科技猎美国健康医疗大数据应用与隐私安全实践
【编者按】美国行业在构建满足隐私安全管理要求的服务体系中形成了基友重要指导意义的标准与自治规范,其中以 电子病历 互操作性为核心的平台是实现健康医疗数据在胡拿着 照护 场景中应用的重要行业实践。
本文发于OMAHA联盟,作者为OMAHA联盟; 经亿欧大健康编辑,供行业人士参考。
信息化的发展改变了医疗健康数据共享的介质,极大的提高了信息交换和使用的效率。但同时也面临着更加严峻的信息泄露风险,来自系统的,来自网络的,来自管理的。
Medscape发布的《2016年电子病历使用报告》显示,关于电子病历可能导致病人隐私泄露的问题,只有8%的医生认为电子病历对患者隐私不构成威胁,关于隐私泄露的原因,一半以上的医生选择了黑客攻击和误用信息(60%),其次是未经授权访问以及由于故障导致信息丢失(均为57%)。
2018年7月卫健委发布了《国家健康 医疗大数据 标准、安全和服务管理办法(试行)》旨在保障公民知情权、使用权和个人隐私的基础上,根据国家战略安全和人民群众生命安全需要,促进健康医疗大数据的规范管理和开发利用。
我们可以看到,数据的价值在于使用,隐私安全的核心不是避免数据的使用,而是要实现数据开放与隐私风险之间的平衡。
国外尤以美国在这一方面实践较早,从标准制定,安全管理以及服务体系的搭建上都相对成熟,因此通过对美国医疗相关实践的研究可为我们推动健康医疗数据使用提供管理上和实施上的建议。
由于健康医疗数据应用场景繁多,隐私安全关键问题也不尽相同,本文主要聚焦在美国患者照护场景中的隐私安全行业实践情况,重点分析以下3个问题:
1、患者照护场景中隐私安全关键问题是什么?
2、实现患者照护场景的互操作性平台如何解决数据应用中的隐私安全?
3、对中国行业实践有哪些借鉴意义?
一、患者照护场景中隐私安全的关键问题
我们参考了美国协调卫生信息安全与隐私的合作组织(Health Information Security&Privacy Collaboration,HISPC2)项目工具包中提供数据交换场景与隐私安全问题讨论框架3,针对患者照护场景的隐私安全讨论问题可总结分为两类,一类是隐私安全的管理策略,另一类是隐私安全的技术实现方式。
1、隐私安全的管理策略:
患者授权管理:保证医疗信息交换隐私安全的基础是知情同意,即数据所属者对数据使用的知情与授权。
患者医疗健康信息分级管理:当患者在保密部门(例如,心理健康或物质滥用)治疗,则属于HIPPA治疗规定(在治疗场景下,不强制征得患者同意)的例外情况,这类数据的交换必须获得患者同意。这提示我们医疗健康信息的敏感性并不一致,应当对不同敏感程度的信息建立分级管理制度。
最小必要数据原则:例如紧急治疗情况下可查看的数据有哪些内容,通过基于场景的必要数据集设计,减少患者信息泄露风险。
2、隐私安全的技术实现方式:
身份识别与认证:身份识别和身份验证是访问控制的关键组件。用来解决“你是谁?”和“我为什么要相信你?”。
访问权限的控制:在访问这通过身份认证后,通过访问权限的控制可以用来解决:“现在我知道你是谁了,这就是你能接触到的东西。”
数据加密:在数据交换过程实现隐私保护需要解决的首要问题是通讯的安全性,数据加密使在通信网络中的数据处于密文状态,降低因网络原因造成的信息泄露风险。
二、美国患者照护相关的互操作性平台隐私安全实践情况
HIPPA法案中对基于场景的数据使用授权分级,基于角色的数据使用权限界定以及基于责任主体的数据使用边界等都有较为明确的规定,能够给行业实践提供可操作性的指导,而关于隐私安全的技术保障方面,仅给出了基本的要求。
美国行业在构建满足隐私安全管理要求的服务体系中形成了具有重要指导意义的标准与自治规范,其中以电子病历互操作性为核心的平台是实现健康医疗数据在患者照护场景中应用的重要行业实践。
下表是我们对美国几个主流的电子病历互操作性平台的基本情况、数据流通规则以及实现隐私安全的解决方案分析结果(简版,详细案例分析请见第10期OMAHA白皮书)汇总:
表1、美国五个电子病历互操作平台隐私安全实践
美国行业实践小结:
1、共同协议:
为了提高信息交换的安全高效,参与数据主体会建立共同遵守的规范协议。协议中与隐私安全相关的内容通常包括可信的网络信息框架规范,身份认证管理,基于数据用例(场景)的数据访问权限管理,数据隐私保护的权责等。
2、隐私安全规范:
HIPPA法案非常细化的制定了健康医疗数据应用中的隐私安全条款,分析的平台中关于隐私安全的保护均直接引用了法案中的内容。
3、平台定位:
在患者照护场景下,实现数据交换的这些平台均会声明没有存储患者的病历信息,而是提供可信的数据交换的网络,记录数据交换的审计信息,具有一部分数据使用监管的功能。
4、系统测评:
部分网络中为了确保信息交换网络的安全与可信,会对加入网络的申请者进行系统、程序的测试认证,确保其满足协议规范框架、数据传输标准和隐私安全要求,这部分工作通常有联盟多方参与的工作组或第三方组织负责。
5、身份认证:
分析的平台中大多前置了身份认证步骤,在加入数据交换网络前就需要将责任主体、资源定位等递交给平台维护工作组,通过审核后获取特定的网络证书或允许加入网络,这类信息会被添加到系统身份认证的程序框架中。而在数据交换过程中,对于访问机构或访问者的身份认证实现程序化认证,提高了数据交换的效率。
6、权限管理:
大多数平台采用了基于角色的访问权限控制。信息化平台权限管控制通常会涉及以下几类:访问时间段控制,数据二次使用规范,基于用例(场景)的访问人与访问内容控制。
7、患者识别:
患者照护场景下,最重要的需求是正确关联目标患者记录并发送给治疗的医生。准确的患者标识符能够避免将错误的患者信息披露给非治疗者而造成信息泄露。但由于美国缺乏统一的公民身份标识,在实现患者识别上产生了多种解决方案,一类是基于统计学特征的算法匹配(年龄段、性别、所在区域等);另一种是采用较强的身份标识符替代(如驾照等)。患者识别信息是关键的隐私信息,为了确保这类核心数据的安全,平台通常会将这类信息进行加密,仅用于患者匹配算法内。
8、医疗记录的连续性:
SHIEC提供了一个安全的患者连续性记录实现方案,通过建立中立平台,进行ADT信息的实时分析,发现和记录患者的异地就诊情况,再通过两个HIE平台信息的交换,实现信息的连续性归集。
三、对中国健康医疗数据应用行业隐私安全实践的借鉴意义
1、谨慎使用与保存患者识别信息:
患者识别信息是健康医疗数据关联到个人,造成个人隐私泄露的重要的核心数据单元,在处理这类数据时需要加密存储,并限定该类数据的使用范围,仅必要的查询算法等可以访问,减少由管理人员泄露而造成的隐私泄露事件。
2、处理统一身份标识缺失信息时可参考美国患者识别体系:
我们具有全国统一的个人身份识别码(身份证号),在实现信息的跨区域交换应用上要比美国简易许多。但在一些数据产生场景或机构中可能缺失这类识别信息,在此情况下可参照美国的成熟识别体系。
3、身份认证技术实现的前提是需要建立身份进入、审核和退出的管理:
技术只是实现管理规范的手段,在访问控制框架中前提是要现有一套完成的身份认证的管理方案。
4、权限管理中要关注到数据二次使用的控制:
数据二次使用在遵循数据使用基本规范上,还需要原始信息披露者知晓有关此类法律运作的存在以及使用边界,允许披露者有权反对此类披露,确保信息在二次使用中权责明确。
5、形成第三方认证管理平台推动行业自治:
健康医疗数据应用中涉及到大量的协调工作,参与数据交换的利益相关者之间的组织协调,权益制定,技术标准,隐私安全权责等。例如在隐私安全实现中,重要的程序测试、技术安全评估等都需要一个中立的第三方组织进行评估。
“健康中国2030”的政策定调,直接推动了万亿级市场的不断扩张。而“促进健康服务业发展的若干意见”,也为大健康产业指明了方向。科学生活、健康管理、健康消费等一系列细分赛道上,不断涌现出创新者的身影。新风口之下,如何把握机会进而弯道超车?大健康投资又该怎么找到好项目?
2018年11月30日,北京国贸大酒店, 2018亿欧创新者年会【大健康创新者论坛】 特开免费报名: https://www.iyiou.com/post/ad/id/709
