美国健康医疗大数据应用与隐私安全实践

信息化的发展改变了医疗健康数据共享的介质，极大的提高了信息交换和使用的效率。但同时也面临着更加严峻的信息泄露风险，来自系统的，来自网络的，来自管理的。

Medscape发布的《2016年电子病历使用报告》显示，关于电子病历可能导致病人隐私泄露的问题，只有8%的医生认为电子病历对患者隐私不构成威胁，关于隐私泄露的原因，一半以上的医生选择了黑客攻击和误用信息（60%），其次是未经授权访问以及由于故障导致信息丢失（均为57%）。

2018年7月卫健委发布了《国家健康医疗大数据标准、安全和服务管理办法（试行）》旨在保障公民知情权、使用权和个人隐私的基础上，根据国家战略安全和人民群众生命安全需要，促进健康医疗大数据的规范管理和开发利用。

我们可以看到，数据的价值在于使用，隐私安全的核心不是避免数据的使用，而是要实现数据开放与隐私风险之间的平衡。

国外尤以美国在这一方面实践较早，从标准制定，安全管理以及服务体系的搭建上都相对成熟，因此通过对美国医疗相关实践的研究可为我们推动健康医疗数据使用提供管理上和实施上的建议。

由于健康医疗数据应用场景繁多，隐私安全关键问题也不尽相同，本文主要聚焦在美国患者照护场景中的隐私安全行业实践情况，重点分析以下3个问题：

1、患者照护场景中隐私安全关键问题是什么？ 2、实现患者照护场景的互操作性平台如何解决数据应用中的隐私安全？ 3、对中国行业实践有哪些借鉴意义？ 一、患者照护场景中隐私安全的关键问题

我们参考了美国协调卫生信息安全与隐私的合作组织（Health Information Security&Privacy Collaboration，HISPC2）项目工具包中提供数据交换场景与隐私安全问题讨论框架3，针对患者照护场景的隐私安全讨论问题可总结分为两类，一类是隐私安全的管理策略，另一类是隐私安全的技术实现方式。

1、隐私安全的管理策略：

患者授权管理：保证医疗信息交换隐私安全的基础是知情同意，即数据所属者对数据使用的知情与授权。

患者医疗健康信息分级管理：当患者在保密部门（例如，心理健康或物质滥用）治疗，则属于HIPPA治疗规定（在治疗场景下，不强制征得患者同意）的例外情况，这类数据的交换必须获得患者同意。这提示我们医疗健康信息的敏感性并不一致，应当对不同敏感程度的信息建立分级管理制度。

最小必要数据原则：例如紧急治疗情况下可查看的数据有哪些内容，通过基于场景的必要数据集设计，减少患者信息泄露风险。

2、隐私安全的技术实现方式：

身份识别与认证：身份识别和身份验证是访问控制的关键组件。用来解决“你是谁?”和“我为什么要相信你?”。

访问权限的控制：在访问这通过身份认证后，通过访问权限的控制可以用来解决:“现在我知道你是谁了，这就是你能接触到的东西。”

数据加密：在数据交换过程实现隐私保护需要解决的首要问题是通讯的安全性，数据加密使在通信网络中的数据处于密文状态，降低因网络原因造成的信息泄露风险。

二、美国患者照护相关的互操作性平台隐私安全实践情况

HIPPA法案中对基于场景的数据使用授权分级，基于角色的数据使用权限界定以及基于责任主体的数据使用边界等都有较为明确的规定，能够给行业实践提供可操作性的指导，而关于隐私安全的技术保障方面，仅给出了基本的要求。

美国行业在构建满足隐私安全管理要求的服务体系中形成了具有重要指导意义的标准与自治规范，其中以电子病历互操作性为核心的平台是实现健康医疗数据在患者照护场景中应用的重要行业实践。

下表是我们对美国几个主流的电子病历互操作性平台的基本情况、数据流通规则以及实现隐私安全的解决方案分析结果（简版，详细案例分析请见第10期OMAHA白皮书）汇总：

表1、美国五个电子病历互操作平台隐私安全实践

美国行业实践小结：

1、共同协议：

为了提高信息交换的安全高效，参与数据主体会建立共同遵守的规范协议。协议中与隐私安全相关的内容通常包括可信的网络信息框架规范，身份认证管理，基于数据用例（场景）的数据访问权限管理，数据隐私保护的权责等。

2、隐私安全规范：

HIPPA法案非常细化的制定了健康医疗数据应用中的隐私安全条款，分析的平台中关于隐私安全的保护均直接引用了法案中的内容。

3、平台定位：

在患者照护场景下，实现数据交换的这些平台均会声明没有存储患者的病历信息，而是提供可信的数据交换的网络，记录数据交换的审计信息，具有一部分数据使用监管的功能。

4、系统测评：

部分网络中为了确保信息交换网络的安全与可信，会对加入网络的申请者进行系统、程序的测试认证，确保其满足协议规范框架、数据传输标准和隐私安全要求，这部分工作通常有联盟多方参与的工作组或第三方组织负责。

5、身份认证：

分析的平台中大多前置了身份认证步骤，在加入数据交换网络前就需要将责任主体、资源定位等递交给平台维护工作组，通过审核后获取特定的网络证书或允许加入网络，这类信息会被添加到系统身份认证的程序框架中。而在数据交换过程中，对于访问机构或访问者的身份认证实现程序化认证，提高了数据交换的效率。

6、权限管理：

大多数平台采用了基于角色的访问权限控制。信息化平台权限管控制通常会涉及以下几类：访问时间段控制，数据二次使用规范，基于用例（场景）的访问人与访问内容控制。

7、患者识别：

患者照护场景下，最重要的需求是正确关联目标患者记录并发送给治疗的医生。准确的患者标识符能够避免将错误的患者信息披露给非治疗者而造成信息泄露。但由于美国缺乏统一的公民身份标识，在实现患者识别上产生了多种解决方案，一类是基于统计学特征的算法匹配（年龄段、性别、所在区域等）；另一种是采用较强的身份标识符替代（如驾照等）。患者识别信息是关键的隐私信息，为了确保这类核心数据的安全，平台通常会将这类信息进行加密，仅用于患者匹配算法内。

8、医疗记录的连续性：

SHIEC提供了一个安全的患者连续性记录实现方案，通过建立中立平台，进行ADT信息的实时分析，发现和记录患者的异地就诊情况，再通过两个HIE平台信息的交换，实现信息的连续性归集。

三、对中国健康医疗数据应用行业隐私安全实践的借鉴意义

1、谨慎使用与保存患者识别信息：

（编辑：核心网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!