面向醫(yī)療信息的數(shù)據(jù)隱私保護技術

申請免費試用、咨詢電話：400-8352-114

         隨著社會的發(fā)展及信息的廣泛深入， 隱私問題越來越受到人們關注，尤其在醫(yī)療領域， 更顯得尤為突出。由于在實際醫(yī)療活動中，醫(yī)療機構為了診斷、科研及教學需要，必須經(jīng)常大量采集、發(fā)布、利用各種醫(yī)療數(shù)據(jù)，而這些數(shù)據(jù)就包含著個人的隱私信息。醫(yī)療數(shù)據(jù)的擴散難以控制個人隱私信息的泄露，因此僅靠法律規(guī)范來約束是遠遠不夠的， 必須采用必要的技術手段來解決隱私保護問題 。

1 前言

      2009年5月，衛(wèi)生部發(fā)布了《健康檔案基本架構與數(shù)據(jù)標準(試行)》和《基于健康檔案的區(qū)域衛(wèi)生信息平臺建設指南(試行)》等文件 。作為臨床信息系統(tǒng)核心的電子病歷(EMR)因其存儲量大、節(jié)省資源、查詢方便、共享性好、有利于提高診療工作效率等優(yōu)點，開始在醫(yī)院推廣應用；同時， 醫(yī)保、遠程醫(yī)療、科研教學的需要， 以及數(shù)據(jù)傳輸標準的確立和推廣， 也使得電子病歷的應用更加深入。電子病歷儲存了患者個人的基本情況、健康狀況、疾病發(fā)展、診療情況等信息，包含了大量病人隱私，而因其易傳播、易復制等特征，也使患者的隱私保護出現(xiàn)了新的問題 。
       醫(yī)療信息的泄露途徑主要包括兩方面：從醫(yī)院內(nèi)部信息系統(tǒng)中泄露，即非交互式泄露；在醫(yī)學數(shù)據(jù)的科學研究過程中泄露，即交互式泄露。針對第一種情況，傳統(tǒng)方法是使用數(shù)據(jù)加密等技術解決， 不足之處是密鑰管理困難、面對海量醫(yī)學數(shù)據(jù)使用成本較高：第二種情況，常用的方法是使用基于角色訪問控制技術(RBAC)。但隨著系統(tǒng)運行，角色數(shù)量會逐漸增多， 當達到一定程度時會使得角色層次關系變得異常復雜。由此可以看出，目前醫(yī)療信息保護技術已不能滿足需要。尤其隨著電子病歷的出現(xiàn)和推廣，要求有更加靈活、高效的隱私保護技術。因此，急需對面向電子病歷的隱私保護技術進行分析研究，以更好地維護患者隱私權、保護患者切身利益，促進我國醫(yī)療行業(yè)健康發(fā)展。

2 醫(yī)療信息隱私保護的重要意義
        在醫(yī)療過程中，圍繞患者疾病和醫(yī)療行為會形成關于患者身體特征、健康狀況、疾病情況的客觀記錄，其中既包括醫(yī)學檢查結果記錄、患者身體表征記錄、疾病診斷記錄， 以及與健康有關的各方面情況，還包括所有這些情況蘊含的信息。例如，某種疾病能反映出患者的生活方式、折射出患者的家族遺傳歷史，或患者某種身體器官的病變具有研究價值、血液組織蘊藏的患者基因等，這些顯性或隱性特征，全面記錄著患者與該疾病甚至個人健康、生活、情感狀況有關的事實。這些醫(yī)療隱私信息由于其特殊性而具有特別的價值。
2．1 醫(yī)療信息隱私體現(xiàn)患者人格尊嚴和價值  醫(yī)療機構在對患者診療過程中，收集了大量關于患者生理、疾病、生育等方面信息，一經(jīng)泄露將給患者的聲譽及生活造成極大影響， 可能會引起嚴重的道德甚至倫理問題。
2．2 醫(yī)療信息隱私具有特殊的經(jīng)濟價值 醫(yī)療過程中形成的信息隱私內(nèi)容多樣，其中蘊含的資訊更加豐富，有著巨大的潛在價值，對于醫(yī)學研究、商業(yè)開發(fā)、政府統(tǒng)計等均具有重要意義。如果醫(yī)療機構對患者隱私的尊重不到位，就會發(fā)生漠視、侵犯公民隱私權的現(xiàn)象，既影響醫(yī)院的社會效益和經(jīng)濟效益，也嚴重侵害了患者自尊。因此，在醫(yī)療活動中，必須采用技術手段來解決相關隱私保護問題。
3 研究現(xiàn)狀
       目前，國內(nèi)外針對醫(yī)療信息的隱私保護研究主要從法律和技術兩個角度展開。
       從法律角度來看， 電子病歷信息是個人信息的組成部分，主要是指在體檢、診斷、治療、疾病控制、醫(yī)學研究過程中涉及到的個人肌體特征、健康狀況、人際接觸、遺傳基因、病史病歷等方面的信息。隨著患者對個人醫(yī)療信息保護的重視程度逐步提高， 越來越多的國家開始建立相關法律。早在1 974年，美國就正式制定了《隱私權法》，被視為美國隱私保護的基本法。1 996年美國國會頒布《健康保險攜帶和責任法案》(Health Insu rance Portability andAccountability Act，HlPAA)，針對醫(yī)療信息化中的交易規(guī)則、醫(yī)療服務機構的識別、從業(yè)人員的識別、醫(yī)療信息安全、醫(yī)療隱私、健康計劃識別、患者識別等問題制定了詳細的法律規(guī)定，以保護醫(yī)療數(shù)據(jù)安全和患者隱私- 權 。一11o 2000年，美國衛(wèi)生和福利部(HHS)依據(jù)該法授權制定《個人可識別健康信息的隱私標準》，標志著美國已為保護患者醫(yī)療隱私構建起一個完整且具有可操作性的法律體系 。相比之下，我國對隱私權還缺乏相關規(guī)定。關于患者隱私權的保護，只有少數(shù)法律條文有零星涉及，如《執(zhí)業(yè)醫(yī)師法》、《護士管理辦法》、《艾滋病監(jiān)測管理的若干規(guī)定》、《醫(yī)務人員醫(yī)德規(guī)范及其實施辦法》、《關于審理名譽權案件若干問題的解答》、《關于審理名譽權案件若干問題的解釋》等。2002年，最高人民法院《關于確定民事侵權精神損害賠償責任若干問題的解釋》才將隱私作為一項獨立的人格利益加以規(guī)定。

      從技術角度來看，Ray等人基于電子商務隱私保護的研究經(jīng)驗將電子病歷中的隱私保護問題分為七大類：認證、透明度、控制、采集、數(shù)據(jù)安全性、準確性以及標識。在此基礎上，針對澳大利亞的HealthLink系統(tǒng)和美國的HlPPA系統(tǒng)進行了研究，并給出相應技術方案” 。Zhang等認為數(shù)據(jù)挖掘技術雖然在醫(yī)療診斷方面成功應用，但面對隱私數(shù)據(jù)時還需特殊處理，例如在醫(yī)院信息系統(tǒng)中，財務部門進行數(shù)據(jù)分析時不能訪問患者治療記錄” 。馬偉等認為，電子病歷的傳輸缺乏安全、統(tǒng)一的規(guī)范，通過網(wǎng)絡傳輸資料面臨著快捷和安全的沖突。王令群等認為由于醫(yī)學數(shù)據(jù)對安全性和保密性要求都很高，而醫(yī)學專業(yè)人員對數(shù)據(jù)分析和處理的能力有限，為防止隱私泄露，在將數(shù)據(jù)交給分析人員時必須對其進行必要處理” 。
      目前針對電子病歷的隱私保護主要關注三個方面：面向原始數(shù)據(jù)的隱私保護技術研究；基于訪問控制的隱私保護技術研究；構建隱私保護系統(tǒng)。
3．1 面向原始數(shù)據(jù)的隱私保護  指數(shù)據(jù)擁有者提供共享數(shù)據(jù)給他人進行分析，但又不愿意透露原始數(shù)據(jù)的精確值?？上葘υ紨?shù)據(jù)進行干擾、匿名化等處理，形成新的數(shù)據(jù)集，并使新數(shù)據(jù)集不再明顯含有個人隱私信息，同時保持原始數(shù)據(jù)分布特征，從而實現(xiàn)個體隱私信息的保護。
       Zhu等討論了信息共享尤其是信息化社會給醫(yī)療行業(yè)帶來的威脅，重點對鏈接攻擊(1inking attack)進行了關注。針對此問題，設計了相應的匿名模型和和泛化技術，即一種基于熵的K匿名模型來改進醫(yī)療信息共享模型，以保護醫(yī)療隱私 。

       Mohammed等針對香港紅十字會．血液傳輸過程中設計的隱私問題進行研究，找出了影響傳統(tǒng)匿名方法應用的主要因素。在此基礎上，提出了一種基于匿名算法的LKC隱私模型來解決香港紅十字會血液傳輸過程中的隱私保護問題。現(xiàn)實數(shù)據(jù)分析表明，該方法可以有效保留隱私數(shù)據(jù)中的相關信息供數(shù)據(jù)分析使用，且用于大規(guī)模j的匿名數(shù)據(jù)集。

       Alhaqbani等使用假名來替代患者真實身份，讓患者能夠控制自己的隱；私信息，并用實例證明該架構在數(shù)據(jù)真實性和患者隱私之間取得了較好的：平衡。

      Maglogiannis等提出一個面向患者遠程監(jiān)控系統(tǒng)的數(shù)據(jù)加密框架，采用基于點對點協(xié)議實現(xiàn)了一個原型系統(tǒng)。

    高愛強等討論了基于數(shù)據(jù)可用性的隱私保護匿名方法，主要討論數(shù)據(jù)分析任務。如果對屬性順序敏感環(huán)境：下的數(shù)據(jù)處理方法，基于多維數(shù)據(jù)匿名化概念，討論了一種方法來進行基于數(shù)據(jù)可用性的數(shù)據(jù)發(fā)布共享和匿名性處理方法。
      綜上所述，目前大多數(shù)針對原始i數(shù)據(jù)的隱私保護方法都是基于數(shù)據(jù)匿名，數(shù)據(jù)匿名化的主要目標是在保證數(shù)據(jù)可用性的同時，通過適當損失一些屬性值所包含的信息來提高數(shù)據(jù)的安全性。因此，匿名化原始數(shù)據(jù)集，j必然會造成信息的損失。數(shù)據(jù)的可用性和數(shù)據(jù)的安全性是相互矛盾的，兩者之間需要找到折中平衡。目前，數(shù)據(jù)匿名化的研究工作主要是設計更有效的匿名保護模型，以及針對特定匿名保護模型設計出性能更好的匿名化算法。
 3．2 基于訪問控制的隱私保護   訪問控制技術是一種非自主強制訪問控制技；術，支持特定安全需求的集中式權限管理，主要是針對越權使用資源的防御措施，基本目標是限制訪問主體(用戶、進程、服務等)對訪問客體(電子病i歷、醫(yī)療信息系統(tǒng)等)的訪問權限，從而使醫(yī)療數(shù)據(jù)在合法范圍內(nèi)使用。

     Smith提出了一種基于情境的訪問控制模型來加強HIPPA的隱私保護功能。通過應用該模型，醫(yī)療機構可j以從事務規(guī)范的過程中獲得巨大優(yōu)勢，彌補傳統(tǒng)手工方式帶來的負面效應。
     Mohammad等基于交互式架構提出了一種新的訪問控制模型應用于醫(yī)療領域，該模型能夠根據(jù)用戶的行為i進行訪問權限的動態(tài)設定。訪問控制引擎動態(tài)地從目標用戶處接收相關數(shù)據(jù)，根據(jù)不同的專業(yè)模塊來確定用戶訪問權限。該模型使用標準的數(shù)據(jù)表示格式，并用一個真實案例證明其有效性。
     Blanquer等將加密和相關性技術應用于數(shù)據(jù)組織，使用自然語言的方式進行授權，提高了隱私保護水平。
      Ma rtino等設計了一種基于多域隱私感知的訪問控制技術應用健康系i統(tǒng)。該系統(tǒng)解決了電子病歷訪問過程中的安全與隱私保護問題，能夠基于電子病歷的元信息來限制訪問。
      Patrick等提出了一種基于隱私擴；展的角色控制方法，該模型基于電子：健康情境信息，設計了一個決策支持模型與基于角色的訪問控制模型進行交互來保護個人健康信息。
    劉逸敏等回顧了目前研究或已被采用的關系數(shù)據(jù)庫中細粒度訪問控制模型，以醫(yī)院數(shù)據(jù)應用場景為例分析了模型在應用中存在的問題，并探討了解決方法。
     從上述研究成果可以看出，大多數(shù)研究人員將關注點集中在基于角色的訪問控制方面。訪問控制是對信息系統(tǒng)資源進行保護的重要措施，有助于信息系統(tǒng)的擁有者選擇和使用訪問控制手段對系統(tǒng)進行防護。訪問控制決定了誰能夠訪問系統(tǒng)，能訪問系統(tǒng)的何種資源以及如何使用這些資源。適當?shù)脑L問控制能夠阻止未經(jīng)允許的用戶有意或無意地獲取數(shù)據(jù)。然而，訪問控制的實現(xiàn)手段較為復雜，通常包括用戶識別代碼、口令、登錄控制、資源授權(如用戶配置文件、資源配置文件和控制列表)、授權核查、日志和審計等，不易進行調(diào)整和管理。而規(guī)則引擎作為一種嵌入在應用程序中的組件，實現(xiàn)了將業(yè)務決策從應用程序代碼中的分離，能夠較好地解決這個問題。目前，規(guī)則引擎技術已在電信業(yè)的費用分擔、制造業(yè)的故障處理等領域應用，尚未有醫(yī)療領域的應用案例。因此， 基于規(guī)則引擎的醫(yī)療信息隱私保護技術值得進一步探討和研究。
3．3 構建隱私保護系統(tǒng)  除上述對隱私保護的關鍵技術進行研究外，還有學者進行了一些系統(tǒng)性研究。
     Song等提出了一個面向環(huán)境服務模型的安全醫(yī)療隱私架構SHOES，包括認證服務、訪問控制服務、隱私保護服務等， 同時還建立了一個技術指南應用于患者信息的隱私保護過程中，使醫(yī)療信息的隱私保護更有彈性、易于管理。
    Ga rdne r等提出了一個標識轉換3(DE—identification)系統(tǒng)HlDE來保護患者健康信息，該系統(tǒng)采用條件隨機場(Conditional Random Fields)技術從非結構化數(shù)據(jù)中抽取標識屬性，采。用K匿名方法進行標識轉換處理。
     Lin等提出了一個針對電子健康系統(tǒng)的隱私保護方案SAGE，通過形式化推理證明該方案能夠同時保護醫(yī)療隱私及其情境信息。
    通過對這三個系統(tǒng)的分析可以看出， 目前多數(shù)系統(tǒng)研究人員將目光集中在技術方面，而忽略了對體系結構的研究和完善。而一個實用的隱私保護系統(tǒng)，首先應構建一個面向醫(yī)療信息的隱私度量模型。其次，要構建基于上述度量模型的匿名隱私保護方法。此外，還需要一個隨情境變化的訪問控制方法和一種基于安全多方計算的數(shù)據(jù)分析方法，在確保各參與單位數(shù)據(jù)不被泄露的基礎上有效獲得整體數(shù)據(jù)的分析結果，達到保護電子病歷隱私的目的(見圖1)。就目前情況來看，構建一個實用的醫(yī)療信息隱私保護系統(tǒng)尚需時日。

 4 展望
         隱私保護技術在諸多領域都有廣泛應用，每類隱私保護技術也都有不同的特點，在不同的應用需求下，其適用范圍、性能表現(xiàn)等都不盡相同。目前，就國內(nèi)外總體研究狀況而言，大多集中在原始數(shù)據(jù)處理、訪問控制等隱私保護的初級階段，而諸如電子病歷的隱私度量問題、電子病歷數(shù)據(jù)分析過程中的隱私保護等問題還未涉及，值得進一步研究。