■ 劉乾坤 馬騁宇

隨著大健康產(chǎn)業(yè)發(fā)展和健康大數(shù)據(jù)的應(yīng)用以及互聯(lián)網(wǎng)醫(yī)療健康市場規(guī)?；?、精細(xì)化發(fā)展，醫(yī)療健康數(shù)據(jù)打破傳統(tǒng)醫(yī)療行業(yè)的數(shù)據(jù)“孤島”，其使用范圍與程度不斷擴(kuò)大和加深。但與此同時，也增加了醫(yī)療健康隱私數(shù)據(jù)的泄漏風(fēng)險。醫(yī)療健康隱私數(shù)據(jù)屬于個人敏感信息，互聯(lián)網(wǎng)醫(yī)療健康服務(wù)平臺（以下簡稱“互聯(lián)網(wǎng)健康平臺”）上用戶對自身醫(yī)療健康隱私的存儲、使用與共享的控制能力有限，個人醫(yī)療健康隱私保護(hù)與利用的矛盾日益突出。保護(hù)醫(yī)療健康隱私是國家及社會義不容辭的責(zé)任。2014年5月，國家衛(wèi)生計生委印發(fā)《人口健康信息管理辦法（試行）》，要求“加強(qiáng)建設(shè)人口健康信息安全保障體系，通過制定安全管理制度、操作規(guī)程和技術(shù)規(guī)范，保障人口健康信息安全”。2016年，國務(wù)院制定《“健康中國2030”規(guī)劃綱要》，規(guī)定各級部門需制定分級分類分域的數(shù)據(jù)應(yīng)用政策規(guī)范，并加強(qiáng)保障醫(yī)療健康數(shù)據(jù)安全和患者隱私。同時，國務(wù)院辦公廳《關(guān)于促進(jìn)和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見》中也要求建立健全“互聯(lián)網(wǎng)+健康醫(yī)療”服務(wù)安全工作機(jī)制，加強(qiáng)保護(hù)患者隱私等重要信息。醫(yī)療健康隱私信息的保護(hù)機(jī)制建設(shè)，既是互聯(lián)網(wǎng)醫(yī)療互聯(lián)網(wǎng)健康平臺提供高質(zhì)量、個性化服務(wù)的制度保障，又是用戶安全使用平臺服務(wù)的基礎(chǔ)前提。因此，本研究對國內(nèi)外互聯(lián)網(wǎng)健康平臺隱私保護(hù)現(xiàn)狀及對策進(jìn)行分析，為建立有效的隱私保護(hù)機(jī)制，保障醫(yī)療健康隱私數(shù)據(jù)安全提供參考。

1 相關(guān)概念界定

1.1 隱私信息

1967年，Westin首次對隱私進(jìn)行概念界定[1]，認(rèn)為隱私是自然人身體或精神短時間內(nèi)自愿遠(yuǎn)離社會，或在大群體社會交往中隱藏（部分）身份信息或僅在小群體內(nèi)親密。隨著社會交往理論不斷發(fā)展，1975年，Altman認(rèn)為隱私是在自然人（群體）與其他自然人（群體）的社會交往中，保留自身身份信息和對他人開放程度界限的動態(tài)處理過程[2]。隱私保護(hù)重視程度日益加大，逐漸將隱私權(quán)上升為獨(dú)立人格權(quán)利，納入法律保護(hù)范圍。一般來說，隱私屬于個人敏感信息，一旦泄露或?yàn)E用可能危害人身財產(chǎn)安全，極易損害個人名譽(yù)、身心健康或受到歧視待遇等。

1.2 醫(yī)療健康隱私信息

隨著研究者對隱私的細(xì)化研究和重視程度的提高，隱私在醫(yī)療健康范疇具體內(nèi)化為醫(yī)療健康隱私。它具有強(qiáng)烈的主觀性，是在人權(quán)和交易的基礎(chǔ)上，關(guān)于個人利益、實(shí)際成本和假設(shè)成本的權(quán)衡，是法律明確規(guī)定和自然人意愿協(xié)調(diào)形成的、被公眾接受的個人專屬信息。根據(jù)《信息技術(shù)安全 個人信息安全規(guī)范》（以下簡稱《規(guī)范》），醫(yī)療健康隱私主要包括生理健康信息、生物識別信息以及性取向、婚姻史等。生理健康信息指因醫(yī)療行為等產(chǎn)生的相關(guān)記錄，如病癥、住院志、醫(yī)囑單、檢驗(yàn)報告、手術(shù)及麻醉記錄、護(hù)理記錄、用藥記錄、藥物食物過敏信息、生育信息、以往病史、診治情況、家族病史、現(xiàn)病史、傳染病史等，以及與個人身體健康狀況相關(guān)信息等；生物識別信息則指個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等。

1.3 互聯(lián)網(wǎng)健康平臺隱私

互聯(lián)網(wǎng)健康平臺是利用互聯(lián)網(wǎng)技術(shù)，提供尋醫(yī)問診、掛號、醫(yī)藥、體檢、醫(yī)療健康與疾病管理以及醫(yī)療學(xué)術(shù)等與醫(yī)療健康相關(guān)的網(wǎng)站和移動應(yīng)用程序。隨著用戶利用互聯(lián)網(wǎng)健康平臺獲取便利服務(wù)，個人醫(yī)療健康隱私也逐步面向整個網(wǎng)絡(luò)健康社區(qū)，打破了傳統(tǒng)醫(yī)學(xué)模式中醫(yī)患雙方的交流界限?；ヂ?lián)網(wǎng)健康平臺隱私基于醫(yī)療健康隱私，在網(wǎng)絡(luò)空間中不斷衍生。除醫(yī)生對患者提供個性化的醫(yī)療服務(wù)獲取的健康信息外，其他用戶也可以通過瀏覽用戶的診治經(jīng)驗(yàn)獲取相關(guān)信息?？偟膩碚f，互聯(lián)網(wǎng)健康平臺隱私包含標(biāo)識現(xiàn)實(shí)生活中特定個體的用戶醫(yī)療信息、分享的醫(yī)療信息以及數(shù)據(jù)挖掘的有商業(yè)價值的信息。

2 互聯(lián)網(wǎng)健康平臺隱私保護(hù)模式分析

醫(yī)療健康的隱私保護(hù)問題一直都是社會關(guān)注的焦點(diǎn)，國內(nèi)外的政府、社會以及互聯(lián)網(wǎng)健康平臺運(yùn)營商均采取了不同的策略來加大隱私保護(hù)力度，具體可以分為法律保護(hù)、技術(shù)保護(hù)和平臺自我規(guī)制3類。

法律保護(hù)是由國家或地區(qū)政府以立法的形式，規(guī)定醫(yī)療健康隱私的主體與客體，并利用國家強(qiáng)制力保障用戶醫(yī)療健康隱私安全。技術(shù)保護(hù)主要指互聯(lián)網(wǎng)健康平臺在信息的使用、存儲等過程中對信息采取安全保護(hù)的措施，包括但不限于保護(hù)個人信息完整性，加密傳輸、存儲備份過程，個人信息授權(quán)訪問和使用以及個人信息的刪除機(jī)制等。自我規(guī)制，又稱隱私政策，是國內(nèi)外網(wǎng)站或平臺尊重和保護(hù)用戶隱私的重要考核標(biāo)準(zhǔn)之一。它主要指網(wǎng)站或平臺向用戶公開隱私政策，保障用戶利用服務(wù)時，了解自身信息哪些被收集、如何收集、為何收集；如何保存、使用和共享；以及發(fā)生信息安全事件后處置和補(bǔ)救措施等。

法律保護(hù)是宏觀基礎(chǔ)，它是互聯(lián)網(wǎng)健康平臺隱私保護(hù)的指導(dǎo)原則，也為平臺自我規(guī)制提供法律依據(jù)；技術(shù)保護(hù)是手段，是平臺醫(yī)療健康隱私保護(hù)的技術(shù)支撐；自我規(guī)制是微觀基礎(chǔ)，是各平臺自身醫(yī)療健康隱私保護(hù)的指導(dǎo)規(guī)范?？偟膩碚f，3種保護(hù)均至關(guān)重要，是互聯(lián)網(wǎng)健康平臺隱私保護(hù)必不可少的一環(huán)，見圖1。

圖1 互聯(lián)網(wǎng)健康服務(wù)平臺三中保護(hù)方式及關(guān)系

2.1 法律保護(hù)

法律保護(hù)是互聯(lián)網(wǎng)健康平臺開展健康隱私保護(hù)的依據(jù)和保障，如果醫(yī)療健康隱私法律保護(hù)機(jī)制健全，用戶基于對一般法律環(huán)境的信心，會廣泛使用和高度評價互聯(lián)網(wǎng)健康平臺。

隨著1973瑞典《數(shù)據(jù)法》的出臺，一系列個人信息隱私保護(hù)法案陸續(xù)頒布，至2012年初，全球頒布個人數(shù)據(jù)隱私保護(hù)法案的國家和地區(qū)超過89個[3]。其中個人醫(yī)療健康隱私保護(hù)主要分為兩類：美國、澳大利亞等采用單獨(dú)立法模式，歐盟、英國、韓國、加拿大等把醫(yī)療健康隱私保護(hù)加入到一般隱私保護(hù)法中，見表1。

目前，我國缺乏專門的個人信息隱私保護(hù)法律，但醫(yī)療健康隱私保護(hù)的相關(guān)描述散見于《侵權(quán)責(zé)任法》《精神衛(wèi)生法》《傳染病防治法》《網(wǎng)絡(luò)安全法》等法律中，見表2。2017年11月，國家標(biāo)準(zhǔn)化管理委員會公布了《規(guī)范》，規(guī)范個人信息收集、保存、使用、共享披露以及安全事件處置等過程中的行為。2018年12月，全國信息安全標(biāo)準(zhǔn)化技術(shù)委員會發(fā)布征求《健康醫(yī)療信息安全指南》（草案）通知，日益重視醫(yī)療健康隱私的保護(hù)。目前，隱私信息保護(hù)法律還不夠完善，未來仍需不斷改進(jìn)與完善。

2.2 平臺自我規(guī)制

自我規(guī)制是互聯(lián)網(wǎng)健康平臺醫(yī)療健康隱私保護(hù)的微觀基礎(chǔ)，也是保護(hù)醫(yī)療健康隱私的最佳技術(shù)實(shí)踐。一般以隱私政策的規(guī)范制定為主要方式開展，通過為用戶提供服務(wù)效果期望使用戶對互聯(lián)網(wǎng)健康平臺和醫(yī)生產(chǎn)生信任，從而間接促進(jìn)用戶分享自身的健康信息有關(guān)的隱私。《規(guī)范》中規(guī)定，隱私政策需公開發(fā)布且易于訪問，同時所告知內(nèi)容應(yīng)清晰易懂，并保證真實(shí)、準(zhǔn)確與完整。

目前，在自我規(guī)制的調(diào)查與研究中，隱私政策的可見性和可讀性是重要的評價標(biāo)準(zhǔn)，除保證隱私文本標(biāo)題明確、位置顯著和鏈接有效外，還要保證隱私文本規(guī)范化，充分展示各層級隱私保護(hù)內(nèi)容[4]。關(guān)于互聯(lián)網(wǎng)健康平臺自我規(guī)制的調(diào)查主要涵蓋于綜合調(diào)查中。據(jù)2018年消費(fèi)者協(xié)會對100款各類APP調(diào)查報告[5]，在可見性方面，近34% APP不對用戶公布隱私保護(hù)條款，41%隱私政策位置不顯著；在可讀性方面，內(nèi)容晦澀難懂、籠統(tǒng)不清，91% APP存在過度收集個人信息現(xiàn)象，存儲期限和地點(diǎn)以及安全應(yīng)急事件的處置措施等方面評分僅1.2～1.5分（滿分3分）。

在互聯(lián)網(wǎng)健康平臺自我規(guī)制相關(guān)研究中，健康A(chǔ)PP隱私政策擁有率僅為30.5%[6]，即使在擁有的情況下，用戶對隱私政策認(rèn)識和了解也受用戶、環(huán)境、平臺和政策多維度的影響，需要較高的閱讀能力才能理解隱私政策[7]。在個人健康信息的收集、使用與共享上，存在過度收集和未經(jīng)用戶同意披露的現(xiàn)象。比如，大多數(shù)運(yùn)動健康A(chǔ)PP會在缺乏用戶知情同意下收集個人信息[8]，48.8%糖尿病APP與第三方共享個人健康信息[9]。在隱私政策可讀性方面，由于缺乏針對自身服務(wù)的隱私政策，各互聯(lián)網(wǎng)健康平臺隱私政策制定的規(guī)范性和可操作性均受到限制。例如， Zapata等[10]評估移動個人健康記錄時，發(fā)現(xiàn)隱私政策平均質(zhì)量得分不超過3.5分（滿分6分）。

總體來說，目前國內(nèi)外對互聯(lián)網(wǎng)健康平臺的自我規(guī)制執(zhí)行力較弱，即使提供了隱私政策模板，但也容易形式化。同時，互聯(lián)網(wǎng)健康平臺自我規(guī)制缺乏完整統(tǒng)一的考核與評價標(biāo)準(zhǔn)，無法做到統(tǒng)一調(diào)查與監(jiān)測。

2.3 技術(shù)保護(hù)

互聯(lián)網(wǎng)醫(yī)療健康服務(wù)是互聯(lián)網(wǎng)服務(wù)在醫(yī)療健康領(lǐng)域的具體細(xì)化，其信息技術(shù)保護(hù)可借鑒互聯(lián)網(wǎng)的技術(shù)保護(hù)。一般來說，一種信息技術(shù)并不能保障所有的信息安全，需要多種技術(shù)協(xié)同保護(hù)。

表1 部分國家和地區(qū)個人健康信息相關(guān)隱私保護(hù)立法情況

表2 國內(nèi)個人健康信息相關(guān)隱私部分法律及規(guī)范情況

目前關(guān)于互聯(lián)網(wǎng)醫(yī)療健康服務(wù)信息保護(hù)技術(shù)主要包括脫敏處理、信息加密、訪問限制等3種方式。脫敏處理技術(shù)是匿名或去標(biāo)識化處理，使他人無法通過處理后的信息識別特定個人信息主體，僅保留某些數(shù)據(jù)或?qū)傩赃M(jìn)行數(shù)據(jù)統(tǒng)計處理。信息加密技術(shù)主要采用加密技術(shù)隱藏個人敏感信息。例如，在用戶通過https瀏覽平臺服務(wù)時，采用傳輸層安全協(xié)議來保障瀏覽器與服務(wù)間安全交換數(shù)據(jù)。訪問限制技術(shù)主要指平臺開發(fā)商或運(yùn)營商通過設(shè)置用戶訪問權(quán)限，只有用戶本身或平臺上特定個人才能訪問。

即使運(yùn)用上述信息技術(shù)保護(hù)，但國內(nèi)外仍舊時不時發(fā)生信息安全事件。同時，健康大數(shù)據(jù)挖掘日益加大醫(yī)療健康隱私泄露風(fēng)險，且用戶信息持續(xù)處在進(jìn)入、交換與退出的動態(tài)變化中，如果僅僅基于靜態(tài)用戶信息數(shù)據(jù)集的技術(shù)保護(hù)方式不足以應(yīng)對迅速變化的外界環(huán)境。因此需要不斷完善互聯(lián)網(wǎng)健康平臺的信息技術(shù)保護(hù)機(jī)制。

3 建議

3.1 建立健全醫(yī)療健康隱私法律

雖然近年來社會各界對醫(yī)療健康隱私保護(hù)的關(guān)注日益增加，但由于缺乏完整、配套的法律基礎(chǔ)，使互聯(lián)網(wǎng)健康平臺上的用戶醫(yī)療健康隱私保護(hù)受到限制。國家相關(guān)部門應(yīng)加強(qiáng)完善個人醫(yī)療健康隱私法律，除規(guī)范實(shí)體醫(yī)療機(jī)構(gòu)和醫(yī)護(hù)人員行為外，還要規(guī)范互聯(lián)網(wǎng)健康平臺上個人醫(yī)療健康信息的收集、使用和存儲、共享等。同時提高醫(yī)療隱私健康法律的效力，在指導(dǎo)具體實(shí)踐中更具操作性，為保障醫(yī)療健康隱私提供良好的法律環(huán)境基礎(chǔ)。

3.2 互聯(lián)網(wǎng)健康平臺加強(qiáng)自我規(guī)制

自我規(guī)制是互聯(lián)網(wǎng)健康平臺隱私保護(hù)的主要手段。為加強(qiáng)自我規(guī)制效果，應(yīng)重視以下幾方面的工作。首先，互聯(lián)網(wǎng)健康平臺需要參照《規(guī)范》的原則、標(biāo)準(zhǔn)以及隱私政策模板，結(jié)合自身提供服務(wù)特點(diǎn)，建立適合自身平臺的自我規(guī)制保護(hù)機(jī)制。其次，根據(jù)自我規(guī)制的可見性，在用戶注冊和使用互聯(lián)網(wǎng)健康平臺時，提示或顯示互聯(lián)網(wǎng)健康平臺的隱私政策，并對核心內(nèi)容進(jìn)行高亮突出顯示，做到主動告知用戶。再次，在自我規(guī)制可讀性方面，盡量使隱私文本通俗易懂，并基于平臺核心服務(wù)和拓展服務(wù)，主動告知用戶信息收集的范圍和目的，同時告知共享和披露醫(yī)療健康隱私的情形，做到用戶知情同意。最后，構(gòu)建統(tǒng)一的隱私政策評價指標(biāo)體系，方便互聯(lián)網(wǎng)健康平臺修正不合理的隱私條款，消除霸王條款和不公平的單方面免責(zé)聲明。

3.3 完善互聯(lián)網(wǎng)健康隱私信息的技術(shù)保護(hù)機(jī)制

基于靜態(tài)數(shù)據(jù)集的數(shù)據(jù)保護(hù)無法同時實(shí)現(xiàn)信息的合理利用與隱私信息的保護(hù)，開發(fā)商和運(yùn)營商可以借鑒電子商務(wù)網(wǎng)站的技術(shù)保護(hù)模式。例如，在敏感信息中加入擾動數(shù)據(jù)，進(jìn)行失真處理。另外，完善醫(yī)療健康隱私技術(shù)保護(hù)機(jī)制不僅需要技術(shù)的開發(fā)與應(yīng)用，還需要大量資金與項(xiàng)目支持，國家應(yīng)當(dāng)設(shè)立健康信息技術(shù)安全相關(guān)的基金項(xiàng)目，分析個人醫(yī)療信息泄露的原因和途徑，通過完善信息技術(shù)保護(hù)來預(yù)防個人信息盜用或未經(jīng)授權(quán)使用。

3.4 提高用戶醫(yī)療健康隱私保護(hù)意識和平臺監(jiān)管機(jī)制

雖然高質(zhì)量和個性化服務(wù)能夠降低隱私泄露風(fēng)險，但用戶仍要加強(qiáng)對自身醫(yī)療健康隱私的保護(hù)與重視，防止遇到信息安全事件時手足無措，減少“亡羊補(bǔ)牢，為時晚矣”情況的發(fā)生。同時，國家應(yīng)建立醫(yī)療健康隱私相關(guān)的投訴與舉報機(jī)制，開通信息安全事件處理的綠色通道，在安全事件發(fā)生時能及時告知群眾事件進(jìn)展。最后，發(fā)揮媒體作用，利用典型安全事件警示用戶，提高用戶安全防范意識，促使用戶認(rèn)真閱讀平臺協(xié)議和隱私聲明。