區域健康醫療數據共享及隱私保護策略研究

王換換+吳響+王輝

摘 要：本研究針對區域健康醫療數據共享及其隱私保護問題，運用隱私保護理論及系統建模理論，構建區域健康醫療數據共享平臺，對健康醫療數據的隱私保護進行系統研究。探索區域健康醫療大數據隱私泄露的可能因素，為構建健康醫療數據共享平臺及醫療數據的隱私保護提供對策與建議。

關鍵詞：區域健康醫療數據；共享；隱私保護

中圖分類號：R197 文獻標志碼：A 文章編號：2095-2945（2017）31-0181-02

引言

當前，很多醫療機構，包括醫院、婦幼保健所、疾病控制中心、社區衛生服務中心（站）等，已經構建了基層業務信息系統，標志著區域醫療信息化已取得了很大的進展。系統的構建為區域信息平臺提供終端數據接入，例如 HIS、EMR、LIS、RIS、PACS等，有效推進了區域醫療業務與科技信息軟件服務的廣泛使用。

然而，隨著區域醫療信息化快速發展的同時也暴露出了很大的安全問題——醫療隱私泄漏。據有關監測平臺數據分析，2016年至今全國有關衛生、醫療、兒童、疾控、婦幼、預防、接種、疫苗發生的醫療隱私泄露事件共1322起。

從表1中健康醫療數據泄漏的量級及不同量級所占百分比來看，涉及百萬級數據泄漏的事件占比很高，其中不乏有上億級的數據泄漏事件。大數據、云計算時代，在為我們帶來了便利的同時，也為安全帶來了巨大的挑戰。

作為基礎資源之一的居民健康醫療數據，不僅促進區域醫療與公共衛生服務的統籌和融合發展，而且能夠預防、監控重大疾病和突發公共衛生事件，健康醫療數據隱私保護體系的構建能夠打破隱私泄露的壁壘，提供全面準確科學依據和決策支持。在確保個人健康醫療數據隱私安全的情況下，整合更多的健康醫療資源，形成資源利用的良性循環，從而逐步改善醫療衛生服務需要與服務供給的平衡力，是居民健康需求的重要保障，具有多方重要意義。

1 區域醫療大數據隱私泄漏分析

通過大量的調研及文獻查閱，醫療隱私數據泄露主要有以下幾點原因：

1.1共享標準不一

醫院信息數據的傳輸標準及方式存在差異，需要通過連接不同“接口”的系統實現健康醫療數據共享。然而由HIS、LIS、PACS、RIS等多個系統組成的醫院電子病歷系統并不具備規范及安全的醫療數據傳輸標準。同時，不同部門由于技術水平限制，以“接口”的方式來共享信息也進一步增加了各系統的負荷，造成了較大的安全隱患，病人隱私安全受到嚴重影響。

1.2 管理不規范

當下各區域還未建成有統一標準及規劃的健康醫療共享平臺，存在病人隱私被超越權限獲取的隱患。通過對“電子病歷交換中心”等方式進行密碼、權限的科學規范設置來實現健康醫療數據的共享，減少與診療無關的人員獲取病人信息的發生，從而保護患者隱私安全。

1.3 醫療資源分配不均

醫療資源的分配不均必將衍生出黑市對病患醫療信息數據的旺盛需求，因此居民醫療數據在醫療保健產業鏈中有著重要的商業價值。如果沒有有效的醫療數據隱私保護手段，可能會嚴重影響居民對醫療機構保障居民信息安全的信心，從而影響醫療保健事業的長遠進步和科學發展。

1.4 醫務人員法律意識淡薄

針對電子病歷系統的個人專用“密碼”保管不善或隨意透露給他人，這樣進一步加大了患者信息泄露的范圍，增加了隱私泄露的風險，因此，當前需要對醫務人員保密意識的加強，并制定嚴格的懲罰措施。

因此，在醫療信息化快速發展的今天，醫療信息化大趨勢讓患者不得不擔心個人的病患信息。有調查顯示，相關醫療行業的數據泄漏問題要遠高于其他行業，約占60%，健康醫療數據在共享過程中的隱私保護問題日趨重要。

2 區域醫療大數據共享平臺的構建及隱私保護策略研究

2.1 區域醫療大數據共享平臺的構建

構建以居民診療檔案和健康檔案為中心，能夠實現醫療衛生信息跨業務、跨地域互聯互通的具有拓展業務模式和提升管理水平的區域醫療大數據共享平臺。其平臺架構見圖1，關鍵技術如下：

（1）醫學術語知識庫的構建及信息抽取技術

建立服務于機器學習算法的中文醫學術語知識庫是信息抽取技術的基礎，其中，領域相關的語義信息和關系描述是抽取中常用到的兩個子語言語法規則，這時受控詞匯表中有良好定義的概念就是某一概念的不同表達方式的映射，而這些也要從專業擁有語義網絡的醫學術語知識庫中抽取。本課題基于所建立的中文醫學術語知識庫和成熟的英文信息抽取技術。在已有的條件之下，統計學方法的訓練集可以通過適當的人力標注少量的醫學病歷，進一步探究新的適用于醫學問題識別的統計學算法，構建一個可以表明人物及其相應醫學問題的信息表示方案。

（2）Spark分布式并行化算法處理技術

k-匿名算法[1-4]是需要多次對數據操作即多次訪問I/O端口，故可以通過減少k-匿名時的I/O操作較少匿名化時間，采用Spark平臺把數據存儲在內存中，避免了不斷從硬盤讀取數據，節省了訪問I/O端口的通訊時間。

2.2 健康醫療數據的隱私保護策略模型構建

（1）健康醫療數據隱私保護體系構建

在區域醫療大數據共享平臺基礎上，我們從大數據生命周期的四個階段進行保護。目的是為健康數據內部管理隱私保護策略的具體實施制定統一規范。同時結合基于角色的訪問控制（RBAC：Role Based Access Control）模型中用戶角色的理念及初始信息匿名技術[5]，構建使用簡單業務對象描述隱私策略的表示方法。

（2）隱私保護模型的設計與實現

本文所實現的隱私保護模型首先將原始數據進行匿名化處理，匿名化處理工具主要由共享平臺提供，這樣即使在數據周期的其他環節數據泄漏，也能在一定程度上保證醫療數據的安全。模型設計的核心，其功能模塊封裝成塊，對于上層業務來說，隱藏了實現細節，實現了不同模塊之間的隱私保護及訪問控制功能[6]。模塊之間不需要知道隱私保護的具體實現，因為模塊之間能夠實現調用，且各模塊只處理較為復雜的業務邏輯。其核心流程設計如下：endprint

a.定義事件：選擇受保護對象，包括三要素（用戶，實施，實施目標）。b.指明執行該事件的目的。c.定義條件：指定事件執行需要滿足的條件。d.提交：從前端頁面將隱私策略數據傳遞到后臺。e.策略翻譯：將用戶提交的數據轉為標準的隱私策略定義形式。f.沖突檢測：隱私策略創建完畢，檢測可能發生沖突的隱私策略組，沖突存在，提示再次修改提交。g.存儲：檢測完畢無沖突，新建隱私策略存放至隱私策略數據庫；結束。

3 結束語

在健康醫療信息化的發展趨勢下，信息安全與隱私保護成為醫療數據信息化可持續發展的重要保障，需要通過投入大量資金、建立相應的組織管理機構等方式，統籌、平衡發展醫療數據信息化建設，高度重視數據共享及安全隱私保護問題。與此同時，高效開展組織協調工作，為居民醫療信息安全與隱私保護提供保障，推進整個工作健康有序地施行。

參考文獻：

[1]Samarati P，Sweeney L.Protecting privacy when disclosing information： k-anonymity and its enforcement through generalization and suppression.SRI Computer Science Laboratory Technical Report SRI-CSL-98-04，1998.

[2]R.Agraw al， R. Srik ant. P rivacy. Preserving Data Mining[C]//Proceedings of the ACM Conference on Management of Data， 2000：439-450.

[3]曾菊儒，陳紅，彭輝，等.參與式感知隱私保護技術[J].計算機學報，2016，39（03）：595-614.

[4]張毅榮.大數據背景下的K-匿名隱私保護機制研究[J].農村經濟與科技，2017，28（04）：289-290.

[5]楊光明，李先國.RBAC模型在醫療系統中的研究與應用[J].現代電子技術，2013，24：25-28.

[6]高濤，朱曉民，沈奇威.基于RBAC的隱私保護模型設計與實現[J].電信網技術，2011（11）：115-119.endprint