張貝貝

摘 要：文章主要采用文獻(xiàn)述評(píng)的形式，從基本概念、標(biāo)準(zhǔn)規(guī)范、安全管理措施和技術(shù)性保護(hù)措施四個(gè)方面對(duì)電子健康檔案隱私保護(hù)方面的問題進(jìn)行梳理，并提出了自己的建議及對(duì)策。

關(guān)鍵詞：電子健康檔案;隱私保護(hù);對(duì)策建議

一、電子健康檔案（Electronic Health Record， EHR）的相關(guān)概念研究

電子健康檔案也稱電子健康記錄，是指由個(gè)人在進(jìn)行就診時(shí)的一系列醫(yī)療活動(dòng)例如掛號(hào)、體檢、診療、手術(shù)等所涉及到的個(gè)人基本信息、健康信息、化驗(yàn)檢查信息、診斷信息、費(fèi)用信息等，并且這些健康記錄最終所形成了具有生命周期的居民健康檔案。根據(jù)國(guó)家2009年發(fā)布的《健康檔案基本架構(gòu)與數(shù)據(jù)標(biāo)準(zhǔn)（試行）》，健康檔案是居民健康管理（疾病防治、健康保護(hù)、健康促進(jìn)等）過程的規(guī)范、科學(xué)記錄，是以居民個(gè)人健康為核心，貫穿整個(gè)生命過程，涵蓋各種健康相關(guān)因素、實(shí)現(xiàn)多渠道信息動(dòng)態(tài)收集，滿足居民自我保健和健康管理、健康決策需要的信息資源。其主要內(nèi)容主要包括個(gè)人基本信息和主要衛(wèi)生服務(wù)記錄。

電子健康檔案隱私保護(hù)就是從隱私權(quán)的角度采取一些手段（技術(shù)、法律、行業(yè)）對(duì)個(gè)人在進(jìn)行醫(yī)療活動(dòng)時(shí)所涉及到的健康檔案隱私信息進(jìn)行保護(hù)，主要包括患者的姓名、電話、性別、家庭住址等基本信息，患者的病史情況、住院日志等重要信息以及一些特殊病例等敏感信息?？蓮碾[私保護(hù)、患者人格和尊嚴(yán)、立法和司法角度對(duì)電子健康檔案進(jìn)行保護(hù)，從立法和司法角度主要保護(hù)患者對(duì)居民健康檔案信息的控制權(quán)、使用權(quán)、查閱權(quán)、使用權(quán)等，保護(hù)的內(nèi)容主要指一些基本的病歷資料等客觀數(shù)據(jù)和診療記錄、病程記錄、醫(yī)生查房記錄等主觀數(shù)據(jù)。

二、電子健康檔案隱私保護(hù)的法律法規(guī)研究

美國(guó)1996年的《健康保險(xiǎn)流通與責(zé)任法案》（Health Insurance Portability and Accountability Act），對(duì)HIPAA中保護(hù)病人隱私的法律框架和法律標(biāo)準(zhǔn)進(jìn)行了統(tǒng)一描述，現(xiàn)已成為美國(guó)健康信息領(lǐng)域的基本法。歐盟的《數(shù)據(jù)保護(hù)條令GDPR》第8條規(guī)定：有關(guān)種族、血緣、政治傾向、宗教或哲學(xué)信仰、工會(huì)員工、健康或性生活等敏感信息的處理必須經(jīng)過主體的明確同意。我國(guó)的《執(zhí)業(yè)醫(yī)師法》、《傳染病防治法》、《護(hù)士條例》和《侵權(quán)責(zé)任法》等都對(duì)醫(yī)療信息隱私保護(hù)加以介紹。整體上看，國(guó)內(nèi)外學(xué)者對(duì)HIPAA、GDPR等著名法律法規(guī)的研讀比較全面、細(xì)致，少數(shù)文獻(xiàn)還對(duì)其適用范圍、應(yīng)用情況、不足之處進(jìn)行了分析。

目前，我國(guó)尚無(wú)健康檔案隱私保護(hù)方面的專門法律法規(guī)，學(xué)者們大都對(duì)分散在《網(wǎng)絡(luò)安全法》、《信息安全技術(shù)個(gè)人信息安全規(guī)范》中的個(gè)人信息保護(hù)條款進(jìn)行了解讀，并對(duì)其在健康醫(yī)療檔案信息隱私保護(hù)方面的適用性進(jìn)行了分析，但是法律法規(guī)中缺乏詳細(xì)的法律解讀，理論性較強(qiáng)，缺乏可操作性。對(duì)比國(guó)外設(shè)有的專門的健康檔案及健康信息隱私保護(hù)的法律規(guī)范，我國(guó)可以加以借鑒。

三、我國(guó)電子健康檔案隱私保護(hù)研究進(jìn)展及對(duì)策建議

1.電子健康檔案立法建議

在立法保護(hù)原則方面。筆者綜合各個(gè)學(xué)者的建議，提出實(shí)施電子健康檔案隱私保護(hù)應(yīng)該遵循4項(xiàng)原則：檔案信息完整原則、健康檔案機(jī)構(gòu)保密原則、患者知情同意原則、健康檔案信息安全保護(hù)原則。在隱私權(quán)和信息自決權(quán)立法方面。陶愛軍認(rèn)為在制定保護(hù)醫(yī)療信息隱私法規(guī)時(shí)，應(yīng)明晰醫(yī)療信息主體的信息控制權(quán)、賦予醫(yī)療信息主體同意權(quán)、進(jìn)行保密義務(wù)的規(guī)定與完善。陳鑫偉提出在法律中引入廣泛知情同意制度，即患者潛在地同意把他們的樣本、基因數(shù)據(jù)和健康醫(yī)療數(shù)據(jù)儲(chǔ)存在某個(gè)生物樣本庫(kù)或其他監(jiān)管體系，用于未來(lái)研究的過程。基于此，筆者認(rèn)為在制定居民的電子健康檔案隱私法律的過程中，應(yīng)明確居民對(duì)檔案信息的控制權(quán)及使用權(quán)，明確居民的健康檔案信息自決的權(quán)利以及知情同意權(quán)利，未經(jīng)本人允諾，任何人不得擅自收集、傳播、非法利用居民的電子健康檔案信息。

目前為止，我國(guó)仍然沒有建立關(guān)于電子健康檔案信息保護(hù)的成文法律，越來(lái)越多的學(xué)者主張建立我國(guó)的居民健康信息保護(hù)法?；诖耍赏ㄟ^兩個(gè)方面進(jìn)行立法，一是權(quán)力機(jī)關(guān)立法，通過借鑒國(guó)外的議會(huì)立法，我國(guó)可出臺(tái)一部整體完善的人大立法作為主干法，立法可從患者的人格權(quán)、隱私權(quán)以及知情同意角度出發(fā)。二是加強(qiáng)完善行政立法，即政府制定相應(yīng)的行政法規(guī)和規(guī)章作為我國(guó)法律的枝葉法和補(bǔ)充法，完善我國(guó)電子健康檔案隱私法律保護(hù)。

2.電子健康檔案隱私保護(hù)監(jiān)管措施

除了法律之外，在電子健康領(lǐng)域，有效完善的監(jiān)管措施也有利于保護(hù)健康檔案信息。筆者主要從以下幾個(gè)方面進(jìn)行闡述，第一是成立第三方組織進(jìn)行監(jiān)管。趙蓉認(rèn)為可以引導(dǎo)和培育成立社會(huì)第三方組織，接受政府委托承擔(dān)保護(hù)個(gè)人隱私安全的準(zhǔn)公共職能，加強(qiáng)個(gè)人數(shù)據(jù)隱私安全監(jiān)測(cè)監(jiān)管，建立誠(chéng)信檔案或信用評(píng)估記錄。而且該三方組織必須是經(jīng)過國(guó)家有關(guān)部門認(rèn)定、推薦的，具有安全性。第二是構(gòu)建相應(yīng)的監(jiān)督制度，大部分學(xué)者都認(rèn)為應(yīng)該把居民健康檔案信息的隱私級(jí)別劃分為0、1、2、3等級(jí)，然后賦予居民相應(yīng)的權(quán)限，居民可根據(jù)自己的等級(jí)權(quán)限進(jìn)行訪問與使用，其他人若想訪問，需要征求本人的同意并且輸入密碼、進(jìn)行身份認(rèn)證。朱曉卓提出根據(jù)不同的隱私敏感性，對(duì)電子健康檔案中的內(nèi)容設(shè)定安全級(jí)別，對(duì)使用者進(jìn)行不同限制， 根據(jù)使用權(quán)限確定不同使用對(duì)象， 滿足不同的需求。第三是設(shè)立嚴(yán)格的懲罰制度。對(duì)于泄露健康檔案信息的人員根據(jù)情節(jié)的嚴(yán)重性收取一定的違規(guī)處罰金、嚴(yán)重的可追加刑事責(zé)任，對(duì)于違法機(jī)構(gòu)或者是企業(yè)，可吊銷其營(yíng)業(yè)執(zhí)照，情節(jié)嚴(yán)重的可予以曝光。

目前的研究表明監(jiān)管制度是研究較多，也是較為完善的，具有很強(qiáng)的理論性，但是醫(yī)院并未建立相應(yīng)的監(jiān)督機(jī)制和措施，隱私泄露的現(xiàn)象還是時(shí)有發(fā)生。在筆者看來(lái)，政府和醫(yī)療機(jī)構(gòu)以及第三方之間應(yīng)該相互配合，建立健全相關(guān)安全管理監(jiān)督制度，加強(qiáng)技術(shù)安全體系的應(yīng)用，此外，第三方醫(yī)療機(jī)構(gòu)也應(yīng)該建立管理規(guī)范，在醫(yī)療信息共享的過程中，對(duì)不同角色的用戶設(shè)置不同的訪問權(quán)限，尤其是針對(duì)醫(yī)療類敏感信息。

3.行業(yè)自律

在電子健康檔案信息領(lǐng)域，僅僅有法律、技術(shù)的保護(hù)是不夠的，也可以采取一些其他的措施，比如行業(yè)自律，主要包括以下3個(gè)方面。第一是對(duì)行業(yè)人才進(jìn)行培養(yǎng)。林眾等認(rèn)為主要加強(qiáng)從業(yè)人員的隱私保護(hù)意識(shí)培養(yǎng)和專業(yè)素質(zhì)教育，建立以制度為導(dǎo)向、以技術(shù)為切入點(diǎn)的全方位系統(tǒng)監(jiān)控體系，針對(duì)特定人群實(shí)施重點(diǎn)監(jiān)控。除此之外，還有學(xué)者提出醫(yī)院應(yīng)該設(shè)置嚴(yán)格的規(guī)章制度來(lái)對(duì)醫(yī)院機(jī)構(gòu)的內(nèi)部員工進(jìn)行一定的約束，對(duì)于違反規(guī)章制度的可根據(jù)監(jiān)管措施進(jìn)行相應(yīng)的處罰。第二是制定行業(yè)規(guī)范，并且該行業(yè)規(guī)范具有一定的權(quán)威性可實(shí)施性。郝曉霞認(rèn)為健康醫(yī)療領(lǐng)域患者信息保護(hù)相關(guān)的行業(yè)規(guī)范應(yīng)該由行業(yè)中具備業(yè)務(wù)經(jīng)驗(yàn)以及法律知識(shí)的專業(yè)人士制定，制定中應(yīng)當(dāng)廣泛征求本行業(yè)其他人士的意見，做到公開、透明、民主。第三是提升居民的健康信息意識(shí)。岑露提出我國(guó)電子健康檔案居民隱私保護(hù)意識(shí)的培養(yǎng)應(yīng)該首先在居民就診的衛(wèi)生機(jī)構(gòu)宣傳電子健康檔案的相關(guān)內(nèi)容，其次，居民在系統(tǒng)中為醫(yī)師、親友設(shè)置查看的權(quán)限，并在電子健康檔案系統(tǒng)設(shè)計(jì)階段，建立系統(tǒng)意見反饋機(jī)制。王天屹等提出要提升患者對(duì)個(gè)人隱私信息泄漏的防護(hù)意識(shí)，并指出患者不應(yīng)向醫(yī)務(wù)工作者提供與診療無(wú)關(guān)的個(gè)人信息，提醒醫(yī)務(wù)工作者對(duì)所掌握的醫(yī)療數(shù)據(jù)信息進(jìn)行保密，在個(gè)人醫(yī)療數(shù)據(jù)隱私遭到侵犯或泄漏時(shí)，積極主動(dòng)地通過法律途徑維護(hù)自己合法權(quán)益。

綜合來(lái)看，現(xiàn)有研究所提出的對(duì)內(nèi)部工作人員的規(guī)范主要是對(duì)他們進(jìn)行培訓(xùn)教育，但缺乏切實(shí)可行的培訓(xùn)機(jī)制。專家們所提出的醫(yī)療行業(yè)相關(guān)標(biāo)準(zhǔn)也不能像法律一樣具有明顯的規(guī)范、震懾作用?；诖?，筆者認(rèn)為，一是主要加強(qiáng)從業(yè)人員的隱私保護(hù)意識(shí)和素養(yǎng)，對(duì)行業(yè)人員進(jìn)行定期的培訓(xùn)及教育，建立健全人才培養(yǎng)機(jī)制和規(guī)章制度;二是醫(yī)療行業(yè)制定完善的由國(guó)家和政府監(jiān)督實(shí)施的行業(yè)規(guī)范，完善其行業(yè)體系，對(duì)違規(guī)人員進(jìn)行嚴(yán)厲的處罰;三是醫(yī)療機(jī)構(gòu)可建立電子健康檔案醫(yī)療信息共享平臺(tái)，并向信息主體推送與個(gè)人健康信息相關(guān)的消息，提升他們的自我保護(hù)意識(shí)。

4.技術(shù)性措施

目前，關(guān)于電子健康醫(yī)療信息的隱私保護(hù)措施主要有四種：數(shù)據(jù)匿名、數(shù)據(jù)加密、訪問控制、跨系統(tǒng)隱私保護(hù)，數(shù)據(jù)溯源正處于起步研究階段。

數(shù)據(jù)匿名是指通過對(duì)數(shù)據(jù)的去標(biāo)識(shí)化來(lái)保護(hù)患者的隱私信息。荊學(xué)士提出了（α1，α2，α3）-Sensitive K-匿名模型，即結(jié)合專家建議將疾病根據(jù)敏感度的不同劃分成不同的分組，然后針對(duì)各個(gè)分組提供不同程度的保護(hù)，解決了一致性攻擊問題。數(shù)據(jù)加密，是指通過加密算法和加密密鑰將明文轉(zhuǎn)變?yōu)槊芪?，?shí)現(xiàn)信息隱蔽，從而起到保護(hù)備份或者長(zhǎng)期存儲(chǔ)的數(shù)據(jù)，起到信息安全的作用。黃婧建議開發(fā)數(shù)據(jù)隔離機(jī)制來(lái)保證用戶之間的數(shù)據(jù)不可見，并提出分離表架構(gòu)、共享表架構(gòu)、分離數(shù)據(jù)庫(kù)架構(gòu)等隔離技術(shù)，有效地實(shí)現(xiàn)了信息的去標(biāo)識(shí)化。

訪問控制，主要包括身份認(rèn)證、控制策略和安全審計(jì)。身份認(rèn)證，通常將患者的身份編輯一個(gè)卡號(hào)，這個(gè)卡可以是虛擬的或者是實(shí)體的，主要是用來(lái)確認(rèn)用戶身份，保證系統(tǒng)用戶具有合法的身份?？刂撇呗?，是指在身份認(rèn)證的基礎(chǔ)上，對(duì)用戶賦予不同等級(jí)的角色，根據(jù)提出的訪問請(qǐng)求加以控制。陳玉鳳等提出將患者的數(shù)據(jù)按照隱私級(jí)別（0級(jí)、1級(jí)、2級(jí)）進(jìn)行分類存儲(chǔ);然后根據(jù)查詢的內(nèi)容形成一個(gè)動(dòng)態(tài)樹的結(jié)構(gòu)從而快速計(jì)算出信息搜索的級(jí)別;最后，根據(jù)不同的授權(quán)模式獲得相應(yīng)的信息。安全審計(jì)，是指按照一定的安全策略，根據(jù)患者的診療活動(dòng)信息，審查和檢驗(yàn)整個(gè)診療活動(dòng)中的安全信息，發(fā)現(xiàn)漏洞的一系列過程。安全審計(jì)的目的是形成審計(jì)報(bào)告，從而有利于分析數(shù)據(jù)中存在不正當(dāng)?shù)幕顒?dòng)，從而追蹤溯源，查漏補(bǔ)缺。

跨系統(tǒng)隱私保護(hù)，是指在不同的系統(tǒng)之間共享健康醫(yī)療信息，為用戶提供高度透明且安全的服務(wù)。任延輝提出一種基于區(qū)塊鏈的醫(yī)療信息隱私保護(hù)和共享方案、權(quán)威時(shí)間分發(fā)與同步方案，可有效保證個(gè)人健康醫(yī)療信息在不同系統(tǒng)之間共享時(shí)的安全性。梅穎結(jié)合區(qū)塊鏈技術(shù)和云存儲(chǔ)技術(shù)，提出了“健康鏈”來(lái)實(shí)現(xiàn)分布式的個(gè)人醫(yī)療記錄安全存儲(chǔ)和共享，可以很好地做到防篡改、隱私保護(hù)以及安全存儲(chǔ)。數(shù)據(jù)溯源，根據(jù)個(gè)人數(shù)據(jù)產(chǎn)生的數(shù)據(jù)流信息，在發(fā)生個(gè)人信息泄露時(shí)，追蹤個(gè)人數(shù)據(jù)的演變情況。殷建立等人提出構(gòu)建由溯源管理模式、技術(shù)支撐體系、政策法規(guī)保障體系及追蹤溯源管理平臺(tái)等構(gòu)成的溯源管理體系，可實(shí)現(xiàn)個(gè)人數(shù)據(jù)的追蹤溯源，解決個(gè)人數(shù)據(jù)的隱私保護(hù)。

綜合來(lái)看，現(xiàn)有研究主要采取數(shù)據(jù)匿名、數(shù)據(jù)加密、訪問控制、跨系統(tǒng)隱私保護(hù)四個(gè)方面的技術(shù)性措施對(duì)個(gè)人健康醫(yī)療信息進(jìn)行隱私保護(hù)，數(shù)據(jù)追溯目前還處于起步研究階段。因此，數(shù)據(jù)匿名主要包括對(duì)原始數(shù)據(jù)的去標(biāo)識(shí)化，可以保證數(shù)據(jù)的準(zhǔn)確性，但安全系數(shù)較低;數(shù)據(jù)加密能夠很好的保證數(shù)據(jù)的準(zhǔn)確性和安全性，代價(jià)太大;訪問控制技術(shù)主要包括基于角色的訪問控制，由于效率較高、應(yīng)用范圍廣，因此也是目前為止研究最多的，但靈活性相對(duì)較差;在跨系統(tǒng)隱私保護(hù)中，使用區(qū)塊鏈技術(shù)可以實(shí)現(xiàn)醫(yī)療信息的安全共享，但由于是不同系統(tǒng)之間的共享，所以系統(tǒng)間的兼容性較差;數(shù)據(jù)追溯在醫(yī)療信息領(lǐng)域的研究較少。因此，筆者建議在數(shù)據(jù)采集生成過程中對(duì)信息進(jìn)行有效的去標(biāo)識(shí)化，隱藏隱私敏感類信息;其次是采取加密算法對(duì)信息進(jìn)行保存，構(gòu)建一個(gè)實(shí)用的隱私保護(hù)系統(tǒng)進(jìn)行數(shù)據(jù)的共享與利用。

四、結(jié)語(yǔ)

醫(yī)療信息化使得電子健康信息隱私泄露問題日益突出，我們必須加以重視。對(duì)信息的保護(hù)問題還是要從源頭出發(fā)，綜合各個(gè)學(xué)者的觀點(diǎn)，筆者認(rèn)為，可以構(gòu)建法律規(guī)范-隱私監(jiān)管-技術(shù)措施的框架體系，用主干法枝葉法去構(gòu)建完善我國(guó)的電子健康檔案保護(hù)法，筆者認(rèn)為該法律應(yīng)具有嚴(yán)重的懲罰力度;其次構(gòu)建統(tǒng)一的電子健康檔案信息服務(wù)平臺(tái)，加強(qiáng)管理工作人員的培訓(xùn)以及素質(zhì)教育工作，加強(qiáng)信息主體對(duì)信息的防范和保護(hù)意識(shí);明確數(shù)據(jù)采集、生成、存儲(chǔ)、處理分析及應(yīng)用過程中技術(shù)手段的配合及使用，提升醫(yī)療信息系統(tǒng)、移動(dòng)醫(yī)療設(shè)備的安全性，建立并完善跨系統(tǒng)隱私保護(hù)系統(tǒng)，注重跨機(jī)構(gòu)之間的共享與利用以及數(shù)據(jù)的可追溯。目前為止，區(qū)塊鏈技術(shù)還未完全應(yīng)用到醫(yī)療領(lǐng)域，也是今后要研究的重點(diǎn)。

參考文獻(xiàn)：

[1]陶愛軍.論個(gè)人醫(yī)療信息的隱私保護(hù)[D].重慶：西南政法大學(xué)，2010

[2]陳鑫偉.健康醫(yī)療可穿戴設(shè)備對(duì)個(gè)人健康醫(yī)療信息保護(hù)的挑戰(zhàn)[J].中國(guó)醫(yī)學(xué)倫理學(xué)，2018

[3]趙 蓉，何 萍.醫(yī)療大數(shù)據(jù)應(yīng)用中的個(gè)人隱私保護(hù)體系研究[J].中國(guó)衛(wèi)生信息管理雜志，2016

[4]朱曉卓.論電子健康檔案的隱私特性及保護(hù)[J].中國(guó)衛(wèi)生事業(yè)管理，2014

[5]林 眾，徐建清，繆 偉.互聯(lián)網(wǎng)醫(yī)療中的信息安全和隱私保護(hù)對(duì)策研究[J].中國(guó)衛(wèi)生監(jiān)督雜志，2018

[6]郝曉霞.論電子醫(yī)療的患者信息保護(hù)[D].山東：山東大學(xué)，2018

[7]岑 露.電子健康檔案隱私保護(hù)研究[D].湖北：湖北大學(xué)，2018

[8]王天屹，劉愛萍.大數(shù)據(jù)環(huán)境下醫(yī)療數(shù)據(jù)隱私保護(hù)對(duì)策研究[J].網(wǎng)絡(luò)與信息安全，2019

[9]荊學(xué)士.論個(gè)人醫(yī)療信息的隱私保護(hù)[D].成都：電子科技大學(xué)，2017

[10]黃 婧，王云光，皮冰斌.健康醫(yī)療大數(shù)據(jù)的安全保障技術(shù)研究[J].計(jì)算機(jī)時(shí)代，2018

[11]陳玉鳳，林 永.醫(yī)療信息隱私保護(hù)中授權(quán)訪問控制的方法研究[J].中國(guó)衛(wèi)生信息管理，2018

[12]任延輝.一種基于區(qū)塊鏈的醫(yī)療信息隱私保護(hù)和共享方案[D].陜西：西安電子科技大學(xué)，2019

[13]梅 穎.安全存儲(chǔ)醫(yī)療記錄的區(qū)塊鏈方法研究[J].江西師范大學(xué)學(xué)報(bào)（自然科學(xué)版），2017

[14]殷建立，王 忠.大數(shù)據(jù)環(huán)境下個(gè)人數(shù)據(jù)溯源管理體系研究[J].情報(bào)科學(xué)，2016

（作者單位：鄭州大學(xué)信息管理學(xué)院）