韓曉曉 劉 迅 崇雨田 文賢慶 孫保學(xué) 胡曉萌

截至2019年，我國心腦血管疾病、癌癥、慢性呼吸系統(tǒng)疾病、糖尿病等慢性非傳染性疾病導(dǎo)致的死亡人數(shù)占已達(dá)到總死亡人數(shù)的88%，由此導(dǎo)致的疾病負(fù)擔(dān)也占到總疾病負(fù)擔(dān)的70%以上，成為普遍影響我國居民健康的主要疾病和制約健康預(yù)期壽命提高的重要因素[1]。然而，伴隨著大數(shù)據(jù)、人工智能等信息技術(shù)的大規(guī)模應(yīng)用，醫(yī)療健康領(lǐng)域越來越成為應(yīng)用大數(shù)據(jù)變革最有效的領(lǐng)域之一。尤其對于慢性病而言，起病隱匿，病因復(fù)雜，病程長且病情遷延不愈，缺乏確切的傳染性生物病因證據(jù)，十分契合大數(shù)據(jù)技術(shù)關(guān)注數(shù)據(jù)總體性、相關(guān)性和模糊性等特點。把大數(shù)據(jù)技術(shù)運用到慢性病治療中，不僅可以對患者病情進行有效觀察和整理，而且可以通過有價值的數(shù)據(jù)分析做好疾病預(yù)防和救治規(guī)劃，從而既降低病患及其家屬的醫(yī)療健康成本，也有利于國家和社會節(jié)約資源成本。不但如此，通過大數(shù)據(jù)技術(shù)收集有關(guān)慢性病的數(shù)據(jù)，也有助于疾病預(yù)防控制中心了解慢性病患者的健康風(fēng)險程度、了解慢性病如何影響全國各地的人、了解地方公共衛(wèi)生干預(yù)措施的情況，從而更好地制定預(yù)防保健措施、監(jiān)控預(yù)防工作的進度[2]，幫助公共衛(wèi)生專業(yè)人員和決策者做出更及時、更有效的決策。

然而，醫(yī)療健康大數(shù)據(jù)極具敏感性，隨時可能遭受巨大的隱私和安全風(fēng)險。2021年1月1日正式實施的《中華人民共和國民法典》，更是明確了公民享有隱私權(quán)[3]。如何在確保安全和保護患者隱私權(quán)的前提下對數(shù)據(jù)進行開發(fā)利用是一項艱巨的任務(wù)。無論對醫(yī)學(xué)科學(xué)多么有用，對醫(yī)療機構(gòu)多么重要，大數(shù)據(jù)都必須在解決好安全和隱私問題的前提下進行使用。正是基于此，我們試圖編制《臨床研究中慢性病患者數(shù)據(jù)隱私和安全保護的倫理共識》(以下簡稱《共識》)?！豆沧R》保護的對象是臨床研究數(shù)據(jù)，而慢性病數(shù)據(jù)庫主要由慢性病臨床數(shù)據(jù)構(gòu)成，因此全文對受試者和患者不做區(qū)分，統(tǒng)一表述為慢性病患者數(shù)據(jù)。我們希望能夠給慢性病數(shù)據(jù)庫的建設(shè)者、管理者、慢性病從業(yè)者和科研工作者等提供合乎倫理道德、合乎法律法規(guī)的行動指導(dǎo)和決策支持；我們希望能為慢性病患者數(shù)據(jù)管理實踐提供參考；我們希望能為履行和實現(xiàn)保護慢性病患者數(shù)據(jù)隱私和安全目標(biāo)而采取的政策主張及實施方案提供基礎(chǔ)。

《共識》首先重點考慮生命倫理學(xué)四大經(jīng)典原則和個人數(shù)據(jù)保護的倫理原則，進而細(xì)化制定慢性病患者數(shù)據(jù)隱私和安全保護的倫理原則；其次，結(jié)合國家相關(guān)法律法規(guī)的規(guī)定，基于數(shù)據(jù)全生命周期對慢性病患者數(shù)據(jù)隱私和安全保護提出具體要求；再次，按照國際通用做法和我國國家技術(shù)標(biāo)準(zhǔn)的要求，制定慢性病患者數(shù)據(jù)隱私和安全保護的技術(shù)手段和技術(shù)要求；最后嘗試提出慢性病患者數(shù)據(jù)隱私和安全保護的管理制度構(gòu)建。

1 倫理原則

人是倫理的主體，作為主體的人在根本上是自由的，自由是其它一切價值的根本，保證和捍衛(wèi)人的自由權(quán)利和行使自由的能力是一切倫理原則最根本的理由。自由的個體天然地追求自身利益的滿足，對自身利益的維護是一切倫理原則的出發(fā)點。人是社會性的主體，自由的個體在社會中相互聯(lián)合，每個個體都捍衛(wèi)自己的自由和利益，盡可能地不傷害個體的自由和利益是倫理考量的要點。為解決可能發(fā)生的自由與自由之間的沖突，利益追求與利益追求之間的沖突，我們需要普遍性的道德規(guī)范原則，這種規(guī)范原則首先表現(xiàn)為程序正義原則。保證平等的個人自由、個人利益的互惠、不傷害原則和普遍的正義程序構(gòu)成倫理考量的基礎(chǔ)，這也即生命倫理學(xué)經(jīng)典的四大原則：尊重自主原則、不傷害原則、有利原則、公正原則[4]。慢性病患者數(shù)據(jù)隱私和安全保護是較為特殊的場景，結(jié)合這一特殊場景，本《共識》制定了如下倫理原則：

1.1 尊重自主原則

尊重他人、視他人為具有自身目的的利益主體?；谧鹬刈灾髟瓌t，關(guān)聯(lián)于數(shù)據(jù)隱私和安全，對慢性病患者數(shù)據(jù)的管理規(guī)定、隱私政策、以及在收集處理慢性病數(shù)據(jù)過程中發(fā)生的所有相關(guān)行為應(yīng)該透明、具備可理解性，要完全符合普遍性的實體程序的規(guī)定，要讓慢性病利益相關(guān)者享有程序公平，并充分尊重慢性病患者的個人自主意愿。

1.2 不傷害原則

不合法地收集患者數(shù)據(jù)、未經(jīng)授權(quán)地使用、披露或訪問患者數(shù)據(jù)，可能會對患者造成人格尊嚴(yán)、身體和精神、經(jīng)濟、政治等多方面的風(fēng)險，在數(shù)據(jù)全生命周期中進行收集、存儲、使用等方法時應(yīng)該進行無傷害識別和風(fēng)險評估。

1.3 有利原則

在正當(dāng)收集、使用、共享慢性病患者數(shù)據(jù)的全過程中，應(yīng)當(dāng)始終堅持增進慢性病患者和可能的慢性病患者利益的立場。例如，數(shù)據(jù)的收集應(yīng)基于必需的醫(yī)療保健或健康研究。

1.4 公正原則

根據(jù)一個人的義務(wù)或應(yīng)得而給予公平、平等和恰當(dāng)?shù)膶Υ?。慢性病患者?yīng)享有被平等對待的人格權(quán)，享有被治療的平等機會，也享有數(shù)據(jù)隱私和安全被平等保護的權(quán)利。

1.5 關(guān)懷原則

應(yīng)當(dāng)同情、關(guān)懷和幫助患者，給患者以更多的愛心和寬容?；诼圆』颊咦鳛樘厥馊后w的身份，主張關(guān)懷原則，在制度改變時主張制度改變的方向最有利于慢性病患者。

1.6 準(zhǔn)確性原則

準(zhǔn)確和完整的數(shù)據(jù)可以為患者提供良好的醫(yī)療保健，對慢性病科研也至關(guān)重要。如果使用不正確、不完整的數(shù)據(jù)，則會產(chǎn)生錯誤結(jié)論，對患者帶來許多風(fēng)險。因此，應(yīng)當(dāng)采取合理適當(dāng)?shù)拇胧┍ＷC收集的數(shù)據(jù)真實、準(zhǔn)確，并且對數(shù)據(jù)保持實時更新。同時，也應(yīng)保障患者修改、糾正以及刪除不準(zhǔn)確、不完整、不必要數(shù)據(jù)的權(quán)利。

1.7 最小必要原則

第一，在對慢性病患者個人數(shù)據(jù)進行數(shù)據(jù)收集時，只應(yīng)基于臨床研究的正當(dāng)目的采集相關(guān)的、最少數(shù)量和最低頻率的數(shù)據(jù)量，應(yīng)避免過度采集與該研究無關(guān)的數(shù)據(jù)，最大限度保障個人隱私和自由。在數(shù)據(jù)的共享和訪問中，也應(yīng)當(dāng)對數(shù)據(jù)共享數(shù)量和人員訪問數(shù)量做出最小必要的限制和規(guī)定；第二，收集和使用數(shù)據(jù)的目的應(yīng)當(dāng)遵從最小必要原則，收集的慢性病患者個人數(shù)據(jù)的類型應(yīng)與臨床研究有直接關(guān)聯(lián)，直接關(guān)聯(lián)是指沒有上述慢性病患者個人數(shù)據(jù)的參與，該研究無法開展或?qū)崿F(xiàn)。

1.8 知情同意原則

知情同意原則是尊重自主原則的衍生原則，旨在更為細(xì)致明確地采取必要措施以確保在建立慢性病患者數(shù)據(jù)庫時獲得患者有效的知情同意。包括但不限于：向慢性病的利益相關(guān)者提供全面、準(zhǔn)確和有助于他們做出理性決定所需的信息，幫助他們真正理解所提供的信息，以及他們在做出同意的決定時是完全自愿的、自由的，而沒有受到強迫和不當(dāng)引誘，最大限度保障個人利益；在與第三方共享數(shù)據(jù)時，數(shù)據(jù)庫管理者與第三方都需要遵守和滿足數(shù)據(jù)共享政策中的知情同意和具體的注意事項要求。

1.9 數(shù)據(jù)安全原則

慢性病患者數(shù)據(jù)庫管理者有義務(wù)和責(zé)任對慢性病患者的數(shù)據(jù)從制度、技術(shù)、運算、存儲、傳輸、產(chǎn)品和服務(wù)方面提供安全保障。數(shù)據(jù)安全保護應(yīng)當(dāng)防止不當(dāng)披露、使用、拷貝或共享，防止未經(jīng)授權(quán)的惡意篡改、銷毀或黑客入侵攻擊。對數(shù)據(jù)訪問應(yīng)做嚴(yán)格限制，只允許授權(quán)人員訪問。慢性病患者數(shù)據(jù)庫管理者在收集、使用和共享數(shù)據(jù)時，也應(yīng)評估安全風(fēng)險；應(yīng)按照國家法律法規(guī)建立應(yīng)急事件處置機制，以及時響應(yīng)數(shù)據(jù)安全事故時，并且對違反安全規(guī)定的相關(guān)責(zé)任人做出處理措施。

1.10 數(shù)據(jù)隱私保護原則

對慢性病患者的相關(guān)數(shù)據(jù)信息應(yīng)該根據(jù)處理目的、方式、種類以及對個人的影響、可能存在的安全風(fēng)險等，采取必要措施確保對個人信息的處理符合法律法規(guī)的規(guī)定，并防止未經(jīng)授權(quán)的訪問及個人信息被泄露、竊取、篡改和刪除等。對慢性病患者的相關(guān)數(shù)據(jù)實行分級分類管理；采取相應(yīng)的加密、去標(biāo)識化等安全措施；存儲和傳輸患者信息應(yīng)采用第三方安全技術(shù)；提高醫(yī)護人員對患者病歷保管的安全性，不隨意篡改、共享、傳輸、刪除患者的醫(yī)療數(shù)據(jù)；在防病治病中應(yīng)當(dāng)保守醫(yī)療秘密；不對外泄露患者的隱私及疾病情況；不隨意泄露患者為醫(yī)療需要而提供的個人秘密等。

2 基于數(shù)據(jù)全生命周期的慢性病患者數(shù)據(jù)隱私和安全保護

臨床研究中慢性病患者的數(shù)據(jù)涉及醫(yī)療和健康生理信息，屬于個人敏感信息。根據(jù)《信息安全技術(shù) 個人信息安全規(guī)范》(2020年版)，這類信息“一旦泄露、非法提供或濫用可能危害人生和財產(chǎn)安全，極易導(dǎo)致個人名譽、身心健康受到損害或歧視性待遇等”[5]。目前，在臨床研究中，采用數(shù)據(jù)全生命周期的理論框架規(guī)制醫(yī)療大數(shù)據(jù)的流轉(zhuǎn)已經(jīng)獲得共識。2016年，國際醫(yī)學(xué)科學(xué)組織理事會(Council for International Organizations of Medical Sciences,CIOMS)重新修訂發(fā)布的《涉及人的健康相關(guān)研究國際倫理準(zhǔn)則》，關(guān)于健康相關(guān)研究數(shù)據(jù)的準(zhǔn)則也大致采用“收集、存儲和使用”的數(shù)據(jù)全生命周期框架[6]。這種總體框架要求數(shù)據(jù)處理機構(gòu)在數(shù)據(jù)的收集、存儲、使用、共享/轉(zhuǎn)讓、公開和刪除等全過程做好監(jiān)控和管理，通過有效地數(shù)據(jù)管理確?；颊叩臄?shù)據(jù)安全和隱私權(quán)利得到尊重和保護。

目前，一些國家建設(shè)的慢性病數(shù)據(jù)庫(Chronic Conditions Data Warehouse，CCW)遵循數(shù)據(jù)安全生命周期模型，用于識別、評估、保護和監(jiān)測患者數(shù)據(jù)安全威脅。徐蕾(Lei Xu)等[7]學(xué)者對大數(shù)據(jù)環(huán)境尤其是數(shù)據(jù)挖掘過程進行階段劃分，區(qū)分使用者的四種不同類型或角色：數(shù)據(jù)提供者、數(shù)據(jù)收集器、數(shù)據(jù)挖掘者和決策者；亞贊·阿斯博(Yazan Alshboul)等[8]提出“大數(shù)據(jù)安全生命周期”(Big Data Security Lifecycle)的模型，并將其分為四個階段：數(shù)據(jù)收集階段、數(shù)據(jù)存儲階段、數(shù)據(jù)處理和分析階段、知識創(chuàng)造階段；哈亞特·哈羅費(Hayat Khaloufi)等[9]提出在醫(yī)療保健領(lǐng)域的大數(shù)據(jù)安全生命周期的模型，提供了策略和機制，以確保大數(shù)據(jù)生命周期的每個階段解決威脅和攻擊。基于以上劃分標(biāo)準(zhǔn)，本共識將臨床研究中慢性病患者數(shù)據(jù)全生命周期劃分為六個階段：

2.1 數(shù)據(jù)收集階段

臨床研究中慢性病患者數(shù)據(jù)全生命周期的起點是患者基本醫(yī)療健康數(shù)據(jù)的最初收集，它包括從不同來源、以不同格式收集的各類數(shù)據(jù)。這種收集是獲得慢性病患者數(shù)據(jù)控制權(quán)的行為，因此臨床研究的組織和機構(gòu)屬于個人數(shù)據(jù)的控制者。這些個人數(shù)據(jù)既包括患者自己主動提供的個人健康數(shù)據(jù)，也包括與各類智能醫(yī)療器械或設(shè)備進行交互所產(chǎn)生的病歷數(shù)據(jù)，還包括在不同法人主體之間進行共享、轉(zhuǎn)讓等流轉(zhuǎn)以及加工處理的數(shù)據(jù)。

臨床研究的數(shù)據(jù)收集者要履行告知義務(wù)，充分尊重慢性病患者的知情權(quán)，獲得授權(quán)同意；遵循公開、透明的原則，明示個人信息處理規(guī)則，規(guī)范采集方式，限定采集內(nèi)容；保護患者隱私，尤其要防止患者數(shù)據(jù)在數(shù)據(jù)庫中被精準(zhǔn)識別；除特殊要求外，慢性病患者數(shù)據(jù)必須進行加密處理；行使工作問責(zé)制，建立相應(yīng)的管理規(guī)則，確保只從可信任的來源收集患者數(shù)據(jù)。除非出于絕對必要的臨床研究目的，禁止收集不必要的數(shù)據(jù)、潛藏較大風(fēng)險的數(shù)據(jù)、受保護的健康數(shù)據(jù)以及其他敏感數(shù)據(jù)。

2.2 數(shù)據(jù)存儲階段

對于臨床研究中以數(shù)字格式進行物理存儲的各類數(shù)據(jù)，數(shù)據(jù)控制者要明確存儲時間和存儲期限，做到存儲時間最小化，要在慢性病患者授權(quán)使用其個人數(shù)據(jù)的最短時間內(nèi)完成許可范圍內(nèi)的目標(biāo)。臨床研究中慢性病患者數(shù)據(jù)的存儲要進行即時的去標(biāo)識化處理；患者的個人身份信息、去標(biāo)識化后的信息和可恢復(fù)識別的數(shù)據(jù)進行分開存儲，設(shè)置嚴(yán)格的訪問和使用的權(quán)限管理。

臨床研究中慢性病患者數(shù)據(jù)的存儲和傳輸要按照國家標(biāo)準(zhǔn)進行加密處理。除法律規(guī)定的特殊情形外，數(shù)據(jù)控制者只存儲個人生物識別信息的摘要信息，不應(yīng)存儲原始的個人生物識別信息(如樣本、圖像等)。臨床研究中的數(shù)據(jù)控制者在終端設(shè)備上采集的慢性病患者的面部特征、指紋、掌紋、虹膜等個人生物識別信息，在完成信息比對、識別等特定目的后，要按照要求刪除新收集的生物識別數(shù)據(jù)，只存儲摘要信息和使用記錄。

2.3 數(shù)據(jù)使用階段

臨床研究中使用慢性病患者的數(shù)據(jù)要執(zhí)行嚴(yán)格的訪問控制。數(shù)據(jù)控制機構(gòu)要建立患者數(shù)據(jù)保護責(zé)任人或工作機制，堅持最小授權(quán)的訪問控制策略，堅持各類數(shù)據(jù)的管理、操作、審計角色分離；修改、拷貝和下載等重要操作要符合審計規(guī)章要求，并保留詳細(xì)的操作記錄；在特殊情形中，如需授權(quán)特定人員超越權(quán)限的操作，需要遵循內(nèi)部審批程序批準(zhǔn)，并進行詳細(xì)登記。

在臨床研究中，慢性病患者數(shù)據(jù)的機構(gòu)不應(yīng)使用超出與收集時所聲稱的目的之外的個人數(shù)據(jù)，更不能在未經(jīng)患者授權(quán)的情況下對其進行深度的價值挖掘。出于臨床研究目，需要對慢性病患者的個人數(shù)據(jù)進行對外展示時，數(shù)據(jù)使用者需要再次征得患者本人的明示同意，并進行去標(biāo)識化處理，防止展示環(huán)節(jié)的信息泄露，避免根據(jù)用戶畫像精確定位到特定個人。

2.4 數(shù)據(jù)共享或轉(zhuǎn)讓階段

在臨床研究中，慢性病患者數(shù)據(jù)的共享或轉(zhuǎn)讓要高度重視風(fēng)險，并有切實有效的防止數(shù)據(jù)泄露的措施。數(shù)據(jù)控制者不僅要對共享的安全性進行事先評估，還要告知患者共享或轉(zhuǎn)讓的目的、數(shù)據(jù)類型、數(shù)據(jù)接收方的安全能力以及可能產(chǎn)生的后果，必須征得患者的明示同意才可以共享或轉(zhuǎn)讓患者的個人數(shù)據(jù)。數(shù)據(jù)控制者在共享或轉(zhuǎn)讓數(shù)據(jù)時，要通過有效合同等合法方式明確數(shù)據(jù)接收方的權(quán)利、責(zé)任和義務(wù)，準(zhǔn)確記錄共享和轉(zhuǎn)讓的基本情況，包括日期、規(guī)模、目的、用途和相關(guān)責(zé)任人等。

慢性病患者的個人數(shù)據(jù)具有長期性和穩(wěn)定性特征，這使得臨床研究中的脫敏數(shù)據(jù)更容易被重新識別。這些數(shù)據(jù)在公開、共享或轉(zhuǎn)讓之前，要經(jīng)過相應(yīng)的倫理委員會的審核同意[10]。除了法律規(guī)定的一些特殊情形外，涉及患者個人生物識別信息的原始數(shù)據(jù)原則上不能共享或轉(zhuǎn)讓。在臨床研究中，數(shù)據(jù)控制者在共享或轉(zhuǎn)讓患者個人數(shù)據(jù)時，因管理疏漏而發(fā)生信息安全事件，對患者的合法權(quán)益構(gòu)成損害的，數(shù)據(jù)控制者需要承擔(dān)相應(yīng)的法律責(zé)任。

2.5 公開披露階段

在臨床研究中，數(shù)據(jù)控制者對慢性病患者的數(shù)據(jù)進行公開披露時，要符合法律程序和內(nèi)部管理制度的規(guī)定。數(shù)據(jù)控制者需要告知患者公開披露數(shù)據(jù)的目的、類型和涉及患者敏感信息等內(nèi)容，并事先征得數(shù)據(jù)主體的明示同意；要準(zhǔn)確記錄并存儲公開披露的具體情況，包括日期、規(guī)模、目的、范圍和反饋等；公開披露臨床研究中患者個人數(shù)據(jù)造成其合法權(quán)益遭受侵害的，機構(gòu)應(yīng)承擔(dān)相應(yīng)法律責(zé)任；原則上，機構(gòu)不得公開披露患者個人的生物識別信息。

公開披露臨床研究中慢性病患者的個人數(shù)據(jù)不必事先征得其授權(quán)同意的情況包括：機構(gòu)履行法律法規(guī)所規(guī)定的義務(wù)，直接涉及國家安全、國防安全，與公共安全、公共衛(wèi)生、重大公共利益直接相關(guān)的情形，等等。

2.6 數(shù)據(jù)撤回與刪除階段

在慢性病患者參與的臨床研究中，患者擁有特定權(quán)限的個人數(shù)據(jù)訪問權(quán)和被遺忘權(quán)?；颊哂袡?quán)訪問自己在臨床研究中的個人數(shù)據(jù)及其使用情況，并有權(quán)撤回或刪除其個人數(shù)據(jù)。在某些情況下，患者知曉自己參與了臨床研究，但缺乏廣泛的知情同意，數(shù)據(jù)控制者合法地存儲患者數(shù)據(jù)并進行研究，仍然要履行提供知情同意的選擇退出程序的義務(wù)。

在臨床研究中，數(shù)據(jù)控制者違反法律法規(guī)以及與慢性病患者的事前約定，不恰當(dāng)?shù)厥占褪褂没颊邤?shù)據(jù)的，患者要求刪除的，應(yīng)及時刪除。臨床研究機構(gòu)有義務(wù)向慢性病患者提供撤回收集和使用其個人數(shù)據(jù)授權(quán)同意的方法。當(dāng)數(shù)據(jù)控制者由于各種原因停止運營其產(chǎn)品或服務(wù)時，要及時停止繼續(xù)收集患者的個人數(shù)據(jù)，還要將停止運營的通知以逐一送達(dá)或公告的方式通知患者，并且按照法律規(guī)定對其所持有的患者數(shù)據(jù)進行刪除或匿名化處理。

3 慢性病患者數(shù)據(jù)隱私和安全保護的技術(shù)手段和要求

為了保護臨床研究中慢性病患者的數(shù)據(jù)隱私，數(shù)據(jù)全生命周期各個階段都要運用數(shù)據(jù)隱私和安全技術(shù)手段。例如，數(shù)據(jù)收集或生成階段的訪問限制和防偽造數(shù)據(jù)技術(shù)；數(shù)據(jù)存儲及傳輸階段的各種加密技術(shù)：基于身份或?qū)傩缘募用?IBE/ABE)和存儲路徑加密；數(shù)據(jù)處理階段的隱私保護數(shù)據(jù)發(fā)布(PPDP)和聚合分析等。

3.1 身份驗證

臨床研究中，慢性病患者的身份識別與驗證關(guān)聯(lián)各類敏感信息，要確保準(zhǔn)確匹配。臨床研究的數(shù)據(jù)控制者使用的身份驗證系統(tǒng)符合國家信息安全規(guī)范的要求，達(dá)到可信任的標(biāo)準(zhǔn)?；颊咴谛惺箼?quán)利過程中被要求驗證身份，有權(quán)要求數(shù)據(jù)控制者說明驗證身份的原因以及安全措施。臨床研究的數(shù)據(jù)控制者要依法依規(guī)采取必要的防控措施，防止身份驗證過程造成患者個人信息的泄露，要對驗證過程的基本情況進行記錄，包括時間、地點、申請人的書面請求和相關(guān)責(zé)任人等，確保信息的可追溯性。

3.2 訪問控制

數(shù)據(jù)控制者在慢性病患者的臨床研究中要遵循最小授權(quán)的訪問控制。工作人員只能訪問職責(zé)范圍內(nèi)的最小必要信息，只具備完成職責(zé)所需的最少操作權(quán)限。對患者個人信息的重要操作，要有流程化的內(nèi)部審批制度提供規(guī)范；要按照業(yè)務(wù)流程的需求觸發(fā)操作授權(quán)，訪問、修改、拷貝、下載等重要操作都要在角色權(quán)限控制的基礎(chǔ)上記錄并存儲；凡授權(quán)特定人員超權(quán)限處理個人信息的，都應(yīng)經(jīng)相關(guān)責(zé)任人或機構(gòu)進行審批；數(shù)據(jù)的安全管理人員、數(shù)據(jù)操作人員、審計人員要分離設(shè)置；患者投訴時，只有投訴處理人員才可訪問該個人信息主體的相關(guān)信息。

3.3 加密和數(shù)據(jù)去標(biāo)識化

在數(shù)據(jù)交換過程中，通過數(shù)據(jù)加密能夠使慢性病患者的隱私得到保護。臨床研究的數(shù)據(jù)控制者在進行數(shù)據(jù)共享時，要采取必要的加密措施和去標(biāo)識化處理[7]，防止數(shù)據(jù)被盜取或發(fā)生泄露；研究人員在傳輸數(shù)據(jù)時，要確保數(shù)據(jù)在通信網(wǎng)絡(luò)中處于密文狀態(tài)，降低因網(wǎng)絡(luò)原因造成的信息泄露風(fēng)險。通過運用假名、加密函數(shù)等手段對患者的個人信息的技術(shù)處理，使他人無法達(dá)到直接或間接地識別或關(guān)聯(lián)出患者個體。臨床研究機構(gòu)收集到慢性病患者的個人信息后，要立即進行去標(biāo)識化處理，后續(xù)的數(shù)據(jù)管理措施要符合國家關(guān)于個人信息處理的相關(guān)規(guī)定；要建立規(guī)范化的訪問和使用權(quán)限管理制度，可恢復(fù)識別的信息必須與去標(biāo)識后的信息分開存儲。

3.4 監(jiān)控和安全審計

臨床研究機構(gòu)要建立慢性病患者個人信息安全影響評估機制和監(jiān)控系統(tǒng)，評估、處置并監(jiān)控涉及患者個人信息處理過程可能存在的安全風(fēng)險[11]。臨床研究機構(gòu)在嵌入或接入第三方自動化數(shù)據(jù)處理工具時，要按照專業(yè)標(biāo)準(zhǔn)開展技術(shù)檢測，在達(dá)標(biāo)情況下使用，確保對患者個人數(shù)據(jù)的收集和處理符合法律法規(guī)和合同約定的要求；要記錄并監(jiān)測自動化數(shù)據(jù)處理工具收集患者數(shù)據(jù)的行為，如果發(fā)現(xiàn)有超越權(quán)限的行為操作，應(yīng)當(dāng)及時切斷接入，并責(zé)令第三方機構(gòu)進行整改，調(diào)試合格后方可繼續(xù)使用。臨床研究機構(gòu)要接受醫(yī)療管理機構(gòu)對其慢性病患者的個人數(shù)據(jù)保護政策、相關(guān)規(guī)程和安全措施進行審計和監(jiān)督；機構(gòu)的自動化監(jiān)測記錄的留存要符合法律規(guī)定，最大限度地確保為安全事件的處置、應(yīng)急響應(yīng)和事后調(diào)查提供充分的證據(jù)支撐。

3.5 隱私聚合保護與差分隱私

在臨床研究中，慢性病患者的個人數(shù)據(jù)收集和存儲可以采用隱私聚合保護措施。研究人員可以不直接訪問患者個人數(shù)據(jù)，在數(shù)據(jù)庫和分析人員之間引入中介軟件來保護隱私。例如，同態(tài)公鑰加密算法就是一種可行方案，它使不同的醫(yī)療機構(gòu)可以使用相同的公鑰把患者個人數(shù)據(jù)加密成密文。這些密文可以被聚合，也可以通過相應(yīng)的私鑰恢復(fù)。另外，差分隱私作為一種隱私保護或增強手段也被廣泛使用。通過在原始數(shù)據(jù)中增加一定數(shù)量的隨機噪聲來盡可能地隱匿個體特征，確保信息傳輸?shù)陌踩?。這些噪聲通過概率分布產(chǎn)生，既能保證對隱私的保護，后續(xù)也能找回數(shù)據(jù)分析的價值。

總之，臨床研究中慢性病患者提供服務(wù)的機構(gòu)必須采用成熟的數(shù)據(jù)隱私和安全保護措施，確保所有慢性病患者的數(shù)據(jù)和信息系統(tǒng)受到保護，免遭未經(jīng)授權(quán)的訪問、披露、修改、復(fù)制、轉(zhuǎn)移、銷毀、丟失、濫用或盜竊；要定期檢查臨床研究的軟硬件終端，包括服務(wù)器、路由器、防火墻和應(yīng)用程序等，以便進行有效的漏洞識別，并能夠及時做出必要的改進。

4 慢性病患者數(shù)據(jù)隱私和安全保護的管理制度構(gòu)建

為了更好地保護慢性病患者數(shù)據(jù)隱私和安全，慢性病患者數(shù)據(jù)的控制者應(yīng)遵循尊重與透明原則，遵循國家相關(guān)標(biāo)準(zhǔn)[12]，發(fā)布慢性病患者數(shù)據(jù)隱私和安全保護的相關(guān)政策和制度。針對包括慢性病患者、管理者等利益相關(guān)主體公示慢性病患者數(shù)據(jù)隱私和安全保護相關(guān)政策和制度，建立責(zé)任機制，做到責(zé)任到人[13]。

4.1 責(zé)任部門及相關(guān)人員的權(quán)責(zé)

對慢性病患者數(shù)據(jù)控制者的要求包括：①應(yīng)明確其法定代表人或主要負(fù)責(zé)人對慢性病患者數(shù)據(jù)隱私和安全保護工作提供各方保障的全面領(lǐng)導(dǎo)責(zé)任； ②應(yīng)任命具有相關(guān)管理工作經(jīng)歷和慢性病患者數(shù)據(jù)保護專業(yè)知識的人員擔(dān)任慢性病患者數(shù)據(jù)保護負(fù)責(zé)人并成立慢性病患者數(shù)據(jù)保護工作機構(gòu)，應(yīng)明確有關(guān)慢性病患者數(shù)據(jù)隱私和安全保護處理活動的重要決策由主要負(fù)責(zé)人負(fù)責(zé)； ③按照國家相關(guān)規(guī)定，涉及慢性病患者數(shù)據(jù)處理達(dá)到一定規(guī)模的，應(yīng)設(shè)立專職的慢性病患者數(shù)據(jù)保護負(fù)責(zé)人和慢性病患者數(shù)據(jù)保護工作機構(gòu)，負(fù)責(zé)慢性病患者數(shù)據(jù)隱私和安全工作[14]； ④慢性病患者數(shù)據(jù)保護負(fù)責(zé)人和慢性病患者數(shù)據(jù)保護工作機構(gòu)的職責(zé)應(yīng)包括但不限于：全面統(tǒng)籌實施組織內(nèi)部的慢性病患者數(shù)據(jù)隱私和安全保護工作，對慢性病患者數(shù)據(jù)隱私和安全保護負(fù)直接責(zé)任； 組織、制定、簽發(fā)、實施、定期更新慢性病患者數(shù)據(jù)隱私和安全保護政策和相關(guān)規(guī)程； 建立和維護組織持有的慢性病患者的各類數(shù)據(jù)清單(包括慢性病患者數(shù)據(jù)的類型、數(shù)量、來源、接收方等)和授權(quán)訪問策略； 開展慢性病患者數(shù)據(jù)隱私和安全影響評估，提出相關(guān)對策建議并督促整改安全隱患； 組織開展慢性病患者數(shù)據(jù)隱私和安全保護培訓(xùn)； 公布投訴、舉報方式等信息；與監(jiān)督、管理部門保持溝通，及時受理投訴舉報，通報或報告慢性病患者數(shù)據(jù)保護和事件處置等情況;進行安全審計。

4.2 慢性病患者數(shù)據(jù)安全開發(fā)

開發(fā)具有處理慢性病患者數(shù)據(jù)功能的產(chǎn)品或服務(wù)時，慢性病患者數(shù)據(jù)控制者宜根據(jù)國家有關(guān)標(biāo)準(zhǔn)在需求、設(shè)計、開發(fā)、測試、發(fā)布等系統(tǒng)工程階段考慮慢性病患者數(shù)據(jù)保護要求，保證在系統(tǒng)建設(shè)時對慢性病患者數(shù)據(jù)保護措施同步規(guī)劃、同步建設(shè)和同步使用。

4.3 慢性病患者數(shù)據(jù)處理活動記錄

慢性病患者數(shù)據(jù)控制者宜建立和維護慢性病患者數(shù)據(jù)處理活動記錄，記錄內(nèi)容應(yīng)包括：①所涉及慢性病患者數(shù)據(jù)的類型、數(shù)量、來源、接收方、接受方式、使用目的等； ②按照科研進展和授權(quán)情況區(qū)分慢性病患者數(shù)據(jù)的研究目的、使用范圍、應(yīng)用場景，以及委托處理、共享、轉(zhuǎn)讓、公開等情況； ③與慢性病患者數(shù)據(jù)研究活動各環(huán)節(jié)相關(guān)的組織機構(gòu)、人員和信息系統(tǒng)等。

4.4 開展慢性病患者數(shù)據(jù)安全影響評估

對慢性病患者數(shù)據(jù)控制者的要求包括：①應(yīng)建立慢性病患者數(shù)據(jù)安全影響評估制度，評估并處置可能存在的安全風(fēng)險； ②評估處理活動遵循慢性病患者數(shù)據(jù)安全基本原則的情況，以及對慢性病患者數(shù)據(jù)主體合法權(quán)益的影響，包括但不限于：慢性病患者數(shù)據(jù)收集環(huán)節(jié)是否遵循相關(guān)的原則(比如目的明確、最小必要、知情同意、數(shù)據(jù)安全、隱私保護等原則)； 慢性病患者數(shù)據(jù)處理(共享、轉(zhuǎn)讓、公開、跨境等)是否導(dǎo)致對慢性病患者數(shù)據(jù)主體合法權(quán)益(如人身危害和財產(chǎn)安全等)產(chǎn)生不利影響； 慢性病患者數(shù)據(jù)處理的安全措施是否有效； 發(fā)生安全事件時，對慢性病患者數(shù)據(jù)主體合法權(quán)益可能產(chǎn)生的不利影響;③在產(chǎn)品或服務(wù)發(fā)布前，或業(yè)務(wù)功能發(fā)生重大變化時，應(yīng)進行慢性病患者數(shù)據(jù)安全影響評估； ④在法律法規(guī)有新的要求時，或在作業(yè)模式、信息系統(tǒng)、運行環(huán)境發(fā)生重大變更時，或發(fā)生重大慢性病患者數(shù)據(jù)安全事件時，應(yīng)進行慢性病患者數(shù)據(jù)安全影響評估； ⑤形成慢性病患者數(shù)據(jù)安全影響評估報告并妥善保管，采取保護慢性病患者數(shù)據(jù)主體的措施，使風(fēng)險降低到可接受的水平[15]。

4.5 慢性病患者數(shù)據(jù)安全和保護的人員管理與培訓(xùn)

對慢性病患者數(shù)據(jù)控制者的要求應(yīng)包括但不限于：①應(yīng)對從事慢性病患者數(shù)據(jù)處理的相關(guān)人員進行背景審查并與之簽署保密協(xié)議； ②應(yīng)明確涉及慢性病患者數(shù)據(jù)處理不同崗位人員的級別差異并明確其對應(yīng)的安全職責(zé)，建立發(fā)生安全事件的相關(guān)處罰機制； ③應(yīng)要求慢性病患者數(shù)據(jù)處理的相關(guān)人員在調(diào)崗或終止勞動合同時，繼續(xù)履行保密義務(wù)；④應(yīng)明確任何可能訪問慢性病患者數(shù)據(jù)的外部服務(wù)人員應(yīng)遵守的慢性病患者數(shù)據(jù)安全要求； ⑤應(yīng)建立相關(guān)制度和政策指引和要求內(nèi)部員工對慢性病患者數(shù)據(jù)進行保護； ⑥應(yīng)定期和及時對慢性病患者數(shù)據(jù)處理的相關(guān)人員開展慢性病患者數(shù)據(jù)安全專業(yè)化培訓(xùn)和考核，確保相關(guān)人員熟練掌握慢性病患者數(shù)據(jù)保護政策和相關(guān)規(guī)程。

4.6 慢性病患者數(shù)據(jù)處理的安全審計

對慢性病患者數(shù)據(jù)控制者的要求應(yīng)包括但不限于：①應(yīng)根據(jù)國家相關(guān)要求，落實必要的數(shù)據(jù)安全管理和技術(shù)措施，防止慢性病患者數(shù)據(jù)的泄漏、損毀、丟失、篡改[16]；②應(yīng)對慢性病患者數(shù)據(jù)保護政策、相關(guān)規(guī)程和安全措施的有效性進行審計；③應(yīng)防止非授權(quán)訪問、篡改或刪除審計記錄； ④應(yīng)及時處理審計過程中發(fā)現(xiàn)的慢性病患者數(shù)據(jù)違規(guī)使用、濫用等情況。