摘要:随着互联网技术的进步,互联网+医疗的模式也在蓬勃发展中。政府也积极推动健康医疗大数据的发展,并将此列入国家的重要基础性战略资源。但是健康医疗大数据的发展是一把双刃剑,一方面极大地促进了医疗行业的发展,另一方面也引发了许多问题,给患者的个人隐私带来了极大的隐患。本文将简要分析健康医疗大数据中患者隐私保护在实际应用过程中遇到的现实和法律问题,并给出合规建议,以期为后来者参考。
一、健康医疗大数据概述
近年来,随着大数据、物联网、云计算等新技术与医疗行业的深度融合,健康医疗大数据蓬勃发展。然而健康医疗大数据究竟是指什么?
医疗大数据发展得如火如荼的同时,医疗数据安全、个人隐私保护问题也日益凸出。在无讼案例库中以“医疗”“隐私”为关键词搜索,共有7554份法律文书,其中具有代表性的有某奶粉公司从兰州多家医院医务人员手中非法获取公民个人信息;在国外,此类问题也数见不鲜,比如谷歌旗下子公司DeepMind被曝光非法交易获得患者病历。
“隐私”在现代汉语词典的释义是不愿告人的或不愿公开的个人的事。对于大多数人而言,隐私是一项权利,它与人类尊严和人类价值的理念相联系,这一权利的确切轮廓建立在社会判断之上,并且是因时而异的。在医疗领域中,患者的隐私是指患者因接受医疗服务需要而被医疗机构及医务工作人员合法获悉但不得被非法泄露的信息。
(一)健康大数据隐私保护的现实困境
与美国通过零散的各部门法对个人信息实施保护的方法类似,中国尚未形成有关个人信息的统一立法,虽然民法总则和即将施行的民法典、侵权责任法等明确规定对隐私权进行保护,但何为隐私、隐私范围、隐私权、隐私权的外延这些包括哪些仍未规定。大数据环境下隐私的特殊性和该环境下具体的隐私侵权责任认定问题,对隐私保护提出了更高的要求,但现行法律规范尚未对其作出回应。
在目前的数据安全保护措施中,主要的一项就是“脱敏”,有许多的个人健康医疗数据在“脱敏”后用于各项大数据研究。然而,简单的脱敏处理如去掉姓名、身份证信息,并不能真正保障个人的隐私安全,因为部分特征的组合即可唯一地识别某一特定主体。
(三)云共享的隐私安全问题
医疗大数据时代下,患者隐私的保护是不得不面对的一个问题。美国从1991年就颁布了HIPAA法案(健康保险携带和责任法案)。
(二)提高隐私保护意识
(三)倡导行业自律
医疗机构应建立患者隐私保护的规章制度,明确医疗机构在患者医疗数据保护中的职责,成立专职部门与人员来负责管理患者医疗数据,并定期开展医疗信息系统数据安全与保护的培训,降低患者隐私泄漏风险。
(四)加强信息隐私保护技术
采用多种信息隐私保护技术是有效保护医疗数据隐私的重要途径。主要的隐私保护技术有如下三类:
标识隐私匿名保护即通俗所说的脱敏,是一种简单有效的保护措施,它能够在尽可能少的侵犯患者隐私的情况下,实现数据的有效性并进一步提高数据的安全性。在记载、处理诊疗信息时,对于能够直接反映隐私的内容,我们在进行信息身份标识的处理时,将身份信息标识进行删除,并对信息进行分层保护。但是正如上文所述,简单的脱敏处理并不能起到应有的效果,应当要实现每一个患者数据的匿名和去标识化处理,在应用和研究时只能显示群体差异化特征,防止个体化信息的利用。
分级保护制度是根据数据的特性、数据中包含隐私信息的权重等对数据进行分类,并分级保护。为了能够切实做到数据保护与信息安全,保护患者隐私,有必要制定医疗行业统一的数据分级保护制度。
访问控制被普遍认为是保护患者隐私最有效的措施,包括入网访问控制、权限访问控制、目录级安全控制和属性安全控制。其中,权限访问控制是通过对不同角色的人员开放不同的权限来实现数据保护,例如医生具有开处方的权限,但没有访问财务部门的权限,这样可以很好地通过权限设置形成安全保护的壁垒。