王換換

（徐州醫(yī)科大學醫(yī)學信息與工程學院 江蘇·徐州 221004）

0 引言

當前包括甲肝、肺結核等在內(nèi)的眾多傳染病仍在世界范圍內(nèi)傳播，其監(jiān)測與防治形勢始終嚴峻[1]。在進行人工防控各類傳染病的同時，技術人員利用信息技術搭建了傳染病大數(shù)據(jù)防控體系，在整個傳染病防控工作中發(fā)揮了重要支撐作用。而由于傳染病防控體系的建立與應用涉及患者隱私安全保護的關鍵問題，在我國《中華人民共和國網(wǎng)絡安全法》《中華人民共和國傳染病防治法》以及國外的HIPAA（健康保險攜帶和責任法案）與GDPR（通用數(shù)據(jù)保護條例）等多部法律文件中對個人信息的隱私保護做出了明確規(guī)定。然而，國內(nèi)隱私保護法規(guī)缺乏系統(tǒng)性與實用性，導致傳染病防控中的隱私泄露問題仍普遍存在[2]。同時因部分工作人員及公眾隱私保護意識薄弱，造成了較為嚴重的隱私泄露事故，給患者造成嚴重危害。

1 國內(nèi)外重大傳染病防治期間的隱私保護現(xiàn)狀

重大傳染病具有傳播性強、危害性大的特點，爆發(fā)后將導致嚴重的經(jīng)濟與社會危機。在應對重大傳染病的防治，國內(nèi)外利用信息技術搭建了傳染病防控體系[3-4]，在該體系運作期間收集了大量被監(jiān)測人員的個人信息。據(jù)調(diào)研，僅美國在2020年產(chǎn)生的醫(yī)療數(shù)據(jù)量便達到6.45ZB，同年歐洲個人信息交易量占據(jù)歐洲GDP總量的8%，這些數(shù)據(jù)在幫助醫(yī)院決策及政府監(jiān)管方面發(fā)揮重要作用的同時，也存在極高的經(jīng)濟價值，而這必將導致大量醫(yī)療信息的泄露，對患者造成嚴重的侵害。在多類傳染病全球傳播背景下，數(shù)據(jù)系統(tǒng)受攻擊次數(shù)激增。據(jù)調(diào)研，2020年數(shù)據(jù)泄露總量中52%的數(shù)據(jù)泄露由外部人員惡意造成，25%由系統(tǒng)故障與攻擊造成，23%由人為造成（見圖1）。

1.1 法律層面上的隱私保護現(xiàn)狀

美國及歐洲等多個地區(qū)國家本部了HIPAA與GDPR[5]等隱私保護法律文件，對數(shù)據(jù)挖掘和預處理流程中的數(shù)據(jù)安全提出嚴格要求。在重大傳染病防治期間，數(shù)據(jù)掌握方需遵循最小必要原則，利用有限數(shù)據(jù)集進行數(shù)據(jù)清洗，并提高被監(jiān)測人員數(shù)據(jù)隱私安全。而由于重大傳染病的特殊性，HIPAA與GDPR等法律文件規(guī)定和明確了數(shù)據(jù)主體與受約束主體的責任與義務，在確保數(shù)據(jù)主體隱私安全的同時，確保重大傳染病防治期間患者隱私權與公眾知情權的相對平衡。與國外不同，國內(nèi)缺少完備的隱私保護法律體系，難以形成有效地保護屏障。在關系重大傳染病防治的醫(yī)療衛(wèi)生領域，國內(nèi)現(xiàn)有的《人口健康信息管理辦法（試行）》《執(zhí)業(yè)醫(yī)師法》以及《醫(yī)療機構病歷管理規(guī)定》等條例規(guī)定患者個人信息應受到醫(yī)療機構相關人員的保護，但因條例落地不到位，多次出現(xiàn)醫(yī)務人員泄露患者隱私的事件，對患者造成了嚴重危害。

1.2 意識層面上的隱私保護現(xiàn)狀

在重大傳染病防治期間，公民可通過法律手段及維權通道進行維權，有效降低了人為泄露隱私的可能。而由于重大傳染病的特殊性，盡管擁有完備的隱私保護法律條例保障，國外仍然發(fā)生了嚴重的隱私泄露事件。據(jù)調(diào)研，在眾多隱私泄漏事件中，23%是內(nèi)部人員缺乏隱私保護意識造成的，其中醫(yī)療衛(wèi)生行業(yè)占內(nèi)部人員泄露的27%。同樣，在國內(nèi)與傳染病防控相關的工作人員也缺乏足夠的隱私保護意識，在防控工作中多次出現(xiàn)泄露疑似患者或患者隱私信息的情況。淡薄的隱私保護意識造成了巨大規(guī)模的個人信息泄露，對數(shù)據(jù)安全產(chǎn)生了多重挑戰(zhàn)，是當前保證數(shù)據(jù)隱私安全亟須解決的關鍵難題。

1.3 技術層面上的隱私保護現(xiàn)狀

圖1：隱私保護現(xiàn)狀、問題產(chǎn)生原因及解決問題方法關系圖

因醫(yī)療數(shù)據(jù)擁有極高的價值，且現(xiàn)有部分醫(yī)療衛(wèi)生系統(tǒng)存在較多安全漏洞，進而導致國內(nèi)外多次出現(xiàn)技術人員攻擊衛(wèi)生系統(tǒng)的事件，造成了嚴重的隱私泄露后果，如TheDarkOvrlord組織非法入侵牙科醫(yī)院，18萬份患者病歷信息被泄露；華盛頓大學醫(yī)學院遭釣魚攻擊，8萬余份患者病歷泄露；巴西衛(wèi)生部官網(wǎng)存在嚴重漏洞，導致2.43億人信息泄露；美國醫(yī)療保險上Anthem被入侵，超過8000萬個人醫(yī)療信息被泄露。在國內(nèi)，因部分醫(yī)療衛(wèi)生系統(tǒng)缺少嚴格的審核與預警機制，導致內(nèi)部員工可輕易完成醫(yī)療數(shù)據(jù)的外泄，國內(nèi)某市婦幼信息管理系統(tǒng)中50余萬條新生嬰兒數(shù)據(jù)泄露；廣西一醫(yī)護人員倒賣8萬條嬰兒信息等。外部人員通過技術手段惡意攻擊造成的隱私泄露比例達52%，成為威脅數(shù)據(jù)安全的頭號隱患，是必須重視和防范的重點。

2 結束語

與常態(tài)化隱私保護不同，在重大傳染病防治期間開展隱私保護需充分考慮公眾知情權與傳染病防控需要。而在重大傳染病防治期間國內(nèi)外同樣面臨個人隱私泄露可能，因此必須加大國家監(jiān)管強度，建立完備的重大傳染病防治隱私保護法律文件，構建保護公民個人信息的安全防線。另外在傳染病防控特殊情況下，當頻繁出現(xiàn)數(shù)據(jù)泄露現(xiàn)象時，應首先從數(shù)據(jù)安全需求角度出發(fā)，搭建隱私數(shù)據(jù)防控體系，利用智能化內(nèi)容識別技術產(chǎn)品開展數(shù)據(jù)治理工作。其次從法律監(jiān)管角度出發(fā)，頒布嚴格實用的法律文件，建立安全可靠的法律保護屏障。然后，必須加強公民隱私保護意識教育力度，切實提高行業(yè)人員隱私保護意識，避免出現(xiàn)內(nèi)部員工泄露數(shù)據(jù)事件的發(fā)生。最后，必須提高數(shù)據(jù)管理系統(tǒng)的安全性，可通過先進人工智能技術與主動預防策略建立良好的防護體系，并根據(jù)掃描與探測的特征和行為，采用全網(wǎng)威脅情報與深度學習算法實現(xiàn)對系統(tǒng)攻擊行為的自動攔截，全面提高數(shù)據(jù)管理與存儲系統(tǒng)的安全性，為重大傳染病防治期間的隱私保護提供更多保障。