基于問卷調查的醫療數據分類分級研究

， ，， ，

大數據分析和挖掘會帶來巨大的商業價值，也不可避免地會泄露人們的隱私[1]。如何進行數據保護，在不泄露用戶隱私的前提下，提高大數據的利用率，挖掘大數據的價值，是目前大數據研究的關鍵問題之一。目前，我國醫療信息化建設飛速發展，多地、多個行業都建設了大數據中心，并致力于區域內的醫療數據共享[2]。大數據中心包含海量的數據，在推動數據資源共享開放的同時，加強數據資源的安全性，實行數據資源分級、分類管理就變得非常重要。數據分類分級是從隱私安全與保護成本的角度出發，對數據進行分類和等級劃分，進而根據不同需要對關鍵數據進行重點防護。

1 醫療數據分類分級的國內現狀

在大數據建設中，國內外對醫療數據的分類分級標準尚未明確。中國把醫學大數據研究與應用作為重要的發展戰略，一些大數據規范文件正在積極地制定中。全國信息安全標準化技術委員會發布的《大數據安全標準化白皮書》將醫療數據的安全風險分為靜態數據的安全風險和動態數據的安全風險。對靜態數據的安全風險，要設置訪問權限控制和安全風險的分級分類管理策略；對動態數據的安全風險，要設置加密和動態審計，要對重要敏感數據(如涉及個人隱私的電子病歷、電子健康檔案、人口健康等數據)進行分級、標識等[3]。

國務院印發的《“十三五”國家信息化規劃》中提出建設統一開放的大數據體系，強化數據資源管理，要推動數據資源的分類分級管理[4]。大數據安全標準特別工作組已啟動的大數據安全國家標準制定項目《信息安全技術大數據安全管理指南》中提出，從大數據安全需求、數據分類分級等方面開展數據保護的管理工作[5]。各行各業都在積極響應政府號召，如貴州省發布《貴州省政府數據數據分類分級指南》把政府數據按主題、行業和服務進行分類，又將數據的安全等級劃分為6級[6]，但沒有給各類賦予級別，在分類和分級的合并上還存在不足；《中國移動IDC維護管理規定-數據安全管理分冊》中對移動公司網絡系統中的數據分為用戶身份、服務內容、衍生數據、運營管理4個大類，并按客戶的重要程度定義了4種安全級別[7]；趙鵬等人提出了銀行數據資產安全管理體系框架，并在相關步驟中對數據項分類、數據資產保密分級標準和數據資產備份分級標準給出了示例[8]。

由于醫療行業數據的復雜性和行業的特殊性，我國對健康醫療領域相關數據安全和隱私保護的立法相對比較滯后，分類分級標準還在研制中。《“健康中國2030”規劃綱要》關于推進健康醫療大數據應用提出：“加強健康醫療大數據相關法規和標準體系建設，強化國家、區域人口健康信息工程技術能力，制定分級分類分域的數據應用政策規范[9]”。美國在立法方面相對完善，對數據保護的相關法律要求分散在各法律法規的條款中。例如《健康保險攜帶和責任法案》中明確規定了個人隱私數據保護的具體范圍和披露原則[10]，《隱私盾協議》提出用于商業目的的個人數據從境外傳輸到美國后必須明確告知數據采集、傳輸和使用的流程及目的[11]，《聯邦隱私法案》中對政府機構應當如何收集個人信息及什么內容的個人信息能夠收集、儲存、或向公眾開放的權利等都做出了比較詳細的規定[12]。

2 數據來源及方法

確定大數據環境下底層數據的安全，可以更好地保護用戶隱私，促進醫學研究和數據共享。對數據進行分類分級是數據保護的第一步，也是關鍵的一步。本文在對醫學數據進行分類的基礎上設計調查問卷，調查醫學大數據中心主要用戶對數據類的等級劃分意見，并在此基礎上結合數據分析方法、國內外現有法規等對級別進行調整，確定最終分類分級標準。

2.1 醫療數據分類分級設計

2.1.1 分類設計

結合衛生部電子病歷基本數據集與中南大學醫學大數據平臺中的數據項，采用面分類法和線分類法將所有醫療數據分為11個大類。這11個大類涵蓋了住院病歷記錄、轉診記錄、醫療機構信息等數十張表單的700多個數據項。

醫療衛生機構在運營過程中獲取、管理和利用的首要信息為患者個人醫療信息，包括診療過程中收集的人口學、健康史、手術、藥物、檢查、診斷及住院信息。除此之外，醫療資源信息與服務價格信息等也是人們關注的重要信息。其中，醫療資源信息是反映醫療機構的人力、物力資源的信息，把這部分數據歸類到衛生機構人員中；服務價格信息，如門診就診費、檢查檢驗費、醫藥費等，則歸類到衛生費用中[13]。為方便存儲和查閱，醫院信息系統會為醫療過程中產生的每張表單賦予單號，為每項檢查賦予編號。在本次研究中，把這類數據歸類到醫療信息標識中。

2.1.2 分級設計

參考《保密法》《信息安全技術信息安全事件分類分級指南》等分級準則，將上述數據劃分為5個安全級別：0級表示被調查者認為可以公開的數據；1級為危害個人，表示會對患者和醫務人員的工作和生活造成影響；2級為危害機構，表示對醫療機構的權益造成損害；3級為危害社會，指對社會秩序和公共利益造成損害；4級為危害國家，指對國家安全造成損害。

2.2 問卷調查

2.2.1 調查對象的選取

醫學大數據中心的用戶主要來自醫療衛生機構、衛生行政管理部門、醫學科研機構等，涉及9個群體，包括行政管理人員、醫務人員、信息管理人員、科研人員、醫學教育工作者等。在正式調查前進行了小范圍的預調研，最終通過問卷星發放網絡問卷。

本次調查共發放402份問卷，回收問卷326份，其中有效問卷323份。對問卷結果進行信度和效度分析，Cronbach a系數為0.97，大于0.7；進行KMO 和 Bartlett 檢驗，效度系數為0.949，顯著性sig值為0.000，表明差異是顯著的。因此，問卷整體的信度和效度理想，問卷數據可靠有效。

被調查者的基本信息分析如圖1所示。被調查人員來自醫療相關機構，其中以醫療衛生機構人員最多(占35.28%)，其次是醫學教育機構(占16.87%)。調查群體中明確填寫所屬人群的人員占70%，其中以醫務人員和信息管理人員為主(分別占比19.94%和20.25%)，其他人員包括行政管理人員、醫療保險人員、患者、藥品器械公司人員、醫學科研人員、醫學教育工作者；明確選擇使用數據目的的占70%；使用臨床數據進行醫藥衛生研究、臨床醫療和醫學教育的人數最多(占一半以上)，其次是使用數據進行行政管理和保險方面的研究；絕大部分人認為保護醫學數據很重要，占88.85%。

圖1被調查者基本信息分析

2.2.2 調查問卷設計框架

問卷分為兩大部分，第一部分主要用于收集被調查人員的基本情況及其對數據公開的看法等，問題包括被調查者所屬群體、使用醫療數據的主要目的、性別、年齡、所屬的機構、對醫學數據保護的重要性的看法和對醫療數據公開的看法，問題分為多選和單選；第二大部分為數據分級部分，包含42個問題，設5個安全級別(表1)，相關群體根據背景知識結合自身理解對所設問題的安全級別進行選擇，在分級設計的0-4級中選擇一級，其中家族史及之后的數據中不包含能夠識別患者信息的數據(即為脫敏后的數據)。

表1 醫療數據分類分級

3 結果

3.1 分布分析

對各選項的選擇人數進行統計。從表1可以看出，超過半數的人認為以下信息可以公開：性別、民族、籍貫、血型、患者類型、衛生機構信息、患者的醫療保險類型和付費方式、收費項目名稱和總金額、過敏史、手術名稱、其他手術信息、藥物信息和使用方法、藥物過敏信息、體格檢查項目信息、出院情況、醫囑信息、護理記錄、日期時間。它們中包括間接描述患者人口學的信息、費用信息和住院過程中產生的診斷信息，這些數據單獨識別個人的風險很小，大部分人傾向于公開此類信息。

半數以上人認為公開后可能危害個人的信息類別有：身份證號、姓名、出生日期、聯系電話、家庭地址、家庭成員、患者聯系人信息、醫療信息標識、家族史、疾病史。這部分信息以人口學信息為主，單個數據項直接識別患者個人的風險很大。

被調查者的選擇主要集中在0級可以公開和1級危害個人。隨著級別的增加，選擇人數呈減少的趨勢。

產生這種現象的原因有兩點：一是更多人可能只關注到個人隱私的層面，對于機構、社會信息安全的關注度較低；二是問卷中提到關于診斷、檢查等信息是脫敏的，對于此類不包含個人信息的數據大部分人選擇公開。

3.2 聚類分析

統計每題中各選項的人數，使用k-means方法對數據進行分類。實驗發現，k取4和5時對人口學大類中的數據劃分過于細致，不利于級別的劃分，各類中的案例數差異較大，數據不平衡；k取3時聚類效果最好。所以把級別從之前的5級更改為3級，即0級表示可以公開的數據；1級表示數據關系個人信息安全，數據泄露會對患者或醫務人員的工作和生活造成影響；2級表示數據涉及機構信息安全，數據泄露會對機構的權益造成損害，可能影響社會秩序。

對數據結果進行整理，劃分為1級的有身份證號、姓名、聯系電話、家庭地址、家庭成員、患者聯系人信息，劃分為2級的有出生日期、工作單位、婚姻狀況、醫療信息標識、醫療衛生人員信息、簽名信息、家族史、疾病史、傳染病史、助產記錄。

3.3 結果調整

在對問卷結果進行分析的基礎上，參照相關法規、標準，對得到的初步分類分級結果進行調整。國家標準GB/T 35273-2017《信息安全技術個人信息安全規范》明確將生育信息、以往病史、過敏信息、傳染病史等個人的健康信息納入個人敏感信息，民族、出生日期、家庭關系等納入個人信息[14]。

國標GB/Z28828-2012《信息安全技術公共及商用服務信息系統個人信息保護指南》對個人敏感信息的定義為“一旦遭到泄露或修改，會對標識的個人信息主體造成不良影響的個人信息”。個人敏感信息包括身份證號碼、手機號碼、種族、政治觀點、宗教信仰、基因、指紋等[15]。

參照上述標準，本次研究將民族的安全等級由0調整為1，出生日期、婚姻狀況、健康史(家族史、疾病史、傳染病史、過敏史)、助產記錄信息的安全等級由2調整為1。調整部分見表2。

表2 數據分類分級結果調整

4 結論

根據表2可以看出，調整后人口學、衛生機構人員、健康史、手術4個大類中包含的二級類數據安全級別不同，如人口學大類中包含15個二級類，15個二級類又劃分了3種不同的級別。

對于同一大類中二級類分級不同的情況，其保密等級以不低于最高保密等級的原則進行調整。

得出的最終分類分級結果為：人口學、標識、衛生機構人員、日期時間及簽名類為2級，健康史、手術信息為1級，衛生費用、藥物、檢查、診斷及住院信息類為0級(表3)。

表3 最終建議的數據分類分級結果

5 結語

本文通過對相關專業人員的問卷調查，得到初步分類分級結果，并結合已出臺的標準及各種規章制度中對個人隱私信息的界定對結果進行了修改，經過綜合分析得出每一個分類的安全等級。在實際應用中，用戶所需的數據項組成復雜，不同數據項的安全等級不同，因此需要設計一種規則模型，在應用的過程中按照設計好的模型對數據集進行分級。如由多個數據項組成的數據集，其等級為組成它的所有數據項的最高等級；由多條數據項組成的數據集，通過統計、分析這些記錄可以獲得某項指標，則該數據集的等級等于該指標的等級等。

利用上述規則模型，可以在使用過程中對數據集進行級別劃分，進而將其應用于訪問控制或者跨庫聯合識別中，防止有人故意申請使用一些低等級的數據，通過聯合大量的有關聯關系的低等級數據，用數據挖掘或者其他方法得到等級較高的數據，從而造成重要信息或隱私信息的泄露。

對醫療數據的分類分級不是一成不變的，隨著科技進步和大數據技術的發展，將會有更多的數據項加入進來，也會有更細致的分級策略。希望本文的初步探索可以對同行有所啟發。