前言 

信息化的發(fā)展改變了醫(yī)療健康數(shù)據(jù)共享的介質(zhì)，極大的提高了信息交換和使用的效率。但同時(shí)也面臨著更加嚴(yán)峻的信息泄露風(fēng)險(xiǎn)，來自系統(tǒng)的，來自網(wǎng)絡(luò)的，來自管理的。

Medscape發(fā)布的《2016年電子病歷使用報(bào)告》顯示，關(guān)于電子病歷可能導(dǎo)致病人隱私泄露的問題，只有8%的醫(yī)生認(rèn)為電子病歷對(duì)患者隱私不構(gòu)成威脅，關(guān)于隱私泄露的原因，一半以上的醫(yī)生選擇了黑客攻擊和誤用信息（60%），其次是未經(jīng)授權(quán)訪問以及由于故障導(dǎo)致信息丟失（均為57%）。

2018年7月衛(wèi)健委發(fā)布了《國家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法（試行）》旨在保障公民知情權(quán)、使用權(quán)和個(gè)人隱私的基礎(chǔ)上，根據(jù)國家戰(zhàn)略安全和人民群眾生命安全需要，促進(jìn)健康醫(yī)療大數(shù)據(jù)的規(guī)范管理和開發(fā)利用1。

我們可以看到，數(shù)據(jù)的價(jià)值在于使用，隱私安全的核心不是避免數(shù)據(jù)的使用，而是要實(shí)現(xiàn)數(shù)據(jù)開放與隱私風(fēng)險(xiǎn)之間的平衡。

國外尤以美國在這一方面實(shí)踐較早，從標(biāo)準(zhǔn)制定，安全管理以及服務(wù)體系的搭建上都相對(duì)成熟，因此通過對(duì)美國醫(yī)療相關(guān)實(shí)踐的研究可為我們推動(dòng)健康醫(yī)療數(shù)據(jù)使用提供管理上和實(shí)施上的建議。

由于健康醫(yī)療數(shù)據(jù)應(yīng)用場(chǎng)景繁多，隱私安全關(guān)鍵問題也不盡相同，本文主要聚焦在美國患者照護(hù)場(chǎng)景中的隱私安全行業(yè)實(shí)踐情況，重點(diǎn)分析以下3個(gè)問題：

1.患者照護(hù)場(chǎng)景中隱私安全關(guān)鍵問題是什么？

2.實(shí)現(xiàn)患者照護(hù)場(chǎng)景的互操作性平臺(tái)如何解決數(shù)據(jù)應(yīng)用中的隱私安全？

3.對(duì)中國行業(yè)實(shí)踐有哪些借鑒意義？

一.  患者照護(hù)場(chǎng)景中隱私安全的關(guān)鍵問題

我們參考了美國協(xié)調(diào)衛(wèi)生信息安全與隱私的合作組織（Health Information Security & Privacy Collaboration，HISPC2）項(xiàng)目工具包中提供數(shù)據(jù)交換場(chǎng)景與隱私安全問題討論框架3，針對(duì)患者照護(hù)場(chǎng)景的隱私安全討論問題可總結(jié)分為兩類，一類是隱私安全的管理策略，另一類是隱私安全的技術(shù)實(shí)現(xiàn)方式。

1. 隱私安全的管理策略：

 患者授權(quán)管理：保證醫(yī)療信息交換隱私安全的基礎(chǔ)是知情同意，即數(shù)據(jù)所屬者對(duì)數(shù)據(jù)使用的知情與授權(quán)。

患者醫(yī)療健康信息分級(jí)管理：當(dāng)患者在保密部門（例如，心理健康或物質(zhì)濫用）治療，則屬于HIPPA治療規(guī)定（在治療場(chǎng)景下，不強(qiáng)制征得患者同意）的例外情況，這類數(shù)據(jù)的交換必須獲得患者同意。這提示我們醫(yī)療健康信息的敏感性并不一致，應(yīng)當(dāng)對(duì)不同敏感程度的信息建立分級(jí)管理制度。

最小必要數(shù)據(jù)原則：例如緊急治療情況下可查看的數(shù)據(jù)有哪些內(nèi)容，通過基于場(chǎng)景的必要數(shù)據(jù)集設(shè)計(jì)，減少患者信息泄露風(fēng)險(xiǎn)。

2. 隱私安全的技術(shù)實(shí)現(xiàn)方式：

身份識(shí)別與認(rèn)證：身份識(shí)別和身份驗(yàn)證是訪問控制的關(guān)鍵組件。用來解決“你是誰?”和“我為什么要相信你?”。

訪問權(quán)限的控制：在訪問這通過身份認(rèn)證后，通過訪問權(quán)限的控制可以用來解決:“現(xiàn)在我知道你是誰了，這就是你能接觸到的東西?！?/p>

數(shù)據(jù)加密：在數(shù)據(jù)交換過程實(shí)現(xiàn)隱私保護(hù)需要解決的首要問題是通訊的安全性，數(shù)據(jù)加密使在通信網(wǎng)絡(luò)中的數(shù)據(jù)處于密文狀態(tài)，降低因網(wǎng)絡(luò)原因造成的信息泄露風(fēng)險(xiǎn)。

二.  美國患者照護(hù)相關(guān)的互操作性平臺(tái)隱私安全實(shí)踐情況

HIPPA法案中對(duì)基于場(chǎng)景的數(shù)據(jù)使用授權(quán)分級(jí)，基于角色的數(shù)據(jù)使用權(quán)限界定以及基于責(zé)任主體的數(shù)據(jù)使用邊界等都有較為明確的規(guī)定，能夠給行業(yè)實(shí)踐提供可操作性的指導(dǎo)，而關(guān)于隱私安全的技術(shù)保障方面，僅給出了基本的要求。

美國行業(yè)在構(gòu)建滿足隱私安全管理要求的服務(wù)體系中形成了具有重要指導(dǎo)意義的標(biāo)準(zhǔn)與自治規(guī)范，其中以電子病歷互操作性為核心的平臺(tái)是實(shí)現(xiàn)健康醫(yī)療數(shù)據(jù)在患者照護(hù)場(chǎng)景中應(yīng)用的重要行業(yè)實(shí)踐。

下表是我們對(duì)美國幾個(gè)主流的電子病歷互操作性平臺(tái)的基本情況、數(shù)據(jù)流通規(guī)則以及實(shí)現(xiàn)隱私安全的解決方案分析結(jié)果（簡版，詳細(xì)案例分析請(qǐng)見第10期OMAHA白皮書）匯總：

表1：美國五個(gè)電子病歷互操作平臺(tái)隱私安全實(shí)踐

美國行業(yè)實(shí)踐小結(jié)：

1. 共同協(xié)議：

為了提高信息交換的安全高效，參與數(shù)據(jù)主體會(huì)建立共同遵守的規(guī)范協(xié)議。協(xié)議中與隱私安全相關(guān)的內(nèi)容通常包括可信的網(wǎng)絡(luò)信息框架規(guī)范，身份認(rèn)證管理，基于數(shù)據(jù)用例（場(chǎng)景）的數(shù)據(jù)訪問權(quán)限管理，數(shù)據(jù)隱私保護(hù)的權(quán)責(zé)等。

2. 隱私安全規(guī)范：

HIPPA法案非常細(xì)化的制定了健康醫(yī)療數(shù)據(jù)應(yīng)用中的隱私安全條款，分析的平臺(tái)中關(guān)于隱私安全的保護(hù)均直接引用了法案中的內(nèi)容。

3. 平臺(tái)定位：

在患者照護(hù)場(chǎng)景下，實(shí)現(xiàn)數(shù)據(jù)交換的這些平臺(tái)均會(huì)聲明沒有存儲(chǔ)患者的病歷信息，而是提供可信的數(shù)據(jù)交換的網(wǎng)絡(luò)，記錄數(shù)據(jù)交換的審計(jì)信息，具有一部分?jǐn)?shù)據(jù)使用監(jiān)管的功能。

4. 系統(tǒng)測(cè)評(píng)：

部分網(wǎng)絡(luò)中為了確保信息交換網(wǎng)絡(luò)的安全與可信，會(huì)對(duì)加入網(wǎng)絡(luò)的申請(qǐng)者進(jìn)行系統(tǒng)、程序的測(cè)試認(rèn)證，確保其滿足協(xié)議規(guī)范框架、數(shù)據(jù)傳輸標(biāo)準(zhǔn)和隱私安全要求，這部分工作通常有聯(lián)盟多方參與的工作組或第三方組織負(fù)責(zé)。

5. 身份認(rèn)證：

分析的平臺(tái)中大多前置了身份認(rèn)證步驟，在加入數(shù)據(jù)交換網(wǎng)絡(luò)前就需要將責(zé)任主體、資源定位等遞交給平臺(tái)維護(hù)工作組，通過審核后獲取特定的網(wǎng)絡(luò)證書或允許加入網(wǎng)絡(luò)，這類信息會(huì)被添加到系統(tǒng)身份認(rèn)證的程序框架中。而在數(shù)據(jù)交換過程中，對(duì)于訪問機(jī)構(gòu)或訪問者的身份認(rèn)證實(shí)現(xiàn)程序化認(rèn)證，提高了數(shù)據(jù)交換的效率。

6. 權(quán)限管理：

大多數(shù)平臺(tái)采用了基于角色的訪問權(quán)限控制。信息化平臺(tái)權(quán)限管控制通常會(huì)涉及以下幾類：訪問時(shí)間段控制，數(shù)據(jù)二次使用規(guī)范，基于用例（場(chǎng)景）的訪問人與訪問內(nèi)容控制。

7. 患者識(shí)別：

患者照護(hù)場(chǎng)景下，最重要的需求是正確關(guān)聯(lián)目標(biāo)患者記錄并發(fā)送給治療的醫(yī)生。準(zhǔn)確的患者標(biāo)識(shí)符能夠避免將錯(cuò)誤的患者信息披露給非治療者而造成信息泄露。但由于美國缺乏統(tǒng)一的公民身份標(biāo)識(shí)，在實(shí)現(xiàn)患者識(shí)別上產(chǎn)生了多種解決方案，一類是基于統(tǒng)計(jì)學(xué)特征的算法匹配（年齡段、性別、所在區(qū)域等）；另一種是采用較強(qiáng)的身份標(biāo)識(shí)符替代（如駕照等）。患者識(shí)別信息是關(guān)鍵的隱私信息，為了確保這類核心數(shù)據(jù)的安全，平臺(tái)通常會(huì)將這類信息進(jìn)行加密，僅用于患者匹配算法內(nèi)。

8. 醫(yī)療記錄的連續(xù)性：

SHIEC提供了一個(gè)安全的患者連續(xù)性記錄實(shí)現(xiàn)方案，通過建立中立平臺(tái)，進(jìn)行ADT信息的實(shí)時(shí)分析，發(fā)現(xiàn)和記錄患者的異地就診情況，再通過兩個(gè)HIE平臺(tái)信息的交換，實(shí)現(xiàn)信息的連續(xù)性歸集。

三、 對(duì)中國健康醫(yī)療數(shù)據(jù)應(yīng)用行業(yè)隱私安全實(shí)踐的借鑒意義

1. 謹(jǐn)慎使用與保存患者識(shí)別信息：

患者識(shí)別信息是健康醫(yī)療數(shù)據(jù)關(guān)聯(lián)到個(gè)人，造成個(gè)人隱私泄露的重要的核心數(shù)據(jù)單元，在處理這類數(shù)據(jù)時(shí)需要加密存儲(chǔ)，并限定該類數(shù)據(jù)的使用范圍，僅必要的查詢算法等可以訪問，減少由管理人員泄露而造成的隱私泄露事件。

2. 處理統(tǒng)一身份標(biāo)識(shí)缺失信息時(shí)可參考美國患者識(shí)別體系：

我們具有全國統(tǒng)一的個(gè)人身份識(shí)別碼（身份證號(hào)），在實(shí)現(xiàn)信息的跨區(qū)域交換應(yīng)用上要比美國簡易許多。但在一些數(shù)據(jù)產(chǎn)生場(chǎng)景或機(jī)構(gòu)中可能缺失這類識(shí)別信息，在此情況下可參照美國的成熟識(shí)別體系。

3. 身份認(rèn)證技術(shù)實(shí)現(xiàn)的前提是需要建立身份進(jìn)入、審核和退出的管理：

技術(shù)只是實(shí)現(xiàn)管理規(guī)范的手段，在訪問控制框架中前提是要現(xiàn)有一套完成的身份認(rèn)證的管理方案。

4. 權(quán)限管理中要關(guān)注到數(shù)據(jù)二次使用的控制：

數(shù)據(jù)二次使用在遵循數(shù)據(jù)使用基本規(guī)范上，還需要原始信息披露者知曉有關(guān)此類法律運(yùn)作的存在以及使用邊界，允許披露者有權(quán)反對(duì)此類披露，確保信息在二次使用中權(quán)責(zé)明確。

5. 形成第三方認(rèn)證管理平臺(tái)推動(dòng)行業(yè)自治：

健康醫(yī)療數(shù)據(jù)應(yīng)用中涉及到大量的協(xié)調(diào)工作，參與數(shù)據(jù)交換的利益相關(guān)者之間的組織協(xié)調(diào)，權(quán)益制定，技術(shù)標(biāo)準(zhǔn)，隱私安全權(quán)責(zé)等。例如在隱私安全實(shí)現(xiàn)中，重要的程序測(cè)試、技術(shù)安全評(píng)估等都需要一個(gè)中立的第三方組織進(jìn)行評(píng)估。

更多詳細(xì)研究內(nèi)容將在第十期OMAHA白皮書中發(fā)布，敬請(qǐng)關(guān)注！

參考來源：

[1] http://www.nhfpc.gov.cn/guihuaxxs/s10741/201809/758ec2f510c74683b9c4ab4ffbe46557.shtml

[2]  https://healthit.ahrq.gov/ahrq-funded-projects/past-initiatives/privacy-and-security-project

[3]  www.healthit.gov/sites/default/files/asp_1_adoption_guide_with_all_app.pdf

[4] https://www.cdc.gov/ehrmeaningfuluse/docs/joint_public_health_forum_nationwide/2017-05-04-PH_CDC-Forum-Webinar_508_04202017a53_1.pdf

[5]  https://bonsecours.com/library/patients-and-visitors/privacy/frequently-asked-questions-about-care-everywhere_final.pdf

[6]  https://www.epic.com/careeverywhere/

[7]  https://www.hopkinsmedicine.org/news/articles/care-everywhere-gives-clinicians-more-information-about-patients

[8]  https://sequoiaproject.org/ehealth-exchange/

[9]  https://www.himss.org/news/whats-difference-between-ehealth-exchange-and-carequality

[10]  https://www.commonwellalliance.org/

[11]  https://strategichie.com/

文 | 李瑩瑩

本文由“健康號(hào)”用戶上傳、授權(quán)發(fā)布，以上內(nèi)容（含文字、圖片、視頻）不代表健康界立場(chǎng)?！敖】堤?hào)”系信息發(fā)布平臺(tái)，僅提供信息存儲(chǔ)服務(wù)，如有轉(zhuǎn)載、侵權(quán)等任何問題，請(qǐng)聯(lián)系健康界（jkh@hmkx.cn）處理。

相關(guān)知識(shí)

健康醫(yī)療大數(shù)據(jù)的安全與應(yīng)用
健康醫(yī)療可穿戴設(shè)備數(shù)據(jù)安全與隱私保護(hù)問題研究
四川健康大數(shù)據(jù)：如何保障安全與隱私？
國家健康醫(yī)療大數(shù)據(jù)中心（北方）隱私計(jì)算與數(shù)據(jù)對(duì)撞中心正式發(fā)布
區(qū)塊鏈+大數(shù)據(jù)=醫(yī)療行業(yè)的數(shù)據(jù)安全和患者隱私的革命
數(shù)字經(jīng)濟(jì)業(yè)界聚焦健康醫(yī)療大數(shù)據(jù)應(yīng)用：隱私、獲得感、聯(lián)合創(chuàng)新
醫(yī)療健康大數(shù)據(jù)：應(yīng)用實(shí)例與系統(tǒng)分析
5大醫(yī)療保健數(shù)據(jù)安全挑戰(zhàn)和數(shù)據(jù)保護(hù)技巧
2023年中國健康醫(yī)療大數(shù)據(jù)行業(yè)發(fā)展現(xiàn)狀分析 政策積極推進(jìn)醫(yī)療數(shù)據(jù)安全治理
醫(yī)療大數(shù)據(jù)應(yīng)用

網(wǎng)址: 美國健康醫(yī)療大數(shù)據(jù)應(yīng)用與隱私安全實(shí)踐 http://m.u1s5d6.cn/newsview515511.html