居民健康檔案數據整合與開發利用中的隱私安全探討

王曉君，周翔宇

(邯鄲市中心醫院，河北 邯鄲 056008)

健康檔案是民眾健康狀況的晴雨表，居民健康數據的整合與開發利用不僅可對全民健康狀況進行實時管理和分析，亦可對國家的衛生走向進行有效預測，助力健康中國早日到來。近年來，隨著大數據在健康檔案領域的普及和應用，極大地推動了檔案事業和醫療行業的發展。但互聯網這把雙刃劍因開放性和復雜性使民眾的健康隱私面臨極大挑戰。如何平衡好健康檔案的開發利用與健康數據的隱私安全，是健康事業長遠發展、健康中國由藍圖變為實景的必經之途。因此，本文利用萬方學術、CNKI等數據庫，通過系統的文獻回顧，并結合工作實際，從居民健康檔案的全生命周期視角入手，針對健康數據采集、整合、初次利用和再次利用等不同環節的泄露風險提出相應隱私保護建議，以期為居民健康數據整合和利用中的信息安全與隱私保護提供策略支持。

1 “互聯網+居民健康檔案”數據整合與開發利用的意義

“互聯網+居民健康檔案”數據整合與開發利用是將涵蓋民眾個體信息、健康狀況、診療記錄和衛生服務等健康信息進行數字化、網絡化管理，并利用大數據為個體疾病診療、民眾健康狀況、未來醫療走向，以及衛生決策研究提供可靠的數據支持[1]。

具體來說，居民健康檔案的數據整合與開發利用，一是有助于民眾個體提高自我預防保健和主動識別健康危險因素的能力，并為各階段疾病的診治提供病史依據。二是有助于衛生管理者及時掌握民眾健康狀況、衛生服務工作的質量和效果，以及醫療費用負擔，并為疾病分析研究、衛生政策制定和預防突發公共衛生事件提供科學的決策依據。三是健康檔案數據資源的整合與開發利用，在很大程度上，解決了健康檔案數據無序性的問題，通過數據整合、系統管理和開發利用，讓健康檔案的數據共享與利用更具現實意義[2]。當前，居民健康數據共享利用已成為各方達成的共識，75%的民眾愿意提供個人健康醫療數據用于研發和公共衛生，但其前提是隱私保護和數據安全[3]。

2 健康數據整合與開發利用中的隱私安全問題

當前“健康數據隱私”并無明確定義，健康數據隱私實際上是隱私概念在醫療健康領域的具體化。從寬泛意義上來講，健康數據隱私是自然人身體健康狀況及醫療行為的全部信息[4]。其主要來自患者就醫、臨床科研、穿戴設備等方面，具有多源異構的特性，而健康數據整合與開發利用的整個過程都會涉及健康數據隱私的問題[5]。

2.1 院外階段：健康管理與數據整合

健康檔案的數據整合與開發利用有助于提高民眾整體健康水平，減少大病或大規模疾病爆發的概率。在“互聯網+”浪潮的不斷推進下，健康檔案管理工作已實現信息化、移動化、網絡化，并將成為“治末病”的主要預防途徑之一。也就是通過健康檔案系統地掌握民眾個體的健康狀況，及時發現健康問題、篩選出高危人群并實施有針對性的防治措施，從而達到預防為主和健康促進的目的。但是健康檔案采集整合過程的多個節點都涉及隱私安全。一是數據更新的過程中，民眾需對自己的數據進行及時補充更新。例如：對基因數據、代謝數據和性狀數據等進行及時上傳與完善，其間因疏忽和失誤導致數據意外泄露事件時有發生[6]。二是數據管理的過程中，健康檔案數據被未授權用戶非法使用、惡意獲取、非法轉移，以及公開發布的健康數據被過度識別和攻擊等致使健康數據泄露，危及患者健康隱私。三是數據傳輸過程中，健康管理類可穿戴設備、慢性病管理類監測設備，以及適用于遠程醫療的監控設備等移動醫療設備具有匯總、分析患者數據的功能，甚至還會關聯暴露患者的其他信息，而當前國內對此類設備的數據采集和利用并無具體規定。

2.2 院前、院中診療階段：健康數據的初利用

居民健康數據的初利用是指將健康信息直接用于個體的疾病診斷和治療等醫療服務。如：在“互聯網+健康檔案”的大背景下，患者通過在線咨詢的方式就可以向專業醫生尋求醫療幫助。在就醫診療的過程中，醫患之間的數據傳輸或者不同醫療機構之間的數據共享，都需要將患者的病理學診斷、影像學診斷等資料通過互聯網進行傳送，傳送中數據極易受到攔截、竊聽，甚至篡改[7]。加之患者會上傳一些個人信息，這些碎片信息單獨看毫無價值，但是在大數據的背景下，隨著數據規模的劇增，即使對個人關鍵敏感信息進行匿名化處理，通過對數據集的校驗與患者提供的其他信息關聯，仍可準確定位出該信息的主人，暴露其身份信息及個人隱私[8，9]。

2.3 院后階段：科研應用及健康數據再利用

健康數據再利用環節主要是指將個人健康信息用于為個體提供直接醫療服務之外的領域，包括疾病研究、公共衛生、衛生服務質量測評和商業性質的活動等[10]。再利用環節是健康隱私泄露的風險點，也是健康隱私保護的關鍵點。在健康數據再利用的過程中，個人信息是否被泄漏、健康隱私是否得到保護，以及健康信息用于何途是民眾最關心，也是保障個人健康數據安全的最重要的3個節點。然而就健康數據的管理與應用而言，民眾并沒有足夠地參與其中。健康數據的權屬擁有者與持有者一開始就是分離的，并且兩者之間沒有公認可行的界定和管理方法[3]。比如：健康數據的權屬是患者，數據的持有者和使用者通常卻不止患者。如果數據持有方未經充分授權，在去除姓名和身份信息后未經脫敏處理就對醫療數據進行分析挖掘。那么當某組數據與另一組數據連在一起時，則有暴露個人隱私的危險。其中含有基因數據時隱私安全威脅會更明顯[11]。

3 對策建議

健康數據整合與開發利用有助于對全民健康狀況進行實時管理，并對國家衛生走向進行有效預測。隨著社會的發展，民眾對醫療健康服務的需求越來越高，建立“互聯網+健康檔案”，整合個人健康信息，實現健康數據的開發利用是時代發展的必然要求。針對其過程管理中可能出現的隱私安全問題，本文擬從監管機構、范圍界定、法律支持、技術保障和民眾參與等層面提出對策建議。

3.1 設置獨立監管機構

通過對國外健康檔案的研究發現，大多數國家都設立專門的醫療健康信息管理機構，此類機構具有對健康隱私保護的調查、調解和執法職責，并且獨立運行不受其他部門管轄控制，這樣既可以最大限度地保護健康隱私，也利于其合理高效利用。如：英國二次利用服務體系(Secondary Use Service)、加拿大全民數據庫(Population Data)等，在對系統的管理和運行上都設有獨立機構對其進行管理。同時為了保證客觀中立性，其管理部門不能進行與衛生健康相關的研究[12]。當前，我國電子健康信息管理工作由衛生健康委員會牽頭，這種隱私保護和安全監管雙肩挑的模式有待改進。基于我國國情和當下醫改進程，我國需要整合已有管理機構，設置“總裁判”，或由同級政府或相關部門監管衛生健康委員會，同時建立監管體系，完善監管細則。

3.2 明確數據利用范圍

居民健康數據包括個人身份、病情診斷、治療方案、財務信息等多重內容，健康數據安全利用的前提是明確數據利用、信息安全和隱私保護之間的邊界。首先需要明確定義健康數據，界定健康數據整合與開發利用過程中的保護范圍、保存年限、使用方式，以及個人信息收集和再使用的流程。另外對不同類型的健康數據采取不同級別的防護措施。如：建立“分級授權、分類應用、權責一致”的管理制度，并具體到個人身份信息編碼轉換，財務信息禁止披露等細節。同時還需進一步明確健康數據的所有權和使用權。居民是健康數據的所有者，數據采集和存儲機構擁有個體知情同意條件下的保管權和使用權。當出于公共利益開展統計或學術研究時，要對數據進行封裝、分離、取出個人標識信息等前期處理。

3.3 加強法律法規保護

在應對健康數據安全建設方面，各國都在不斷強化醫療數據隱私的法律保護。澳大利亞、英國、加拿大、美國等頒布了專門的法律法規，明確健康信息隱私保護標準、實施指南，以及醫療數據安全等級和脫密方式，旨在加強對健康數據和健康隱私的保護。我國于2018年5月頒布《信息安全技術個人信息安全規范》，將醫療相關數據定義為個人敏感數據。但規范中沒有提出專門針對健康數據標識化處理的條款，以指導數據收集方如何生成可以滿足條件的脫敏數據[11]。在相關安全規范中，雖明確要求收集和使用健康數據前需獲得個人知情同意(并列出3種除外情況)。但在整體立法保護的基礎上，缺乏針對健康檔案隱私保護的專門法律法規。因此在具體實施中，應加強前端控制，細化健康數據規劃、收集、存儲、利用、銷毀等全生命周期的隱私安全保護舉措和法律支持，提高立法的可操作性和違法的犯罪成本。

3.4 平衡數據利用與隱私安全

數據利用是健康檔案資源潛在價值得以實現的過程。健康隱私是個人對自身健康數據的收集、使用和披露做出選擇的權利；數據利用與隱私保護之間的博弈是健康數據研究和開發利用的焦點問題。因此，相關人員應積極借助數據擾亂、數據加密、數據匿名、訪問控制等信息安全技術保障數據安全。如：利用豁免權、例外等技術手段，以最小化的原則披露健康數據，用最大化的原則挖掘和利用健康信息。通過設置N次失敗獲取數據后設備自動刪除，或生物特征識別技術等方案來解決隱私泄露問題[13]。對采集和暴露個人行蹤的社交媒體、移動客戶端、GPS等要加強技術支持來避免數據身份人信息被逆向識別，讓信息技術成為保護健康隱私安全的重要屏障。除此之外，多措并舉強化物理、行政等措施以保護健康數據的安全性、機密性和完整性。

3.5 引導民眾參與過程管理

開放的“互聯網+”時代，單純依賴技術革新、物理屏障和政策保護來實現個人健康隱私保護是不夠的。未來醫療將是全民主動參與的時代，每個人都是數據的提供者、使用者和受益者。因此要普及健康隱私保護的安全技能，使民眾掌握采集數據的內容、時間與使用范圍，賦予民眾充分的知情選擇權，盡量降低健康數據意外泄露的概率。同時還要利用宣教來提升民眾的防范意識，以及主動管理、維護健康檔案的意識，給予個人對健康隱私的掌控力。如：及時設置更改電子健康檔案隱私訪問權限，實時監控電子健康檔案訪問及利用情況，對于不愿用于科研或公共健康方面的個人健康信息可在系統中做出設置或選擇。多方著手有效保護個人健康隱私，以期實現“互聯網+”背景下健康數據整合與開發利用中的隱私安全和保護。

4 結語

居民健康檔案數據整合與開發利用是“健康中國”戰略中的一項基礎性工作，“互聯網+時代居民健康檔案”不僅能夠改善居民在社會生活過程中的就診體驗，更能使居民享受智能化的智慧服務。但還需加大其安全防護力度，全方位保護患者健康隱私，全流程安全利用健康數據，才能讓“互聯網+居民健康檔案”真正發揮效能。