， ，， ，

[作者單位]中國醫(yī)學科學院醫(yī)學信息研究所， 北京 100020

隨著可穿戴技術的快速發(fā)展，可穿戴設備逐漸應用于多種醫(yī)療健康的相關活動中，并已成為新型智慧醫(yī)療、智慧健康的重要組成部分。

健康醫(yī)療可穿戴設備在快速發(fā)展的同時，也帶來更多數據安全相關問題，其不受時間、地點限制采集大量用戶健康和行為數據，匯集形成新型健康醫(yī)療大數據，增加了數據管理和控制難度。近幾年可穿戴設備泄露隱私數據的事件也頻頻發(fā)生，Fitbit、小米、華為、Jawbone等生產廠家都被曝出存在隱私泄露問題，且一些健康醫(yī)療可穿戴設備產品因侵犯個人隱私被迫退出市場。在2015年發(fā)布的《國務院關于印發(fā)促進大數據發(fā)展行動綱要的通知》文件[1]中，特別強調要“健全大數據安全保障體系”與“強化安全支撐”。國外在面臨移動醫(yī)療等醫(yī)療新發(fā)展模式也積極修改HIPAA法案，要求增訂與可穿戴數據相關的隱私法案。解決健康醫(yī)療可穿戴設備數據安全與隱私保護問題是智慧醫(yī)療與智慧健康發(fā)展不容忽視的重要環(huán)節(jié)，是亟待解決的根本性問題。本文對健康醫(yī)療可穿戴設備數據安全與隱私保護問題相關發(fā)展研究進行了梳理與分析，總結國內外研究主題的異同，并討論現有研究的經驗與不足，為健康醫(yī)療可穿戴設備數據安全與隱私保護機制的研究與構建提供理論參考與借鑒。

1 健康醫(yī)療可穿戴設備數據安全與隱私

1.1 健康醫(yī)療可穿戴設備數據安全與隱私的內涵

健康醫(yī)療可穿戴設備是指應用于臨床和日常健康維護活動中的一切可以直接穿戴在身上的便攜式醫(yī)療或健康電子設備，在軟件支持下感知、記錄、分析、調控/干預甚至治療疾病或維護健康狀態(tài)[2]。健康醫(yī)療可穿戴設備數據安全與隱私的內涵是指對健康醫(yī)療可穿戴設備所采集的數據本身及數據流動過程中涉及到數據安全與個人隱私的一切問題。

1.2 健康醫(yī)療可穿戴設備數據及隱私特點

健康醫(yī)療可穿戴設備的數據及隱私與傳統醫(yī)療有所區(qū)別，明確其設備采集的數據內容及數據特點是分析健康醫(yī)療可穿戴設備數據安全與隱私問題的基礎。

本文主要從介質、格式、規(guī)模、環(huán)節(jié)、標準五個維度，對比分析健康醫(yī)療可穿戴設備與傳統醫(yī)療的數據及隱私內容(詳見表1)。

表1 健康醫(yī)療可穿戴設備數據與傳統醫(yī)療數據隱私對比分析

2 健康醫(yī)療可穿戴設備數據安全與隱私問題相關研究

2.1 國內研究進展

通過梳理相關研究，發(fā)現國內的研究學者主要圍繞可穿戴數據的網絡傳輸和系統安全、相關標準、精準度和安全性、數據整合、相關法律法規(guī)和國家政策以及隱私保護意識等方面展開研究。

2.1.1 網絡傳輸與系統安全

張佩江、李瑞昌[3]、馬博[4]等人與劉金芳[5]都認為谷歌的安卓系統漏洞、惡意軟件的安裝、設備對不安全的移動通信和無線網絡的高依賴度等方面都會造成可穿戴設備隱私數據的泄露。此外，可穿戴設備的功能越多，被攻擊的機會也就越多，黑客現在可以通過WiFi、藍牙和NFC、聲音等多種方式發(fā)動攻擊，各種傳感器的應用也會增加受攻擊的風險。張建國[6]還針對可穿戴設備的信息鏈條提出了“針對可穿戴設備的云服務供應商進行攻擊、中間應用進行攻擊以及直接入侵可穿戴設備”三種造成隱私泄露的可能。不僅如此，可穿戴設備還可以不分時間、地點、場合搜集用戶數據，將數據上傳到云端中，使可穿戴設備的系統易遭受攻擊和數據泄露[7]。

針對以上問題，有學者提出了一些解決辦法，如采取更嚴密的安全協議、提供信息驗證服務、內置殺毒軟件以及定期備份數據、采用數據匿名化技術和匿名通信技術[8]及差分隱私保護等技術手段，提升設備的數據傳輸系統安全保障能力。

2.1.2 互聯互通與跨平臺操作

移動終端設備和產品快速發(fā)展，種類繁多[9]，導致各系統間互相獨立，數據無法互通。有研究學者對醫(yī)療可穿戴設備數據相關標準問題展開了探討，提出目前可穿戴設備面臨的挑戰(zhàn)主要包括數據傳輸協議的標準化問題[10]，以及可穿戴設備在醫(yī)療領域中的應用有互聯互通程度較低的問題[11]。只有兼容統一的數據傳輸協議，才能促進醫(yī)療數據的共享和挖掘、分析，實現更廣范圍的互聯互通，打造一體化的智能可穿戴體驗，解決智能可穿戴設備領域的跨平臺操作[12]的問題。隱私保護需要建立在平臺間統一的數據標準基礎上，才能在數據流動與共享過程中不被泄露。

2.1.3 數據整合的必要性及安全防范

數據的整合也會導致侵犯隱私問題和國家安全問題?？纱┐髟O備收集的大量用戶信息可能被實時上傳到云端，利用非法手段進行攻擊獲取數據后進行整合分析，可以獲得具有商業(yè)價值的信息，追蹤特定人的行為路徑以及了解整個國家或地區(qū)的疾病譜，造成嚴重后果。如果不對數據進行整合就無法為醫(yī)療領域的研究提供參考，會降低新藥品、新醫(yī)療產品的開發(fā)速度。因此，國內學者湯嘯天[13]提出個人健康信息應在合理范圍內無害化使用。

2.1.4 政策、法律及倫理規(guī)范

我國目前尚無全面的國家立法來規(guī)范數據隱私[14]和全面的數據保護法律框架[15]。我國當下的數據保護法律制度是基于一般的法律或法規(guī)，或只適用于特定工業(yè)部門。在2013年發(fā)布的世界數據保護法律報告[15]中，關于個人數據保護的相關規(guī)定在多種法律和制度中都有涉及，但隱私權的范圍還沒有清晰的界定。盡管個人數據保護法律已經被政府評價多年，但仍然沒有指示去說明這項法律是否以及何時被通過。當隱私泄露問題出現時，往往通過《侵權責任法》、《刑法》或者各種地方法規(guī)進行處理，而且最近通過的法規(guī)焦點主要集中在中國的商業(yè)經營，尤其是關于互聯網服務的商業(yè)。2012年12月28日，全國人民代表大會常務委員會(NPC)采納了《強調在線信息保護的決定》。該項決定的目的是保護互聯網和信息安全，保障公民、法人或其他組織的合法權益，確保國家和安全利益，這項決定和法律具有同等效力。我國目前雖已初步建立個人信息和隱私權保護有關的法律體系，但尚無針對醫(yī)療大數據隱私保護的責任法案。此外，大數據時代數據的邊界模糊，增加了保護網絡和信息安全的難度[16]。因而對醫(yī)療可穿戴設備建立嚴格的監(jiān)管機制顯得尤為重要，一旦應用于臨床醫(yī)療領域，需要通過CFDA等監(jiān)管機構的認證獲得臨床認可，而避免魚龍混雜的問題出現。行業(yè)自律、完善可穿戴醫(yī)療設備的知情同意規(guī)范、認證制度、規(guī)范數據管理制度[17]是加強倫理規(guī)范和政策法規(guī)建設的基礎。

2.1.5 隱私保護意識

隱私保護意識也是學者們討論的重點，強調要加強用戶的隱私維護意識，培訓其信息安全技能，盡量將意外發(fā)生的概率降到最低，了解采集的數據內容、時間、使用范圍等并要求簽署知情同意。同時避免將重要數據與可穿戴設備連接，防止他人運用可穿戴設備記錄個人或工作區(qū)域的信息數據，避免造成因不尊重他人隱私問題而泄露個人隱私以及工作區(qū)域核心數據被竊的問題。不僅用戶需要注意此問題，運營商也要有信息安全意識，確保用戶信息的安全性和隱私性。

2.2 國外研究進展

國外的研究主要是圍繞用戶隱私保護意識、隱私尊重的倫理道德及法律制度建設和信息安全技術、隱私保護框架模型、隱私保護范式建設等角度展開的。

2.2.1 用戶隱私保護意識

Vivian Genaro Motti和Kelly Caine[18]分析發(fā)現，用戶隱私保護存在的問題主要有用戶難以意識到“什么數據被搜集”和“他們怎樣被使用”，用戶不能充分理解與數據搜集相關的潛在的風險、威脅的含義，并試圖低估這些問題。并基于以上問題提出了用戶應該讓保密信息盡可能地離散顯示，將第二屏幕作為一種隱私屏幕，避免其他人閱讀到設備內容和盡量隱藏設備的視覺阻塞3種隱私保護策略。此外，IPC公司發(fā)布的報告中也提出強化登錄密碼和加密，應該安裝最新式的防火墻、反病毒和反盜竊軟件設備，設備應該提供最高級別的安全，如自動鎖等，避免不安全的網絡、當設置好藍牙連接后應該調回不可被發(fā)現模式，如果設備未加密并且你不能夠遠程清除你的個人可識別信息時應向警察匯報等具體性的隱私保護策略[19]。

2.2.2 隱私尊重倫理道德

從生產商角度出發(fā)，一些用戶并不喜歡他們的設備帶有立即同步到社會媒體應用的情況和沒有能夠自主控制分享數據的功能，而現在的設備卻大多都與社會媒體自動同步；從個人角度來看，要意識到他人的隱私與自己的隱私同樣重要，因而要設定多種設備可被使用的場景，并要求在將設備帶入職場中應告知周圍人，尊重他人的選擇[20]。此外，在保護個人隱私時，還應充分利用自己刪除數據的能力，注意未來可穿戴設備重新識別的風險和服務提供商政策改變帶來的隱私風險[21]。

2.2.3 信息安全技術

研究學者也對提升信息安全技術進行了相關探討，當前最突出的問題就是缺少存取控制，增加了由于技術漏洞而導致隱私泄露的可能。他們提出，設備應使用消除可識別個人的數據來代替?zhèn)€人可識別數據以及設置某幾次失敗獲取設備數據時后將導致自動刪除和生物特征識別技術[22]等方案來解決隱私泄露問題。此外，Britt Cyr[23]等人還針對Fitbit Flex可穿戴設備闡述了其出現的4個漏洞：Fitbit在某些情況下不必要獲取設備周圍的信息，Fitbit未提供給用戶搜集到的所有數據，Fitbit設備的MAC地址永遠沒有發(fā)生改變，造成相關用戶攻擊，藍牙低功耗設備的憑證在配對時也會被暴露和容易遭受攻擊。 同時，該研究也將采集數據的傳感器作為涉及到隱私問題的因素，例如GPS可以披露位置、聲音傳感器和嵌入設備的照相錄像，可以直接識別出個人等等。

2.2.4 可穿戴技術應用

katie McMullan[24]提出雇主在應用可穿戴設備制定企業(yè)健康策略的過程中，應保證搜集數據內容和使用環(huán)境的透明性，員工出于自愿而非強迫性接受可穿戴設備所采集到的數據被合理使用，在指定目的下設備使用的限制以及注意限制數據與原始目的有變化的不相稱使用，不要過度期待可穿戴設備采集數據的精準性，建立數據保留標準、保障職員數據保護要求，制定安全預警等建議，以促進企業(yè)健康計劃的順利開展。

2.2.5 相關法律制度與規(guī)定

可穿戴設備在醫(yī)療領域的應用有以下問題。衛(wèi)生保健的專家或相關機構搜集、保存和傳輸受保護的健康信息在HIPPA法案中都有相應規(guī)定，但獨立第三方搜集受保護的健康信息的權利卻還未在法案中規(guī)定。而且強調與醫(yī)療機構或者醫(yī)師合作時，第三方有必要提供數據使用協議，但目前在接收搜集到的數據時卻很少存在相關指導[25]。同時可穿戴設備也存在以下欠缺。首先是“忘記的權利”，即當用戶不使用設備時，應具備自動清空數據的能力，這是用戶應該具備的一項權利；其次，政策應該制定在什么地點和什么條件下可穿戴設備無線功能可以被使用，并應該解決雇主保留的權利，以維持這種傳輸的監(jiān)督和他們可能被使用的目的。Greig Paul[22]提出應該明確醫(yī)療可穿戴設備數據的所有權問題、將HIPAA作為參考建立可穿戴健康監(jiān)督在臨床應用的相關數據分類法以及指定數據存儲管轄權。

此外，本文也簡單梳理了歐美等較具有代表性的國家的數據隱私保護的部分相關法律。雖然各種法律法規(guī)在執(zhí)行范圍、實行要求和補救措施等方面要求都不同，但都對個人信息的搜集、披露和使用提出了要求。具體情況如表2所示。

表2 具有代表性的世界數據隱私保護相關法律

2.2.6 框架、模型、范式的構建

國外相關研究學者還結合可穿戴設備數據安全和隱私的問題分別提出了隱私保護框架、模型和范式等，從不同角度對醫(yī)療可穿戴設備出現的安全和隱私保護提出了解決方案。Seyedmostafa Safavi[27]等提出了一個概念性的框架，該框架包含了數據隱私內容的范圍、共享對象、知情同意、誤用保障以及數據與技術的透明性等10個原則，數據安全和隱私保護中需要具備的通訊線路、交換相關信息的安全端口、用于醫(yī)療保健用戶身份驗證的安全訪問控制等硬件和交互界面的易用、接受數據的可控性和包含穩(wěn)定和隱私保護的應用程序等9個清單。Roberto Di Pietro[28]提出了手持和可穿戴無線設備的隱私保護模型，指出可穿戴設備應用場景和數據融合的問題，并提出HWW模型和具有保密性、融合性、可用性的安全挑戰(zhàn)與隱私問題，還提出了邏輯邊界機制、匿名用戶識別概念等可能的解決方案。Christopher Wolf[29]等人在其研究中闡述了在互聯網和物聯網發(fā)展與可穿戴設備快速興起中帶來的隱私安全問題，并提出了一個彈性的、重在使用的可穿戴設備范式，并從情境尊重、受益-風險分析、透明性、消除可識別性數據、合理的個人存取、適當的安全性和發(fā)展的行為準則7個方面進行了介紹。此外，還存在設備丟失與被竊等其他可能導致隱私泄露的問題。

3 差異研究

通過對比發(fā)現，國內外對健康醫(yī)療可穿戴設備數據安全與隱私問題的研究存在一定的異同，具體內容如圖1所示。

圖1 國內外相關研究內容異同分析

國內外相關研究提出了政策、法律和倫理規(guī)范的建議，在醫(yī)療可穿戴設備數據隱私保護意識及能力的提升和信息安全技術方面具有一定的相似性，但也存在一定的差異。國內對可穿戴設備存在的系統漏洞、網絡安全問題以及對政策、倫理、法律方面提出了建議，也對互聯互通、隱私保護意識和能力等方面有所關注。國外則較側重隱私保護意識和能力提升的解決方案以及隱私保護框架、范式及模型的構建，并且對法律、倫理問題以及傳感器、技術應用和其他外界因素都有所關注。綜合來看，國外研究問題相對較為具體，多從微觀角度出發(fā)，提出了較為詳細的解決方案，如注重信息離散顯示、增加生物特征識別和遠程自動刪除技術。同時，歐美等發(fā)達國家已經制定了一定的隱私保護法律和倫理規(guī)范，而國內的基礎相對較為薄弱。

4 總結與討論

數據安全與隱私保護的核心問題就是數據，如保護隱私數據是解決健康醫(yī)療可穿戴設備發(fā)展瓶頸的關鍵之一。雖然可穿戴設備數據安全與隱私問題的相關研究已有一定的數量，卻大多針對一般性可穿戴設備，很少將健康醫(yī)療可穿戴設備作為重點分析對象，也沒有將采集的數據與數據整個流動的過程作為隱私問題研究的主要內容。此外，可穿戴設備數據安全與隱私保護問題的研究大多集中在某一層面，特別是技術層面的算法及網絡安全等，對管理、倫理等方面隱私問題討論較少，欠缺整體性和綜合性。

健康醫(yī)療可穿戴設備數據安全與隱私保護的研究應該建立一套系統性、多維度的體系框架，針對數據特點及流動的環(huán)節(jié)設計不同層面的具體保護措施，建立不同類型數據的隱私保護標準，并結合參與的國家政府、行業(yè)生產商、醫(yī)院、第三方參與機構以及個人等不同角色主體應承擔的責任義務，去保障健康醫(yī)療可穿戴設備數據安全與隱私內容。

健康醫(yī)療可穿戴設備發(fā)展迅速，其領域特殊性涉及的數據安全與隱私問題更為復雜，而且直接關乎到個人生命安全甚至國家安全。因而解決這一問題變得更為迫切，需要多方共同參與努力，建立合理且有效的隱私保護機制。