郭 強 王樂子 母健康 朱 翀 胡新龍 張渝翔 路正鵬 馬建輝

(中國醫(yī)學科學院腫瘤醫(yī)院 北京 100021)(神州數(shù)碼醫(yī)療科技股份有限公司 北京 100080)(中國醫(yī)學科學院腫瘤醫(yī)院 北京 100021)(神州數(shù)碼醫(yī)療科技股份有限公司 北京 100080)(中國醫(yī)學科學院腫瘤醫(yī)院 北京 100021)

1 引言

在當今信息化迅速發(fā)展的時代，數(shù)據(jù)爆發(fā)性的增長給互聯(lián)網(wǎng)、金融、醫(yī)療等行業(yè)帶來了機遇和變革，與此同時也面臨數(shù)據(jù)安全的挑戰(zhàn)。在醫(yī)療健康領(lǐng)域，新式健康醫(yī)療智能儀器的廣泛應(yīng)用成為威脅數(shù)據(jù)安全的主要因素之一，移動互聯(lián)網(wǎng)正成為醫(yī)療數(shù)據(jù)安全攻防的主戰(zhàn)場，公民個人隱私和醫(yī)療數(shù)據(jù)應(yīng)用安全的矛盾日益顯露[1]。在隱私權(quán)保護方面，相比于歐盟和美國，現(xiàn)階段我國沒有專門的法律、法規(guī)。涉及個人隱私保護有關(guān)的法律法規(guī)分散于近70部法律、行政法規(guī)和200部規(guī)章中[2]，主要有憲法、民法、行政法、訴訟法和刑法等。由于我國民事立法研究較晚，對人格權(quán)研究深度不夠，隱私權(quán)與隱私的分界線不甚明顯[3]，與此同時又深受我國傳統(tǒng)人文的影響，立法者沒有給予足夠的重視和保護。由于我國沒有明確保護個人隱私權(quán)的成文法律法規(guī)。在隱私權(quán)相關(guān)案件中司法機構(gòu)是依靠名譽權(quán)的形式來保護隱私權(quán)。2013年9月工信部出臺《電信和互聯(lián)網(wǎng)用戶個人信息保護規(guī)定》，根據(jù)《全國人民代表大會常務(wù)委員會關(guān)于加強網(wǎng)絡(luò)信息保護的決定》(2012年)，進一步深化個人信息的覆蓋范圍，提出個人隱私信息的采集、儲存和應(yīng)用規(guī)則及安全保障等要求，為大數(shù)據(jù)應(yīng)用的個人信息保護設(shè)立法律法規(guī)保障。這是目前國內(nèi)最為完備和明確的關(guān)于個人數(shù)據(jù)隱私保護的法律[4-5]。

關(guān)于隱私權(quán)的安全保護措施是對人們個人信息負責，但也會妨礙其收集并影響數(shù)據(jù)的研究應(yīng)用，進而限制大數(shù)據(jù)的使用和發(fā)展。隨著近年來科技的發(fā)展，個人信息采集與隱私保護的矛盾越來越突出。根據(jù)對醫(yī)療健康大數(shù)據(jù)產(chǎn)業(yè)的研究，從數(shù)據(jù)安全合規(guī)的視角，結(jié)合國內(nèi)出臺的有關(guān)法律法規(guī)對醫(yī)療健康大數(shù)據(jù)行業(yè)個人隱私保護與信息共享安全問題進行簡明分析。

2 醫(yī)療信息安全相關(guān)法案

2.1 分析方法

通過Python對每部法案進行全模式切詞分詞[6]，然后去除停用詞并設(shè)置高頻詞、低頻詞閾值[7-8]，最后統(tǒng)計法案中的關(guān)鍵詞詞頻，結(jié)合法案原文達到分析的目的。醫(yī)療數(shù)據(jù)的安全主要體現(xiàn)在醫(yī)療數(shù)據(jù)的采集(收集)、傳輸、存儲、使用(應(yīng)用)的整個流程中，而與數(shù)據(jù)共享相關(guān)主要有“共享”、“標準”、“規(guī)范”、“開放”等詞；所以分析法案特征詞時將“采集(收集)”、“傳輸”、“存儲”、“使用(應(yīng)用)”、“共享”、“標準”、“規(guī)范”、“開放”等作為特征詞進行分析。由于分析時對涉及的每部法案進行獨立分析，因此未對特征詞做權(quán)重處理，僅用法案中的詞頻結(jié)合原文進行解讀。本文主要分析多部律法條文，這些律法在醫(yī)療數(shù)據(jù)隱私安全以及共享方面具有代表性[9]。

2.2 醫(yī)療數(shù)據(jù)安全政策

2.2.1 《網(wǎng)絡(luò)安全法》 2016年7月《網(wǎng)絡(luò)安全法(草案)》人大常委會二次審議稿在人大網(wǎng)對外發(fā)布征求意見。該草案共7章68條,要點在于保障網(wǎng)絡(luò)空間主權(quán)安全、產(chǎn)品應(yīng)用和服務(wù)網(wǎng)絡(luò)安全、網(wǎng)絡(luò)數(shù)據(jù)信息安全、網(wǎng)絡(luò)安全監(jiān)測預(yù)警以及突發(fā)事件應(yīng)急處置預(yù)案等[10]?！毒W(wǎng)絡(luò)安全法(草案)》的亮點：一是明確提出維護國家網(wǎng)絡(luò)空間主權(quán)，將網(wǎng)絡(luò)空間安全上升到國家主權(quán)安全的高度。二是將已有的有效規(guī)章法規(guī)上升為法律，與現(xiàn)有的法律法規(guī)實現(xiàn)較好的銜接，如《計算機信息系統(tǒng)安全保護條例》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《關(guān)于加強網(wǎng)絡(luò)信息保護的決定》等，在草案中這些法案均被上升為法律。三是確立對重要信息相關(guān)的基礎(chǔ)設(shè)施保護方略，參考國外法律法規(guī)明確重要信息基礎(chǔ)設(shè)施的安全保護范圍，另外還規(guī)定購買網(wǎng)絡(luò)相關(guān)產(chǎn)品和服務(wù)要通過安全部門審查、向境外輸出數(shù)據(jù)要進行信息安全評估和風險檢測等，構(gòu)建重要信息基礎(chǔ)設(shè)施的安全保護體系。四是納入網(wǎng)絡(luò)安全戰(zhàn)略規(guī)劃、人才培養(yǎng)、技術(shù)研發(fā)、標準制定等綜合性內(nèi)容，草案將以上要點納入網(wǎng)絡(luò)安全基本法的范疇，依靠法律手段支持網(wǎng)絡(luò)安全相關(guān)工作[11]。然而草案有其不足的方面：關(guān)于信息安全的范圍表達不夠準確；幾乎沒有涉及政府機關(guān)相應(yīng)信息系統(tǒng)安全；主要是個人信息保護，未反映大數(shù)據(jù)時代的特點；一些條款較籠統(tǒng)、操作性較差。為彌補其不足之處，2017年6月頒布的《網(wǎng)絡(luò)安全法》增加11條修進，至此我國就網(wǎng)絡(luò)安全領(lǐng)域的相關(guān)要求上升至國家法律層面[12]。在個人隱私信息保護方面，《網(wǎng)絡(luò)安全法》有一個十分明顯的特點，即個人對其信息有很強的控制權(quán)[13]。如相關(guān)機構(gòu)在采集個人信息時需經(jīng)被采集者同意；應(yīng)用和儲存?zhèn)€人信息時必須嚴格按照與用戶的協(xié)議；如果在使用或儲存?zhèn)€人信息時違背與用戶的協(xié)議，用戶有權(quán)對其進行刪除和更改。該法案中出現(xiàn)“安全”182次、“共享”1次、“開放”2次、“保護”39次。該法案規(guī)定了我國個人信息保護的基本框架，即“公布信息采集和應(yīng)用的準則，明確信息采集、應(yīng)用的目的、形式和范圍并且需要經(jīng)過被收集者同意”[14]，而在個人信息的開放共享方面未做過多闡述。另外2017年全國信息安全標準化技術(shù)委員會發(fā)布《個人信息安全規(guī)范》，為企業(yè)及研究機構(gòu)保護和使用個人信息提供更加詳細的操作規(guī)范[15-19]，自其正式發(fā)布以來被廣泛應(yīng)用于各行各業(yè)的合規(guī)實踐中。雖然《個人信息安全規(guī)范》是處理信息安全問題方面國家推薦的標準，但對監(jiān)管部門來說該規(guī)范是其在網(wǎng)絡(luò)安全管理和執(zhí)法過程中重要的參考準則。建議企業(yè)依據(jù)《個人信息安全規(guī)范》逐步提高個人信息保護水平，為其產(chǎn)品與服務(wù)保駕護航[20]。

2.2.2 《促進大數(shù)據(jù)發(fā)展行動綱要》(以下簡稱《行動剛要》)和《關(guān)于促進和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導意見》 為推動各行業(yè)、各領(lǐng)域中的數(shù)據(jù)資源安全共享，國務(wù)院于2015年9月5日發(fā)布《促進大數(shù)據(jù)發(fā)展行動綱要》。其中“共享”、“開放”、“安全”和“隱私”分別出現(xiàn)59、36、74、5次，以此可以看出國家大數(shù)據(jù)發(fā)展中數(shù)據(jù)安全共享的重要性。該綱要是當前我國為推動信息化發(fā)展公布的第1份系統(tǒng)性的權(quán)威文件，是從國家信息化發(fā)展大局出發(fā)指導未來大數(shù)據(jù)發(fā)展的綱領(lǐng)性文件。近年來隨著信息技術(shù)的發(fā)展，各行各業(yè)的數(shù)據(jù)呈爆炸式增長，已經(jīng)成為與國家能源和物質(zhì)同等重要的戰(zhàn)略型儲備資源。數(shù)據(jù)資源雖然具有增長速度快以及種類豐富等特點，但是來源極為分散且價值密度低，要想使數(shù)據(jù)資源造福國家及人民大眾就必須打破地區(qū)和行業(yè)的壁壘，實現(xiàn)共享開放[21]?？偟膩砜?，《行動綱要》是針對我國大數(shù)據(jù)發(fā)展過程中“不愿、不敢、不會共享開放”情況的總體布局規(guī)劃。因此提出建立國家級統(tǒng)一數(shù)據(jù)應(yīng)用平臺并且不同部門之間實現(xiàn)數(shù)據(jù)共享；構(gòu)建國家級網(wǎng)絡(luò)數(shù)據(jù)匯集開放共享和分析平臺、國家統(tǒng)一的信譽信息共享開放平臺、地市級及其以上政府統(tǒng)一的政務(wù)和惠民服務(wù)信息平臺、全國統(tǒng)一的不同企業(yè)間的公共服務(wù)大數(shù)據(jù)共享開放平臺?！缎袆泳V要》設(shè)置的未來發(fā)展目標及任務(wù)是我國大數(shù)據(jù)發(fā)展的前瞻性戰(zhàn)略集成，同時也面臨不同區(qū)域、行業(yè)、部門之間的壁壘和利益分配以及信息安全等困難挑戰(zhàn)，因此建立健全有效的法律保護政策是實現(xiàn)《行動綱要》的關(guān)鍵。為貫徹落實《行動綱要》的要求，國務(wù)院辦公廳于2016年6月發(fā)布《關(guān)于促進和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導意見》，該法規(guī)中“共享”、“開放”、“安全”、“隱私”分別出現(xiàn)25、13、33、6次,可見其重點在于數(shù)據(jù)的開放和共享。其基本原則為以人為本，創(chuàng)新驅(qū)動；規(guī)范有序，安全可控；開放融合，共建共享[22]。總的來說該法規(guī)的要點在于加速建立統(tǒng)一權(quán)威、相互聯(lián)通的國家級信息健康共享平臺[23]，推動醫(yī)療行業(yè)健康數(shù)據(jù)資源共享，進一步深化“互聯(lián)網(wǎng)+健康醫(yī)療”服務(wù)。

2.2.3 《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》(以下簡稱《指導意見》) 該《指導意見》中“等級保護”、“安全”、“信息安全”、“開放”、“共享”、“隱私”分別出現(xiàn)43、89、63、0、0、0次。通過對相關(guān)詞頻提取分析可知該《指導意見》的重點是信息安全等級保護方面。關(guān)于信息安全等級保護，國內(nèi)是從2007年6月《信息安全等級保護管理辦法》開始明確相關(guān)單位和部門的職責、任務(wù)；自2010年4月開始為完成安全等級測評標準體系建設(shè)以及信息系統(tǒng)三級安全等級測評相關(guān)工作，公安部發(fā)布《關(guān)于推動信息安全等級保護測評體系建設(shè)和開展等級測評工作的通知》。2011年為貫徹執(zhí)行定級、整改、測評相關(guān)國家標準，原國家衛(wèi)生部發(fā)布《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》、《關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知》。在信息系統(tǒng)定級工作中相關(guān)國家標準是《計算機信息系統(tǒng)安全等級保護劃分準則》、《信息系統(tǒng)安全保護等級定級指南》；系統(tǒng)建設(shè)整改工作中相關(guān)國家標準是《信息系統(tǒng)安全等級保護基本要求》、《信息系統(tǒng)安全等級保護實施指南》、《信息系統(tǒng)等級保護安全設(shè)計技術(shù)要求》；信息系統(tǒng)測評工作中相關(guān)國家標準是《信息系統(tǒng)安全等級保護測評要求》、《信息系統(tǒng)安全等級保護測評過程指南》。另外還有幾十個國家和相關(guān)部門頒布和標準、指南等技術(shù)指導性文件，構(gòu)成信息安全等級保護的初級標準體系，基本可以滿足國家信息安全等級保護制度施行的要求。

2.2.4 《信息安全技術(shù) 個人信息安全規(guī)范》(以下簡稱《安全規(guī)范》) 出現(xiàn)“個人信息”607次、“安全”139次“收集”91次、“共享”52次、“轉(zhuǎn)讓”46次、“公開”56次、“隱私”41次、“隱私政策”37次、“去標識化”11次、“傳輸”11次、“存儲”16次，由以上詞頻結(jié)合原文進行分析，可以看出《安全規(guī)范》是以國家制定的準則來明確個人數(shù)據(jù)信息的采集、儲存、使用、共享規(guī)范操作，為個人隱私保護政策的制定提供方向?！栋踩?guī)范》是在《網(wǎng)絡(luò)安全法》的法律條文規(guī)定基礎(chǔ)之上明確了網(wǎng)絡(luò)信息安全中具體問題的定義。首先，對于個人敏感信息的定義是在《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》中提出的，是指個人信息遭受暴露和更改后對個人信息主體產(chǎn)生惡劣的影響?！栋踩?guī)范》則進一步指出個人敏感信息被泄密、被惡意使用會危及個人信息主體的人身、財產(chǎn)安全，致使其聲譽和身心健康受到侵害等不良后果。其次，《安全規(guī)范》給出個人信息收集的定義，即個人信息主體自發(fā)給出的、網(wǎng)絡(luò)運營商通過日志記錄等其他手段自動采集的、數(shù)據(jù)使用者從其他機構(gòu)間接得到的稱為“收集”，另外規(guī)定在終端得到的個人信息如果沒有傳回相應(yīng)的儲存設(shè)備，不在收集的定義范圍內(nèi)。最后，《安全規(guī)范》對于個人信息處理時的匿名化與去標識化有不同定義，即匿名化處理后的數(shù)據(jù)信息不能還原，不再屬于個人信息的范疇；而去標識化處理后的數(shù)據(jù)信息僅能在沒有其他關(guān)聯(lián)信息的情況下保證信息主體的安全，但依然存在潛在被關(guān)聯(lián)分析識別的隱患。2017年8月發(fā)布的《信息安全技術(shù) 個人信息去標識化指南》征求意見稿中提出去標識化的流程以及相關(guān)處理技術(shù)等，相關(guān)企業(yè)機構(gòu)在進行去標識化數(shù)據(jù)處理時可以借鑒其具體方法和流程。

2.2.5 《人口健康信息管理辦法(試行)》 2014年國家發(fā)布《人口健康信息管理辦法》。該法規(guī)一是給出人口健康信息包含范圍，明確指出人口健康信息安全管理制度；二是明確個人信息采集時信息主體的知情同意權(quán)；三是明確個人健康信息的相應(yīng)管理原則，明確規(guī)定個人信息要分級保存、定期更新維護；四是推行使用信息備案登記制度，給出信息使用的條件和模式；五是明確個人信息隱私安全保護要求，對個人健康數(shù)據(jù)進行安全等級保護和審查；六是明確相關(guān)法律責任。該法規(guī)中“共享”、“開放”、“安全”、“隱私”分別出現(xiàn)4、0、15、6次，該律法條文中涉及數(shù)據(jù)采集、存儲、管理及共享等敏感詞，然而法案原文中沒有涉及數(shù)據(jù)安全傳輸?shù)南嚓P(guān)條文規(guī)定，結(jié)合法律原文第13、14條，可以看出該法規(guī)只對數(shù)據(jù)共享略作描述，沒有解釋實施細則，因此《人口健康信息管理辦法》盡管是現(xiàn)階段醫(yī)療健康行業(yè)的權(quán)威法規(guī)，但面對日益增長且復(fù)雜的數(shù)據(jù)，在醫(yī)療數(shù)據(jù)方面仍顯不足。

2.2.6 《國家健康醫(yī)療大數(shù)據(jù)標準、安全和服務(wù)管理辦法(試行)》 該法規(guī)中出現(xiàn)“健康醫(yī)療”75次、“大數(shù)據(jù)”76次、“安全”54次、“管理”60次、 “標準”37次、“規(guī)范”15次、“共享”7次、“采集”3次、“存儲”6次、“傳輸”3次，從該法規(guī)提取的關(guān)鍵詞詞頻可以看出該法規(guī)涉及醫(yī)療數(shù)據(jù)的安全應(yīng)用和共享以及安全管理的相關(guān)標準。結(jié)合原文從以下4個方面對該法規(guī)進行分析：一是標準管理方面。對于醫(yī)療數(shù)據(jù)安全管理倡導多方參與，建設(shè)完備的醫(yī)療健康數(shù)據(jù)標準化管理平臺，嚴格制定標準化管理規(guī)范、鼓勵制約制度以及風險評估等實施措施。二是安全管理方面。落實“一把手”負責制，完善數(shù)據(jù)安全人才培育制度，提出數(shù)據(jù)分級分類儲存要求并對網(wǎng)絡(luò)安全、數(shù)據(jù)傳輸、監(jiān)測以及相關(guān)基礎(chǔ)設(shè)施安全等關(guān)鍵管理環(huán)節(jié)提出確切的操作要求。三是在服務(wù)管理方面。實行統(tǒng)一分級授權(quán)、分類應(yīng)用管理、權(quán)責一致的管理制度，明確醫(yī)療大數(shù)據(jù)從形成、采集、保存、應(yīng)用、共享及銷毀等關(guān)鍵環(huán)節(jié)中相關(guān)部門的職責定位，進一步加強對醫(yī)療健康數(shù)據(jù)的安全共享和開放。四是管理監(jiān)督方面。呼吁相關(guān)機構(gòu)醫(yī)療健康信息平臺端口能夠?qū)πl(wèi)生監(jiān)管部門開放。定期開展對含有醫(yī)療數(shù)據(jù)的信息平臺的安全評估檢測，建立安全管理責任制。以上幾部法律法規(guī)均有自身的不足之處，或注重網(wǎng)絡(luò)安全，或注重數(shù)據(jù)共享、系統(tǒng)平臺建設(shè)應(yīng)用等?！秶医】滇t(yī)療大數(shù)據(jù)標準、安全和服務(wù)管理辦法(試行)》的發(fā)布明確提出健康醫(yī)療大數(shù)據(jù)的含義，制定實施范圍及總體標準流程，清晰地劃分各級衛(wèi)生行政部門權(quán)力和責任。從提取的關(guān)鍵詞詞頻也可以看出該法規(guī)涉及醫(yī)療數(shù)據(jù)的安全應(yīng)用和共享，是我國現(xiàn)階段法律法規(guī)中關(guān)于醫(yī)療數(shù)據(jù)較為完善的一部法規(guī)。

2.3 醫(yī)療數(shù)據(jù)共享

《網(wǎng)絡(luò)安全法》主要是國家基于整個網(wǎng)絡(luò)空間領(lǐng)域安全的法律；《促進大數(shù)據(jù)發(fā)展行動綱要》和《關(guān)于促進和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導意見》是為推動各領(lǐng)域數(shù)據(jù)共享制定的法規(guī)；《“健康中國2030”規(guī)劃綱要》是為促進互聯(lián)網(wǎng)和醫(yī)療健康行業(yè)的融合制定的法規(guī)；《衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》是通過等級保護來保障醫(yī)療衛(wèi)生行業(yè)信息安全制定的法規(guī)；《信息安全技術(shù) 個人信息安全規(guī)范》和《信息安全技術(shù) 個人信息去標識化指南》是為保護個人信息安全制定的法規(guī)；《人口健康信息管理辦法(試行)》是關(guān)于保證人口健康信息采集、存儲以及管理數(shù)據(jù)安全制定的法規(guī)；《國家健康醫(yī)療大數(shù)據(jù)標準、安全和服務(wù)管理辦法(試行)》涵蓋范圍極廣，是以上多部法律法規(guī)的集成和推廣，是目前國內(nèi)醫(yī)療健康領(lǐng)域較為權(quán)威的一部法規(guī)。在大數(shù)據(jù)隱私的探討中對于大數(shù)據(jù)的共享應(yīng)用和隱私保護一直是被爭論的問題。無論業(yè)內(nèi)人士如何討論，立法者都應(yīng)考量數(shù)據(jù)的隱私安全及其經(jīng)濟價值，在發(fā)展大數(shù)據(jù)的同時也應(yīng)發(fā)展檢測技術(shù)和監(jiān)管機制以應(yīng)對日益增加的數(shù)據(jù)量和復(fù)雜度。企業(yè)本身是趨利的，只有在法律層面對其做出規(guī)定才能有效解決大數(shù)據(jù)隱私安全和共享問題。加強建設(shè)適合于人工智能應(yīng)用相關(guān)的數(shù)據(jù)安全共享法律法規(guī)，是探索人工智能在遠程診療、精準醫(yī)療、臨床診療、公共衛(wèi)生服務(wù)等眾多情景中應(yīng)用的基石。人工智能技術(shù)發(fā)展如火如荼，然而此過程必須以人為本，保證醫(yī)療健康數(shù)據(jù)安全，規(guī)范醫(yī)療數(shù)據(jù)信息的歸屬權(quán)、使用權(quán)。加強數(shù)據(jù)管理及其安全性，對醫(yī)療健康敏感數(shù)據(jù)信息進行分類分級，建立強大有效的安全防護體系。醫(yī)療健康大數(shù)據(jù)是新近發(fā)展起來的事物，在應(yīng)用處理的過程中會遇到各種問題，因此與時俱進地完善管理規(guī)范標準是常態(tài)，也是必要手段。

3 建議

3.1 概述

不論是在歐美發(fā)達國家還是在我國，醫(yī)療機構(gòu)、保險公司以及醫(yī)護人員均有保護就醫(yī)者隱私的法定義務(wù)。但醫(yī)療機構(gòu)內(nèi)部管理存在一定漏洞，有可能導致患者隱私數(shù)據(jù)泄露。另外我國正在致力于建立標準化電子病歷，以達到區(qū)域或全國醫(yī)療信息共享，也會面臨隱私數(shù)據(jù)泄露的問題。醫(yī)療領(lǐng)域的研究人員往往對于去標識化相關(guān)知識比較欠缺，僅能根據(jù)常規(guī)手段處理直接標識符。需要注意的是經(jīng)過常規(guī)手段去標識化后的個人數(shù)據(jù)也不是肯定安全的。因為隨著信息技術(shù)的發(fā)展，大數(shù)據(jù)分析能力越來越強大，尤其是醫(yī)療行業(yè)，正朝著多源交叉分析的方向發(fā)展，分析人員更容易通過關(guān)聯(lián)分析挖掘出更多的個人信息，從而增加隱私信息泄露的危險。通過學習和借鑒其他國家相關(guān)法律及經(jīng)驗并結(jié)合國內(nèi)相關(guān)法律法規(guī)建設(shè)情況提出相應(yīng)建議。

3.2 以人為本，完善個人隱私法律法規(guī)

公立醫(yī)院改革是我國醫(yī)藥衛(wèi)生領(lǐng)域改革的重點，醫(yī)療數(shù)據(jù)的信息化是改革的有效手段。因此應(yīng)盡快對電子病歷立法，明確醫(yī)療數(shù)據(jù)的歸屬權(quán)、使用權(quán)，確保其應(yīng)用過程中的有效性、認可性、安全性，規(guī)范相關(guān)實體的權(quán)利和義務(wù)，明確對侵犯個人隱私數(shù)據(jù)所要承擔的法律后果。

3.3 發(fā)展保護個人數(shù)據(jù)隱私的技術(shù)

隨著國內(nèi)醫(yī)療信息的發(fā)展，可以通過設(shè)置醫(yī)療領(lǐng)域的數(shù)據(jù)失真、數(shù)據(jù)加密、限制發(fā)布等政策加強對隱私數(shù)據(jù)的防護。如在信息去標識化方面，相關(guān)加密算法可以考慮使用深度學習、區(qū)塊鏈等。同時還應(yīng)加強去標識化和再識別風險相關(guān)的算法研究，在共享之前針對已經(jīng)去標識化的數(shù)據(jù)計算再識別風險，以確保共享數(shù)據(jù)的安全。總之，在敏感信息處理方面要跟上信息技術(shù)的發(fā)展，以確保醫(yī)療健康數(shù)據(jù)的安全。

3.4 推動醫(yī)療數(shù)據(jù)應(yīng)用的全流程管理

雖然我國正在推動醫(yī)療領(lǐng)域的信息披露工作，但是對個人數(shù)據(jù)的使用和披露沒有確切的規(guī)定，也沒有完善的數(shù)據(jù)信息保護機制。國家應(yīng)加強醫(yī)療隱私數(shù)據(jù)的安全風險評估和保護，盡量做到醫(yī)療數(shù)據(jù)使用和信息保護的平衡?？梢詤⒖济绹】当ｋU流通與責任法案(Health Insurance Portability and Accountability Act，HIPAA)或者歐盟通用數(shù)據(jù)保護條例(General Data Protection Regulation，GDPR),建立醫(yī)療隱私數(shù)據(jù)安全管理機構(gòu)，包括醫(yī)療數(shù)據(jù)管理委員會、隱私數(shù)據(jù)業(yè)務(wù)部門、隱私數(shù)據(jù)技術(shù)部門以及風險安全評估部門。完善數(shù)據(jù)安全共享相關(guān)法律法規(guī)，培訓數(shù)據(jù)安全專業(yè)人才。相關(guān)企業(yè)要定期組織員工進行信息安全培訓指導，增強保護醫(yī)療隱私數(shù)據(jù)安全的意識，并做好隱私數(shù)據(jù)安全評估，預(yù)防可能出現(xiàn)的風險。

4 結(jié)語

總之科技和法律的完善是保證數(shù)據(jù)安全應(yīng)用的基石。雖然現(xiàn)階段人們對個人隱私權(quán)不是特別重視，但隨著時間的推移會逐漸察覺隱私權(quán)的重要性。我國迫切需要通過制定確切的醫(yī)療數(shù)據(jù)標準和流程，使人們真正認識到醫(yī)療行業(yè)中信息安全的重要性，這是我國醫(yī)療行業(yè)持續(xù)健康發(fā)展的保障。