王換換
(徐州醫(yī)科大學(xué)醫(yī)學(xué)信息與工程學(xué)院 江蘇·徐州 221004)
當(dāng)前包括甲肝、肺結(jié)核等在內(nèi)的眾多傳染病仍在世界范圍內(nèi)傳播,其監(jiān)測(cè)與防治形勢(shì)始終嚴(yán)峻[1]。在進(jìn)行人工防控各類傳染病的同時(shí),技術(shù)人員利用信息技術(shù)搭建了傳染病大數(shù)據(jù)防控體系,在整個(gè)傳染病防控工作中發(fā)揮了重要支撐作用。而由于傳染病防控體系的建立與應(yīng)用涉及患者隱私安全保護(hù)的關(guān)鍵問(wèn)題,在我國(guó)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《中華人民共和國(guó)傳染病防治法》以及國(guó)外的HIPAA(健康保險(xiǎn)攜帶和責(zé)任法案)與GDPR(通用數(shù)據(jù)保護(hù)條例)等多部法律文件中對(duì)個(gè)人信息的隱私保護(hù)做出了明確規(guī)定。然而,國(guó)內(nèi)隱私保護(hù)法規(guī)缺乏系統(tǒng)性與實(shí)用性,導(dǎo)致傳染病防控中的隱私泄露問(wèn)題仍普遍存在[2]。同時(shí)因部分工作人員及公眾隱私保護(hù)意識(shí)薄弱,造成了較為嚴(yán)重的隱私泄露事故,給患者造成嚴(yán)重危害。
重大傳染病具有傳播性強(qiáng)、危害性大的特點(diǎn),爆發(fā)后將導(dǎo)致嚴(yán)重的經(jīng)濟(jì)與社會(huì)危機(jī)。在應(yīng)對(duì)重大傳染病的防治,國(guó)內(nèi)外利用信息技術(shù)搭建了傳染病防控體系[3-4],在該體系運(yùn)作期間收集了大量被監(jiān)測(cè)人員的個(gè)人信息。據(jù)調(diào)研,僅美國(guó)在2020年產(chǎn)生的醫(yī)療數(shù)據(jù)量便達(dá)到6.45ZB,同年歐洲個(gè)人信息交易量占據(jù)歐洲GDP總量的8%,這些數(shù)據(jù)在幫助醫(yī)院決策及政府監(jiān)管方面發(fā)揮重要作用的同時(shí),也存在極高的經(jīng)濟(jì)價(jià)值,而這必將導(dǎo)致大量醫(yī)療信息的泄露,對(duì)患者造成嚴(yán)重的侵害。在多類傳染病全球傳播背景下,數(shù)據(jù)系統(tǒng)受攻擊次數(shù)激增。據(jù)調(diào)研,2020年數(shù)據(jù)泄露總量中52%的數(shù)據(jù)泄露由外部人員惡意造成,25%由系統(tǒng)故障與攻擊造成,23%由人為造成(見(jiàn)圖1)。
美國(guó)及歐洲等多個(gè)地區(qū)國(guó)家本部了HIPAA與GDPR[5]等隱私保護(hù)法律文件,對(duì)數(shù)據(jù)挖掘和預(yù)處理流程中的數(shù)據(jù)安全提出嚴(yán)格要求。在重大傳染病防治期間,數(shù)據(jù)掌握方需遵循最小必要原則,利用有限數(shù)據(jù)集進(jìn)行數(shù)據(jù)清洗,并提高被監(jiān)測(cè)人員數(shù)據(jù)隱私安全。而由于重大傳染病的特殊性,HIPAA與GDPR等法律文件規(guī)定和明確了數(shù)據(jù)主體與受約束主體的責(zé)任與義務(wù),在確保數(shù)據(jù)主體隱私安全的同時(shí),確保重大傳染病防治期間患者隱私權(quán)與公眾知情權(quán)的相對(duì)平衡。與國(guó)外不同,國(guó)內(nèi)缺少完備的隱私保護(hù)法律體系,難以形成有效地保護(hù)屏障。在關(guān)系重大傳染病防治的醫(yī)療衛(wèi)生領(lǐng)域,國(guó)內(nèi)現(xiàn)有的《人口健康信息管理辦法(試行)》《執(zhí)業(yè)醫(yī)師法》以及《醫(yī)療機(jī)構(gòu)病歷管理規(guī)定》等條例規(guī)定患者個(gè)人信息應(yīng)受到醫(yī)療機(jī)構(gòu)相關(guān)人員的保護(hù),但因條例落地不到位,多次出現(xiàn)醫(yī)務(wù)人員泄露患者隱私的事件,對(duì)患者造成了嚴(yán)重危害。
在重大傳染病防治期間,公民可通過(guò)法律手段及維權(quán)通道進(jìn)行維權(quán),有效降低了人為泄露隱私的可能。而由于重大傳染病的特殊性,盡管擁有完備的隱私保護(hù)法律條例保障,國(guó)外仍然發(fā)生了嚴(yán)重的隱私泄露事件。據(jù)調(diào)研,在眾多隱私泄漏事件中,23%是內(nèi)部人員缺乏隱私保護(hù)意識(shí)造成的,其中醫(yī)療衛(wèi)生行業(yè)占內(nèi)部人員泄露的27%。同樣,在國(guó)內(nèi)與傳染病防控相關(guān)的工作人員也缺乏足夠的隱私保護(hù)意識(shí),在防控工作中多次出現(xiàn)泄露疑似患者或患者隱私信息的情況。淡薄的隱私保護(hù)意識(shí)造成了巨大規(guī)模的個(gè)人信息泄露,對(duì)數(shù)據(jù)安全產(chǎn)生了多重挑戰(zhàn),是當(dāng)前保證數(shù)據(jù)隱私安全亟須解決的關(guān)鍵難題。
圖1:隱私保護(hù)現(xiàn)狀、問(wèn)題產(chǎn)生原因及解決問(wèn)題方法關(guān)系圖
因醫(yī)療數(shù)據(jù)擁有極高的價(jià)值,且現(xiàn)有部分醫(yī)療衛(wèi)生系統(tǒng)存在較多安全漏洞,進(jìn)而導(dǎo)致國(guó)內(nèi)外多次出現(xiàn)技術(shù)人員攻擊衛(wèi)生系統(tǒng)的事件,造成了嚴(yán)重的隱私泄露后果,如TheDarkOvrlord組織非法入侵牙科醫(yī)院,18萬(wàn)份患者病歷信息被泄露;華盛頓大學(xué)醫(yī)學(xué)院遭釣魚(yú)攻擊,8萬(wàn)余份患者病歷泄露;巴西衛(wèi)生部官網(wǎng)存在嚴(yán)重漏洞,導(dǎo)致2.43億人信息泄露;美國(guó)醫(yī)療保險(xiǎn)上Anthem被入侵,超過(guò)8000萬(wàn)個(gè)人醫(yī)療信息被泄露。在國(guó)內(nèi),因部分醫(yī)療衛(wèi)生系統(tǒng)缺少嚴(yán)格的審核與預(yù)警機(jī)制,導(dǎo)致內(nèi)部員工可輕易完成醫(yī)療數(shù)據(jù)的外泄,國(guó)內(nèi)某市婦幼信息管理系統(tǒng)中50余萬(wàn)條新生嬰兒數(shù)據(jù)泄露;廣西一醫(yī)護(hù)人員倒賣8萬(wàn)條嬰兒信息等。外部人員通過(guò)技術(shù)手段惡意攻擊造成的隱私泄露比例達(dá)52%,成為威脅數(shù)據(jù)安全的頭號(hào)隱患,是必須重視和防范的重點(diǎn)。
與常態(tài)化隱私保護(hù)不同,在重大傳染病防治期間開(kāi)展隱私保護(hù)需充分考慮公眾知情權(quán)與傳染病防控需要。而在重大傳染病防治期間國(guó)內(nèi)外同樣面臨個(gè)人隱私泄露可能,因此必須加大國(guó)家監(jiān)管強(qiáng)度,建立完備的重大傳染病防治隱私保護(hù)法律文件,構(gòu)建保護(hù)公民個(gè)人信息的安全防線。另外在傳染病防控特殊情況下,當(dāng)頻繁出現(xiàn)數(shù)據(jù)泄露現(xiàn)象時(shí),應(yīng)首先從數(shù)據(jù)安全需求角度出發(fā),搭建隱私數(shù)據(jù)防控體系,利用智能化內(nèi)容識(shí)別技術(shù)產(chǎn)品開(kāi)展數(shù)據(jù)治理工作。其次從法律監(jiān)管角度出發(fā),頒布嚴(yán)格實(shí)用的法律文件,建立安全可靠的法律保護(hù)屏障。然后,必須加強(qiáng)公民隱私保護(hù)意識(shí)教育力度,切實(shí)提高行業(yè)人員隱私保護(hù)意識(shí),避免出現(xiàn)內(nèi)部員工泄露數(shù)據(jù)事件的發(fā)生。最后,必須提高數(shù)據(jù)管理系統(tǒng)的安全性,可通過(guò)先進(jìn)人工智能技術(shù)與主動(dòng)預(yù)防策略建立良好的防護(hù)體系,并根據(jù)掃描與探測(cè)的特征和行為,采用全網(wǎng)威脅情報(bào)與深度學(xué)習(xí)算法實(shí)現(xiàn)對(duì)系統(tǒng)攻擊行為的自動(dòng)攔截,全面提高數(shù)據(jù)管理與存儲(chǔ)系統(tǒng)的安全性,為重大傳染病防治期間的隱私保護(hù)提供更多保障。