下载掌阅APP,畅读海量书库
立即打开
数据收集是健康大数据的基础。较之其他类型的个人数据,传统的健康数据收集有很强的专业性,只有专业人士利用专业设备才能完成数据收集工作。随着技术的发展,尤其是可穿戴设备的普及,普通人也可以完成健康数据收集工作,甚至很多设备不需人工干预便能自动完成数据收集工作。学界对健康数据收集者的研究主要涉及以下问题。
由于健康数据的高度敏感性,患者对于数据收集都会持谨慎的态度,尤其是一些有不欲人知的特殊疾病的患者。然而数据收集是诊疗的重要前提,患者对医生的信任程度及临床医生的专业水平可以影响患者对健康数据隐私的顾虑。获取患者信任的方式有如下几种。
现实中,有些患者可能因不愿意别人知晓其病情而拒绝就医。但是,患者一旦走进医院,尤其是普遍实行的实名制就医机制下,可以说数据在医患之间是被共享的。患者对医疗保健专业人员的信任度对于数据采集有很大的影响。然而要获得患者的信任,医疗从业人员则需要有一整套的保密措施,并将其详细告知患者。
Simon研究发现,如果告知患者电子健康记录将在整个组织内共享,大多数患者都会对数据收集表示担忧。
但是,如果能让患者确信,数据分享能使其获得更高质量的健康服务,那么大部分患者会愿意与临床医生和非临床工作人员分享他们的数据。
所有行业的消费者都希望获得卓越的个性化服务,医疗保健业也不例外。个性化护理是根据患者自己的数据进行个性化诊断、治疗和临床决策,其前提在于能够更好地收集和分析临床环境之外的患者行为和数据,以便医护人员可以更全面地了解患者,为每位患者提供针对其特定病情,在现有资源条件下最有效的护理。
由于每个患者的个体状况具有独特性,个性化医疗保健是实现人口健康的关键。
平均护理不可避免地会导致资源浪费和挫败感,而个性化护理将提升患者和临床医生的体验。个性化护理将成为卫生系统的新要求和新标准。这种护理侧重于质量和患者参与,参与过程中,患者会有动力提供其数据。
有些文献研究了不同人群对于健康数据收集的隐私顾虑的差异。King对澳大利亚成人进行调研发现,对于一些特别敏感的信息,如性传播疾病、堕胎和不孕症、家庭病史/遗传疾病、精神疾病、吸毒、酗酒等,大部分受调查者表示对数据收集存在隐私顾虑。60岁以上年龄段的患者隐私顾虑程度明显低于其他年龄段。基于位置的人口统计分析发现,昆士兰人比那些住在其他研究区域的人更倾向加强隐私保护。
不同的人群,健康数据收集的难度不一样,面临的各种规章制度也有所差别,尤其是未成年人的健康数据采集,应该有更严格的规章制度。
新型设备主要是指移动智能终端和可穿戴设备。移动智能终端主要是指智能手机。随着这些新型设备的日益普及,其通信交流及商务办公的功能被不断扩展,健康管理功能被大量嵌入。这些设备对人们进行健康监测和行为干预,随时随地根据个人的实际情况提供定制服务。目前,手机应用程序(Mobile Application,App)市场已经拥有上千种适用于Android智能手机的健康和健身类App。有些App通过计算跑步或走路的里程,摄入的卡路里或脉搏来帮助用户组织和记录他们的锻炼方案。有些App提醒患者按时服药或记录血压,还有针对孕妇、老年人的健康App。App可以激励用户进行更多锻炼,吃得更健康,记录和了解自己的身体和生命体征,并相应地优化自己的行为。这些设备功能实现的前提是精确的数据采集。不能忽视的是,App收集的数据可能提供给广告商、健康保险公司或者其他公司使用。
由于所收集信息的多样性和持续性,可穿戴设备蕴含隐私风险,在收集用户数据时保护其隐私已经成为一种挑战。
除了个人的健康信息,设备还可能采集大量的其他敏感数据。例如,可穿戴设备有实时自适应干预(Just-in-time Adaptive Intervention)功能,能“在正确的时间和地点”提供治疗或者服务
,这就需要实时采集地址信息。而GPS数据可用于推断参与者的家庭地址,对于这一点缺乏有效的隐蔽措施。
由于能实时采集多种数据,新型设备的隐私风险往往更大,保护数据主体的隐私已经成为临床研究中的一大挑战。
非临床领域的情况也是如此。很多健康App可以跟踪个人的整体健康状况及特定的医疗状况。美国医学协会期刊上的一项研究发现,许多健康App将敏感的医疗信息(如疾病状态和药物依从性)传输给第三方,如数据中介公司和广告公司。研究人员分析了所有可用的Android糖尿病App,共211款,收集并分析了它们的隐私政策和权限,发现超过80%的App根本没有隐私政策;在确实有隐私政策的41个App中,并非所有条款都实质性地保护隐私。研究人员安装了随机选择的App,以确定数据是否传输给第三方。经过6个月的观察,发现65种糖尿病App经常收集并与第三方共享一些敏感信息,包括用户的胰岛素和血糖水平。该文献作者指出,美国的法律通常不会禁止通过App共享敏感的健康信息,也没有联邦法律保护措施禁止从App向第三方出售或披露数据。糖尿病App与第三方共享信息,构成隐私风险。但是,患者往往不了解这一情况,可能会错误地认为输入App的健康信息是私密的(特别是如果App有隐私政策),医疗专业人员应该提醒患者在使用健康App之前考虑隐私问题。
有些文献对隐私风险产生的原因进行了深入分析。邓世洲等指出,产生隐私风险的原因主要有,企业受商业利益的驱动滥用数据,企业侵犯用户隐私的违规成本较低,用户隐私保护意识较弱。
Bietz等认为,法律法规的缺失以及医护人员向患者推荐可穿戴设备时缺乏隐私提醒是产生隐私风险的重要原因。
健康App及可穿戴设备可以让生活更轻松,更健康。但它们也收集了大量的个人信息。尽管对隐私的审查越来越严格,许多App仍然可以随心所欲地使用该信息。大量文献对隐私风险进行了研究,并且已经提出了许多方法来保护参与者隐私。
一是数据模糊化处理。位置数据可以提供高度适合参与者当前物理环境的治疗,然而精确的位置数据并非必需的数据。可以通过分类的方式对地理数据进行匿名化处理,将参与者位置分类为“家庭”、“工作”或“其他”,这样既能保证服务的效果,又能确保不存储特定位置信息,即不必存储GPS坐标或其他细粒度数据。
二是数据本地化存储。有些不需要发送到服务器的信息,可以留在用户的手机上,从而将风险降至最低。
本地化存储并不能完全解决问题,只能降低隐私泄露的风险。
三是加密技术。区块链最近成为健康IT中最热门的流行语之一。该技术被有些人视为医疗保健领域隐私问题的可能解决方案。区块链对于改善互操作和数据交换的安全很有帮助。此外,一些健康IT部门正在考虑将区块链作为医疗保健数据存储选项的可行性。Yue提出了一种基于区块链的App架构,使患者能够轻松安全地拥有、控制和共享自己的数据,而不会泄露隐私,这为改善隐私问题提供了新的潜在途径。
四是访问控制。Yue指出,安全的多方计算可以作为一种解决方案,可以使不受信任的第三方在不侵犯隐私的情况下对患者数据进行计算。以目标为中心的访问模型可确保患者拥有并控制其医疗保健数据,简单统一的以指标为中心的模式可以轻松地组织各种个人医疗保健数据,从而保持患者数据私密性。
五是提高自我保护意识。何晓琳等对数据保障能力认知、数据权利主体认知、数据共享意愿认知、尊重他人隐私意识及数据保护和维权意识五个方面进行了分析,并提出了提高自我保护意识的建议。
六是完善法律法规,邓世洲
、Bietz等
提出了完善可穿戴设备数据收集、传输、使用的法律的建议。
可穿戴设备在未成年人身上使用得十分普遍,特别是年幼的孩子无法表达他们的感觉,也不知道严重症状的警告信号,家长或医疗保健专业人员能够使用可穿戴设备收集的信息来跟踪孩子健康状况的变化从而提供更好的看护。例如,有人研究使用可穿戴设备监测儿童身体活动的效果。在2012年3月至8月,25名7~10岁的儿童参加了为期4周的3个加速度传感器和心率监测器的实验。实验要求儿童每周更换一种可穿戴设备,在儿童使用每台设备后,研究者对儿童及其父母进行结构化访谈。研究发现,腕带式设备最适合监测7~10岁儿童的体力活动,儿童乐意佩戴,监测效果好,父母也支持儿童使用。
但是,可穿戴设备在未成年人身上的使用会影响他们的隐私。有很多家长认为他们的孩子没有隐私权,然而当孩子长大成为青少年时,孩子们会有隐私意识。
而且,这些设备也可能给别人带来隐私困扰。例如,有一名小学老师发现,学生还没放学,自己上课说的话就传播到了家长朋友圈。原来有家长给孩子戴了一款有远程监控功能的儿童智能手表,上课时课堂里的声音被实时传输到她的手机上,随后她又发到了朋友圈。这就对老师的教学工作形成了一定的困扰
。
很多健康数据采集需要专业人士的操作,因此也有学者研究了如何规制从业人员,从而保护患者隐私。
作为医疗保健环境中的从业人员,在使用信息技术时应该更加关注电子健康记录中的隐私问题。
一篇有关澳大利亚临床医生的研究文献指出,一些临床医生不知道信息隐私处理的有效方法。
其他的文献也指出,许多医生不具备应有的计算机知识,他们需要更专业的培训才能处理电子健康记录中的隐私问题。
医疗保健组织必须为其专业人员提供信息技术的相关培训,帮助医疗保健从业者掌握更多的计算机知识,提高对电子健康记录的隐私意识。
同时,必须为员工提供有关如何有效使用电子健康记录并同时保护隐私的全面技能培训。
根据美国医疗卫生信息和管理系统协会(Healthcare Information and Management Systems Society)进行的一项调查显示,80%的健康IT高管和专业人士表示,员工安全意识是他们最大的数据安全问题
。根据美国健康数据的重要法规《健康保险流通与责任法》(Health Insurance Portability and Accountability Act,HIPAA)的规定,医疗机构必须对所有员工进行安全政策和程序培训,并且必须对违反其政策和程序的员工进行适当的处罚。为了使培训计划具有灵活性和可扩展性,美国卫生与公众服务部(Department of Health and Human Services,HHS)声明,医疗机构不需要遵守一个标准化的培训计划,而应该设计符合其自身需求的教育和培训计划,并定期更新培训内容,以便减少事故发生的可能性。
从业人员在工作环境中使用电脑或者手机访问互联网时,可能使患者数据泄露,或者使患者数据处于危险之中。如果医疗保健从业人员没有意识到他们的行为会影响信息安全,或者缺乏数据安全培训,就可能造成医疗保健数据泄露。例如,美国俄亥俄州的伍德县医院经历了一次勒索软件攻击。一名员工用医院电脑登录了她经常去找工作的网站,无意中感染病毒,致使医院系统被攻击。所幸伍德县医院及时地隔离了受影响的设备,确保了整个系统不受损害
。
医疗保健从业人员使用社交网站进行交流时应受到一些约束,在保护患者隐私方面同样需要较高的专业标准,例如,医学学生不得通过社交网络分享涉及患者个人数据的医疗经验。
Facebook、Flickr、Twitter和YouTube等在线社交网络App已成为交换个人和专业信息的重要渠道。大学校园中85%~95%的学生使用这些通信媒介,几乎所有年龄段的人都在使用在线社交网络分享各种行为及动态。
使用社交网站的医疗专业人员有独特的责任,因为他们的帖子可能会有损其职业形象或者声誉,
更重要的是,可能会侵犯患者的隐私。
相当多的学术医疗机构都发生过医学生在线发帖以致泄露患者隐私的事件,其中一些严重到足以开除学生或者医生。
在社交媒体发布以任何方式识别或潜在地识别患者的帖子,都属于侵犯患者隐私。佛罗里达大学的审查委员会批准多学科团队对其医学院学生和住院医生的Facebook资料进行两次分析(分别在2007年和2009年)。该课题组调查了符合条件的在佛罗里达大学盖恩斯维尔分校注册的所有医学生(2007年为501人,2009年为528人),以及由Shands医院雇用的住院医师(2007年为312人,2009年为712人)。研究发现,49.8%的学生和住院医师都有Facebook账号,而且Facebook的使用人数呈上升趋势,2007年有44.5%的人使用Facebook,而2009年为52.5%。到2009年,个人资料设置为“仅对好友可见”的比例大幅提高,达到85.4%,而2007年仅为37.6%。然而,研究发现潜在隐私权侵权的证据越来越多,2007年为372个,2009年为651个,涉及账号11个。学生比住院医师更容易发生这些违规行为,11个违规账号中,10个为学生账号,1个为住院医师账号。所有这些实例都是在给患者提供医疗服务时拍的照片。未经许可,也未做任何处理,直接将病人照片发在了网上。该研究中未发现任何可能侵犯患者隐私的有关患者个人信息或病情相关的文字证据。
近年来,我国也发生多起泄露患者隐私的事件,如深圳千名孕产妇信息泄露、上海疾控中心工作人员贩卖新生儿信息案等。第十三届全国人民代表大会第三次会议通过的《中华人民共和国民法典》侵权责任部分规定,医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息,或者未经患者同意公开其病理资料的,应当承担侵权责任。
近几年,国内对个人数据的权属争议激烈。《中华人民共和国民法总则》第一百二十七条指出“法律对数据、网络虚拟财产的保护有规定的,依照其规定。”但这仅仅表明对数据予以保护的立场,并没有对数据权属进行明确规定。对此,我国学者从隐私权、财产权、知识产权等角度探讨了给予个人数据人格权或者财产权。然而,也有学者认为无论以隐私权还是以财产权来保护个人数据信息都有明显的不足,因而提出了个人信息权的概念,
或者提出了数据权概念;
有的学者认为,个人数据及以个人数据为基础形成的企业数据、公共数据等不同数据类型的法律属性、权利归属、使用规则及法律适用均存在差异,
还有学者认为应该将个人数据信息作为公共物品来规制,
也有学者提出“两头强化,三方平衡”的理论,建议对个人信息(数据)区别对待,对其中的敏感信息强化保护。
针对个人健康数据的权属,国内较少对此专门研究。外国学者较早对此进行了讨论,有的学者认为电子化影响了医院对病历的控制力,降低了复制和传播成本,隐私保护应优先考虑;
有的学者则认为需要权衡利弊再决定如何进行医疗数据的共享。
这些文献并没有提出如何明确医疗健康数据的权属,但也为后来的立法提供了参考。欧美的立法都没有规定数据权属,如美国HIPAA在明确受保护信息的前提下,鼓励数据的流通。日本《个人信息保护法》则增加了“匿名信息”概念,平衡由数据权属导致的个人数据利用和保护之间的关系。