醫療數據保護

醫療數據保護是指通過一定技術手段和制度，如加密技術、訪問控制技術，使醫療數據信息不泄露。醫療信息的隱私數據泄露的主要途徑有非互動式泄露和互動式泄露。醫療數據保護主要目的就是要解決信息泄露問題，對於不同泄露途徑，採取的解決方法也是不一樣的。

隨著數據採集、加工和套用，不可避免的會發生泄漏的情況，也將會造成隱私的泄漏。醫療信息的隱私數據泄露的主要途徑包含以下兩個方面：

從醫院內部信息系統中的隱私泄露，在醫院的內部業務流程中有多個節點可以對數據進行訪問。

主要針對在信息使用傳遞過程中，發生的泄露，可能包括科學研究的過程，區域性平台數據互動等可使用基於角色訪問控制技術，但是對於許可權分級、設定、信息分級等方面有較大的難度。因為數據內容的特殊性，數據未能妥善處理會對個人隱私帶來極大的傷害。如孕婦個人信息的泄漏，可能帶來的一系列推銷、詐欺等問題，而在大數據環境下隱私泄漏的危險不僅僅限於其泄漏本身，而還在於基於數據對於下一步行為的預測與判斷。如得到患者的某個檢驗指標，便可以對其的健康狀況進行判斷並對其下一步的行為進行預判。在很多情況下人們認為只要對數據進行匿名處理或者對重要欄位進行保護，個人隱私就是安全的，但是大量的事實已經證明，可以通過收集其他信息還是很容易的可以定位到具體的個人。如患者的診斷信息作為重要隱私進行保護，但是還是可以通過用藥信息或者實驗室報告的某個相關指標輕鬆的推斷出患者的診斷。所以醫療數據的隱私保護需要根據保護內容的不同進行進一步的細分。

從技術角度而言，大數據的隱私保護主要還是依賴於傳統數據隱私保護的一些密碼學技術，而醫療數據因為其特殊性對隱私保護技術的要求也有別與其它的系統。針對這些主要將需要保護的內容聚焦於以下幾點，並結合目前已有的技術手段，進行討論：

在患者診療檔案中，往往會以患者的姓名、身份證號碼等作為患者的唯一標識，但是這些信息本身就應該是隱私保護的內容，所以需要在不影響信息準性的前提情況下對這些信息進行匿名保護。童雲海等提出了一種隱私保護數據發布中身份保持的匿名方法，在數據發布中先刪除身份標識準備，然後對準標識數據進行處理，在保持隱私的同時進一步提高了信息有效性，並採用概化和有損連線兩種實現方式。可以看出標識匿名隱私保護，主要都是採取在保證數據有效性的前提下損失一些數據屬性，來保證數據的安全性，目前大部分的技術均採用了這種方式。但是在目前患者電子診療信息互動的過程中，信息的損失可能會影響正常流程的運行。在很難同時兼顧可用性與安全性的前提下，需要一種針對醫院及區域性平台運作特點的算法，來找到可用與安全的折中點。

以一份完整的診療檔案為例，其構成應當包含了各種信息，如患者基本信息、診斷信息、醫囑信息、檢驗檢查信息、藥品信息、收費信息、主治醫生信息等等。這些信息在隱私保護中都有著不同的權重，如果一概而論對所有信息都採用高級別的保護手段，會影響實際運作的效率，同時也是對資源的浪費。但如果只對核心信息進行保護，也會造成隱形泄露的問題。如只對檢驗報告進行保護，那么檢驗數據的泄露可以也容易的推導出檢驗報告的結果。所以需要建立一套數據的分級制度，對於不同級別的信息採用不同的保護措施，但由於涉及不同的系統和運作方式，制定一套完善分級制度有相當的難度，同時還涉及到了以下的訪問許可權的控制；

醫療系統中隱私保護的難點還在於參與的人員節點多，導致了潛在的泄露點也多。訪問控制技術可以對不同的人員設定不同的許可權來限制其訪問的內容，這其實就包括了數據分級的問題。如財務部門的人員應該只能訪問相關的收費信息而不能訪問醫生的診斷信息。而目前大部分的訪問控制技術均是基於角色的訪問控制，更夠很好的控制角色能夠訪問的內容以及其相應的操作。但是規則的設定與許可權的分級的實現手段比較複雜，無法通過統一的規則設定來進行統一的授權，許多情況下需要對角色的特殊情況進行單獨設定，也不便與進行整體的管理和調整。需要對規則引進行進一步的研究在適應醫療領域實際套用的需要。

通過以上對於不同問題不同技術手段的分析可以看出，在醫療大數據領域技術手段還不能很好的滿足實際套用的需求。同時需要建立一套適用於醫療大數據領域的完整隱私保護體系，在醫療數據的存儲環節、訪問環節、套用環節等形成系統性的保護。而在構建隱私保護體系時，除了相關技術，更套用完善制度保障。

醫療信息和大數據的結合是醫療事業發展的必然方向， 基於雲儲存和雲計算的醫療數據使用和共享對於促進醫療事業進步，提高公共醫療健康水平有不可估量的作用，資訊時代， 患者已無法掌握和控制個人的基本醫療數據，審慎對待基本醫療數據， 著手針對性保護路徑，有助於彌合信息電子化之後產生的諸多問題。目前，我國缺乏保護個人信息的基本立法， 基本醫療數據信息得不到較為全面的保護。因此，基本醫療數據的保護可以從數據的非商業使用和商業使用兩大方面入手。

基本醫療數據的非商業使用是指醫療機構、研究機構或人員，基於臨床醫學、醫療研究等非商業目的，內部共享、使用和分析數據。醫療水平的進步與人類健康緊密相關， 臨床醫學、 醫療研究等工作依賴於醫學工作者對醫療信息的收集、分析和使用。例如，臨床醫學評估和審查往往涉及多種藥物使用和各種臨床醫學診斷結果，因此需要整合源自多方的醫療數據以進行縱向交叉研究和全面的比較。網際網路信息技術提升了信息整合的速度和能力，也加快了醫學研究的技術水平。因此，為了促進醫療健康研究的發展，基於醫療研究目的的醫療數據使用可以是免費的，且“不以患者同意”為前提，但使用範圍受到限制。首先，這種路徑可在建立常見電子醫療信息系統基礎上構建 “去識別醫療數據系統”，將病例等信息進行再編輯，去除姓名、社保號等可識別出特定患者的信息。同時，規定醫學研究所需的相關數據應當從 “去識別醫療數據系統”中獲取，不得通過其他渠道組建已去識別化的基本醫療數據。其次，去識別醫療數據的免費使用只能限定在醫療機構、研究機構等相關機構研究內部，不可出售或外傳。此外， 對於電子病歷服務商等掌握基本醫療數據的第三方機構，首先，政府可以“政府購買公共服務”的方式，明確第三方服務機構的資質和服務標準，規範電子服務行業。其次，健全“契約機制” ，明確規定第三方服務機構可在何時以何種方式使用患者數據。儘管基本醫療數據儲存在第三方服務機構的系統，但並不代表這些機構具有完全的所有權。因此， 在醫療數據的掌控方面， 醫療機構絕不能讓第三方機構將其綁為人質， 借鑑美國 “HIPAA” 法案的規定， 一旦醫療機構與服務商終止契約關係，第三方服務機構必須銷毀系統內的數據。

常見的電子醫療系統通常不具有數據分析和整合功能， 其核心內容仍是個體患者的健康狀況和基本信息。在醫療信息市場化的過程中， 如果醫學研究僅以“電子醫療系統” 中的 “去識別” 數據作為研究基礎， 難以維繫醫學研究的日常發展需求。日漸興起的網際網路數據挖掘、分析行業成為促進商業醫療信息化發展的主要力量， 以全球數據挖掘行業的領航者 IMS健康公司為例，該機構為了獲取與患者或醫療系統縱向或終生的交流， 除了從醫療行業購買醫療數據外， 還從電子病例中剝離出識別信息，組建基本醫療資料庫， 僅在 2006 年該公司醫療數據處理業務獲益達19.6億美元。根據美國蓋普洛民意調查， 66%的人反對將醫療數據開放給醫療數據挖掘商， 其中最大的理由就是數據挖掘行為產生的隱私問題。然而，“一刀切式”的禁止數據挖掘行業的保護路徑無法適應社會的變革，保障醫療數據的開放式流通， 了解基本醫療數據的隱私保護與信息流通之間的辯證關係才是當今時代的基本訴求。醫療數據挖掘行業的存在勢不可擋， 行政機關或立法部門應當以“有償的限制使用” 為原則，輔之以其他制度或措施，建立基本醫療數據的商業保護路徑。

首先，確定非法披露醫療數據的責任。以法律、 法規或規章形式確定網路環境下的數據披露責任，根據情節嚴重程度以及披露者主客觀情況對違法披露數據的行為設定民事、 行政和刑事責任。其次，建立有償使用制度。由統一電子數據監管平台管理 “去識別醫療數據系統” 中的數據出售， 這種出售應以 “契約” 為基礎， 附加承諾條款， 即由醫療數據挖掘行業做出不披露具有人格屬性的醫療數據信息的承諾， 明確監管主體， 將“去識別醫療數據系統” 所獲經濟利益由確定機構進行管理。再次， 在有償制度和披露責任的基礎上， 建立“反哺機制”和“補償機制”。前者是指將數據出售獲取的經濟利益和披露責任取得罰款的一部分用於建設和維護 “去識別醫療數據系統” 等相關醫療數據保護措施；另一部分用於補償醫療數據“披露” 和“使用” 過程中權利受到損害的人。