电子健康档案信息安全和隐私保护的关键问题和研究进展

，，，

电子健康档案系统(Electric Health Records，EHR)作为继HIS之后出现的医疗卫生信息系统，是区域医疗卫生服务信息共享和交换的主要支撑平台，在双向转诊与远程会诊、卫生机构决策支持、临床科研、个人健康管理和健康教育等诸多领域都发挥着重要作用。20世纪90年代，美英等西方国家开始规划和推进电子健康档案的研究。我国在这方面的研究起步较晚，2009年国务院提出“要以建立居民健康档案为重点，构建乡村和社区卫生信息网络平台；以医院管理和电子病历为重点，推进医院信息化建设”[1]。

随着医疗健康数据的爆发式增长和区域协同医疗服务体系的推进发展，医疗健康进入了大数据和云计算时代，电子健康档案的信息安全和隐私保护面临极大挑战[2]，网络数据中心被黑客攻陷导致用户信息大量泄露的安全事件层出不穷。由于关乎个人生命健康，医疗领域的信息安全和隐私保护问题格外受到关注。因此，对电子健康档案信息安全和隐私保护进行全面、系统的梳理是非常必要的，以此把握安全形势，明确发展方向。

本文利用万方学术、CNKI、Web of Science等数据库，通过系统的文献调研，对电子健康档案信息安全和隐私保护的关键问题进行总结梳理，为电子健康档案信息安全和隐私保护的法规制定、体系建设、模型研究、技术革新等提供参考借鉴。

1 电子健康档案信息安全和隐私保护的关键问题

研究电子健康档案的信息安全和隐私保护问题，首先要辨析和明确相关概念。信息安全和隐私保护是两个方面的问题，二者既有联系又有区别[3]。它们之间的联系概括为三点：信息安全的目标之一是完成对隐私的保护，信息安全的技术手段可以用于隐私保护，信息安全和隐私保护都是有等级要求的。它们的区别也可概括为三点：信息安全的内容范围更大，但并不是包含隐私，而是与隐私有交集；信息安全的法律和技术不足以满足隐私保护的要求；信息安全更偏重过程的实施，隐私保护更偏重利益的结果。

目前对电子健康档案的信息安全和隐私保护还没有明确的定义。我们参考HIPAA条例[4]和相关文献[5]，作出如下界定：电子健康档案信息安全是指电子健康档案信息系统在物理和网络环境、系统自身、系统内的数据以及管理机制等4个维度上确保档案信息的保密性、一致性、可用性；电子健康档案隐私保护是指档案信息在患者意愿同意、可拒绝、不允许三种类型下使用，并在法律和技术上提供保护。

电子健康档案信息安全和隐私保护的关键问题既包含了传统的安全和隐私问题，又涉及到医疗大数据和健康云服务的特性问题，如图1所示。其中电子健康档案信息安全的六类问题，与国标《信息安全技术信息系统安全等级保护基本要求》[6]一致。电子健康档案隐私保护问题是从文献[7-11]中总结梳理所得，有些是目前领域内正在深入研究的问题，有些则是鲜有研究或起步开始研究的问题。

信息安全主要影响机构和群体，隐私保护则直接关乎个人利益。图1所示问题如果得不到解决，就会对以电子健康档案为代表的医疗信息系统和个人隐私造成不同程度的危害[12]。如2015年5月福建某医院因电力故障导致信息系统瘫痪的安全事件、2011年深圳黑客“统方”勒索案、2008年妇幼保健院母婴信息公开出售案。

上述安全事件说明医疗领域信息安全存在诸多问题，电子健康档案的信息安全和隐私安全问题日益凸显。

2 电子健康档案信息安全研究进展

电子健康档案信息安全研究围绕保密性、完整性、可用性、可控性和不可否认性这5个安全目标，主要涉及法规政策制定、区域平台建设、访问权限控制和安全技术防范等，分别对应了法规研究、架构研究、模型研究和技术研究4方面。本文从问题分类、热点问题、主要研究进展3个层面进行梳理总结，详见表1。

表1 电子健康档案信息安全研究进展

在电子健康档案法规政策研究上，国外有成文的法律，如HIPAA和HITECH对电子信息交换的安全标准，以及关于管理、技术、物质的安全程序都有明确的要求，以保护电子医疗信息的安全[28]。我国关于电子健康档案的明确法规研究还不够深入，但已有信息安全等级保护的国家标准和《全国医疗卫生服务体系规划纲要(2015-2020年)》等政府文件，为电子健康档案信息安全法律支持奠定了坚实基础。

在电子健康档案区域平台建设研究上，国内学者围绕电子健康档案云安全、安全架构、医院信息系统等级保护情况等问题展开研究。张志美等探讨了云环境电子健康档案的存储和终端安全[15]，柴文磊等设计和开发了云计算模式下电子健康档案服务的安全架构[16]，王丽娜等对河南省37所医院信息系统信息安全现状进行了调查和对策探讨[18]。这些研究为国内城镇区域医疗服务平台建设的安全问题提供了现实依据和方向指引，也为各级医院的安全等级保护提供建议方案。

在电子健康档案访问权限模型研究上，主要以基于角色的访问控制为基础，研究成果较丰硕。霍成义等提出了面向患者的POPPAC模型和个性化访问控制策略[21]，刘逸敏等研究了基于视图和数据标签的数据库细粒度访问控制模型[22]，王霏等介绍了共享调阅过程中“事前授权、事中控制、事后审计”的权限控制方法[23]。这些研究契合电子健康档案数据庞大集中的特点，防范了非法访问等安全隐患，提高了系统整体安全性。

在电子健康档案安全技术研究上，重视从准备检查阶段、实施发现阶段、入侵处理阶段等各个节点上全面多维进行安全防护[19]，应用的技术有口令保护、数据加密、存取控制、数字签名、接入控制、跟踪审计等[26]。杨霜英等从技术层面探讨了医院信息管理系统安全运行的保障方法[25]，丁茂震等创新研究了电子健康档案数据的AES和DNA两种加密方法、提出了多关键词可检索公钥加密方案以及云环境的密文搜索方法[27]。这些研究充实和丰富了电子健康档案的安全技术，不过由于技术的革新速度是最快的，电子健康档案的信息安全不能仅依靠末端的信息安全技术，而是要实现顶层到末端的全面防护。

3 电子健康档案隐私保护研究进展

医疗信息隐私具有特殊的社会价值和经济价值[29]。《执业医师法》、《护士条例》等相关法规规定不得泄露患者的隐私，但目前仍缺乏对电子健康档案隐私保护的明文规定。电子健康档案的隐私保护具有自主性、专业性、敏感性、可辨别性、保护有限性[30]等特性，相关研究涉及隐私保护策略、数据匿名算法、数据溯源机制、数据挖掘的隐私保护等方面，如表2所示。

表2 电子健康档案隐私保护研究进展

电子健康档案隐私保护策略是国内外学者重点研究的内容，他们通过策略研究、整体架构和模型的设计，提出了具体的电子健康档案隐私保护可行性方案。德国弗莱堡大学的Sebastian Haas等研究了电子健康档案隐私保护系统的整体方案，包括数据服务模型和患者服务模型[32]；国内李冰华等根据领域分析的结果，构建了关于区域医疗信息共享中健康档案安全与隐私保护的领域模型[33]；黄中睿等利用Airavat强制访问控制和差分隐私保护技术设计和实现了医疗信息的访问控制与隐私保护方案[35]。这些研究为算法和技术的相关研究提供理论基础和方向指引。

电子健康档案数据匿名算法是隐私保护三大方法之一。数据匿名在医疗数据发布、医学研究过程中，能很好地保护个人身份标识信息和医疗敏感信息的泄露。数据匿名算法以K匿名为基础，童云海等提出了保持身份标识属性的匿名方法[37]；史汉发等提出了一种新的医疗数据发布中多敏感属性隐私保护(AHPK匿名)算法，对准标识符(QI)加权处理使用[38]；朱青等针对Web查询服务提出了基于信息损失惩罚的满足L-Diversity的算法，提高隐私保护的效率和性能[40]。各种匿名算法为电子健康档案隐私保护提供了技术支持，也为技术革新奠定了良好基础。

数据溯源机制研究和数据挖掘的隐私保护两个热点问题是比较新的研究方向和内容，但在电子健康档案这一特定领域的研究中还处于刚起步阶段，需要借鉴已有的基本理论和研究成果。明华等介绍了 7种数据溯源模型，比较分析了几种典型数据溯源方法[41]；王忠等阐述了大数据下个人隐私数据溯源的基本概念、路径分析、机制设计[42]；陈炜等研究了基于背景知识攻击的电子病历隐私保护新算法，通过对敏感属性的微聚类，提高了等价组信息的相似性并确保了差异性，降低了隐私泄露风险[43]。

4 讨论

电子健康档案的发展从国家到社区、从顶层设计到具体应用，需要很多的尝试和探索。信息安全和隐私保护问题无论在法律制度还是技术创新层面，都要在充分考虑我国国情和形势的前提下，学习借鉴世界先进的理论和成果，发现并解决问题，不断为电子健康档案建设发展提供法律、策略、技术的全面支持。

随着电子健康档案、可穿戴健康监测设备、转化医学和基因测试的兴起和流行，越来越多的个人健康信息连入网络，其利益影响之重大，面临威胁之严峻，已经超出了传统的信息安全和隐私保护研究范畴。虽然国内外学者提出了一系列新的观点、模型和方法，但还不能完全满足电子健康档案全面建设与深化应用的要求。如去隐私化在大数据背景下很难真正实现，无论是4种典型匿名算法，还是各种改进的匿名算法，都只是对数据隐私保护的初步探索。大数据应用和大数据安全防护在信息化快速发展的进程中扮演着矛和盾的激烈对抗，是未来个人健康隐私保护在实际应用中有新的突破所必须重视和权衡的关键因素。