電子健康檔案隱私保護研究進展及對策

張貝貝

摘 要：文章主要采用文獻述評的形式，從基本概念、標準規范、安全管理措施和技術性保護措施四個方面對電子健康檔案隱私保護方面的問題進行梳理，并提出了自己的建議及對策。

關鍵詞：電子健康檔案;隱私保護;對策建議

一、電子健康檔案（Electronic Health Record， EHR）的相關概念研究

電子健康檔案也稱電子健康記錄，是指由個人在進行就診時的一系列醫療活動例如掛號、體檢、診療、手術等所涉及到的個人基本信息、健康信息、化驗檢查信息、診斷信息、費用信息等，并且這些健康記錄最終所形成了具有生命周期的居民健康檔案。根據國家2009年發布的《健康檔案基本架構與數據標準（試行）》，健康檔案是居民健康管理（疾病防治、健康保護、健康促進等）過程的規范、科學記錄，是以居民個人健康為核心，貫穿整個生命過程，涵蓋各種健康相關因素、實現多渠道信息動態收集，滿足居民自我保健和健康管理、健康決策需要的信息資源。其主要內容主要包括個人基本信息和主要衛生服務記錄。

電子健康檔案隱私保護就是從隱私權的角度采取一些手段（技術、法律、行業）對個人在進行醫療活動時所涉及到的健康檔案隱私信息進行保護，主要包括患者的姓名、電話、性別、家庭住址等基本信息，患者的病史情況、住院日志等重要信息以及一些特殊病例等敏感信息。可從隱私保護、患者人格和尊嚴、立法和司法角度對電子健康檔案進行保護，從立法和司法角度主要保護患者對居民健康檔案信息的控制權、使用權、查閱權、使用權等，保護的內容主要指一些基本的病歷資料等客觀數據和診療記錄、病程記錄、醫生查房記錄等主觀數據。

二、電子健康檔案隱私保護的法律法規研究

美國1996年的《健康保險流通與責任法案》（Health Insurance Portability and Accountability Act），對HIPAA中保護病人隱私的法律框架和法律標準進行了統一描述，現已成為美國健康信息領域的基本法。歐盟的《數據保護條令GDPR》第8條規定：有關種族、血緣、政治傾向、宗教或哲學信仰、工會員工、健康或性生活等敏感信息的處理必須經過主體的明確同意。我國的《執業醫師法》、《傳染病防治法》、《護士條例》和《侵權責任法》等都對醫療信息隱私保護加以介紹。整體上看，國內外學者對HIPAA、GDPR等著名法律法規的研讀比較全面、細致，少數文獻還對其適用范圍、應用情況、不足之處進行了分析。

目前，我國尚無健康檔案隱私保護方面的專門法律法規，學者們大都對分散在《網絡安全法》、《信息安全技術個人信息安全規范》中的個人信息保護條款進行了解讀，并對其在健康醫療檔案信息隱私保護方面的適用性進行了分析，但是法律法規中缺乏詳細的法律解讀，理論性較強，缺乏可操作性。對比國外設有的專門的健康檔案及健康信息隱私保護的法律規范，我國可以加以借鑒。

三、我國電子健康檔案隱私保護研究進展及對策建議

1.電子健康檔案立法建議

在立法保護原則方面。筆者綜合各個學者的建議，提出實施電子健康檔案隱私保護應該遵循4項原則：檔案信息完整原則、健康檔案機構保密原則、患者知情同意原則、健康檔案信息安全保護原則。在隱私權和信息自決權立法方面。陶愛軍認為在制定保護醫療信息隱私法規時，應明晰醫療信息主體的信息控制權、賦予醫療信息主體同意權、進行保密義務的規定與完善。陳鑫偉提出在法律中引入廣泛知情同意制度，即患者潛在地同意把他們的樣本、基因數據和健康醫療數據儲存在某個生物樣本庫或其他監管體系，用于未來研究的過程?；诖?，筆者認為在制定居民的電子健康檔案隱私法律的過程中，應明確居民對檔案信息的控制權及使用權，明確居民的健康檔案信息自決的權利以及知情同意權利，未經本人允諾，任何人不得擅自收集、傳播、非法利用居民的電子健康檔案信息。

目前為止，我國仍然沒有建立關于電子健康檔案信息保護的成文法律，越來越多的學者主張建立我國的居民健康信息保護法?；诖?，可通過兩個方面進行立法，一是權力機關立法，通過借鑒國外的議會立法，我國可出臺一部整體完善的人大立法作為主干法，立法可從患者的人格權、隱私權以及知情同意角度出發。二是加強完善行政立法，即政府制定相應的行政法規和規章作為我國法律的枝葉法和補充法，完善我國電子健康檔案隱私法律保護。

2.電子健康檔案隱私保護監管措施

除了法律之外，在電子健康領域，有效完善的監管措施也有利于保護健康檔案信息。筆者主要從以下幾個方面進行闡述，第一是成立第三方組織進行監管。趙蓉認為可以引導和培育成立社會第三方組織，接受政府委托承擔保護個人隱私安全的準公共職能，加強個人數據隱私安全監測監管，建立誠信檔案或信用評估記錄。而且該三方組織必須是經過國家有關部門認定、推薦的，具有安全性。第二是構建相應的監督制度，大部分學者都認為應該把居民健康檔案信息的隱私級別劃分為0、1、2、3等級，然后賦予居民相應的權限，居民可根據自己的等級權限進行訪問與使用，其他人若想訪問，需要征求本人的同意并且輸入密碼、進行身份認證。朱曉卓提出根據不同的隱私敏感性，對電子健康檔案中的內容設定安全級別，對使用者進行不同限制， 根據使用權限確定不同使用對象， 滿足不同的需求。第三是設立嚴格的懲罰制度。對于泄露健康檔案信息的人員根據情節的嚴重性收取一定的違規處罰金、嚴重的可追加刑事責任，對于違法機構或者是企業，可吊銷其營業執照，情節嚴重的可予以曝光。

目前的研究表明監管制度是研究較多，也是較為完善的，具有很強的理論性，但是醫院并未建立相應的監督機制和措施，隱私泄露的現象還是時有發生。在筆者看來，政府和醫療機構以及第三方之間應該相互配合，建立健全相關安全管理監督制度，加強技術安全體系的應用，此外，第三方醫療機構也應該建立管理規范，在醫療信息共享的過程中，對不同角色的用戶設置不同的訪問權限，尤其是針對醫療類敏感信息。

3.行業自律

在電子健康檔案信息領域，僅僅有法律、技術的保護是不夠的，也可以采取一些其他的措施，比如行業自律，主要包括以下3個方面。第一是對行業人才進行培養。林眾等認為主要加強從業人員的隱私保護意識培養和專業素質教育，建立以制度為導向、以技術為切入點的全方位系統監控體系，針對特定人群實施重點監控。除此之外，還有學者提出醫院應該設置嚴格的規章制度來對醫院機構的內部員工進行一定的約束，對于違反規章制度的可根據監管措施進行相應的處罰。第二是制定行業規范，并且該行業規范具有一定的權威性可實施性。郝曉霞認為健康醫療領域患者信息保護相關的行業規范應該由行業中具備業務經驗以及法律知識的專業人士制定，制定中應當廣泛征求本行業其他人士的意見，做到公開、透明、民主。第三是提升居民的健康信息意識。岑露提出我國電子健康檔案居民隱私保護意識的培養應該首先在居民就診的衛生機構宣傳電子健康檔案的相關內容，其次，居民在系統中為醫師、親友設置查看的權限，并在電子健康檔案系統設計階段，建立系統意見反饋機制。王天屹等提出要提升患者對個人隱私信息泄漏的防護意識，并指出患者不應向醫務工作者提供與診療無關的個人信息，提醒醫務工作者對所掌握的醫療數據信息進行保密，在個人醫療數據隱私遭到侵犯或泄漏時，積極主動地通過法律途徑維護自己合法權益。

綜合來看，現有研究所提出的對內部工作人員的規范主要是對他們進行培訓教育，但缺乏切實可行的培訓機制。專家們所提出的醫療行業相關標準也不能像法律一樣具有明顯的規范、震懾作用?；诖?，筆者認為，一是主要加強從業人員的隱私保護意識和素養，對行業人員進行定期的培訓及教育，建立健全人才培養機制和規章制度;二是醫療行業制定完善的由國家和政府監督實施的行業規范，完善其行業體系，對違規人員進行嚴厲的處罰;三是醫療機構可建立電子健康檔案醫療信息共享平臺，并向信息主體推送與個人健康信息相關的消息，提升他們的自我保護意識。

4.技術性措施

目前，關于電子健康醫療信息的隱私保護措施主要有四種：數據匿名、數據加密、訪問控制、跨系統隱私保護，數據溯源正處于起步研究階段。

數據匿名是指通過對數據的去標識化來保護患者的隱私信息。荊學士提出了（α1，α2，α3）-Sensitive K-匿名模型，即結合專家建議將疾病根據敏感度的不同劃分成不同的分組，然后針對各個分組提供不同程度的保護，解決了一致性攻擊問題。數據加密，是指通過加密算法和加密密鑰將明文轉變為密文，實現信息隱蔽，從而起到保護備份或者長期存儲的數據，起到信息安全的作用。黃婧建議開發數據隔離機制來保證用戶之間的數據不可見，并提出分離表架構、共享表架構、分離數據庫架構等隔離技術，有效地實現了信息的去標識化。

訪問控制，主要包括身份認證、控制策略和安全審計。身份認證，通常將患者的身份編輯一個卡號，這個卡可以是虛擬的或者是實體的，主要是用來確認用戶身份，保證系統用戶具有合法的身份?？刂撇呗?，是指在身份認證的基礎上，對用戶賦予不同等級的角色，根據提出的訪問請求加以控制。陳玉鳳等提出將患者的數據按照隱私級別（0級、1級、2級）進行分類存儲;然后根據查詢的內容形成一個動態樹的結構從而快速計算出信息搜索的級別;最后，根據不同的授權模式獲得相應的信息。安全審計，是指按照一定的安全策略，根據患者的診療活動信息，審查和檢驗整個診療活動中的安全信息，發現漏洞的一系列過程。安全審計的目的是形成審計報告，從而有利于分析數據中存在不正當的活動，從而追蹤溯源，查漏補缺。

跨系統隱私保護，是指在不同的系統之間共享健康醫療信息，為用戶提供高度透明且安全的服務。任延輝提出一種基于區塊鏈的醫療信息隱私保護和共享方案、權威時間分發與同步方案，可有效保證個人健康醫療信息在不同系統之間共享時的安全性。梅穎結合區塊鏈技術和云存儲技術，提出了“健康鏈”來實現分布式的個人醫療記錄安全存儲和共享，可以很好地做到防篡改、隱私保護以及安全存儲。數據溯源，根據個人數據產生的數據流信息，在發生個人信息泄露時，追蹤個人數據的演變情況。殷建立等人提出構建由溯源管理模式、技術支撐體系、政策法規保障體系及追蹤溯源管理平臺等構成的溯源管理體系，可實現個人數據的追蹤溯源，解決個人數據的隱私保護。

綜合來看，現有研究主要采取數據匿名、數據加密、訪問控制、跨系統隱私保護四個方面的技術性措施對個人健康醫療信息進行隱私保護，數據追溯目前還處于起步研究階段。因此，數據匿名主要包括對原始數據的去標識化，可以保證數據的準確性，但安全系數較低;數據加密能夠很好的保證數據的準確性和安全性，代價太大;訪問控制技術主要包括基于角色的訪問控制，由于效率較高、應用范圍廣，因此也是目前為止研究最多的，但靈活性相對較差;在跨系統隱私保護中，使用區塊鏈技術可以實現醫療信息的安全共享，但由于是不同系統之間的共享，所以系統間的兼容性較差;數據追溯在醫療信息領域的研究較少。因此，筆者建議在數據采集生成過程中對信息進行有效的去標識化，隱藏隱私敏感類信息;其次是采取加密算法對信息進行保存，構建一個實用的隱私保護系統進行數據的共享與利用。

四、結語

醫療信息化使得電子健康信息隱私泄露問題日益突出，我們必須加以重視。對信息的保護問題還是要從源頭出發，綜合各個學者的觀點，筆者認為，可以構建法律規范-隱私監管-技術措施的框架體系，用主干法枝葉法去構建完善我國的電子健康檔案保護法，筆者認為該法律應具有嚴重的懲罰力度;其次構建統一的電子健康檔案信息服務平臺，加強管理工作人員的培訓以及素質教育工作，加強信息主體對信息的防范和保護意識;明確數據采集、生成、存儲、處理分析及應用過程中技術手段的配合及使用，提升醫療信息系統、移動醫療設備的安全性，建立并完善跨系統隱私保護系統，注重跨機構之間的共享與利用以及數據的可追溯。目前為止，區塊鏈技術還未完全應用到醫療領域，也是今后要研究的重點。

參考文獻：

[1]陶愛軍.論個人醫療信息的隱私保護[D].重慶：西南政法大學，2010

[2]陳鑫偉.健康醫療可穿戴設備對個人健康醫療信息保護的挑戰[J].中國醫學倫理學，2018

[3]趙 蓉，何 萍.醫療大數據應用中的個人隱私保護體系研究[J].中國衛生信息管理雜志，2016

[4]朱曉卓.論電子健康檔案的隱私特性及保護[J].中國衛生事業管理，2014

[5]林 眾，徐建清，繆 偉.互聯網醫療中的信息安全和隱私保護對策研究[J].中國衛生監督雜志，2018

[6]郝曉霞.論電子醫療的患者信息保護[D].山東：山東大學，2018

[7]岑 露.電子健康檔案隱私保護研究[D].湖北：湖北大學，2018

[8]王天屹，劉愛萍.大數據環境下醫療數據隱私保護對策研究[J].網絡與信息安全，2019

[9]荊學士.論個人醫療信息的隱私保護[D].成都：電子科技大學，2017

[10]黃 婧，王云光，皮冰斌.健康醫療大數據的安全保障技術研究[J].計算機時代，2018

[11]陳玉鳳，林 永.醫療信息隱私保護中授權訪問控制的方法研究[J].中國衛生信息管理，2018

[12]任延輝.一種基于區塊鏈的醫療信息隱私保護和共享方案[D].陜西：西安電子科技大學，2019

[13]梅 穎.安全存儲醫療記錄的區塊鏈方法研究[J].江西師范大學學報（自然科學版），2017

[14]殷建立，王 忠.大數據環境下個人數據溯源管理體系研究[J].情報科學，2016

（作者單位：鄭州大學信息管理學院）