醫療數據信息安全政策研究*

郭 強 王樂子 母健康 朱 翀 胡新龍 張渝翔 路正鵬 馬建輝

(中國醫學科學院腫瘤醫院 北京 100021)(神州數碼醫療科技股份有限公司 北京 100080)(中國醫學科學院腫瘤醫院 北京 100021)(神州數碼醫療科技股份有限公司 北京 100080)(中國醫學科學院腫瘤醫院 北京 100021)

1 引言

在當今信息化迅速發展的時代，數據爆發性的增長給互聯網、金融、醫療等行業帶來了機遇和變革，與此同時也面臨數據安全的挑戰。在醫療健康領域，新式健康醫療智能儀器的廣泛應用成為威脅數據安全的主要因素之一，移動互聯網正成為醫療數據安全攻防的主戰場，公民個人隱私和醫療數據應用安全的矛盾日益顯露[1]。在隱私權保護方面，相比于歐盟和美國，現階段我國沒有專門的法律、法規。涉及個人隱私保護有關的法律法規分散于近70部法律、行政法規和200部規章中[2]，主要有憲法、民法、行政法、訴訟法和刑法等。由于我國民事立法研究較晚，對人格權研究深度不夠，隱私權與隱私的分界線不甚明顯[3]，與此同時又深受我國傳統人文的影響，立法者沒有給予足夠的重視和保護。由于我國沒有明確保護個人隱私權的成文法律法規。在隱私權相關案件中司法機構是依靠名譽權的形式來保護隱私權。2013年9月工信部出臺《電信和互聯網用戶個人信息保護規定》，根據《全國人民代表大會常務委員會關于加強網絡信息保護的決定》(2012年)，進一步深化個人信息的覆蓋范圍，提出個人隱私信息的采集、儲存和應用規則及安全保障等要求，為大數據應用的個人信息保護設立法律法規保障。這是目前國內最為完備和明確的關于個人數據隱私保護的法律[4-5]。

關于隱私權的安全保護措施是對人們個人信息負責，但也會妨礙其收集并影響數據的研究應用，進而限制大數據的使用和發展。隨著近年來科技的發展，個人信息采集與隱私保護的矛盾越來越突出。根據對醫療健康大數據產業的研究，從數據安全合規的視角，結合國內出臺的有關法律法規對醫療健康大數據行業個人隱私保護與信息共享安全問題進行簡明分析。

2 醫療信息安全相關法案

2.1 分析方法

通過Python對每部法案進行全模式切詞分詞[6]，然后去除停用詞并設置高頻詞、低頻詞閾值[7-8]，最后統計法案中的關鍵詞詞頻，結合法案原文達到分析的目的。醫療數據的安全主要體現在醫療數據的采集(收集)、傳輸、存儲、使用(應用)的整個流程中，而與數據共享相關主要有“共享”、“標準”、“規范”、“開放”等詞；所以分析法案特征詞時將“采集(收集)”、“傳輸”、“存儲”、“使用(應用)”、“共享”、“標準”、“規范”、“開放”等作為特征詞進行分析。由于分析時對涉及的每部法案進行獨立分析，因此未對特征詞做權重處理，僅用法案中的詞頻結合原文進行解讀。本文主要分析多部律法條文，這些律法在醫療數據隱私安全以及共享方面具有代表性[9]。

2.2 醫療數據安全政策

2.2.1 《網絡安全法》 2016年7月《網絡安全法(草案)》人大常委會二次審議稿在人大網對外發布征求意見。該草案共7章68條,要點在于保障網絡空間主權安全、產品應用和服務網絡安全、網絡數據信息安全、網絡安全監測預警以及突發事件應急處置預案等[10]。《網絡安全法(草案)》的亮點：一是明確提出維護國家網絡空間主權，將網絡空間安全上升到國家主權安全的高度。二是將已有的有效規章法規上升為法律，與現有的法律法規實現較好的銜接，如《計算機信息系統安全保護條例》、《互聯網信息服務管理辦法》、《關于加強網絡信息保護的決定》等，在草案中這些法案均被上升為法律。三是確立對重要信息相關的基礎設施保護方略，參考國外法律法規明確重要信息基礎設施的安全保護范圍，另外還規定購買網絡相關產品和服務要通過安全部門審查、向境外輸出數據要進行信息安全評估和風險檢測等，構建重要信息基礎設施的安全保護體系。四是納入網絡安全戰略規劃、人才培養、技術研發、標準制定等綜合性內容，草案將以上要點納入網絡安全基本法的范疇，依靠法律手段支持網絡安全相關工作[11]。然而草案有其不足的方面：關于信息安全的范圍表達不夠準確；幾乎沒有涉及政府機關相應信息系統安全；主要是個人信息保護，未反映大數據時代的特點；一些條款較籠統、操作性較差。為彌補其不足之處，2017年6月頒布的《網絡安全法》增加11條修進，至此我國就網絡安全領域的相關要求上升至國家法律層面[12]。在個人隱私信息保護方面，《網絡安全法》有一個十分明顯的特點，即個人對其信息有很強的控制權[13]。如相關機構在采集個人信息時需經被采集者同意；應用和儲存個人信息時必須嚴格按照與用戶的協議；如果在使用或儲存個人信息時違背與用戶的協議，用戶有權對其進行刪除和更改。該法案中出現“安全”182次、“共享”1次、“開放”2次、“保護”39次。該法案規定了我國個人信息保護的基本框架，即“公布信息采集和應用的準則，明確信息采集、應用的目的、形式和范圍并且需要經過被收集者同意”[14]，而在個人信息的開放共享方面未做過多闡述。另外2017年全國信息安全標準化技術委員會發布《個人信息安全規范》，為企業及研究機構保護和使用個人信息提供更加詳細的操作規范[15-19]，自其正式發布以來被廣泛應用于各行各業的合規實踐中。雖然《個人信息安全規范》是處理信息安全問題方面國家推薦的標準，但對監管部門來說該規范是其在網絡安全管理和執法過程中重要的參考準則。建議企業依據《個人信息安全規范》逐步提高個人信息保護水平，為其產品與服務保駕護航[20]。

2.2.2 《促進大數據發展行動綱要》(以下簡稱《行動剛要》)和《關于促進和規范健康醫療大數據應用發展的指導意見》 為推動各行業、各領域中的數據資源安全共享，國務院于2015年9月5日發布《促進大數據發展行動綱要》。其中“共享”、“開放”、“安全”和“隱私”分別出現59、36、74、5次，以此可以看出國家大數據發展中數據安全共享的重要性。該綱要是當前我國為推動信息化發展公布的第1份系統性的權威文件，是從國家信息化發展大局出發指導未來大數據發展的綱領性文件。近年來隨著信息技術的發展，各行各業的數據呈爆炸式增長，已經成為與國家能源和物質同等重要的戰略型儲備資源。數據資源雖然具有增長速度快以及種類豐富等特點，但是來源極為分散且價值密度低，要想使數據資源造福國家及人民大眾就必須打破地區和行業的壁壘，實現共享開放[21]。總的來看，《行動綱要》是針對我國大數據發展過程中“不愿、不敢、不會共享開放”情況的總體布局規劃。因此提出建立國家級統一數據應用平臺并且不同部門之間實現數據共享；構建國家級網絡數據匯集開放共享和分析平臺、國家統一的信譽信息共享開放平臺、地市級及其以上政府統一的政務和惠民服務信息平臺、全國統一的不同企業間的公共服務大數據共享開放平臺。《行動綱要》設置的未來發展目標及任務是我國大數據發展的前瞻性戰略集成，同時也面臨不同區域、行業、部門之間的壁壘和利益分配以及信息安全等困難挑戰，因此建立健全有效的法律保護政策是實現《行動綱要》的關鍵。為貫徹落實《行動綱要》的要求，國務院辦公廳于2016年6月發布《關于促進和規范健康醫療大數據應用發展的指導意見》，該法規中“共享”、“開放”、“安全”、“隱私”分別出現25、13、33、6次,可見其重點在于數據的開放和共享。其基本原則為以人為本，創新驅動；規范有序，安全可控；開放融合，共建共享[22]。總的來說該法規的要點在于加速建立統一權威、相互聯通的國家級信息健康共享平臺[23]，推動醫療行業健康數據資源共享，進一步深化“互聯網+健康醫療”服務。

2.2.3 《衛生行業信息安全等級保護工作的指導意見》(以下簡稱《指導意見》) 該《指導意見》中“等級保護”、“安全”、“信息安全”、“開放”、“共享”、“隱私”分別出現43、89、63、0、0、0次。通過對相關詞頻提取分析可知該《指導意見》的重點是信息安全等級保護方面。關于信息安全等級保護，國內是從2007年6月《信息安全等級保護管理辦法》開始明確相關單位和部門的職責、任務；自2010年4月開始為完成安全等級測評標準體系建設以及信息系統三級安全等級測評相關工作，公安部發布《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》。2011年為貫徹執行定級、整改、測評相關國家標準，原國家衛生部發布《衛生行業信息安全等級保護工作的指導意見》、《關于全面開展衛生行業信息安全等級保護工作的通知》。在信息系統定級工作中相關國家標準是《計算機信息系統安全等級保護劃分準則》、《信息系統安全保護等級定級指南》；系統建設整改工作中相關國家標準是《信息系統安全等級保護基本要求》、《信息系統安全等級保護實施指南》、《信息系統等級保護安全設計技術要求》；信息系統測評工作中相關國家標準是《信息系統安全等級保護測評要求》、《信息系統安全等級保護測評過程指南》。另外還有幾十個國家和相關部門頒布和標準、指南等技術指導性文件，構成信息安全等級保護的初級標準體系，基本可以滿足國家信息安全等級保護制度施行的要求。

2.2.4 《信息安全技術 個人信息安全規范》(以下簡稱《安全規范》) 出現“個人信息”607次、“安全”139次“收集”91次、“共享”52次、“轉讓”46次、“公開”56次、“隱私”41次、“隱私政策”37次、“去標識化”11次、“傳輸”11次、“存儲”16次，由以上詞頻結合原文進行分析，可以看出《安全規范》是以國家制定的準則來明確個人數據信息的采集、儲存、使用、共享規范操作，為個人隱私保護政策的制定提供方向。《安全規范》是在《網絡安全法》的法律條文規定基礎之上明確了網絡信息安全中具體問題的定義。首先，對于個人敏感信息的定義是在《信息安全技術 公共及商用服務信息系統個人信息保護指南》中提出的，是指個人信息遭受暴露和更改后對個人信息主體產生惡劣的影響。《安全規范》則進一步指出個人敏感信息被泄密、被惡意使用會危及個人信息主體的人身、財產安全，致使其聲譽和身心健康受到侵害等不良后果。其次，《安全規范》給出個人信息收集的定義，即個人信息主體自發給出的、網絡運營商通過日志記錄等其他手段自動采集的、數據使用者從其他機構間接得到的稱為“收集”，另外規定在終端得到的個人信息如果沒有傳回相應的儲存設備，不在收集的定義范圍內。最后，《安全規范》對于個人信息處理時的匿名化與去標識化有不同定義，即匿名化處理后的數據信息不能還原，不再屬于個人信息的范疇；而去標識化處理后的數據信息僅能在沒有其他關聯信息的情況下保證信息主體的安全，但依然存在潛在被關聯分析識別的隱患。2017年8月發布的《信息安全技術 個人信息去標識化指南》征求意見稿中提出去標識化的流程以及相關處理技術等，相關企業機構在進行去標識化數據處理時可以借鑒其具體方法和流程。

2.2.5 《人口健康信息管理辦法(試行)》 2014年國家發布《人口健康信息管理辦法》。該法規一是給出人口健康信息包含范圍，明確指出人口健康信息安全管理制度；二是明確個人信息采集時信息主體的知情同意權；三是明確個人健康信息的相應管理原則，明確規定個人信息要分級保存、定期更新維護；四是推行使用信息備案登記制度，給出信息使用的條件和模式；五是明確個人信息隱私安全保護要求，對個人健康數據進行安全等級保護和審查；六是明確相關法律責任。該法規中“共享”、“開放”、“安全”、“隱私”分別出現4、0、15、6次，該律法條文中涉及數據采集、存儲、管理及共享等敏感詞，然而法案原文中沒有涉及數據安全傳輸的相關條文規定，結合法律原文第13、14條，可以看出該法規只對數據共享略作描述，沒有解釋實施細則，因此《人口健康信息管理辦法》盡管是現階段醫療健康行業的權威法規，但面對日益增長且復雜的數據，在醫療數據方面仍顯不足。

2.2.6 《國家健康醫療大數據標準、安全和服務管理辦法(試行)》 該法規中出現“健康醫療”75次、“大數據”76次、“安全”54次、“管理”60次、 “標準”37次、“規范”15次、“共享”7次、“采集”3次、“存儲”6次、“傳輸”3次，從該法規提取的關鍵詞詞頻可以看出該法規涉及醫療數據的安全應用和共享以及安全管理的相關標準。結合原文從以下4個方面對該法規進行分析：一是標準管理方面。對于醫療數據安全管理倡導多方參與，建設完備的醫療健康數據標準化管理平臺，嚴格制定標準化管理規范、鼓勵制約制度以及風險評估等實施措施。二是安全管理方面。落實“一把手”負責制，完善數據安全人才培育制度，提出數據分級分類儲存要求并對網絡安全、數據傳輸、監測以及相關基礎設施安全等關鍵管理環節提出確切的操作要求。三是在服務管理方面。實行統一分級授權、分類應用管理、權責一致的管理制度，明確醫療大數據從形成、采集、保存、應用、共享及銷毀等關鍵環節中相關部門的職責定位，進一步加強對醫療健康數據的安全共享和開放。四是管理監督方面。呼吁相關機構醫療健康信息平臺端口能夠對衛生監管部門開放。定期開展對含有醫療數據的信息平臺的安全評估檢測，建立安全管理責任制。以上幾部法律法規均有自身的不足之處，或注重網絡安全，或注重數據共享、系統平臺建設應用等。《國家健康醫療大數據標準、安全和服務管理辦法(試行)》的發布明確提出健康醫療大數據的含義，制定實施范圍及總體標準流程，清晰地劃分各級衛生行政部門權力和責任。從提取的關鍵詞詞頻也可以看出該法規涉及醫療數據的安全應用和共享，是我國現階段法律法規中關于醫療數據較為完善的一部法規。

2.3 醫療數據共享

《網絡安全法》主要是國家基于整個網絡空間領域安全的法律；《促進大數據發展行動綱要》和《關于促進和規范健康醫療大數據應用發展的指導意見》是為推動各領域數據共享制定的法規；《“健康中國2030”規劃綱要》是為促進互聯網和醫療健康行業的融合制定的法規；《衛生行業信息安全等級保護工作的指導意見》是通過等級保護來保障醫療衛生行業信息安全制定的法規；《信息安全技術 個人信息安全規范》和《信息安全技術 個人信息去標識化指南》是為保護個人信息安全制定的法規；《人口健康信息管理辦法(試行)》是關于保證人口健康信息采集、存儲以及管理數據安全制定的法規；《國家健康醫療大數據標準、安全和服務管理辦法(試行)》涵蓋范圍極廣，是以上多部法律法規的集成和推廣，是目前國內醫療健康領域較為權威的一部法規。在大數據隱私的探討中對于大數據的共享應用和隱私保護一直是被爭論的問題。無論業內人士如何討論，立法者都應考量數據的隱私安全及其經濟價值，在發展大數據的同時也應發展檢測技術和監管機制以應對日益增加的數據量和復雜度。企業本身是趨利的，只有在法律層面對其做出規定才能有效解決大數據隱私安全和共享問題。加強建設適合于人工智能應用相關的數據安全共享法律法規，是探索人工智能在遠程診療、精準醫療、臨床診療、公共衛生服務等眾多情景中應用的基石。人工智能技術發展如火如荼，然而此過程必須以人為本，保證醫療健康數據安全，規范醫療數據信息的歸屬權、使用權。加強數據管理及其安全性，對醫療健康敏感數據信息進行分類分級，建立強大有效的安全防護體系。醫療健康大數據是新近發展起來的事物，在應用處理的過程中會遇到各種問題，因此與時俱進地完善管理規范標準是常態，也是必要手段。

3 建議

3.1 概述

不論是在歐美發達國家還是在我國，醫療機構、保險公司以及醫護人員均有保護就醫者隱私的法定義務。但醫療機構內部管理存在一定漏洞，有可能導致患者隱私數據泄露。另外我國正在致力于建立標準化電子病歷，以達到區域或全國醫療信息共享，也會面臨隱私數據泄露的問題。醫療領域的研究人員往往對于去標識化相關知識比較欠缺，僅能根據常規手段處理直接標識符。需要注意的是經過常規手段去標識化后的個人數據也不是肯定安全的。因為隨著信息技術的發展，大數據分析能力越來越強大，尤其是醫療行業，正朝著多源交叉分析的方向發展，分析人員更容易通過關聯分析挖掘出更多的個人信息，從而增加隱私信息泄露的危險。通過學習和借鑒其他國家相關法律及經驗并結合國內相關法律法規建設情況提出相應建議。

3.2 以人為本，完善個人隱私法律法規

公立醫院改革是我國醫藥衛生領域改革的重點，醫療數據的信息化是改革的有效手段。因此應盡快對電子病歷立法，明確醫療數據的歸屬權、使用權，確保其應用過程中的有效性、認可性、安全性，規范相關實體的權利和義務，明確對侵犯個人隱私數據所要承擔的法律后果。

3.3 發展保護個人數據隱私的技術

隨著國內醫療信息的發展，可以通過設置醫療領域的數據失真、數據加密、限制發布等政策加強對隱私數據的防護。如在信息去標識化方面，相關加密算法可以考慮使用深度學習、區塊鏈等。同時還應加強去標識化和再識別風險相關的算法研究，在共享之前針對已經去標識化的數據計算再識別風險，以確保共享數據的安全。總之，在敏感信息處理方面要跟上信息技術的發展，以確保醫療健康數據的安全。

3.4 推動醫療數據應用的全流程管理

雖然我國正在推動醫療領域的信息披露工作，但是對個人數據的使用和披露沒有確切的規定，也沒有完善的數據信息保護機制。國家應加強醫療隱私數據的安全風險評估和保護，盡量做到醫療數據使用和信息保護的平衡。可以參考美國健康保險流通與責任法案(Health Insurance Portability and Accountability Act，HIPAA)或者歐盟通用數據保護條例(General Data Protection Regulation，GDPR),建立醫療隱私數據安全管理機構，包括醫療數據管理委員會、隱私數據業務部門、隱私數據技術部門以及風險安全評估部門。完善數據安全共享相關法律法規，培訓數據安全專業人才。相關企業要定期組織員工進行信息安全培訓指導，增強保護醫療隱私數據安全的意識，并做好隱私數據安全評估，預防可能出現的風險。

4 結語

總之科技和法律的完善是保證數據安全應用的基石。雖然現階段人們對個人隱私權不是特別重視，但隨著時間的推移會逐漸察覺隱私權的重要性。我國迫切需要通過制定確切的醫療數據標準和流程，使人們真正認識到醫療行業中信息安全的重要性，這是我國醫療行業持續健康發展的保障。