面向醫(yī)療信息的數(shù)據(jù)隱私保護(hù)技術(shù)

申請(qǐng)免費(fèi)試用、咨詢(xún)電話(huà)：400-8352-114

         隨著社會(huì)的發(fā)展及信息的廣泛深入， 隱私問(wèn)題越來(lái)越受到人們關(guān)注，尤其在醫(yī)療領(lǐng)域， 更顯得尤為突出。由于在實(shí)際醫(yī)療活動(dòng)中，醫(yī)療機(jī)構(gòu)為了診斷、科研及教學(xué)需要，必須經(jīng)常大量采集、發(fā)布、利用各種醫(yī)療數(shù)據(jù)，而這些數(shù)據(jù)就包含著個(gè)人的隱私信息。醫(yī)療數(shù)據(jù)的擴(kuò)散難以控制個(gè)人隱私信息的泄露，因此僅靠法律規(guī)范來(lái)約束是遠(yuǎn)遠(yuǎn)不夠的， 必須采用必要的技術(shù)手段來(lái)解決隱私保護(hù)問(wèn)題 。

1 前言

      2009年5月，衛(wèi)生部發(fā)布了《健康檔案基本架構(gòu)與數(shù)據(jù)標(biāo)準(zhǔn)(試行)》和《基于健康檔案的區(qū)域衛(wèi)生信息平臺(tái)建設(shè)指南(試行)》等文件 。作為臨床信息系統(tǒng)核心的電子病歷(EMR)因其存儲(chǔ)量大、節(jié)省資源、查詢(xún)方便、共享性好、有利于提高診療工作效率等優(yōu)點(diǎn)，開(kāi)始在醫(yī)院推廣應(yīng)用；同時(shí)， 醫(yī)保、遠(yuǎn)程醫(yī)療、科研教學(xué)的需要， 以及數(shù)據(jù)傳輸標(biāo)準(zhǔn)的確立和推廣， 也使得電子病歷的應(yīng)用更加深入。電子病歷儲(chǔ)存了患者個(gè)人的基本情況、健康狀況、疾病發(fā)展、診療情況等信息，包含了大量病人隱私，而因其易傳播、易復(fù)制等特征，也使患者的隱私保護(hù)出現(xiàn)了新的問(wèn)題 。
       醫(yī)療信息的泄露途徑主要包括兩方面：從醫(yī)院內(nèi)部信息系統(tǒng)中泄露，即非交互式泄露；在醫(yī)學(xué)數(shù)據(jù)的科學(xué)研究過(guò)程中泄露，即交互式泄露。針對(duì)第一種情況，傳統(tǒng)方法是使用數(shù)據(jù)加密等技術(shù)解決， 不足之處是密鑰管理困難、面對(duì)海量醫(yī)學(xué)數(shù)據(jù)使用成本較高：第二種情況，常用的方法是使用基于角色訪(fǎng)問(wèn)控制技術(shù)(RBAC)。但隨著系統(tǒng)運(yùn)行，角色數(shù)量會(huì)逐漸增多， 當(dāng)達(dá)到一定程度時(shí)會(huì)使得角色層次關(guān)系變得異常復(fù)雜。由此可以看出，目前醫(yī)療信息保護(hù)技術(shù)已不能滿(mǎn)足需要。尤其隨著電子病歷的出現(xiàn)和推廣，要求有更加靈活、高效的隱私保護(hù)技術(shù)。因此，急需對(duì)面向電子病歷的隱私保護(hù)技術(shù)進(jìn)行分析研究，以更好地維護(hù)患者隱私權(quán)、保護(hù)患者切身利益，促進(jìn)我國(guó)醫(yī)療行業(yè)健康發(fā)展。

2 醫(yī)療信息隱私保護(hù)的重要意義
        在醫(yī)療過(guò)程中，圍繞患者疾病和醫(yī)療行為會(huì)形成關(guān)于患者身體特征、健康狀況、疾病情況的客觀(guān)記錄，其中既包括醫(yī)學(xué)檢查結(jié)果記錄、患者身體表征記錄、疾病診斷記錄， 以及與健康有關(guān)的各方面情況，還包括所有這些情況蘊(yùn)含的信息。例如，某種疾病能反映出患者的生活方式、折射出患者的家族遺傳歷史，或患者某種身體器官的病變具有研究?jī)r(jià)值、血液組織蘊(yùn)藏的患者基因等，這些顯性或隱性特征，全面記錄著患者與該疾病甚至個(gè)人健康、生活、情感狀況有關(guān)的事實(shí)。這些醫(yī)療隱私信息由于其特殊性而具有特別的價(jià)值。
2．1 醫(yī)療信息隱私體現(xiàn)患者人格尊嚴(yán)和價(jià)值  醫(yī)療機(jī)構(gòu)在對(duì)患者診療過(guò)程中，收集了大量關(guān)于患者生理、疾病、生育等方面信息，一經(jīng)泄露將給患者的聲譽(yù)及生活造成極大影響， 可能會(huì)引起嚴(yán)重的道德甚至倫理問(wèn)題。
2．2 醫(yī)療信息隱私具有特殊的經(jīng)濟(jì)價(jià)值 醫(yī)療過(guò)程中形成的信息隱私內(nèi)容多樣，其中蘊(yùn)含的資訊更加豐富，有著巨大的潛在價(jià)值，對(duì)于醫(yī)學(xué)研究、商業(yè)開(kāi)發(fā)、政府統(tǒng)計(jì)等均具有重要意義。如果醫(yī)療機(jī)構(gòu)對(duì)患者隱私的尊重不到位，就會(huì)發(fā)生漠視、侵犯公民隱私權(quán)的現(xiàn)象，既影響醫(yī)院的社會(huì)效益和經(jīng)濟(jì)效益，也嚴(yán)重侵害了患者自尊。因此，在醫(yī)療活動(dòng)中，必須采用技術(shù)手段來(lái)解決相關(guān)隱私保護(hù)問(wèn)題。
3 研究現(xiàn)狀
       目前，國(guó)內(nèi)外針對(duì)醫(yī)療信息的隱私保護(hù)研究主要從法律和技術(shù)兩個(gè)角度展開(kāi)。
       從法律角度來(lái)看， 電子病歷信息是個(gè)人信息的組成部分，主要是指在體檢、診斷、治療、疾病控制、醫(yī)學(xué)研究過(guò)程中涉及到的個(gè)人肌體特征、健康狀況、人際接觸、遺傳基因、病史病歷等方面的信息。隨著患者對(duì)個(gè)人醫(yī)療信息保護(hù)的重視程度逐步提高， 越來(lái)越多的國(guó)家開(kāi)始建立相關(guān)法律。早在1 974年，美國(guó)就正式制定了《隱私權(quán)法》，被視為美國(guó)隱私保護(hù)的基本法。1 996年美國(guó)國(guó)會(huì)頒布《健康保險(xiǎn)攜帶和責(zé)任法案》(Health Insu rance Portability andAccountability Act，HlPAA)，針對(duì)醫(yī)療信息化中的交易規(guī)則、醫(yī)療服務(wù)機(jī)構(gòu)的識(shí)別、從業(yè)人員的識(shí)別、醫(yī)療信息安全、醫(yī)療隱私、健康計(jì)劃識(shí)別、患者識(shí)別等問(wèn)題制定了詳細(xì)的法律規(guī)定，以保護(hù)醫(yī)療數(shù)據(jù)安全和患者隱私- 權(quán) 。一11o 2000年，美國(guó)衛(wèi)生和福利部(HHS)依據(jù)該法授權(quán)制定《個(gè)人可識(shí)別健康信息的隱私標(biāo)準(zhǔn)》，標(biāo)志著美國(guó)已為保護(hù)患者醫(yī)療隱私構(gòu)建起一個(gè)完整且具有可操作性的法律體系 。相比之下，我國(guó)對(duì)隱私權(quán)還缺乏相關(guān)規(guī)定。關(guān)于患者隱私權(quán)的保護(hù)，只有少數(shù)法律條文有零星涉及，如《執(zhí)業(yè)醫(yī)師法》、《護(hù)士管理辦法》、《艾滋病監(jiān)測(cè)管理的若干規(guī)定》、《醫(yī)務(wù)人員醫(yī)德規(guī)范及其實(shí)施辦法》、《關(guān)于審理名譽(yù)權(quán)案件若干問(wèn)題的解答》、《關(guān)于審理名譽(yù)權(quán)案件若干問(wèn)題的解釋》等。2002年，最高人民法院《關(guān)于確定民事侵權(quán)精神損害賠償責(zé)任若干問(wèn)題的解釋》才將隱私作為一項(xiàng)獨(dú)立的人格利益加以規(guī)定。

      從技術(shù)角度來(lái)看，Ray等人基于電子商務(wù)隱私保護(hù)的研究經(jīng)驗(yàn)將電子病歷中的隱私保護(hù)問(wèn)題分為七大類(lèi)：認(rèn)證、透明度、控制、采集、數(shù)據(jù)安全性、準(zhǔn)確性以及標(biāo)識(shí)。在此基礎(chǔ)上，針對(duì)澳大利亞的HealthLink系統(tǒng)和美國(guó)的HlPPA系統(tǒng)進(jìn)行了研究，并給出相應(yīng)技術(shù)方案” 。Zhang等認(rèn)為數(shù)據(jù)挖掘技術(shù)雖然在醫(yī)療診斷方面成功應(yīng)用，但面對(duì)隱私數(shù)據(jù)時(shí)還需特殊處理，例如在醫(yī)院信息系統(tǒng)中，財(cái)務(wù)部門(mén)進(jìn)行數(shù)據(jù)分析時(shí)不能訪(fǎng)問(wèn)患者治療記錄” 。馬偉等認(rèn)為，電子病歷的傳輸缺乏安全、統(tǒng)一的規(guī)范，通過(guò)網(wǎng)絡(luò)傳輸資料面臨著快捷和安全的沖突。王令群等認(rèn)為由于醫(yī)學(xué)數(shù)據(jù)對(duì)安全性和保密性要求都很高，而醫(yī)學(xué)專(zhuān)業(yè)人員對(duì)數(shù)據(jù)分析和處理的能力有限，為防止隱私泄露，在將數(shù)據(jù)交給分析人員時(shí)必須對(duì)其進(jìn)行必要處理” 。
      目前針對(duì)電子病歷的隱私保護(hù)主要關(guān)注三個(gè)方面：面向原始數(shù)據(jù)的隱私保護(hù)技術(shù)研究；基于訪(fǎng)問(wèn)控制的隱私保護(hù)技術(shù)研究；構(gòu)建隱私保護(hù)系統(tǒng)。
3．1 面向原始數(shù)據(jù)的隱私保護(hù)  指數(shù)據(jù)擁有者提供共享數(shù)據(jù)給他人進(jìn)行分析，但又不愿意透露原始數(shù)據(jù)的精確值?？上葘?duì)原始數(shù)據(jù)進(jìn)行干擾、匿名化等處理，形成新的數(shù)據(jù)集，并使新數(shù)據(jù)集不再明顯含有個(gè)人隱私信息，同時(shí)保持原始數(shù)據(jù)分布特征，從而實(shí)現(xiàn)個(gè)體隱私信息的保護(hù)。
       Zhu等討論了信息共享尤其是信息化社會(huì)給醫(yī)療行業(yè)帶來(lái)的威脅，重點(diǎn)對(duì)鏈接攻擊(1inking attack)進(jìn)行了關(guān)注。針對(duì)此問(wèn)題，設(shè)計(jì)了相應(yīng)的匿名模型和和泛化技術(shù)，即一種基于熵的K匿名模型來(lái)改進(jìn)醫(yī)療信息共享模型，以保護(hù)醫(yī)療隱私 。

       Mohammed等針對(duì)香港紅十字會(huì)．血液傳輸過(guò)程中設(shè)計(jì)的隱私問(wèn)題進(jìn)行研究，找出了影響傳統(tǒng)匿名方法應(yīng)用的主要因素。在此基礎(chǔ)上，提出了一種基于匿名算法的LKC隱私模型來(lái)解決香港紅十字會(huì)血液傳輸過(guò)程中的隱私保護(hù)問(wèn)題?，F(xiàn)實(shí)數(shù)據(jù)分析表明，該方法可以有效保留隱私數(shù)據(jù)中的相關(guān)信息供數(shù)據(jù)分析使用，且用于大規(guī)模j的匿名數(shù)據(jù)集。

       Alhaqbani等使用假名來(lái)替代患者真實(shí)身份，讓患者能夠控制自己的隱；私信息，并用實(shí)例證明該架構(gòu)在數(shù)據(jù)真實(shí)性和患者隱私之間取得了較好的：平衡。

      Maglogiannis等提出一個(gè)面向患者遠(yuǎn)程監(jiān)控系統(tǒng)的數(shù)據(jù)加密框架，采用基于點(diǎn)對(duì)點(diǎn)協(xié)議實(shí)現(xiàn)了一個(gè)原型系統(tǒng)。

    高愛(ài)強(qiáng)等討論了基于數(shù)據(jù)可用性的隱私保護(hù)匿名方法，主要討論數(shù)據(jù)分析任務(wù)。如果對(duì)屬性順序敏感環(huán)境：下的數(shù)據(jù)處理方法，基于多維數(shù)據(jù)匿名化概念，討論了一種方法來(lái)進(jìn)行基于數(shù)據(jù)可用性的數(shù)據(jù)發(fā)布共享和匿名性處理方法。
      綜上所述，目前大多數(shù)針對(duì)原始i數(shù)據(jù)的隱私保護(hù)方法都是基于數(shù)據(jù)匿名，數(shù)據(jù)匿名化的主要目標(biāo)是在保證數(shù)據(jù)可用性的同時(shí)，通過(guò)適當(dāng)損失一些屬性值所包含的信息來(lái)提高數(shù)據(jù)的安全性。因此，匿名化原始數(shù)據(jù)集，j必然會(huì)造成信息的損失。數(shù)據(jù)的可用性和數(shù)據(jù)的安全性是相互矛盾的，兩者之間需要找到折中平衡。目前，數(shù)據(jù)匿名化的研究工作主要是設(shè)計(jì)更有效的匿名保護(hù)模型，以及針對(duì)特定匿名保護(hù)模型設(shè)計(jì)出性能更好的匿名化算法。
 3．2 基于訪(fǎng)問(wèn)控制的隱私保護(hù)   訪(fǎng)問(wèn)控制技術(shù)是一種非自主強(qiáng)制訪(fǎng)問(wèn)控制技；術(shù)，支持特定安全需求的集中式權(quán)限管理，主要是針對(duì)越權(quán)使用資源的防御措施，基本目標(biāo)是限制訪(fǎng)問(wèn)主體(用戶(hù)、進(jìn)程、服務(wù)等)對(duì)訪(fǎng)問(wèn)客體(電子病i歷、醫(yī)療信息系統(tǒng)等)的訪(fǎng)問(wèn)權(quán)限，從而使醫(yī)療數(shù)據(jù)在合法范圍內(nèi)使用。

     Smith提出了一種基于情境的訪(fǎng)問(wèn)控制模型來(lái)加強(qiáng)HIPPA的隱私保護(hù)功能。通過(guò)應(yīng)用該模型，醫(yī)療機(jī)構(gòu)可j以從事務(wù)規(guī)范的過(guò)程中獲得巨大優(yōu)勢(shì)，彌補(bǔ)傳統(tǒng)手工方式帶來(lái)的負(fù)面效應(yīng)。
     Mohammad等基于交互式架構(gòu)提出了一種新的訪(fǎng)問(wèn)控制模型應(yīng)用于醫(yī)療領(lǐng)域，該模型能夠根據(jù)用戶(hù)的行為i進(jìn)行訪(fǎng)問(wèn)權(quán)限的動(dòng)態(tài)設(shè)定。訪(fǎng)問(wèn)控制引擎動(dòng)態(tài)地從目標(biāo)用戶(hù)處接收相關(guān)數(shù)據(jù)，根據(jù)不同的專(zhuān)業(yè)模塊來(lái)確定用戶(hù)訪(fǎng)問(wèn)權(quán)限。該模型使用標(biāo)準(zhǔn)的數(shù)據(jù)表示格式，并用一個(gè)真實(shí)案例證明其有效性。
     Blanquer等將加密和相關(guān)性技術(shù)應(yīng)用于數(shù)據(jù)組織，使用自然語(yǔ)言的方式進(jìn)行授權(quán)，提高了隱私保護(hù)水平。
      Ma rtino等設(shè)計(jì)了一種基于多域隱私感知的訪(fǎng)問(wèn)控制技術(shù)應(yīng)用健康系i統(tǒng)。該系統(tǒng)解決了電子病歷訪(fǎng)問(wèn)過(guò)程中的安全與隱私保護(hù)問(wèn)題，能夠基于電子病歷的元信息來(lái)限制訪(fǎng)問(wèn)。
      Patrick等提出了一種基于隱私擴(kuò)；展的角色控制方法，該模型基于電子：健康情境信息，設(shè)計(jì)了一個(gè)決策支持模型與基于角色的訪(fǎng)問(wèn)控制模型進(jìn)行交互來(lái)保護(hù)個(gè)人健康信息。
    劉逸敏等回顧了目前研究或已被采用的關(guān)系數(shù)據(jù)庫(kù)中細(xì)粒度訪(fǎng)問(wèn)控制模型，以醫(yī)院數(shù)據(jù)應(yīng)用場(chǎng)景為例分析了模型在應(yīng)用中存在的問(wèn)題，并探討了解決方法。
     從上述研究成果可以看出，大多數(shù)研究人員將關(guān)注點(diǎn)集中在基于角色的訪(fǎng)問(wèn)控制方面。訪(fǎng)問(wèn)控制是對(duì)信息系統(tǒng)資源進(jìn)行保護(hù)的重要措施，有助于信息系統(tǒng)的擁有者選擇和使用訪(fǎng)問(wèn)控制手段對(duì)系統(tǒng)進(jìn)行防護(hù)。訪(fǎng)問(wèn)控制決定了誰(shuí)能夠訪(fǎng)問(wèn)系統(tǒng)，能訪(fǎng)問(wèn)系統(tǒng)的何種資源以及如何使用這些資源。適當(dāng)?shù)脑L(fǎng)問(wèn)控制能夠阻止未經(jīng)允許的用戶(hù)有意或無(wú)意地獲取數(shù)據(jù)。然而，訪(fǎng)問(wèn)控制的實(shí)現(xiàn)手段較為復(fù)雜，通常包括用戶(hù)識(shí)別代碼、口令、登錄控制、資源授權(quán)(如用戶(hù)配置文件、資源配置文件和控制列表)、授權(quán)核查、日志和審計(jì)等，不易進(jìn)行調(diào)整和管理。而規(guī)則引擎作為一種嵌入在應(yīng)用程序中的組件，實(shí)現(xiàn)了將業(yè)務(wù)決策從應(yīng)用程序代碼中的分離，能夠較好地解決這個(gè)問(wèn)題。目前，規(guī)則引擎技術(shù)已在電信業(yè)的費(fèi)用分擔(dān)、制造業(yè)的故障處理等領(lǐng)域應(yīng)用，尚未有醫(yī)療領(lǐng)域的應(yīng)用案例。因此， 基于規(guī)則引擎的醫(yī)療信息隱私保護(hù)技術(shù)值得進(jìn)一步探討和研究。
3．3 構(gòu)建隱私保護(hù)系統(tǒng)  除上述對(duì)隱私保護(hù)的關(guān)鍵技術(shù)進(jìn)行研究外，還有學(xué)者進(jìn)行了一些系統(tǒng)性研究。
     Song等提出了一個(gè)面向環(huán)境服務(wù)模型的安全醫(yī)療隱私架構(gòu)SHOES，包括認(rèn)證服務(wù)、訪(fǎng)問(wèn)控制服務(wù)、隱私保護(hù)服務(wù)等， 同時(shí)還建立了一個(gè)技術(shù)指南應(yīng)用于患者信息的隱私保護(hù)過(guò)程中，使醫(yī)療信息的隱私保護(hù)更有彈性、易于管理。
    Ga rdne r等提出了一個(gè)標(biāo)識(shí)轉(zhuǎn)換3(DE—identification)系統(tǒng)HlDE來(lái)保護(hù)患者健康信息，該系統(tǒng)采用條件隨機(jī)場(chǎng)(Conditional Random Fields)技術(shù)從非結(jié)構(gòu)化數(shù)據(jù)中抽取標(biāo)識(shí)屬性，采。用K匿名方法進(jìn)行標(biāo)識(shí)轉(zhuǎn)換處理。
     Lin等提出了一個(gè)針對(duì)電子健康系統(tǒng)的隱私保護(hù)方案SAGE，通過(guò)形式化推理證明該方案能夠同時(shí)保護(hù)醫(yī)療隱私及其情境信息。
    通過(guò)對(duì)這三個(gè)系統(tǒng)的分析可以看出， 目前多數(shù)系統(tǒng)研究人員將目光集中在技術(shù)方面，而忽略了對(duì)體系結(jié)構(gòu)的研究和完善。而一個(gè)實(shí)用的隱私保護(hù)系統(tǒng)，首先應(yīng)構(gòu)建一個(gè)面向醫(yī)療信息的隱私度量模型。其次，要構(gòu)建基于上述度量模型的匿名隱私保護(hù)方法。此外，還需要一個(gè)隨情境變化的訪(fǎng)問(wèn)控制方法和一種基于安全多方計(jì)算的數(shù)據(jù)分析方法，在確保各參與單位數(shù)據(jù)不被泄露的基礎(chǔ)上有效獲得整體數(shù)據(jù)的分析結(jié)果，達(dá)到保護(hù)電子病歷隱私的目的(見(jiàn)圖1)。就目前情況來(lái)看，構(gòu)建一個(gè)實(shí)用的醫(yī)療信息隱私保護(hù)系統(tǒng)尚需時(shí)日。

 4 展望
         隱私保護(hù)技術(shù)在諸多領(lǐng)域都有廣泛應(yīng)用，每類(lèi)隱私保護(hù)技術(shù)也都有不同的特點(diǎn)，在不同的應(yīng)用需求下，其適用范圍、性能表現(xiàn)等都不盡相同。目前，就國(guó)內(nèi)外總體研究狀況而言，大多集中在原始數(shù)據(jù)處理、訪(fǎng)問(wèn)控制等隱私保護(hù)的初級(jí)階段，而諸如電子病歷的隱私度量問(wèn)題、電子病歷數(shù)據(jù)分析過(guò)程中的隱私保護(hù)等問(wèn)題還未涉及，值得進(jìn)一步研究。