人類生物信息安全標準體系研究*

文/王萍萍 許 俊 丁國徽

人類生物信息指人類生物體中包含的全部信息，如基因組信息、蛋白質、核酸和糖類等生物大分子的結構等，能夠反映人類的運動狀態和方式。人類生物信息通常包含兩類具有顯著不同本源屬性的生物數據：生物體遺傳信息和非生物體遺傳信息。[1]人類生物信息不僅與科研相關，也與人類社會和日常生活發展密切相關，蘊藏著巨大的軍事應用價值、經濟價值和社會價值。

一、人類生物信息安全現狀

人類生物信息安全是指對個人基因組序列、生物樣本、醫療記錄和生物信息數據等重要生物信息的保護和管理，以確保這些信息不被濫用、盜竊、泄露或篡改。人類生物信息安全對于保護個人隱私權、促進科學研究和技術創新、促進醫療衛生信息化、維護社會公平和正義、保障國家安全和社會穩定發揮著重要作用。

人類生物信息安全標準化工作是一項基礎性、戰略性和全局性的工作。標準化可以提供統一的規范和準則，確保生物信息在收集、存儲、傳輸和使用過程中的安全性，促進不同機構和研究團隊之間的合作和信息共享，有助于提高人類生物信息安全的整體水平，為相關行業提供統一的參考和指導，推動生物信息領域的發展和創新。

我國具有較好的人類生物信息資源工作基礎，但整體安全意識淡薄，人類生物信息資源存儲與利用渠道均嚴重依賴國外，其生物信息的所有權和掌控權受到嚴重制約；在國際上，我國在對重要生物信息數據庫的管理共享和利用規則或標準制定上缺乏發言權、話語權和主導權，這嚴重影響著我國對生物信息的整合和利用；我國的人類生物信息技術發展和商業化開發水平較低，隨著數字化技術的發展，其新型交易監管也有待加強。[2]

二、人類生物信息安全標準化發展現狀

1. 國際標準化現狀

生物信息安全領域的國際標準主要由國際標準化組織（ISO）發布，主要技術組織包括：ISO/IEC JTC 1（信息技術）和ISO/TC 215（健康信息學）。ISO/IEC JTC 1為ISO和國際電工委員會（IEC）共同成立的技術委員會，負責制定信息技術領域的國際標準。ISO/TC 215負責制定健康信息學領域的國際標準，以促進與健康相關的數據、信息和知識的捕獲、交換和使用。

ISO/IEC JTC 1設有23個分技術委員會和16個工作組，與人類生物信息安全關系密切的分別為ISO/IEC JTC 1/SC 17（用于個人識別的卡和安全設備）、ISO/IEC JTC 1/SC 27（信息安全、網絡安全和隱私保護）和ISO/IEC JTC 1/SC 37（生物特征識別）。ISO/IEC JTC 1已發布標準3 416項，與人類生物信息安全相關的標準僅為125項，占比3.66%，涉及生物特征數據交換格式、生物識別技術、生物特征性能測試和報告、生物特征身份認證服務、生物特征樣本質量和基因組信息表示等要求。

ISO/TC 215設有1個分技術委員會和18個工作組，與人類生物信息安全密切的分別為ISO/TC 215/SC 1（基因組信息學）、ISO/TC 215/JWG 7：ISO/TC 215-IEC/SC 62A 聯合工作組（安全、有效和可靠的健康軟件和健康IT系統）和ISO/TC 215/WG 4（安保、安全和隱私）。ISO/TC 215已發布標準232項，與人類生物信息安全相關的標準有56項，占比24.14%，涉及健康信息共享、個人健康數據流動過程中的保護、電子健康記錄存檔的安全、電子健康記錄通信安全性等要求。

2. 國內標準化現狀

我國的《網絡安全法》《生物安全法》《數據安全法》《個人信息保護法》《人類遺傳資源管理條例實施細則》等相關法律法規的實施，標志著我國個人信息保護立法體系進入新的階段。這些法律法規涉及網絡安全、人類遺傳資源安全和生物資源安全、我國人類遺傳資源和生物資源采集、保藏、利用、對外提供等活動的管理和監督、倫理原則等，對重點保護公共通信和信息服務、金融、公共服務、電子政務等重要行業與領域的關鍵信息、基礎設施等保障人類遺傳資源和生物資源安全等提出要求，強調了國家對我國人類遺傳資源和生物資源享有主權。其中，對相關的標準化工作提出相應的要求，如《人類遺傳資源管理條例實施細則》規定，由科技部會同國務院有關部門與省級科技行政部門，推動我國科研機構、高等學校、醫療機構和企業依法依規開展人類遺傳資源保藏工作，推進標準化、規范化的人類遺傳資源保藏基礎平臺和大數據建設等，這些要求將有效推動我國人類生物信息安全標準的制定工作。

我國人類生物信息安全領域的標準制定主要由全國信息技術標準化技術委員會（TC 28）、全國信息安全標準化技術委員會（TC 260）、全國金融標準化技術委員會（TC 180）、全國生物樣本標準化技術委員會（TC 559）、全國安全防范報警系統標準化技術委員會（TC 100）和中國通信標準化協會等國內多個技術標準組織承擔。如TC 28側重于信息采集、表示、處理、傳輸、交換、管理、組織、存儲和檢索的系統和工具的規范、設計和研制等專業領域的標準化工作。TC 28下設19個分技術委員會，與生物信息安全關系密切的主要有卡及身份識別安全設備分技術委員會（SC 17）和生物特征識別分技術委員會（SC 37）。TC 260側重于信息安全標準的制定工作，TC 559側重于生物樣本的采集、處理、存儲、管理、分發和應用所涉及的相關技術、方法和產品等標準的制定。TC 100側重于安全防范報警系統、產品等專業領域的標準化工作，TC 100下設2個分技術委員會，與生物信息安全相關的主要是人體生物特征識別應用分技術委員會（SC 2）。

2015年—2018年期間， TC 28、TC 260、TC 180等國內多個技術標準組織共同發力，構建了一個以“終端層、生物特征識別技術層、身份認證與安全、金融應用層”為骨架，覆蓋全產業鏈各個環節標準化需求的標準體系。[3]

本文在全國標準信息公共服務平臺以生物特征、生物信息、信息安全、指紋、人臉、掌紋、虹膜、基因數據管理、生物樣本和倫理等為關鍵詞進行了檢索，檢索到的標準數量見圖1。

圖1 人類生物信息安全領域標準數量

TC 28發布的標準占比超過50%，具體分布見圖2。

圖2 人類生物信息安全領域國家標準數量構成

行業標準主要集中在公共安全領域，在已發布的與人類生物信息安全相關的61個標準中，有48個均為該領域標準，占比高達78.7%。部分人類生物信息安全領域國內標準見表2。

表2 人類生物信息安全領域國內標準（部分）

隨著數字化時代科技的不斷發展，人們對于個人隱私保護的關注度持續提升，尤其是2021年《個人信息保護法》的出臺，為個人信息權益保護、信息處理者的義務和主管機關的職權范圍提供了全面的、體系化的法律依據。基于此，國內相關的標準化技術委員會相繼發力，使人類生物信息安全相關的國內標準數量增速較快。其中，尤以GB/T 35273-2020最為突出，該標準更加側重于對個人隱私信息的保護，是個人信息安全領域最基礎、最重要和影響最為廣泛的國家標準，對后續個人信息保護工作的開展將產生深遠影響。[4]人類生物信息安全相關標準自發布以來的數量變化趨勢見圖3。雖然，近兩年國內標準數量有所增加，但是與現實需求仍有很大差距，需要不斷健全現有標準體系，全面提升人類生物信息安全水平。

圖3 人類生物信息安全領域國內和國際標準各年份數量分布

三、人類生物信息安全標準體系建設研究

為了更好地支撐人類生物信息技術研究，保障人類生物信息安全，推動人類生物信息研究的全面發展，填補人類生物信息安全標準體系研制的空白，本文結合人類生物信息安全相關標準的探索和研究，初步構建了人類生物信息安全標準體系框架（見圖4）。本文將標準體系劃分為5個子體系，再根據標準化的技術、流程和方法等內容逐項細分。

圖4 人類生物信息安全標準體系框架

1. 通用基礎

名詞術語標準為保證人類生物信息安全，依據生物信息技術相關標準中的元數據、完全公開共享、去標識化和匿名化等建立了一套統一的、定義清晰的專業術語；數據模型框架標準提供了在標準體系框架、標準構成和研究中涉及的相關模型描述，指導人類生物信息相關研究工作；數據分類分級標準根據信息安全和生物安全等不同要求，對人類生物信息進行不同維度的分類，再根據訪問數據或信息需求，賦予相應的保護等級，為數據的精準使用和安全提供保障。

2. 平臺管理

建立人類生物信息平臺安全系統標準，以規范平臺安全運行機制，保障平臺系統安全，實現平臺平穩運營；安全技術機制與安全運行維護則是通過區塊鏈、隱私計算和數據沙箱等安全保障體系來維護人類生物信息安全平臺的安全運行；從數據資產管理、數據訪問權限防護與管控、數據風險監控與數據安全持續運營等維度，構建人類生物信息安全整體防護運營屏障，推動形成公共數據的人類生物信息安全應用生態體系。

3. 技術安全

數據采集作為人類生物信息安全建設的第一步，將為后續的數據分析、挖掘和安全運營等提供技術支持；數據存儲被認為是數據安全中最核心的保障環節，應根據所存儲的數據類型、特性、規模和機構特性等因素，確定數據資產的安全級別；數據在使用過程中可通過數據加密、數據脫敏、身份認證和訪問控制等方法，對數據訪問進行嚴格的管控、數據審計，確保人類生物信息的使用安全。

4. 服務安全

數據安全治理標準在研制時，應結合人類生物信息收集、傳輸、存儲、處理、交換和銷毀等環節，提出人類生物信息安全測評的測評要求、測評指標、測評方法和測評判定準則；服務安全能力標準將保障通信安全產品、信息技術安全產品等的服務安全，以控制信息安全、降低風險，確保生物信息安全服務持續符合要求；交換共享安全標準將明確規范數據提供者、數據使用者、數據管理者和服務第三方的職責，并在數據流動和管理等過程中，規范安全管理措施。

5. 應用服務

① 健康醫療服務

全維度、多模態、跨時空和多病種的人類生物信息采集標準的研制，有助于研究人員依據技術規范，精準、安全地獲取個人健康狀況，提高健康干預與管理能力，設計、開發出更有效、更可靠的醫療器械產品，為持續改善健康水平提供支撐。

② 人工智能應用

人類生物信息安全標準體系的建立，為人工智能研究提供了安全可靠的大規模、高質量科學數據樣本研究環境，實現數據存儲、分析的貫穿，引領互聯網+健康的合作，成為人工智能大數據時代研究生物生長發育、衰老、死亡和向產業化推廣的有力工具。

③ 政務數據應用

人類生物信息安全標準化在政務數據工作的應用，如政務信息資源安全分級指南、政務信息共享數據安全技術要求等標準的應用，可以有效支持政務數據信息統計工作的順利開展，逐步促進相關法律法規的完善和制定。

四、人類生物信息安全標準化發展對策

1. 加強創新標準化工作機制

有關部門應依托政府、標準化組織、科研院所和企業等力量，完善標準轉化機制，促進創新成果轉移轉化和開放共享，建立標準立項評估機制，從源頭提升標準制定水平，促進標準管理創新；建立健全標準實施信息反饋、評估、結果運用、宣貫培訓和反饋機制，提高標準制定全流程管理效果，提升標準質量水平；完善試點培育和標準獎勵機制，鼓勵更多的社會團體和企業參與標準制定工作。

2. 加快科研轉化和標準研制

《國家標準化發展綱要》把“推動標準化與科技創新互動發展”放在五大任務之首，提出要加強關鍵技術領域標準研究，以科技創新提升標準水平，健全科技成果轉化為標準的機制。當前，新一輪科技革命和產業變革正在重構全球創新版圖，標準化與科技創新的關系愈發緊密。科技產品周期短，技術更新快，尤其是重點領域和新興領域，要加快推進標準研制工作，爭取主動權和話語權。

3. 加強國際標準化交流與合作

人類生物信息安全一直受到國際社會的關注和重視。加強國際標準化組織之間的合作，有助于各國之間分享經驗和最佳實踐，共享標準化資源和信息，加強技術交流與培訓，推動標準化工作在全球范圍內的應用和推廣，促進全球生物信息安全水平的提升。

五、結 語

人類生物信息在維系人類生存和發展中蘊含巨大的應用價值，而標準化在保障人類生物信息安全方面發揮著重要的作用。國際、國內標準的制定和實施，可以有效保障人類生物信息安全，促進生物技術的健康發展，實現人類生物信息的安全利用和價值最大化。