下载掌阅APP,畅读海量书库
立即打开
在国家政策的引导下,各地积极开展区域卫生信息平台建设工作,卫生信息化建设不断加强。我国已初步建立了全员人口信息、电子健康档案、电子病历等数据库。随着区域卫生信息化建设的不断深入,加之医疗信息动态更新的特点,区域卫生信息平台存储的医疗数据以几何速度暴增。2016年,国务院印发《关于促进和规范健康医疗大数据应用发展的指导意见》,鼓励基于区域健康信息平台的健康医疗大数据开放共享。2017年,国家卫计委出台《“十三五”全国人口健康信息化发展规划》,提出建立健全统一权威的大数据采集、存储、发布、应用的卫生信息平台。
然而,当前区域健康医疗大数据开放共享效果不尽人意,实际共享中困难重重,各平台共享应用参差不齐。医疗信息比一般信息具有更高的隐私性及商业价值,极易被不法分子利用,其泄露可能对患者造成难以预计的损失。区域卫生信息平台在提供区域内医疗数据的交换共享、支持临床科研教学以及面向大众开放查询等便利时,隐私泄露问题却日益突出。因此,在区域卫生信息化的进程中保护患者隐私,降低信息泄露风险迫在眉睫。
目前,医疗信息隐私安全管理薄弱,保护的制度不够完善,对于隐私保护的规定比较笼统;相关人员的信息隐私意识不够;缺少合理、可遵循的信息使用流程,部分机构过于宽松以至于数据批量导出无需任何人员审核,部分又过于保守,给必要的医疗信息共享与使用制造了较大困难。区域卫生信息平台管理机构虽然在平台技术方面储备深厚,但本身缺乏隐私安全评估经验,以至于不敢、也不愿意在承担风险的前提下进行开放共享。
如何在基于区域健康信息平台的健康医疗大数据开放共享中,识别医疗信息在准备、传递、共享、使用等过程中潜在的泄露风险点,构建医疗信息隐私安全评估标准,提前发现可能造成信息泄露的关键环节,改进或新增相应的医疗信息隐私保护措施。对于提高区域健康医疗大数据共享实施的规范性,把控其准入,引导其发展,充分发挥健康医疗大数据未来在临床诊疗、医学研究、健康管理方面的作用,具有重要且深远的理论和实践意义。
2021《个人信息保护法》专门规定了“敏感个人信息”的概念。敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。可见医疗健康信息被纳入敏感个人信息的范畴进行规制。
敏感个人信息认定标准如下。
①风险指向内容:除个人信息权益之外的更加广泛的人身、财产权益。
②风险严重程度:人格尊严“受到侵害”和人身、财产安全“受到危害”。
③风险兑现概率:“容易”导致风险后果(从草案中的“可能”改为“容易”)。
④风险发生形式:主要为泄露型风险和非法使用型风险。
医疗健康数据包括个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据。如经过对群体健康医疗数据处理后得到的群体总体医疗数据分析结果、趋势预测、疾病防治统计数据等。
医疗隐私数据是指不愿被他人知悉、与本人健康相关的情况。医疗信息需要在诊疗服务时告知医疗机构,且医疗行为最易探及患者隐私,加之医疗信息由患者与医院共同产生,造就了医疗信息相比普通个人信息的特殊性,其所面临的隐患更多。当医疗信息泄露后,可能导致患者经常接到推销甚至诈骗电话、个人形象或名誉受损、就业或购买保险受歧视等一系列问题。
以Terry等学者提出的“隐私量表”为基础,设计调查问卷,对不同医疗健康隐私数据字段进行打分,各字段分值均值分布见图6-1。其中,患者对身份证号码(3.99±1.76)、手机号码(3.76±1.795)、医保卡号(3.7±1.846)、所患疾病(3.49±1.933)、住址(3.19+2.048)这五项信息的隐私性需求最高;检查报告、手术记录、出院小结等关键信息的隐私性需求较高;而对出生地、年龄、过敏史等显而易见的、特征化不明显的信息的隐私性需求较低;国籍、民族、性别分别最低。性别(1.56±1.985)、年龄(1.84±2.024)等15个指标低于总平均分(784±199),可见患者对于能够识别出身份、直接联系到自己的信息以及总结报告类的医疗信息的隐私性的需求最高。
图6-1 各医疗信息的隐私性示意图
根据数据重要程度和风险级别以及对个人健康医疗数据主体可能造成的损害以及影响的级别,《健康医疗数据安全指南》将医疗健康数据划分为以下5级。
(1)可完全公开使用的数据,可直接在互联网上面向公众公开,例如医院名称、地址、电话等。
(2)可在较大范围内供访问使用的数据,各科室医生经过申请审批可以用于研究分析,例如不能标识个人身份的数据。
(3)可在中等范围内供访问使用的数据,仅限于获得授权的项目组范围内使用,例如经过部分去标识化处理,但仍可能重标识的数据。
(4)在较小范围内供访问使用的数据,仅限于相关医护人员访问使用,例如可以直接标识个人身份的数据。
(5)仅在极小范围内且在严格限制条件下供访问使用的数据,仅限于主治医护人员访问且需要进行严格管控,例如特殊病种(例如艾滋病、性病)的详细资料。
目前我国并未从法规政策层面明确医疗隐私信息的范畴与内容,因此我们参考国际实践经验,以美国《健康保险携带和责任法案》(Health Insurance Portability and Accountability Act,HIPAA)、欧洲《通用数据保护条例》(GDPR)等为主,同时结合问卷与访谈的调研结果,最终整合并进行专家咨询,完成了适应我国国情的隐私信息界定。以下陈述主要结论。
参考欧美等国的实践经验,基于专家咨询,完成了适应我国国情的隐私信息界定。
(1)可识别符
界定了适合中国国情的5大类可识别符:姓名;身份证/驾照等证件号;电话号码、地址、传真、电子邮件;社保号、病历档案号、就诊卡号等账户;生物识别(指纹、虹膜、基因等);脸部图像等。这些信息是能识别个人身份的标识符。
(2)特殊病种和特殊身份
界定了特殊病种和特殊身份。特殊病种包括性生殖相关疾病、传染性疾病、心理疾病、恶性肿瘤、遗传性疾病、肛门疾病、罕见病、其他不治之症等8类疾病。特殊身份包括孕产妇、恶性肿瘤患者、高干等,这些数据的价值较一般人更高,营利性使用的可能性更高。
(3)数据分级分类
科研使用场景下,可分为公用数据集(public use files,PUF)、有限数据集(Limited Data Set Files,LDS)、可识别数据集(Research Identifiable Files,RIF)。PUF主要是汇总概要级的信息;LDS涉及患者级别的受保护信息,但身份识别信息被加密或泛化;RIF则包含患者的身份识别信息。隐私级别越高,应当对申请者要求越严格,需提交的材料越多,审核机构也越多。
医生调阅场景下,可分为默认级、告知级、授权级。默认级资料,如检验检查名称、就诊医院、就诊科室等。告知级资料,如检验检查报告、手术小结、住院小结、用药情况等小结报告类资料。授权级资料,如住院详细病历等。此外,涉及特殊病种、特殊身份的资料均需授权或告知。