張 茜 王 鵬 閆 慈 管 音 母建康 路正鵬 吳 琛

(新疆醫(yī)科大學(xué)附屬腫瘤醫(yī)院 新疆 830000) (神州數(shù)碼醫(yī)療科技股份有限公司 北京 100000)

孫 剛

(新疆醫(yī)科大學(xué)附屬腫瘤醫(yī)院 新疆 830000)

1 引言

1.1 醫(yī)療大數(shù)據(jù)概述

醫(yī)療行業(yè)關(guān)于大數(shù)據(jù)的研究能夠?qū)颊咚技膊‰[含規(guī)律和相關(guān)性提供相關(guān)分析，為醫(yī)生診斷提供極大幫助，如基因測序通過對DNA序列的研究分析可以推斷出某人是否是腫瘤患者。此外醫(yī)療行業(yè)對大數(shù)據(jù)的研究還能對其他行業(yè)，如保險、教育、養(yǎng)老、物流等產(chǎn)生推動作用，提供更多就業(yè)機(jī)會。我國為有效利用此類數(shù)據(jù)先后發(fā)布《促進(jìn)大數(shù)據(jù)發(fā)展行動綱要》、《“健康中國2030”規(guī)劃綱要》、《人口健康信息管理辦法(試行)》、《國家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法》等相關(guān)文件。醫(yī)院和相關(guān)研究機(jī)構(gòu)管理患者個人信息、治療信息甚至基因信息，如果運(yùn)用得當(dāng)會對醫(yī)療行業(yè)產(chǎn)生積極作用。

1.2 研究背景

醫(yī)療數(shù)據(jù)采集、存儲、應(yīng)用、分析和共享等過程中在技術(shù)和實(shí)施方面面臨很大挑戰(zhàn)，醫(yī)療數(shù)據(jù)量劇增以及云平臺應(yīng)用進(jìn)一步加大數(shù)據(jù)隱私安全風(fēng)險，如果這些信息被泄露會給醫(yī)院機(jī)構(gòu)以及患者帶來巨大影響或嚴(yán)重?fù)p失。如何保障醫(yī)療行業(yè)數(shù)據(jù)安全問題是重點(diǎn)也是熱點(diǎn)。不管國內(nèi)還是國外，醫(yī)療機(jī)構(gòu)成為網(wǎng)絡(luò)攻擊者的重要目標(biāo)。從Forgerock公布的近兩年數(shù)據(jù)來看美國泄露隱私信息達(dá)到幾十億條，損失幾近2萬億美元，其中大部分?jǐn)?shù)據(jù)泄露是因?yàn)獒烎~網(wǎng)站、勒索病毒及未授權(quán)的網(wǎng)頁訪問[1-2]。溫州多家醫(yī)院醫(yī)療信息系統(tǒng)被侵入，導(dǎo)致大量醫(yī)藥信息被泄露；COVID-19疫情期間國內(nèi)某醫(yī)療公司研發(fā)的人工智能系統(tǒng)以及相關(guān)訓(xùn)練數(shù)據(jù)被攻擊者盜取，以4比特幣的價格在網(wǎng)上公開售出；國內(nèi)某地嬰兒和預(yù)產(chǎn)孕婦等大量信息被泄露；亞馬遜S3近50G的患者極為敏感數(shù)據(jù)被泄露。根據(jù)Forgerock公布的數(shù)據(jù)，醫(yī)療行業(yè)在2020年第1季度隱私數(shù)據(jù)泄露事件中占一半以上[3]。面對如此嚴(yán)峻的形勢，數(shù)據(jù)隱私安全保護(hù)刻不容緩。

2 國內(nèi)外隱私保護(hù)現(xiàn)狀

2.1 國外

如何在保護(hù)個人數(shù)據(jù)隱私的前提下實(shí)現(xiàn)數(shù)據(jù)共享以及最大限度地挖掘數(shù)據(jù)內(nèi)在價值是當(dāng)前研究的關(guān)鍵。國內(nèi)外關(guān)于數(shù)據(jù)隱私保護(hù)主要是在法律法規(guī)和技術(shù)保護(hù)兩個方面。國外，美國《健康保險流通與責(zé)任法案》(Health Insurance Portability and Accountability Act，HIPAA)[4]對個人信息隱私以及安全性規(guī)范制定國家級標(biāo)準(zhǔn)，在行政、物理、技術(shù)方面保障信息系統(tǒng)中個人數(shù)據(jù)隱私性、一致性、可用性；歐盟頒布《通用數(shù)據(jù)保護(hù)條例》 (General Data Protection Regulation，GDPR)[5]，只要是處理歐盟用戶相關(guān)數(shù)據(jù)就要受到GDPR的制約，是現(xiàn)階段保護(hù)歐盟用戶數(shù)據(jù)最嚴(yán)格的法案；日本頒布的《個人信息保護(hù)法》以及加拿大頒布的《隱私法》和《個人信息保護(hù)及電子文檔法案》 (Personal Information and Protection and Electronic Documents Act，PIPE-DA)[6]等都體現(xiàn)出發(fā)達(dá)國家對國民隱私保護(hù)的重視。

2.2 國內(nèi)

我國目前尚無獨(dú)立完整的數(shù)據(jù)隱私保護(hù)法律體系，但是在其他諸多法律法規(guī)中，如《網(wǎng)絡(luò)安全法》、《傳染病防治法》、《艾滋病防治條例》等，均有個人數(shù)據(jù)收集、傳輸、儲存、共享等過程中涉及的隱私保護(hù)方面相關(guān)規(guī)定[7-8]。2020年7月2日我國發(fā)布《中華人民共和國數(shù)據(jù)安全法(草案)》，該草案與歐盟公布的GDPR有相似之處。這些法案交織成保護(hù)個人隱私信息的強(qiáng)大后盾。大數(shù)據(jù)時代由于數(shù)據(jù)邊界模糊不清，在保護(hù)數(shù)據(jù)網(wǎng)絡(luò)安全和隱私安全方面加大了難度。目前數(shù)據(jù)隱私保護(hù)技術(shù)方面，有數(shù)據(jù)訪問權(quán)限技術(shù)如屬性加密、密鑰加密機(jī)制等；匿名保護(hù)技術(shù)如K-匿名、L-多樣性匿名[9]等；數(shù)據(jù)脫敏技術(shù)如替代、數(shù)據(jù)變換、刪除等；此外還有差分隱私等技術(shù)。以上隱私保護(hù)技術(shù)均有各自適用性與局限性，面對日益增加的數(shù)據(jù)量，區(qū)塊鏈等新型數(shù)據(jù)保護(hù)技術(shù)是未來發(fā)展方向[10]。

3 基于腫瘤大數(shù)據(jù)平臺的數(shù)據(jù)隱私保護(hù)技術(shù)實(shí)踐

3.1 概述

醫(yī)療數(shù)據(jù)采集、傳輸、儲存和共享等技術(shù)的發(fā)展推動醫(yī)療大數(shù)據(jù)崛起，數(shù)據(jù)處理需要平臺支撐[11-12]。應(yīng)用支撐平臺標(biāo)準(zhǔn)規(guī)范體系包括系統(tǒng)標(biāo)準(zhǔn)、技術(shù)標(biāo)準(zhǔn)、應(yīng)用集成、業(yè)務(wù)標(biāo)準(zhǔn)、管理標(biāo)準(zhǔn)規(guī)范等。標(biāo)準(zhǔn)規(guī)范體系是規(guī)范系統(tǒng)功能開發(fā)、部署、集成、應(yīng)用和管理的重要依據(jù)。為加強(qiáng)項(xiàng)目數(shù)據(jù)管理，規(guī)范數(shù)據(jù)使用，防止數(shù)據(jù)丟失和泄密，保障數(shù)據(jù)安全，應(yīng)從行政管理規(guī)范、物理保護(hù)規(guī)范和技術(shù)規(guī)范3個方面建立更加健全、完善的數(shù)據(jù)保密機(jī)制，保障項(xiàng)目數(shù)據(jù)安全。

3.2 醫(yī)療大數(shù)據(jù)管理架構(gòu)

為保障數(shù)據(jù)隱私安全，行政管理方面需要對接觸數(shù)據(jù)的人員做權(quán)限劃分，如設(shè)置監(jiān)察員，負(fù)責(zé)安全策略落實(shí)，不斷完善相關(guān)安全制度，對所有涉及數(shù)據(jù)信息的人員進(jìn)行安全意識培訓(xùn)；備案員，對數(shù)據(jù)操作流程進(jìn)行備案記錄；審判員，從項(xiàng)目角度評估數(shù)據(jù)使用申請的合規(guī)性；管理員，具有數(shù)據(jù)處理賬戶的最高權(quán)限。所有接觸數(shù)據(jù)的工作人員必須接受數(shù)據(jù)隱私安全相關(guān)培訓(xùn)，培養(yǎng)數(shù)據(jù)隱私安全保護(hù)意識。必須簽署相關(guān)保密協(xié)議，對于被授權(quán)訪問數(shù)據(jù)的操作人員，需要按照最小授權(quán)原則，即完成任務(wù)的最少夠用信息的操作權(quán)限。數(shù)據(jù)安全管理、具體操作、審批人員要進(jìn)行分離設(shè)置，對各員工操作權(quán)限定期進(jìn)行評估審查。進(jìn)行物理保護(hù)時，對于臨時存儲介質(zhì)要進(jìn)行加密和備案，使用后徹底格式化，對數(shù)據(jù)進(jìn)行異地容災(zāi)備份。

3.3 醫(yī)療大數(shù)據(jù)技術(shù)架構(gòu)

醫(yī)療數(shù)據(jù)處理包括數(shù)據(jù)采集、應(yīng)用、分析展示。大數(shù)據(jù)平臺由數(shù)據(jù)倉庫、挖掘分析、數(shù)據(jù)清洗、采集儲存、信息安全等系統(tǒng)組成，其業(yè)務(wù)架構(gòu)[13]，見圖1。數(shù)據(jù)采集、傳輸、存儲、共享、應(yīng)用等環(huán)節(jié)容易出現(xiàn)疏漏，給隱私安全帶來極大挑戰(zhàn)[14-16]。為保證數(shù)據(jù)庫安全，在平臺數(shù)據(jù)中心上層部署網(wǎng)閘、流量控制器和防火墻，實(shí)現(xiàn)流量控制、熔斷機(jī)制和單向數(shù)據(jù)流向；醫(yī)院上傳端同時部署虛擬專用網(wǎng)(Virtual Private Network，VPN)，防火墻提供對外訪問的出入口并嚴(yán)格控制訪問授權(quán)，定期更新和查殺病毒庫[17]。網(wǎng)絡(luò)安全技術(shù)是保障醫(yī)療大數(shù)據(jù)平臺數(shù)據(jù)安全的重要手段，使用更好的安全加密系統(tǒng)、先進(jìn)算法以及存儲手段能進(jìn)一步保護(hù)平臺系統(tǒng)中患者數(shù)據(jù)隱私安全，如同態(tài)加密可以更好地保護(hù)患者數(shù)據(jù)在云端的安全，此類技術(shù)應(yīng)該是近階段的最優(yōu)選擇。

3.4 數(shù)據(jù)去標(biāo)識化

去標(biāo)識化是指通過技術(shù)手段對個人信息處理后達(dá)到無法識別相關(guān)信息主體的一種數(shù)據(jù)處理方式。通過去標(biāo)識化去除數(shù)據(jù)中敏感信息，在一定程度上防止數(shù)據(jù)再識別。常用去標(biāo)識化方法有屏蔽、抑制、假名化、泛化、加密、數(shù)據(jù)合成等技術(shù)，相應(yīng)去標(biāo)識化模型有L-多樣性、K-匿名、差分隱私等[18]。去標(biāo)識化原則應(yīng)遵循：合規(guī)合法，滿足我國相關(guān)法律法規(guī)對隱私信息安全保護(hù)的規(guī)定；安全優(yōu)先，在保護(hù)數(shù)據(jù)安全前提下處理數(shù)據(jù)；技術(shù)和管理手段相結(jié)合；技術(shù)不斷改善，定期對數(shù)據(jù)進(jìn)行再識別風(fēng)險評估。去標(biāo)識化過程主要有目標(biāo)確定、目標(biāo)識別、處理目標(biāo)和數(shù)據(jù)導(dǎo)出4個重要環(huán)節(jié)。目標(biāo)確定主要是要明確去標(biāo)識化字段、風(fēng)險識別安全閾值以及去標(biāo)識化實(shí)施方案；目標(biāo)識別主要確定數(shù)據(jù)中的直接和間接標(biāo)識符，可以通過數(shù)據(jù)規(guī)律建立自動化程序，自動識別相應(yīng)數(shù)據(jù)標(biāo)識符；處理目標(biāo)主要是對數(shù)據(jù)進(jìn)行預(yù)處理、選擇相對應(yīng)模型、數(shù)據(jù)去標(biāo)識化、再識別風(fēng)險計算等；數(shù)據(jù)導(dǎo)出是指去標(biāo)識化后的數(shù)據(jù)在使用前需要管理層校驗(yàn)和批準(zhǔn)[19]。為應(yīng)對數(shù)據(jù)去標(biāo)識化，國際標(biāo)準(zhǔn)化組織(International Organization for Standardization, ISO)與國際電工委員會(International Electrotechnical Commission, IEC)聯(lián)合發(fā)布相關(guān)術(shù)語、技術(shù)和使用規(guī)范。國內(nèi)的《信息安全技術(shù)——個人信息去標(biāo)識化指南》以及《信息安全技術(shù)——個人信息安全規(guī)范》，在個人信息去標(biāo)識化研究論述的基礎(chǔ)上提出符合我國大數(shù)據(jù)發(fā)展的去標(biāo)識化指南。

3.5 患者信息安全存儲以及第3方安全技術(shù)

對于患者紙質(zhì)或電子病歷信息，相關(guān)管理人員需提高法律保護(hù)意識，最大限度地避免患者數(shù)據(jù)泄露、損壞和丟失。在使用病歷過程中，對使用的人員進(jìn)行身份審查以及備案。對于保存電子病歷的電子系統(tǒng)，保障其不被勒索病毒、黑客入侵，定期對平臺系統(tǒng)進(jìn)行檢測。共建和合作關(guān)系會牽涉數(shù)據(jù)共享問題，需要受到相關(guān)倫理委員會審查，一定要符合相應(yīng)法律規(guī)范，不能因?yàn)樯虡I(yè)利益將患者數(shù)據(jù)提供給其他商業(yè)研究機(jī)構(gòu)。醫(yī)院在儲存患者病歷、檔案以及檢查報告圖像等信息時需要上傳云端，建議在上傳云端之前將數(shù)據(jù)文件切割加密。相關(guān)服務(wù)器會根據(jù)收到的數(shù)據(jù)特點(diǎn)和用戶特征生成密鑰，對切割后的數(shù)據(jù)文件用高級加密標(biāo)準(zhǔn) (Advanced Encryption Standard，AES)算法進(jìn)行加密儲存。使用AES算法時單向不可恢復(fù)加密，在沒有通過用戶特征獲取密鑰之前無法訪問數(shù)據(jù)。目前我國相關(guān)醫(yī)療產(chǎn)品在分布式拒絕服務(wù)(Distributed Denial of Service，DDos)和CC攻擊(Challenge Collapsar)方面有很大劣勢，因此加入第3方安全廠商漏洞報告組織機(jī)構(gòu)是一個特別好的選擇[20]。另外隨著技術(shù)發(fā)展，醫(yī)院和患者之間若是存在第3方存儲及監(jiān)督管理機(jī)構(gòu)，對醫(yī)療行業(yè)海量的數(shù)據(jù)信息進(jìn)行分級存儲管理，有助于建成實(shí)時存取的跨區(qū)域醫(yī)療數(shù)據(jù)系統(tǒng)應(yīng)用平臺，降低違規(guī)操作的可能性，保障信息系統(tǒng)服務(wù)器及后臺服務(wù)安全性。

4 隱私保護(hù)問題分析

4.1 醫(yī)療數(shù)據(jù)使用基本原則

如果不能處理好數(shù)據(jù)隱私安全和倫理問題就無法消除數(shù)據(jù)孤島、實(shí)現(xiàn)數(shù)據(jù)共享。為更好地實(shí)現(xiàn)數(shù)據(jù)去標(biāo)識化，可加大在數(shù)據(jù)標(biāo)準(zhǔn)化方面的研究，通過對醫(yī)療數(shù)據(jù)的標(biāo)準(zhǔn)化建設(shè)實(shí)現(xiàn)醫(yī)療行業(yè)數(shù)據(jù)的科學(xué)管理以及效率提升，保護(hù)醫(yī)療數(shù)據(jù)信息安全。

4.2 技術(shù)方面問題

醫(yī)療數(shù)據(jù)標(biāo)準(zhǔn)化建設(shè)可以首先從我國大數(shù)據(jù)隱私安全標(biāo)準(zhǔn)化體系入手，制訂更加規(guī)范的標(biāo)準(zhǔn)來約束數(shù)據(jù)共享和應(yīng)用，從而保障數(shù)據(jù)安全使用；其次規(guī)范行業(yè)內(nèi)實(shí)踐，《信息安全技術(shù)——個人信息去標(biāo)識化指南》已發(fā)布使用，要根據(jù)行業(yè)前沿研究成果及時轉(zhuǎn)化為數(shù)據(jù)安全使用規(guī)范，與時俱進(jìn)地升級去標(biāo)識化規(guī)范，以引導(dǎo)企業(yè)、研究機(jī)構(gòu)開展相關(guān)工作；再次引進(jìn)國際上最新的去標(biāo)識化技術(shù)研究成果，將成熟優(yōu)質(zhì)的去標(biāo)識化模型和機(jī)制做成標(biāo)準(zhǔn)化流程來提升信息保護(hù)力度；最后企業(yè)應(yīng)積極使用國家制定的標(biāo)準(zhǔn)，結(jié)合自身特點(diǎn)建立健全去標(biāo)識化管理及實(shí)施規(guī)范等。在個人隱私保護(hù)方面，目前的技術(shù)難以滿足數(shù)據(jù)隱私保護(hù)需要，應(yīng)建立法律法規(guī)、技術(shù)應(yīng)用、經(jīng)濟(jì)發(fā)展緊密結(jié)合的共同體?，F(xiàn)階段我國沒有專門的隱私保護(hù)法案，去標(biāo)識化技術(shù)運(yùn)算效率低下，要加大算法優(yōu)化研究力度，完善相關(guān)隱私安全保護(hù)條例，規(guī)范數(shù)據(jù)采集、傳輸、儲存、共享使用等行為，盡快構(gòu)建管理、技術(shù)、監(jiān)督等全方位信息保護(hù)體系[21-23]。

5 結(jié)語

大數(shù)據(jù)飛速發(fā)展的時代機(jī)會和挑戰(zhàn)同時存在，大數(shù)據(jù)產(chǎn)生巨大市場紅利的同時也給信息隱私保護(hù)工作帶來困難。目前去標(biāo)識化、同態(tài)加密、安全多方計算、置信計算、聯(lián)邦學(xué)習(xí)[24-25]等技術(shù)手段是隱私保護(hù)研究重點(diǎn)。以這些關(guān)鍵技術(shù)為突破點(diǎn)，結(jié)合相關(guān)法律法規(guī)是完善數(shù)據(jù)安全體系、發(fā)展數(shù)據(jù)產(chǎn)業(yè)關(guān)鍵所在。