周思成，翟曉梅

(北京協(xié)和醫(yī)學院人文和社會科學學院，北京　100730，zhousicheng1992@126.com)

?

電子醫(yī)療保健情境下的隱私保護

周思成，翟曉梅*

(北京協(xié)和醫(yī)學院人文和社會科學學院，北京100730，zhousicheng1992@126.com)

電子醫(yī)療保健指互聯(lián)網(wǎng)和信息通信技術在醫(yī)療保健領域的應用，其具體應用包括電子醫(yī)療記錄、互聯(lián)網(wǎng)健康信息服務和遠程醫(yī)療等。總結了電子醫(yī)療保健情境下隱私的新特征，梳理了這些技術應用所引發(fā)的隱私問題，并對隱私保護問題進行了分析。對隱私泄露的擔憂主要源于未經(jīng)授權的數(shù)據(jù)獲取，以及對隱私數(shù)據(jù)不合倫理地使用。最后，對互聯(lián)網(wǎng)和信息通信技術應用于醫(yī)療保健領域這一情境下的隱私保護提出一些管理建議。

電子醫(yī)療保??；隱私保護；互聯(lián)網(wǎng)；醫(yī)學倫理學

電子醫(yī)療保健(E-health)這一術語最先由Mitchell于1999年提出，用以描述應用電子信息和通信技術的醫(yī)療保健，包含數(shù)字資料的電子化傳輸、存儲和檢索等技術應用[1]。之后，Eyenbach對此概念進行了擴展，將其描述為利用互聯(lián)網(wǎng)或相關技術提供醫(yī)療保健信息和服務[2]。HansOh等人于2005年對電子醫(yī)療保健做了系統(tǒng)的綜述，認為所謂電子醫(yī)療保健概念涉及一系列多元概念，包括醫(yī)療保健、技術和商業(yè)[3]。世界衛(wèi)生組織在2011年將電子醫(yī)療保健簡單定義為“應用信息通信技術的醫(yī)療保健”[4]。

可以看出，雖然電子醫(yī)療保健的定義不斷演進，隨著科技的不斷進步，還將會有新的互聯(lián)網(wǎng)和信息通信技術應用到醫(yī)療保健領域中，但電子醫(yī)療保健定義的核心仍然是互聯(lián)網(wǎng)和信息通信技術在醫(yī)療保健領域中的應用。電子醫(yī)療保健的意義在于帶來更好更高效的服務和治療、改善醫(yī)療質(zhì)量、更好地服務于患者的健康。

實踐中，電子醫(yī)療保健強化了患者或用戶對健康的自我管理能力，使他們能夠通過網(wǎng)站方便地獲取醫(yī)療保健信息以增強自身健康知識水平，還能夠通過網(wǎng)絡社區(qū)與醫(yī)生或患有同樣疾病的人交談，尋求建議和互相交流治療信息。通過電子醫(yī)療保健中的遠程醫(yī)療服務可以實現(xiàn)優(yōu)質(zhì)醫(yī)療資源的跨時空配置，幫助病人免去不必要的到院就醫(yī)和跨地區(qū)就醫(yī)。此外，比起過去紙質(zhì)文件的方式，電子化的存儲方式使得健康信息可以擁有更加精密的用途，比如自動提醒藥劑師是否配藥錯誤，或者整合電子化的醫(yī)療信息以用于研究或公共衛(wèi)生事業(yè)[5]。

不過，在電子醫(yī)療保健的應用和發(fā)展過程中也呈現(xiàn)出倫理、法律、管理方面的挑戰(zhàn)。本文將著重探討電子醫(yī)療記錄、互聯(lián)網(wǎng)健康信息服務和遠程醫(yī)療等電子醫(yī)療保健具體應用中的一些關乎隱私保護的倫理學問題。

1　電子醫(yī)療保健情境下隱私的新特征

1.1隱私的高價值性

電子化的數(shù)據(jù)收集和存儲能夠將患者/用戶的信息聚合起來，從而可以創(chuàng)建關于個人的詳細的合成檔案。而且將收集到的大量數(shù)據(jù)進行聚類和關聯(lián)分析后，可以挖掘出新的有價值的信息。對這些數(shù)據(jù)進行挖掘不僅對于醫(yī)學科研和公共衛(wèi)生有很大價值，比如研究基因與疾病的相關性、預測傳染病的流行等，而且對于商業(yè)運營來說也有很大的經(jīng)濟價值，比如精準營銷，可以帶來巨大的商機和商業(yè)利潤。

1.2隱私的脆弱性

計算機存儲、互聯(lián)網(wǎng)和信息處理技術的進步使得我們可以不斷大規(guī)模收集電子數(shù)據(jù)。高速通信和處理數(shù)據(jù)以及遠程獲取信息致使數(shù)據(jù)信息的安全性、隱私性和保密性問題突顯出來。大數(shù)據(jù)分析方法和云計算技術的出現(xiàn)使這些問題變得更為復雜。從大量電子信息資源中有效地獲取有價值信息的數(shù)據(jù)挖掘技術尤為如此。因此，數(shù)據(jù)挖掘的濫用導致安全、隱私和保密性變得尤為脆弱。

1.3隱私破壞的隱蔽性

由于互聯(lián)網(wǎng)的開放性，在線破壞患者/用戶隱私的行為往往很難被用戶察覺。用戶很少知道哪些人可以獲取他們的信息、在什么樣的情境下獲取，以及使用這些敏感信息的目的，因而也很少意識到他們的隱私可能會被侵犯。

2　隱私保護面臨的挑戰(zhàn)

電子醫(yī)療保健情境中對隱私保護提出了新的挑戰(zhàn)。相對于傳統(tǒng)醫(yī)療模式，電子醫(yī)療保健情境下的隱私保護更加困難和復雜，這在電子醫(yī)療記錄、互聯(lián)網(wǎng)健康信息服務、遠程醫(yī)療等應用中均有體現(xiàn)。

2.1電子醫(yī)療記錄

電子醫(yī)療記錄可以提高醫(yī)療衛(wèi)生服務的質(zhì)量和效率。當完全實施時，電子醫(yī)療記錄便能夠交互運作，允許不同系統(tǒng)和網(wǎng)絡在全國范圍內(nèi)共享信息[6]。

然而電子醫(yī)療記錄的這些特性也帶來了關于隱私的擔憂。與傳統(tǒng)紙質(zhì)病歷不同，電子化的健康信息易于復制和共享，很容易被第三方獲取。波耐蒙研究所于2015年發(fā)布的《第五屆醫(yī)療數(shù)據(jù)隱私與安全研究報告》顯示，在美國超過90%的醫(yī)療機構存在數(shù)據(jù)泄露情況，40%的公司在過去兩年內(nèi)至少發(fā)生了五次數(shù)據(jù)泄露[7]。

電子化的健康信息速度更快、范圍更廣，隱私一旦遭到泄露便很難得到控制，因而給患者或用戶帶來的傷害也會更大。一旦患者知道自己的隱私被泄露，其對信息收集者的信任程度將大大降低。例如，當患者意識到電子醫(yī)療記錄潛在隱私風險較高時，便會抱有抵制態(tài)度，比如在電子醫(yī)療記錄中只提供有限的敏感信息，而這樣做很可能會妨礙就醫(yī)的誠實性和醫(yī)療服務機構為患者提供最佳的治療。

2.2互聯(lián)網(wǎng)健康信息服務

在互聯(lián)網(wǎng)發(fā)展普及之前，人們通過咨詢醫(yī)生或者其他醫(yī)學專業(yè)人員，閱讀書籍、報紙和雜志，或向親友詢問來獲取健康信息。而近幾年來，互聯(lián)網(wǎng)已經(jīng)成為網(wǎng)民獲取健康信息的主要來源。2015年第一季度《中國網(wǎng)民科普需求搜索行為報告》顯示，健康與醫(yī)療在食品安全、氣候與環(huán)境等8個搜索主題中占比為57%，最受關注，互聯(lián)網(wǎng)成為常見疾病的問詢平臺[8]。

然而，通過互聯(lián)網(wǎng)獲取健康信息和進行健康咨詢所引發(fā)的隱私風險也不容忽視。比如，許多提供健康信息服務的網(wǎng)站要求用戶填寫包含個人信息的注冊表，只有這樣才能獲取網(wǎng)站信息。而且，一些網(wǎng)站允許廣告商和其他第三方獲取用戶信息，當用戶點擊外部廣告條幅時，該網(wǎng)站便追蹤這些用戶，并把信息傳到廣告商的數(shù)據(jù)庫[9]。廣告商便可以利用這些信息定向推送廣告。

此外，患者/用戶在進行網(wǎng)上咨詢或與網(wǎng)絡社區(qū)中的病友分享信息時，可能會有意無意泄露一些碎片信息。雖然一小片信息看起來毫無價值，但是當這些信息與患者/用戶提供的其他信息關聯(lián)起來就很可能識別出個人身份[10]。

2.3遠程醫(yī)療

遠程醫(yī)療是指遠距離診斷、監(jiān)控和管理患者的健康狀況[11]。該技術的應用使得醫(yī)療保健突破了空間的限制，醫(yī)療資源不足地區(qū)的患者能夠通過遠程服務獲取專業(yè)的醫(yī)療，隨著移動互聯(lián)技術和可穿戴設備的發(fā)展，患者的健康狀況能夠在家中得到監(jiān)控。

然而遠程醫(yī)療在實施過程中也存在隱私風險。例如，在遠程診斷中，患者通過無線網(wǎng)絡發(fā)送圖像、X光圖、患者病史以及其他相關材料，并且與醫(yī)生的溝通一般采用視頻通話方式。然而，由于無線網(wǎng)絡的開放性,通過其傳輸數(shù)據(jù)更容易受到攻擊和被動竊聽。

此外，家用遠程設備使得醫(yī)療保健可以在最私人的領域進行，這在許多方面帶來了方便。虛弱的患者可以不用消耗太多時間和精力，在醫(yī)療機構與家之間來回奔波。然而相對于在家外接受醫(yī)療服務，關于患者/用戶日常生活的信息在更大程度上為他人可見。因此，患者/用戶控制自身私人領域的能力可能會被限制，比如運動傳感器能夠為醫(yī)療機構記錄和報告患者健康狀況和他們的行為。這些設備可以持續(xù)性地從患者/用戶家中記錄、存儲和向醫(yī)療保健提供者傳輸數(shù)據(jù)。遠程收集健康數(shù)據(jù)和監(jiān)控可能會收集多余的信息，比如患者/用戶的位置信息，這也帶來隱私泄露的風險，對患者隱私保護提出了新的挑戰(zhàn)。

3　隱私保護的倫理學視角

3.1規(guī)范化管理

如上文所述，在電子醫(yī)療保健模式下新技術的應用對隱私保護提出了新的挑戰(zhàn)，這也引發(fā)了學術界和社會公眾對隱私泄露和隱私保護問題的廣泛討論。其中存在兩種較為極端的觀點。一種極端的觀點認為，隱私的概念將不再有效，因為隱私保密不再能夠得到保證，我們應該逐漸適應越來越高度透明的社會。另一個極端是，若要保護隱私，我們就必須拒絕一些互聯(lián)網(wǎng)和信息通信技術的應用。

雖然新技術的應用的確使隱私保護變得更加困難和復雜，但這并不能成為我們放棄隱私的理由。因為保護隱私是為了尊重患者和用戶的自主性，即決定個人信息是否以及如何被共享和利用的權力。另外，隱私泄露可能會對患者/用戶造成傷害，比如歧視、污名化等。

當然，對隱私的保護也不能絕對化。利用互聯(lián)網(wǎng)和信息通信技術對患者或用戶信息進行符合倫理的使用，有著促進人類健康和福祉的潛在價值。比如在2009年，通過分析google中與流感及其癥狀的檢索詞，研究人員可以預測最近的流感爆發(fā)，而且比疾控中心的檢測報告早了兩周左右。

如果對健康信息的分析和利用能夠對患者健康、醫(yī)學研究、公共衛(wèi)生產(chǎn)生很大益處，同時能夠通過采取數(shù)據(jù)安保措施使隱私泄露的潛在傷害被控制到最低限度，并且履行知情同意的程序，并去除可識別身份的信息，那么使用和共享患者/用戶數(shù)據(jù)是能夠得到倫理學辯護的。

可見，停止新技術應用是因噎廢食，合理的做法應該是對電子醫(yī)療保健加以規(guī)范，防止誤用和濫用。

3.2數(shù)據(jù)安保

未經(jīng)授權訪問患者/用戶數(shù)據(jù)是引發(fā)隱私問題的重要原因，因此所有獲取、采集和使用患者信息的機構必須首先有保護隱私安全的合理的安保措施到位。安保是指通過認證、數(shù)字簽名、加密、防火墻或其他方式，僅允許經(jīng)過授權的機構或個人獲取數(shù)據(jù)。安保是依情境而定的，由于電子醫(yī)療保健領域的快速革新，不太可能界定出一種安保政策為所有的情境和新技術提供指導。因此，安保是持續(xù)發(fā)展的，應當被看作一個過程而不是狀態(tài)。同時，安保措施的選擇應當依據(jù)信息的敏感性，實行分級保護。例如對于高度敏感的個人信息(精神健康記錄、HIV感染狀態(tài)等)需要復合的安保措施，沒有采取適當保護措施的機構應當受到懲罰。

3.3知情同意

合乎倫理的健康信息使用和共享應當遵循知情同意原則。健康信息網(wǎng)站，包括患者網(wǎng)絡社區(qū)，都應該聲明他們是否以及如何使用、存儲或向第三方共享個人信息，并且使用人們能夠理解的語言。建議對于數(shù)據(jù)的使用以及與第三方共享都應該要求用戶“opt-in”。 在網(wǎng)絡空間獲取同意的方式也與傳統(tǒng)方式有所不同，可行的辦法包括在隱私條款中設置“同意”或“不同意”的按鈕，或者通過電子簽名獲得明確的同意。

3.4匿名化

當為非醫(yī)療目的使用或共享數(shù)據(jù)時，獲得患者的信任是至關重要的。要認識到，即使患者/用戶同意他們的數(shù)據(jù)用于研究或公共衛(wèi)生目的，他們?nèi)詴谕@些數(shù)據(jù)能夠被充分匿名化，即不會追溯到個人身份。所以匿名化對于保護患者/用戶隱私是很有必要的。

由于技術更替以及其他可用于識別個人身份的數(shù)據(jù)出現(xiàn)，匿名化通常是有時限的。超過這個時限就應當再次評估被重新識別的風險，以確定當前情況下原已匿名化的數(shù)據(jù)是否處于高風險狀態(tài)，并及時采取隱私保護的措施。

3.5法律規(guī)范

歐美一些發(fā)達國家對電子醫(yī)療保健中隱私保護問題已經(jīng)制定了較為完善的政策法規(guī)。比如美國《醫(yī)療電子交換法案》(HIPAA)，針對電子醫(yī)療保健信息的交換規(guī)則、醫(yī)療數(shù)據(jù)安全、隱私管理等問題制訂了詳細的法律規(guī)定[12]。在英國和瑞典，法律限制任何單位在未經(jīng)數(shù)據(jù)擁有者明確同意的情況下獲取任何類型的個人信息，存儲這類數(shù)據(jù)的單位必須向政府注冊。德國隱私法額外要求數(shù)據(jù)最少化和目的限制原則，意味著只可以收集最少量的數(shù)據(jù)來完成特定目的，而這些數(shù)據(jù)不可以用作特定目的以外的其他目的[13]。

我國《執(zhí)業(yè)醫(yī)師法》《護士管理辦法》《中華人民共和國傳染病防治法》等對傳統(tǒng)醫(yī)療保健模式下的患者隱私保護提出了要求和規(guī)定。近年來，針對電子醫(yī)療保健的隱私保護也制定了一些規(guī)范和管理辦法，如《電子病歷基本規(guī)范》要求：“對操作人員的權限實行分級管理，保護患者隱私。[14]”《互聯(lián)網(wǎng)醫(yī)療保健信息服務管理辦法》則提出了網(wǎng)絡和信息安全的要求[15]。這些法律規(guī)范雖然大多都提出需要保護患者或用戶隱私，但管理政策的規(guī)范著重于防止隱私的泄露和信息安全，而對于如何共享和使用這些信息并沒有明確的管理和相關規(guī)定，這對電子醫(yī)療保健中隱私信息的保護是遠遠不夠的。加強如何共享和使用這些信息的倫理管理以及政策制定是迫在眉睫的工作。

我國權威管理機構和部門應該結合我國電子醫(yī)療保健的發(fā)展現(xiàn)狀、發(fā)展目標以及現(xiàn)實中存在的問題和挑戰(zhàn), 盡快研究并制定法律法規(guī), 為電子醫(yī)療保健的健康發(fā)展提供倫理管理和法律保障。

[1]Mitchell,JohnGregory.Fromtelehealthtoe-health:theunstoppableriseofe-health[Z].CommonwealthDepartmentofCommunications,InformationTechnologyandtheArts, 1999.

[2]EysenbachG.Whatise-health[J].JournalofMedicalInternetResearch,2001, 3(2):e20.

[3]OhH,RizoC,EnkinM,etal.WhatiseHealth(3):asystematicreviewofpublisheddefinitions[J].JournalofmedicalInternetresearch, 2005, 7(1):e1.

[4]WorldHealthOrganization.AtlasE-HealthCountryProfiles:BasedontheFindingsoftheSecondGlobalSurveyonE-Health[M].WorldHealthOrganization, 2011.

[5]eHealth:legal,ethicalandgovernancechallenges[M].SpringerScience&BusinessMedia, 2012.

[6]RothsteinMA.DebateOverPatientPrivacyControlinElectronicHealthRecords[C].HastingsCenter,BioethicsForum,2011.

[7]波耐蒙研究所.第五屆醫(yī)療數(shù)據(jù)隱私與安全研究報告[R]. 波耐蒙研究所,2015.

[8]中國科協(xié)科普部,百度指數(shù),中國科普研究所.2015年中國網(wǎng)民科普需求搜索行為報告[R].2015.

[9]BlobelB.EHealth:CombiningHealthTelematics,Telemedicine,BiomedicalEngineeringandBioinformaticstotheEdge:CeHRConferenceProceedings2007[M].ProUniversitate, 2008.

[10]CookDJ.E-Health,TelehealthandTelemedicine[J].TelemedicineJournalande-Health, 2002, 8(2): 167.

[11]DraperH,SorellT.Telecare,remotemonitoringandcare[J].Bioethics, 2013, 27(7): 365-372.

[12]USDepartmentofHealthandHumanServices.SummaryoftheHIPAAprivacyrule[J].Washington,DC:DepartmentofHealthandHumanServices, 2003.

[13]FlahertyDH.Protectingprivacyinsurveillancesocieties:ThefederalrepublicofGermany,Sweden,France,Canada,andtheUnitedStates[M].UNCPressBooks, 2014.

[14]衛(wèi)生部.電子病歷基本規(guī)范(試行): 衛(wèi)醫(yī)政發(fā)(2010)24號. [A/OL].(2010-03-04)[2016-02-05].http://www.gov.cn/zwgk/2010-03/04/content_1547432.htm.

[15]衛(wèi)生部.互聯(lián)網(wǎng)醫(yī)療保健信息服務管理辦法(衛(wèi)生部令第66號) [A/OL].(2009-06-23)[2016-02-05]http://www.moh.gov.cn/mohbgt/s3580/200906/41403.shtml.

〔編輯吉鵬程〕

《中國醫(yī)學倫理學》雜志刊期將變更為月刊

《中國醫(yī)學倫理學》雜志創(chuàng)刊于1988年，是由教育部主管，西安交通大學主辦的我國目前唯一的關于醫(yī)德醫(yī)風、醫(yī)學倫理學、生命倫理學的大型學術刊物，為中國科技核心期刊(中國科技論文統(tǒng)計源期刊)。為進一步適應期刊的發(fā)展要求，縮短出版周期，提高學術研究成果發(fā)布的時效性，更好地為作者和讀者服務，經(jīng)陜西省新聞出版廣電局批準，本刊自2017年1月起由雙月刊變更為月刊，全年12期。歡迎各位同仁繼續(xù)撰寫及推薦佳作。

對長期以來關心、支持本刊的編委、審稿專家以及廣大作者、讀者表示誠摯的感謝！

PrivacyProtectionintheContextofE-health

ZHOU Sicheng，ZHAI Xiaomei

(School of Humanities and Social Sciences, Peking Union Medical College, Beijing 100730, China,E-mail: zhousicheng1992@126.com)

E-healthwasreferredastheuseofinternetandICT(informationandcommunicationtechnology)forhealthinthispaper,whichmainlyencompassedelectronichealthrecord,onlinehealthinformationandtelehealth.Thepapersummarizedthenewcharacteristicsofprivacyofe-health,andpresentedcurrentprivacyissuesraisedbytheseapplications.Themajorprivacyconcernswereunauthorizedaccesstoandsecondaryuseofprivacydata.Thepaperputforwardsomegovernancesuggestionsofprivacyprotection.

E-health;PrivacyProtection;Internet;MedicalEthics

，E-mail:xmzhai@hotmail.com

R197.32

A

1001-8565(2016)04-0681-04

2016-05-27〕

2016-07-03〕

doi:10.12026/j.issn.1001-8565.2016.04.42