電子健康檔案信息安全和隱私保護的關(guān)鍵問題和研究進展

，，，

電子健康檔案系統(tǒng)(Electric Health Records，EHR)作為繼HIS之后出現(xiàn)的醫(yī)療衛(wèi)生信息系統(tǒng)，是區(qū)域醫(yī)療衛(wèi)生服務(wù)信息共享和交換的主要支撐平臺，在雙向轉(zhuǎn)診與遠程會診、衛(wèi)生機構(gòu)決策支持、臨床科研、個人健康管理和健康教育等諸多領(lǐng)域都發(fā)揮著重要作用。20世紀90年代，美英等西方國家開始規(guī)劃和推進電子健康檔案的研究。我國在這方面的研究起步較晚，2009年國務(wù)院提出“要以建立居民健康檔案為重點，構(gòu)建鄉(xiāng)村和社區(qū)衛(wèi)生信息網(wǎng)絡(luò)平臺；以醫(yī)院管理和電子病歷為重點，推進醫(yī)院信息化建設(shè)”[1]。

隨著醫(yī)療健康數(shù)據(jù)的爆發(fā)式增長和區(qū)域協(xié)同醫(yī)療服務(wù)體系的推進發(fā)展，醫(yī)療健康進入了大數(shù)據(jù)和云計算時代，電子健康檔案的信息安全和隱私保護面臨極大挑戰(zhàn)[2]，網(wǎng)絡(luò)數(shù)據(jù)中心被黑客攻陷導(dǎo)致用戶信息大量泄露的安全事件層出不窮。由于關(guān)乎個人生命健康，醫(yī)療領(lǐng)域的信息安全和隱私保護問題格外受到關(guān)注。因此，對電子健康檔案信息安全和隱私保護進行全面、系統(tǒng)的梳理是非常必要的，以此把握安全形勢，明確發(fā)展方向。

本文利用萬方學(xué)術(shù)、CNKI、Web of Science等數(shù)據(jù)庫，通過系統(tǒng)的文獻調(diào)研，對電子健康檔案信息安全和隱私保護的關(guān)鍵問題進行總結(jié)梳理，為電子健康檔案信息安全和隱私保護的法規(guī)制定、體系建設(shè)、模型研究、技術(shù)革新等提供參考借鑒。

1 電子健康檔案信息安全和隱私保護的關(guān)鍵問題

研究電子健康檔案的信息安全和隱私保護問題，首先要辨析和明確相關(guān)概念。信息安全和隱私保護是兩個方面的問題，二者既有聯(lián)系又有區(qū)別[3]。它們之間的聯(lián)系概括為三點：信息安全的目標之一是完成對隱私的保護，信息安全的技術(shù)手段可以用于隱私保護，信息安全和隱私保護都是有等級要求的。它們的區(qū)別也可概括為三點：信息安全的內(nèi)容范圍更大，但并不是包含隱私，而是與隱私有交集；信息安全的法律和技術(shù)不足以滿足隱私保護的要求；信息安全更偏重過程的實施，隱私保護更偏重利益的結(jié)果。

目前對電子健康檔案的信息安全和隱私保護還沒有明確的定義。我們參考HIPAA條例[4]和相關(guān)文獻[5]，作出如下界定：電子健康檔案信息安全是指電子健康檔案信息系統(tǒng)在物理和網(wǎng)絡(luò)環(huán)境、系統(tǒng)自身、系統(tǒng)內(nèi)的數(shù)據(jù)以及管理機制等4個維度上確保檔案信息的保密性、一致性、可用性；電子健康檔案隱私保護是指檔案信息在患者意愿同意、可拒絕、不允許三種類型下使用，并在法律和技術(shù)上提供保護。

電子健康檔案信息安全和隱私保護的關(guān)鍵問題既包含了傳統(tǒng)的安全和隱私問題，又涉及到醫(yī)療大數(shù)據(jù)和健康云服務(wù)的特性問題，如圖1所示。其中電子健康檔案信息安全的六類問題，與國標《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》[6]一致。電子健康檔案隱私保護問題是從文獻[7-11]中總結(jié)梳理所得，有些是目前領(lǐng)域內(nèi)正在深入研究的問題，有些則是鮮有研究或起步開始研究的問題。

信息安全主要影響機構(gòu)和群體，隱私保護則直接關(guān)乎個人利益。圖1所示問題如果得不到解決，就會對以電子健康檔案為代表的醫(yī)療信息系統(tǒng)和個人隱私造成不同程度的危害[12]。如2015年5月福建某醫(yī)院因電力故障導(dǎo)致信息系統(tǒng)癱瘓的安全事件、2011年深圳黑客“統(tǒng)方”勒索案、2008年婦幼保健院母嬰信息公開出售案。

上述安全事件說明醫(yī)療領(lǐng)域信息安全存在諸多問題，電子健康檔案的信息安全和隱私安全問題日益凸顯。

2 電子健康檔案信息安全研究進展

電子健康檔案信息安全研究圍繞保密性、完整性、可用性、可控性和不可否認性這5個安全目標，主要涉及法規(guī)政策制定、區(qū)域平臺建設(shè)、訪問權(quán)限控制和安全技術(shù)防范等，分別對應(yīng)了法規(guī)研究、架構(gòu)研究、模型研究和技術(shù)研究4方面。本文從問題分類、熱點問題、主要研究進展3個層面進行梳理總結(jié)，詳見表1。

表1 電子健康檔案信息安全研究進展

在電子健康檔案法規(guī)政策研究上，國外有成文的法律，如HIPAA和HITECH對電子信息交換的安全標準，以及關(guān)于管理、技術(shù)、物質(zhì)的安全程序都有明確的要求，以保護電子醫(yī)療信息的安全[28]。我國關(guān)于電子健康檔案的明確法規(guī)研究還不夠深入，但已有信息安全等級保護的國家標準和《全國醫(yī)療衛(wèi)生服務(wù)體系規(guī)劃綱要(2015-2020年)》等政府文件，為電子健康檔案信息安全法律支持奠定了堅實基礎(chǔ)。

在電子健康檔案區(qū)域平臺建設(shè)研究上，國內(nèi)學(xué)者圍繞電子健康檔案云安全、安全架構(gòu)、醫(yī)院信息系統(tǒng)等級保護情況等問題展開研究。張志美等探討了云環(huán)境電子健康檔案的存儲和終端安全[15]，柴文磊等設(shè)計和開發(fā)了云計算模式下電子健康檔案服務(wù)的安全架構(gòu)[16]，王麗娜等對河南省37所醫(yī)院信息系統(tǒng)信息安全現(xiàn)狀進行了調(diào)查和對策探討[18]。這些研究為國內(nèi)城鎮(zhèn)區(qū)域醫(yī)療服務(wù)平臺建設(shè)的安全問題提供了現(xiàn)實依據(jù)和方向指引，也為各級醫(yī)院的安全等級保護提供建議方案。

在電子健康檔案訪問權(quán)限模型研究上，主要以基于角色的訪問控制為基礎(chǔ)，研究成果較豐碩?；舫闪x等提出了面向患者的POPPAC模型和個性化訪問控制策略[21]，劉逸敏等研究了基于視圖和數(shù)據(jù)標簽的數(shù)據(jù)庫細粒度訪問控制模型[22]，王霏等介紹了共享調(diào)閱過程中“事前授權(quán)、事中控制、事后審計”的權(quán)限控制方法[23]。這些研究契合電子健康檔案數(shù)據(jù)龐大集中的特點，防范了非法訪問等安全隱患，提高了系統(tǒng)整體安全性。

在電子健康檔案安全技術(shù)研究上，重視從準備檢查階段、實施發(fā)現(xiàn)階段、入侵處理階段等各個節(jié)點上全面多維進行安全防護[19]，應(yīng)用的技術(shù)有口令保護、數(shù)據(jù)加密、存取控制、數(shù)字簽名、接入控制、跟蹤審計等[26]。楊霜英等從技術(shù)層面探討了醫(yī)院信息管理系統(tǒng)安全運行的保障方法[25]，丁茂震等創(chuàng)新研究了電子健康檔案數(shù)據(jù)的AES和DNA兩種加密方法、提出了多關(guān)鍵詞可檢索公鑰加密方案以及云環(huán)境的密文搜索方法[27]。這些研究充實和豐富了電子健康檔案的安全技術(shù)，不過由于技術(shù)的革新速度是最快的，電子健康檔案的信息安全不能僅依靠末端的信息安全技術(shù)，而是要實現(xiàn)頂層到末端的全面防護。

3 電子健康檔案隱私保護研究進展

醫(yī)療信息隱私具有特殊的社會價值和經(jīng)濟價值[29]?！秷?zhí)業(yè)醫(yī)師法》、《護士條例》等相關(guān)法規(guī)規(guī)定不得泄露患者的隱私，但目前仍缺乏對電子健康檔案隱私保護的明文規(guī)定。電子健康檔案的隱私保護具有自主性、專業(yè)性、敏感性、可辨別性、保護有限性[30]等特性，相關(guān)研究涉及隱私保護策略、數(shù)據(jù)匿名算法、數(shù)據(jù)溯源機制、數(shù)據(jù)挖掘的隱私保護等方面，如表2所示。

表2 電子健康檔案隱私保護研究進展

電子健康檔案隱私保護策略是國內(nèi)外學(xué)者重點研究的內(nèi)容，他們通過策略研究、整體架構(gòu)和模型的設(shè)計，提出了具體的電子健康檔案隱私保護可行性方案。德國弗萊堡大學(xué)的Sebastian Haas等研究了電子健康檔案隱私保護系統(tǒng)的整體方案，包括數(shù)據(jù)服務(wù)模型和患者服務(wù)模型[32]；國內(nèi)李冰華等根據(jù)領(lǐng)域分析的結(jié)果，構(gòu)建了關(guān)于區(qū)域醫(yī)療信息共享中健康檔案安全與隱私保護的領(lǐng)域模型[33]；黃中睿等利用Airavat強制訪問控制和差分隱私保護技術(shù)設(shè)計和實現(xiàn)了醫(yī)療信息的訪問控制與隱私保護方案[35]。這些研究為算法和技術(shù)的相關(guān)研究提供理論基礎(chǔ)和方向指引。

電子健康檔案數(shù)據(jù)匿名算法是隱私保護三大方法之一。數(shù)據(jù)匿名在醫(yī)療數(shù)據(jù)發(fā)布、醫(yī)學(xué)研究過程中，能很好地保護個人身份標識信息和醫(yī)療敏感信息的泄露。數(shù)據(jù)匿名算法以K匿名為基礎(chǔ)，童云海等提出了保持身份標識屬性的匿名方法[37]；史漢發(fā)等提出了一種新的醫(yī)療數(shù)據(jù)發(fā)布中多敏感屬性隱私保護(AHPK匿名)算法，對準標識符(QI)加權(quán)處理使用[38]；朱青等針對Web查詢服務(wù)提出了基于信息損失懲罰的滿足L-Diversity的算法，提高隱私保護的效率和性能[40]。各種匿名算法為電子健康檔案隱私保護提供了技術(shù)支持，也為技術(shù)革新奠定了良好基礎(chǔ)。

數(shù)據(jù)溯源機制研究和數(shù)據(jù)挖掘的隱私保護兩個熱點問題是比較新的研究方向和內(nèi)容，但在電子健康檔案這一特定領(lǐng)域的研究中還處于剛起步階段，需要借鑒已有的基本理論和研究成果。明華等介紹了 7種數(shù)據(jù)溯源模型，比較分析了幾種典型數(shù)據(jù)溯源方法[41]；王忠等闡述了大數(shù)據(jù)下個人隱私數(shù)據(jù)溯源的基本概念、路徑分析、機制設(shè)計[42]；陳煒等研究了基于背景知識攻擊的電子病歷隱私保護新算法，通過對敏感屬性的微聚類，提高了等價組信息的相似性并確保了差異性，降低了隱私泄露風(fēng)險[43]。

4 討論

電子健康檔案的發(fā)展從國家到社區(qū)、從頂層設(shè)計到具體應(yīng)用，需要很多的嘗試和探索。信息安全和隱私保護問題無論在法律制度還是技術(shù)創(chuàng)新層面，都要在充分考慮我國國情和形勢的前提下，學(xué)習(xí)借鑒世界先進的理論和成果，發(fā)現(xiàn)并解決問題，不斷為電子健康檔案建設(shè)發(fā)展提供法律、策略、技術(shù)的全面支持。

隨著電子健康檔案、可穿戴健康監(jiān)測設(shè)備、轉(zhuǎn)化醫(yī)學(xué)和基因測試的興起和流行，越來越多的個人健康信息連入網(wǎng)絡(luò)，其利益影響之重大，面臨威脅之嚴峻，已經(jīng)超出了傳統(tǒng)的信息安全和隱私保護研究范疇。雖然國內(nèi)外學(xué)者提出了一系列新的觀點、模型和方法，但還不能完全滿足電子健康檔案全面建設(shè)與深化應(yīng)用的要求。如去隱私化在大數(shù)據(jù)背景下很難真正實現(xiàn)，無論是4種典型匿名算法，還是各種改進的匿名算法，都只是對數(shù)據(jù)隱私保護的初步探索。大數(shù)據(jù)應(yīng)用和大數(shù)據(jù)安全防護在信息化快速發(fā)展的進程中扮演著矛和盾的激烈對抗，是未來個人健康隱私保護在實際應(yīng)用中有新的突破所必須重視和權(quán)衡的關(guān)鍵因素。