(shí)，高效開展組織協(xié)調(diào)工作，為居民醫(yī)療信息安全與隱私保護(hù)提供保障，推進(jìn)整個(gè)工作健康有序地施行。

參考文獻(xiàn)：

[1]Samarati P，Sweeney L.Protecting privacy when disclosing information： k-anonymity and its enforcement through generalization and suppression.SRI Computer Science Laboratory Technical Report SRI-CSL-98-04，1998.

[2]R.Agraw al， R. Srik ant. P rivacy. Preserving Data Mining[C]//Proceedings of the ACM Conference on Management of Data， 2000：439-450.

[3]曾菊儒，陳紅，彭輝，等.參與式感知隱私保護(hù)技術(shù)[J].計(jì)算機(jī)學(xué)報(bào)，2016，39（03）：595-614.

[4]張毅榮.大數(shù)據(jù)背景下的K-匿名隱私保護(hù)機(jī)制研究[J].農(nóng)村經(jīng)濟(jì)與科技，2017，28（04）：289-290.

[5]楊光明，李先國.RBAC模型在醫(yī)療系統(tǒng)中的研究與應(yīng)用[J].現(xiàn)代電子技術(shù)，2013，24：25-28.

[6]高濤，朱曉民，沈奇威.基于RBAC的隱私保護(hù)模型設(shè)計(jì)與實(shí)現(xiàn)[J].電信網(wǎng)技術(shù)，2011（11）：115-119.endprint