醫療大數據隱私信息泄露途徑分析及保護舉措

李曉蕾，王 猛，劉鈺周

（濟寧醫學院醫學信息工程學院，日照 276826）

0 引言

新型冠狀病毒肺炎疫情讓國內醫療信息化系統、遠程診斷等互聯網醫療健康相關領域再次激活，醫療數據量呈現“爆炸式”增長的趨勢。據統計，2020 年全球的醫療數據量高達35ZB［1］。醫療數據包括門診住院記錄、藥物臨床試驗研究數據、人類相關基因組學、代謝、胚胎組學、疾病監測數據等［2］，涉及范圍廣而復雜，具有數據量巨大、數據結構復雜、動態化、隱私性等特點。醫療數據對人類醫學發展研究工作至關重要，充分利用醫療信息資源會對人類醫療健康發展創造極大的價值。但頻繁發生的醫療信息泄露事件警示公眾，信息泄露的途徑愈加復雜化，迅猛發展的黑客技術嚴重威脅到醫療隱私數據安全。例如美國三軍健康管理處數據泄露事件［3］作為最大的數據泄露事件，造成數億美元的損失。因此，本文從醫療隱私信息產生的各階段生命周期分析泄露途徑和社會影響，從法律法規完善、提升社會群體醫療隱私安全意識、加強醫療隱私信息安全防護技術等角度進行探討和研究，并給出相關建議。

1 醫療大數據構成及其生命周期

醫療大數據主要包括：生物大數據、臨床大數據、醫療機構大數據、健康大數據［4］。生物大數據主要包括基因組學、轉錄組學、蛋白質組學、代謝組學等生物學數據，其數據特點為：高價值、數據量大、數據類型多樣等［5］。臨床大數據主要產生于患者臨床診療的過程中，包括但不限于：患者個人身體指標數據、姓名、年齡、就診記錄等信息，其數據具有隱私性的特點。醫療機構大數據主要產生于各醫療單位和組織，包括醫院消費記錄、藥物、器材、醫療工作者等信息。健康大數據主要來源于現代化的醫療產品，例如：運動手環等可穿戴設備、健康檢測APP 等，它們可以實時監測用戶的身體指標信息、用戶的瀏覽記錄，甚至是使用者的位置信息，等等。醫療大數據具有完整的生命周期，包括數據采集、存儲、處理、共享、銷毀五大階段，具有階段性的數據特征［4］。

1.1 數據采集

醫療大數據的采集環節主要分為主動采集和被動采集兩種方式，信息主要來源于用戶和醫療機構［6］。主動采集主要指用戶通過互聯網或者醫療APP 進行的個人信息登記；或者用戶在使用可穿戴醫療設備時，通過傳感器采集的個人識別數據，如身高、體重、血壓、心率等生理數據［7］。這些數據大都由設備供應商采集并存儲，是隱私信息泄露的重災區。被動采集主要是醫療機構在醫療工作過程中產生的大量醫療信息，包括醫院臨床診斷的患者信息、醫保信息等各類信息。攻擊者可以通過釣魚攻擊、篡改上傳服務器地址、篡改數據定向等方式在數據采集過程中截獲采集到的數據。

1.2 數據存儲

存儲量如此之大的數據，若保存不當很容易導致信息泄露、篡改等。而醫療機構往往關注的是醫療行業本身，在信息技術特別是隱私信息的保護方面有很大的欠缺。攻擊者一般會采取直接破壞性攻擊醫療信息系統，利用拒絕服務攻擊或信息炸彈等方式使醫療系統癱瘓，或者通過植入病毒程序、后門程序等方式進行數據監聽，以此獲取大量醫療隱私數據［8］。另外，除了本地存儲，有些醫療大數據還被存儲在云端。云端提供給用戶訪問權限和資源管理的服務，由于身份認證、密鑰管理、權限管理等訪問控制措施方面的不完善，也會導致信息的泄露［9］。

1.3 數據處理

數據處理是指從海量數據中提取所需信息，運用高精度算法分析數據，為醫學研究提供有價值的信息、進行數據加工和分析的過程。醫療數據的處理過程中，數據訪問者的權限安排不合理或者數據脫敏處理不當，都會導致數據應用人員訪問到原始數據，使得數據泄露風險增加。其次，通過高精度算法違規挖掘信息、違規備份信息，此類違規行為都會造成醫療數據泄露的嚴重后果。另外，在醫療數據應用處理的過程中，也極易因為工作人員的操作不當而導致數據泄露。此外，在數據處理過程中未能及時地進行數據檢查、更新系統，也將導致醫療數據泄露危險系數升高［10］。

1.4 數據共享

存儲在不同醫療機構的數據通過數據共享才會產生更大的價值。但在網絡環境下，數據共享帶來便利的同時也給患者帶來了風險。在數據傳輸的過程中，攻擊者往往采取數據監聽的方式竊取數據。當患者的數據存儲在云平臺上，由于數據脫敏不完善又或者脫敏技術過于簡單，也會有很高的數據泄露風險。另外在大數據的查詢、訪問過程中，不嚴格的權限訪問、不合規的存儲使用都將導致數據泄露。

1.5 數據銷毀

數據一旦不再進行預期目的的分析、長期沒有任何訪問需求、超過生存時間戳以及存儲冗余都應該進行數據銷毀。數據銷毀最徹底的方式是將存儲數據的硬件存儲介質通過粉碎或焚燒進行銷毀，但造成了一定的浪費，所以基本上沒有得到廣泛應用。如果僅僅是將數據刪除或者存儲介質格式化，很容易被攻擊者利用專業設備和技術對數據進行恢復和還原，從而造成隱私數據泄露。在云環境下，用戶失去了對數據的物理存儲介質的控制權，無法保證數據存儲的副本同時也被刪除，導致傳統刪除方法無法滿足大數據安全的要求。如果存儲在云端的數據刪除不徹底，極有可能使敏感數據被違規恢復，從而導致隱私信息面臨泄露的風險。

綜合而言，醫療數據具有規模大、增長速度快、容量大、價值潛力不可估量的特點。而在醫療信息生命周期從數據產生到銷毀之間，由于醫療信息安全的保護性不強及網絡安全技術不到位，極易導致信息泄露。

2 醫療隱私泄露事件原因分析

2.1 醫療數據的高價值與法律保護之間的失衡

信息時代醫療領域機構之間的信息共享，已經極大地推動了醫療科學的發展，也為人們提供了更優質的醫療服務。但醫療數據因自身的高價值也成為不法分子的覬覦目標，竊取信息的第三方可以從中獲得很大的利益。尤其是信息的二次拼接利用，即將海量的醫療數據通過一定算法進行數據篩選拼接，從而得出更有價值的信息［11］。患者的隱私信息已然成為最有價值的“商品”，使得醫院信息系統成為“黑客”攻擊的重要目標，造成大量醫療數據的泄露。通過制定法律法規來保護隱私一直是世界各國關注的熱點問題，與國外隱私保護立法相比，國內立法起步較晚，且立法推進工作存在明顯的滯后性。目前我國對于隱私的法律保護散見于其他法律之中，缺乏對隱私保護的單獨立法［12］。

2.2 醫療領域工作者信息安全保護意識欠缺

Verizon 發布的一篇網絡安全報告顯示，在全世界范圍內，醫療行業是唯一一個內部威脅高于外部威脅的行業，內部從業人員對醫療數據的泄漏達到了驚人的程度。醫療領域工作者在工作過程中可以直接接觸患者的隱私信息，而由于其自身信息安全保護意識和法律意識欠缺，造成醫療隱私數據有意或無意的被泄露。如隨手拍攝、轉發涉及患者個人隱私的信息；隨意收集、轉賣患者信息；隨意放置、丟棄信息登記本等紙質材料等［13］。另外，由于信息安全保護意識欠缺，使得醫院內信息系統、PC機、自助服務機、無線網絡等的防護措施不完善而容易受到黑客攻擊，同時工作人員也可能會受到社會工程學攻擊，導致醫療數據的泄露［14］。

2.3 公民個人信息防護意識的缺乏

根據調研分析，公民對于醫療信息泄露事件是擔憂的，并且認為泄露的主要原因是商業利益的誘惑［15］。但是公民并不十分清楚如何從個人角度降低泄露醫療信息的風險。患者往往因缺乏辨識能力而輕信網上的診療機構，從而在網站或APP 上留下身份證號、姓名等私人信息，或將更多的身體指標信息盲目投醫。而這些不正當盈利機構會從網站或APP 的存儲云端，收集到用戶上傳的數據，并將各處收集的數據進行信息拼接、篩選，最終患者的大量信息被挖掘出來，造成患者“半透明”地暴露于互聯網中。尤其是老年人群體的個人信息保護意識和防騙防詐意識更為欠缺，某些健康保健詐騙機構通過電話營銷的方式騙取老年人信任，從而獲取老年人的隱私信息并以此牟利。

2.4 醫療機構網絡建設安全防范系數低

開放的網絡環境和相對脆弱的安全防御，使醫療機構成為了入侵者的樂園。入侵者可以較輕易地進入醫院網絡，訪問、盜取和破壞敏感數據［16］。開放或半開放的網絡環境是醫療行業的典型特征，很少有行業像醫療行業一樣是一個非安全的開放環境。如醫生的工作電腦幾乎處于人人可以接觸的開放環境，大量不安全的自助服務設備使入侵者有機可乘，廣泛使用的無線網絡也為入侵者進入醫院網絡提供了便利。面對相對開放的網絡環境，醫療機構的安全防御技術卻相對脆弱。目前醫療機構內部使用最多的安全防御技術是防火墻和入侵檢測系統，但這兩項技術都是基于已知的病毒或攻擊，難以抵御新型病毒的入侵和花樣百出的黑客攻擊。

2.5 新型電子醫療產品帶來安全隱患

智能腕表、運動手環等新型可穿戴電子產品以及新興的各類保健智能設備在為用戶提供實時身體指標監控和優質醫療服務的同時，也增加了用戶個人信息和醫療數據的泄露風險。這些設備不僅能收集用戶的基本信息，而且還能采集實時的客觀生命體信息和主觀輸入的事件信息。這些有關個人隱私的信息容易受到黑客的攻擊，一旦用戶隱私受到攻擊，就有可能威脅到用戶的生命健康。另外，這些設備采集的信息大都存儲在設備廠商的云服務器上，而設備廠商的安全防護不足或存在安全漏洞將使得攻擊者輕易盜取用戶的云端信息，導致大量用戶醫療數據的泄露。

2.6 AAPPPP過度索取敏感權限

當下手機APP 越權過度收集手機用戶信息，并導致侵權、信息泄露事件屢見不鮮。用戶在安裝完APP 登錄時，第一步往往需要簽訂同意該APP 權限的協議，其中名詞過于專業化、通過隱含信息過度索取權限。如“您提供的數據與資料將授予本運營商獨家永久使用權”。用戶往往不會詳細閱讀協議而盲目選擇同意，將自己的許多個人信息泄露。或者APP 在安裝時大都會出現“是否允許訪問您的位置”提示，這就是為了收集用戶的活動軌跡，從而了解用戶的行為習慣。又或者APP 要求獲取發送短信、訪問通訊錄、訪問通話記錄等與應用無關的權限，而這些正是用戶要保護的隱私，如果APP獲取該權限就可能造成隱私泄露。據統計，2020 年3 月中旬至今，工信部等相關部門前后22 次通報或下架違規收集個人信息的APP，涉及超1100款APP。

3 醫療隱私信息保護對策及建議

3.1 醫療隱私信息安全保護提供法律保障

目前國內關于個人健康醫療信息的保護在法律層面還未有專門立法，健康醫療領域對于個人信息的保護要求散見于法律、部委/地方性法規和規章當中。具體到醫療衛生領域相關法律中，《精神衛生法》《醫師法》《護士管理辦法》等法律和規章中都規定了醫護工作者對于個人健康信息隱私保護的責任義務。但這些法律規范只是對醫療機構內部人員進行了一定的約束，對于泄露患者隱私的個人和機構進行一定力度的處罰，而對于外部的威脅不能起到法律的震懾作用。2021 年11 月1 日開始實施的《個人信息保護法》是我國首部針對個人信息保護方面的專門法律，這部法律的出臺，使得個人信息保護更加體系化，對個人信息的處理、跨境提供、個人的權利、處理者的義務、個人信息保護部門的職責以及法律責任進行了系統的規定。自此，我國形成了以《網絡安全法》《數據安全法》《個人信息保護法》為核心的網絡法律體系，為數據應用和個人信息權益保護提供了基礎制度保障。但由于我國《個人信息保護法》實施時間不長，健康醫療領域尚未形成較為完善的隱私保護管理實踐［17］。

3.2 提升公民安全保護意識及能力

近些年由于公民安全保護意識不到位、個人信息安全防護能力欠缺而導致信息泄露的事件時有發生。政府部門應當通過各種渠道加大對個人信息保護的法律知識宣傳、對公民進行個人信息犯罪的警示教育。公民在日常生活中也要提高個人信息保護意識：在網站或APP 上謹慎填寫和上傳個人信息、加強對自己的賬號和密碼的保護、定期對手機和電腦進行木馬病毒查殺、不隨意連接公共場所Wi-Fi、謹慎設置手機APP的權限等。

3.3 增強醫療相關行業工作人員信息安全意識

醫療行業要加強對從業人員法律意識的培養，嚴格控制數據的使用權限和遵循最小范圍使用原則。醫療機構、疾控部門等要重視數據安全風險評估的工作，事前有效預防安全風險［18］。另外，信息安全培訓計劃應嚴格執行并落實到位。醫藥領域的互聯網企業要切實提高數據安全意識，進行有效的數據安全管理，積極維護系統和更新升級，防止黑客惡意攻擊。要有嚴格的數據分級機制，從信息產生、存儲、傳輸、訪問、銷毀等諸多環節要有完備的安全運營體系，充分保證數據完整性和可靠性。還應依照相關法律法規，制定行業保密協議，防止內部人員泄漏和販賣醫療電子數據。

3.4 加強信息安全防護技術

醫療大數據生命周期中的各個階段，都存在隱私數據泄露的風險，需要采取相應的技術手段來應對。醫療大數據全生命周期保護技術如圖1所示。在數據采集階段通過匿名化技術來隱藏數據與個體之間的聯系，通過差分隱私技術在保留統計學特征的前提下去除個體特征以保護用戶隱私，通過同態加密技術對某些數據字段進行加密來防止敏感數據泄露［19］；在數據存儲階段主要使用加密存儲技術來保證數據即使被偷窺也不泄露其中蘊含的信息，使用審計技術來驗證數據完整性以確保數據不被篡改；在數據處理階段，通過訪問控制技術來確保用戶對敏感數據具有“最小權限的原則”可以避免和防止大多數對數據庫有意或無意的侵害，通過隱私數據挖掘保護技術可以在不侵犯數據所有者隱私的情況下發現數據中隱含的知識；在數據共享階段主要通過加密技術、擾亂技術和訪問控制技術來進行隱私數據的保護；在數據銷毀階段主要通過對數據存儲介質的物理銷毀和數據的多次覆寫兩種方式來完成。面對日益增加的數據量和大規模的數據融合應用需求，逐漸成熟的區塊鏈、隱私計算等新型數據保護技術是未來個人隱私保護發展的新方向。

圖1 醫療大數據全生命周期保護模型

3.5 推進醫療健康行業信息安全監管

除國家部門進行相關的法律規定，政府及各監管部門都應協調各方，為保護公民醫療隱私信息進行整個行業的監管，打擊竊取公民醫療隱私信息謀取暴利的違法行為。根據相關研究建議，為全民進行公民醫療隱私信息的保護，對健康大數據信息安全進行等級分類［20］，要求信息訪問者為實名制。當發現信息泄露事件時，使查找訪問者變得有跡可循，方便追尋信息泄露之處。同時整個醫療信息安全行業也應設置嚴格的懲罰制度，對進行不合法的信息泄露行為的個體和組織追究相應責任。同時培養相關醫療信息技術人才，各醫療組織機構設置相應信息管理部門，專門進行信息篩查工作，使每個醫療組織的醫療信息來源透明、去向安全，打擊販賣信息謀取利益的行為。

4 結語

在信息技術的迅猛發展下醫療健康領域將會發生重大的變革與發展，這既是機遇也是挑戰。醫療健康大數據的價值是一把雙刃劍，合理分析利用將極大促進人類醫療健康衛生領域的發展，造福人類。倘若醫療隱私信息安全性無法得到保障，將對社會各行各業帶來很大的風險和沖擊。面對醫療隱私信息安全問題，本文從醫療隱私數據的構成及數據生命周期進行分析，探討信息泄露的風險和途徑，并從多個層面探討了醫療大數據隱私保護的方法和措施，以期更好地促進醫療大數據隱私保護。