，，，

電子健康檔案系統(tǒng)(Electric Health Records，EHR)作為繼HIS之后出現(xiàn)的醫(yī)療衛(wèi)生信息系統(tǒng)，是區(qū)域醫(yī)療衛(wèi)生服務(wù)信息共享和交換的主要支撐平臺(tái)，在雙向轉(zhuǎn)診與遠(yuǎn)程會(huì)診、衛(wèi)生機(jī)構(gòu)決策支持、臨床科研、個(gè)人健康管理和健康教育等諸多領(lǐng)域都發(fā)揮著重要作用。20世紀(jì)90年代，美英等西方國(guó)家開(kāi)始規(guī)劃和推進(jìn)電子健康檔案的研究。我國(guó)在這方面的研究起步較晚，2009年國(guó)務(wù)院提出“要以建立居民健康檔案為重點(diǎn)，構(gòu)建鄉(xiāng)村和社區(qū)衛(wèi)生信息網(wǎng)絡(luò)平臺(tái)；以醫(yī)院管理和電子病歷為重點(diǎn)，推進(jìn)醫(yī)院信息化建設(shè)”[1]。

隨著醫(yī)療健康數(shù)據(jù)的爆發(fā)式增長(zhǎng)和區(qū)域協(xié)同醫(yī)療服務(wù)體系的推進(jìn)發(fā)展，醫(yī)療健康進(jìn)入了大數(shù)據(jù)和云計(jì)算時(shí)代，電子健康檔案的信息安全和隱私保護(hù)面臨極大挑戰(zhàn)[2]，網(wǎng)絡(luò)數(shù)據(jù)中心被黑客攻陷導(dǎo)致用戶信息大量泄露的安全事件層出不窮。由于關(guān)乎個(gè)人生命健康，醫(yī)療領(lǐng)域的信息安全和隱私保護(hù)問(wèn)題格外受到關(guān)注。因此，對(duì)電子健康檔案信息安全和隱私保護(hù)進(jìn)行全面、系統(tǒng)的梳理是非常必要的，以此把握安全形勢(shì)，明確發(fā)展方向。

本文利用萬(wàn)方學(xué)術(shù)、CNKI、Web of Science等數(shù)據(jù)庫(kù)，通過(guò)系統(tǒng)的文獻(xiàn)調(diào)研，對(duì)電子健康檔案信息安全和隱私保護(hù)的關(guān)鍵問(wèn)題進(jìn)行總結(jié)梳理，為電子健康檔案信息安全和隱私保護(hù)的法規(guī)制定、體系建設(shè)、模型研究、技術(shù)革新等提供參考借鑒。

1 電子健康檔案信息安全和隱私保護(hù)的關(guān)鍵問(wèn)題

研究電子健康檔案的信息安全和隱私保護(hù)問(wèn)題，首先要辨析和明確相關(guān)概念。信息安全和隱私保護(hù)是兩個(gè)方面的問(wèn)題，二者既有聯(lián)系又有區(qū)別[3]。它們之間的聯(lián)系概括為三點(diǎn)：信息安全的目標(biāo)之一是完成對(duì)隱私的保護(hù)，信息安全的技術(shù)手段可以用于隱私保護(hù)，信息安全和隱私保護(hù)都是有等級(jí)要求的。它們的區(qū)別也可概括為三點(diǎn)：信息安全的內(nèi)容范圍更大，但并不是包含隱私，而是與隱私有交集；信息安全的法律和技術(shù)不足以滿足隱私保護(hù)的要求；信息安全更偏重過(guò)程的實(shí)施，隱私保護(hù)更偏重利益的結(jié)果。

目前對(duì)電子健康檔案的信息安全和隱私保護(hù)還沒(méi)有明確的定義。我們參考HIPAA條例[4]和相關(guān)文獻(xiàn)[5]，作出如下界定：電子健康檔案信息安全是指電子健康檔案信息系統(tǒng)在物理和網(wǎng)絡(luò)環(huán)境、系統(tǒng)自身、系統(tǒng)內(nèi)的數(shù)據(jù)以及管理機(jī)制等4個(gè)維度上確保檔案信息的保密性、一致性、可用性；電子健康檔案隱私保護(hù)是指檔案信息在患者意愿同意、可拒絕、不允許三種類型下使用，并在法律和技術(shù)上提供保護(hù)。

電子健康檔案信息安全和隱私保護(hù)的關(guān)鍵問(wèn)題既包含了傳統(tǒng)的安全和隱私問(wèn)題，又涉及到醫(yī)療大數(shù)據(jù)和健康云服務(wù)的特性問(wèn)題，如圖1所示。其中電子健康檔案信息安全的六類問(wèn)題，與國(guó)標(biāo)《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》[6]一致。電子健康檔案隱私保護(hù)問(wèn)題是從文獻(xiàn)[7-11]中總結(jié)梳理所得，有些是目前領(lǐng)域內(nèi)正在深入研究的問(wèn)題，有些則是鮮有研究或起步開(kāi)始研究的問(wèn)題。

信息安全主要影響機(jī)構(gòu)和群體，隱私保護(hù)則直接關(guān)乎個(gè)人利益。圖1所示問(wèn)題如果得不到解決，就會(huì)對(duì)以電子健康檔案為代表的醫(yī)療信息系統(tǒng)和個(gè)人隱私造成不同程度的危害[12]。如2015年5月福建某醫(yī)院因電力故障導(dǎo)致信息系統(tǒng)癱瘓的安全事件、2011年深圳黑客“統(tǒng)方”勒索案、2008年婦幼保健院母嬰信息公開(kāi)出售案。

上述安全事件說(shuō)明醫(yī)療領(lǐng)域信息安全存在諸多問(wèn)題，電子健康檔案的信息安全和隱私安全問(wèn)題日益凸顯。

2 電子健康檔案信息安全研究進(jìn)展

電子健康檔案信息安全研究圍繞保密性、完整性、可用性、可控性和不可否認(rèn)性這5個(gè)安全目標(biāo)，主要涉及法規(guī)政策制定、區(qū)域平臺(tái)建設(shè)、訪問(wèn)權(quán)限控制和安全技術(shù)防范等，分別對(duì)應(yīng)了法規(guī)研究、架構(gòu)研究、模型研究和技術(shù)研究4方面。本文從問(wèn)題分類、熱點(diǎn)問(wèn)題、主要研究進(jìn)展3個(gè)層面進(jìn)行梳理總結(jié)，詳見(jiàn)表1。

表1 電子健康檔案信息安全研究進(jìn)展

在電子健康檔案法規(guī)政策研究上，國(guó)外有成文的法律，如HIPAA和HITECH對(duì)電子信息交換的安全標(biāo)準(zhǔn)，以及關(guān)于管理、技術(shù)、物質(zhì)的安全程序都有明確的要求，以保護(hù)電子醫(yī)療信息的安全[28]。我國(guó)關(guān)于電子健康檔案的明確法規(guī)研究還不夠深入，但已有信息安全等級(jí)保護(hù)的國(guó)家標(biāo)準(zhǔn)和《全國(guó)醫(yī)療衛(wèi)生服務(wù)體系規(guī)劃綱要(2015-2020年)》等政府文件，為電子健康檔案信息安全法律支持奠定了堅(jiān)實(shí)基礎(chǔ)。

在電子健康檔案區(qū)域平臺(tái)建設(shè)研究上，國(guó)內(nèi)學(xué)者圍繞電子健康檔案云安全、安全架構(gòu)、醫(yī)院信息系統(tǒng)等級(jí)保護(hù)情況等問(wèn)題展開(kāi)研究。張志美等探討了云環(huán)境電子健康檔案的存儲(chǔ)和終端安全[15]，柴文磊等設(shè)計(jì)和開(kāi)發(fā)了云計(jì)算模式下電子健康檔案服務(wù)的安全架構(gòu)[16]，王麗娜等對(duì)河南省37所醫(yī)院信息系統(tǒng)信息安全現(xiàn)狀進(jìn)行了調(diào)查和對(duì)策探討[18]。這些研究為國(guó)內(nèi)城鎮(zhèn)區(qū)域醫(yī)療服務(wù)平臺(tái)建設(shè)的安全問(wèn)題提供了現(xiàn)實(shí)依據(jù)和方向指引，也為各級(jí)醫(yī)院的安全等級(jí)保護(hù)提供建議方案。

在電子健康檔案訪問(wèn)權(quán)限模型研究上，主要以基于角色的訪問(wèn)控制為基礎(chǔ)，研究成果較豐碩?；舫闪x等提出了面向患者的POPPAC模型和個(gè)性化訪問(wèn)控制策略[21]，劉逸敏等研究了基于視圖和數(shù)據(jù)標(biāo)簽的數(shù)據(jù)庫(kù)細(xì)粒度訪問(wèn)控制模型[22]，王霏等介紹了共享調(diào)閱過(guò)程中“事前授權(quán)、事中控制、事后審計(jì)”的權(quán)限控制方法[23]。這些研究契合電子健康檔案數(shù)據(jù)龐大集中的特點(diǎn)，防范了非法訪問(wèn)等安全隱患，提高了系統(tǒng)整體安全性。

在電子健康檔案安全技術(shù)研究上，重視從準(zhǔn)備檢查階段、實(shí)施發(fā)現(xiàn)階段、入侵處理階段等各個(gè)節(jié)點(diǎn)上全面多維進(jìn)行安全防護(hù)[19]，應(yīng)用的技術(shù)有口令保護(hù)、數(shù)據(jù)加密、存取控制、數(shù)字簽名、接入控制、跟蹤審計(jì)等[26]。楊霜英等從技術(shù)層面探討了醫(yī)院信息管理系統(tǒng)安全運(yùn)行的保障方法[25]，丁茂震等創(chuàng)新研究了電子健康檔案數(shù)據(jù)的AES和DNA兩種加密方法、提出了多關(guān)鍵詞可檢索公鑰加密方案以及云環(huán)境的密文搜索方法[27]。這些研究充實(shí)和豐富了電子健康檔案的安全技術(shù)，不過(guò)由于技術(shù)的革新速度是最快的，電子健康檔案的信息安全不能僅依靠末端的信息安全技術(shù)，而是要實(shí)現(xiàn)頂層到末端的全面防護(hù)。

3 電子健康檔案隱私保護(hù)研究進(jìn)展

醫(yī)療信息隱私具有特殊的社會(huì)價(jià)值和經(jīng)濟(jì)價(jià)值[29]?！秷?zhí)業(yè)醫(yī)師法》、《護(hù)士條例》等相關(guān)法規(guī)規(guī)定不得泄露患者的隱私，但目前仍缺乏對(duì)電子健康檔案隱私保護(hù)的明文規(guī)定。電子健康檔案的隱私保護(hù)具有自主性、專業(yè)性、敏感性、可辨別性、保護(hù)有限性[30]等特性，相關(guān)研究涉及隱私保護(hù)策略、數(shù)據(jù)匿名算法、數(shù)據(jù)溯源機(jī)制、數(shù)據(jù)挖掘的隱私保護(hù)等方面，如表2所示。

表2 電子健康檔案隱私保護(hù)研究進(jìn)展

電子健康檔案隱私保護(hù)策略是國(guó)內(nèi)外學(xué)者重點(diǎn)研究的內(nèi)容，他們通過(guò)策略研究、整體架構(gòu)和模型的設(shè)計(jì)，提出了具體的電子健康檔案隱私保護(hù)可行性方案。德國(guó)弗萊堡大學(xué)的Sebastian Haas等研究了電子健康檔案隱私保護(hù)系統(tǒng)的整體方案，包括數(shù)據(jù)服務(wù)模型和患者服務(wù)模型[32]；國(guó)內(nèi)李冰華等根據(jù)領(lǐng)域分析的結(jié)果，構(gòu)建了關(guān)于區(qū)域醫(yī)療信息共享中健康檔案安全與隱私保護(hù)的領(lǐng)域模型[33]；黃中睿等利用Airavat強(qiáng)制訪問(wèn)控制和差分隱私保護(hù)技術(shù)設(shè)計(jì)和實(shí)現(xiàn)了醫(yī)療信息的訪問(wèn)控制與隱私保護(hù)方案[35]。這些研究為算法和技術(shù)的相關(guān)研究提供理論基礎(chǔ)和方向指引。

電子健康檔案數(shù)據(jù)匿名算法是隱私保護(hù)三大方法之一。數(shù)據(jù)匿名在醫(yī)療數(shù)據(jù)發(fā)布、醫(yī)學(xué)研究過(guò)程中，能很好地保護(hù)個(gè)人身份標(biāo)識(shí)信息和醫(yī)療敏感信息的泄露。數(shù)據(jù)匿名算法以K匿名為基礎(chǔ)，童云海等提出了保持身份標(biāo)識(shí)屬性的匿名方法[37]；史漢發(fā)等提出了一種新的醫(yī)療數(shù)據(jù)發(fā)布中多敏感屬性隱私保護(hù)(AHPK匿名)算法，對(duì)準(zhǔn)標(biāo)識(shí)符(QI)加權(quán)處理使用[38]；朱青等針對(duì)Web查詢服務(wù)提出了基于信息損失懲罰的滿足L-Diversity的算法，提高隱私保護(hù)的效率和性能[40]。各種匿名算法為電子健康檔案隱私保護(hù)提供了技術(shù)支持，也為技術(shù)革新奠定了良好基礎(chǔ)。

數(shù)據(jù)溯源機(jī)制研究和數(shù)據(jù)挖掘的隱私保護(hù)兩個(gè)熱點(diǎn)問(wèn)題是比較新的研究方向和內(nèi)容，但在電子健康檔案這一特定領(lǐng)域的研究中還處于剛起步階段，需要借鑒已有的基本理論和研究成果。明華等介紹了 7種數(shù)據(jù)溯源模型，比較分析了幾種典型數(shù)據(jù)溯源方法[41]；王忠等闡述了大數(shù)據(jù)下個(gè)人隱私數(shù)據(jù)溯源的基本概念、路徑分析、機(jī)制設(shè)計(jì)[42]；陳煒等研究了基于背景知識(shí)攻擊的電子病歷隱私保護(hù)新算法，通過(guò)對(duì)敏感屬性的微聚類，提高了等價(jià)組信息的相似性并確保了差異性，降低了隱私泄露風(fēng)險(xiǎn)[43]。

4 討論

電子健康檔案的發(fā)展從國(guó)家到社區(qū)、從頂層設(shè)計(jì)到具體應(yīng)用，需要很多的嘗試和探索。信息安全和隱私保護(hù)問(wèn)題無(wú)論在法律制度還是技術(shù)創(chuàng)新層面，都要在充分考慮我國(guó)國(guó)情和形勢(shì)的前提下，學(xué)習(xí)借鑒世界先進(jìn)的理論和成果，發(fā)現(xiàn)并解決問(wèn)題，不斷為電子健康檔案建設(shè)發(fā)展提供法律、策略、技術(shù)的全面支持。

隨著電子健康檔案、可穿戴健康監(jiān)測(cè)設(shè)備、轉(zhuǎn)化醫(yī)學(xué)和基因測(cè)試的興起和流行，越來(lái)越多的個(gè)人健康信息連入網(wǎng)絡(luò)，其利益影響之重大，面臨威脅之嚴(yán)峻，已經(jīng)超出了傳統(tǒng)的信息安全和隱私保護(hù)研究范疇。雖然國(guó)內(nèi)外學(xué)者提出了一系列新的觀點(diǎn)、模型和方法，但還不能完全滿足電子健康檔案全面建設(shè)與深化應(yīng)用的要求。如去隱私化在大數(shù)據(jù)背景下很難真正實(shí)現(xiàn)，無(wú)論是4種典型匿名算法，還是各種改進(jìn)的匿名算法，都只是對(duì)數(shù)據(jù)隱私保護(hù)的初步探索。大數(shù)據(jù)應(yīng)用和大數(shù)據(jù)安全防護(hù)在信息化快速發(fā)展的進(jìn)程中扮演著矛和盾的激烈對(duì)抗，是未來(lái)個(gè)人健康隱私保護(hù)在實(shí)際應(yīng)用中有新的突破所必須重視和權(quán)衡的關(guān)鍵因素。