隨著數(shù)字化技術(shù)的快速發(fā)展����,“互聯(lián)網(wǎng)+醫(yī)療”應用不斷推進,健康醫(yī)療數(shù)據(jù)應用的創(chuàng)新����,健康醫(yī)療數(shù)據(jù)在各層面面臨著越來越多的安全問題。
廣東省衛(wèi)生經(jīng)濟學會于2022年發(fā)布的《廣東省健康醫(yī)療數(shù)據(jù)安全分類分級管理技術(shù)規(guī)范》(T/GDWJ 013—2022)中明確提出�,健康醫(yī)療數(shù)據(jù)安全保護應遵循國家監(jiān)管部門和行業(yè)部門指導與監(jiān)管的原則��,落實數(shù)據(jù)保護的主體責任和監(jiān)管職責���,應遵循國家網(wǎng)絡安全等級保護、大數(shù)據(jù)安全相關(guān)法律法規(guī)及標準規(guī)范要求�。醫(yī)療敏感數(shù)據(jù)的隱私安全問題也越發(fā)突出,引起了社會各界的廣泛關(guān)注��。醫(yī)療敏感數(shù)據(jù)泄露事件頻發(fā)���,不僅侵犯了患者的隱私權(quán)���,還可能對患者的生命健康造成嚴重威脅。
因此�����,對醫(yī)療敏感數(shù)據(jù)隱私安全保護的研究具有重要的現(xiàn)實意義和理論價值�����。當前�,針對醫(yī)療敏感數(shù)據(jù)的安全問題���,傳統(tǒng)技術(shù)方式主要為對數(shù)據(jù)進行訪問控制�����、加密處理等�,通過嚴格控制對敏感數(shù)據(jù)的訪問來降低敏感數(shù)據(jù)被泄露的可能����。在大數(shù)據(jù)挖掘需求和數(shù)據(jù)互聯(lián)互通的大趨勢下,傳統(tǒng)技術(shù)方式已無法滿足應用需求����。敏感數(shù)據(jù)的脫敏技術(shù)則可以在最大程度上保障數(shù)據(jù)安全的前提下,實現(xiàn)對數(shù)據(jù)的應用�����、挖掘或加工�。同時,也需要注重對數(shù)據(jù)的安全防護����,保護數(shù)據(jù)在傳輸和使用過程中不被非法獲取。
1.數(shù)據(jù)采集來源豐富多樣
隨著信息技術(shù)的發(fā)展,數(shù)據(jù)采集的來源越來越多�,通過多種渠道獲取所需的數(shù)據(jù)。比如��,通過手機從互聯(lián)網(wǎng)上獲取信息��;從數(shù)據(jù)庫中提取所需信息�;通過傳感器或其他設備收集實時監(jiān)測的數(shù)據(jù)�;還可以通過人工調(diào)查等方式獲得所需信息。最終��,把信息經(jīng)過信息系統(tǒng)轉(zhuǎn)化為數(shù)據(jù)���。
2.數(shù)據(jù)脫敏
醫(yī)療領域常見數(shù)據(jù)有姓名���、就診卡號、證件號�、參保號、交易金額�����、交易流水號��、就診日期、患者住址����、患者手機號碼�����、證件類型�、出生日期等。根據(jù)數(shù)據(jù)特征���、使用場景及技術(shù)的實現(xiàn)方法��,選擇不同的算法對數(shù)據(jù)進行脫敏��。脫敏方式一般可分為靜態(tài)數(shù)據(jù)脫敏和動態(tài)數(shù)據(jù)脫敏�。
靜態(tài)數(shù)據(jù)脫敏為永久性�����、不可逆的數(shù)據(jù)脫敏處理�����,統(tǒng)一對整個數(shù)據(jù)集進行批量脫敏處理并保存,該方式不會對數(shù)據(jù)的內(nèi)在關(guān)系和價值產(chǎn)生破壞�����。一般適用于開發(fā)�����、測試����、培訓等非生產(chǎn)環(huán)境。
動態(tài)數(shù)據(jù)脫敏為臨時性���、暫時的數(shù)據(jù)脫敏處理�,在對敏感數(shù)據(jù)進行訪問��、查詢的時候���,按照預先設定好的脫敏策略對數(shù)據(jù)進行脫敏處理后��,再返回訪問結(jié)果�。對不同權(quán)限的用戶或不同的數(shù)據(jù)可以設定不同的脫敏策略����,也可以對脫敏策略進行臨時調(diào)整����。一般適用于生產(chǎn)環(huán)境下對敏感數(shù)據(jù)的訪問����。
數(shù)據(jù)脫敏算法通常使用遮蔽�����、屏蔽��、替換���、加密的方式進行脫敏�,具體如下�����。
部分數(shù)據(jù)遮蔽��。將原數(shù)據(jù)中部分或全部內(nèi)容�����,例如用符號“*”或“@”等字符進行替換,遮蓋部分關(guān)鍵信息或全部信息內(nèi)容�。如手機號碼顯示為“130****1234”。
混合屏蔽����。將相關(guān)的列作為一個組進行屏蔽,以保證這些相關(guān)列中被屏蔽的數(shù)據(jù)保持同樣的關(guān)系��,例如�,城市、省�����、郵編在屏蔽后保持一致�。
替換。替換敏感數(shù)據(jù)的內(nèi)容�����,使數(shù)據(jù)看上去和原始數(shù)據(jù)類似����,但實際上兩者沒有任何關(guān)聯(lián)��。使用一定的規(guī)律去替換掉信息��,常用于姓名替換���、數(shù)值替換、日期替換及卡號替換等�����。
加密���。使用MD5加密、加密(FPE)和強加密算法(如AES)等算法加密敏感數(shù)據(jù)����。若需要使用數(shù)據(jù),必須使用密鑰對加密后的數(shù)據(jù)進行解密才能獲取明文�����,否則只能查看到加密后的無實際運用意義的密文�����。缺點是密鑰必須嚴格保管,防止泄露��。
3. 數(shù)據(jù)匿名化
根據(jù)《中華人民共和國個人信息保護法》第七十三條�,匿名化是指個人信息經(jīng)過處理無法識別特定自然人且不能復原的過程。數(shù)據(jù)匿名化也是數(shù)據(jù)脫敏的一種手段�����。K-匿名(K-anonymity)通過對數(shù)據(jù)或標簽進行更加概括��、抽象的描述及隱藏部分信息�����,讓每條記錄至少與數(shù)據(jù)中其他的K-1條記錄具有完全相同的屬性值���。經(jīng)過K-匿名處理后的數(shù)據(jù)���,即使攻擊者知道某一位患者的健康卡號和年齡,也無法準確得知該患者具體的疾病�����。表1是數(shù)據(jù)匿名化處理前后對比���。
表1 數(shù)據(jù)匿名化處理前后對比
1.數(shù)據(jù)分類分級管理
數(shù)據(jù)分類分級是數(shù)據(jù)安全治理的提升��。數(shù)據(jù)分類分級是數(shù)據(jù)恰當使用中不可忽視的問題�����。只有對數(shù)據(jù)進行有效分類分級��,才能讓數(shù)據(jù)在安全傳輸和使用過程中采取更加精細的措施����,得到有效防護。針對醫(yī)療數(shù)據(jù)的不同級別�����,采取不同的安全措施����。具體而言���,可以根據(jù)數(shù)據(jù)的重要性和敏感程度��,將其分為核心敏感數(shù)據(jù)��、高敏感數(shù)據(jù)和一般敏感數(shù)據(jù)等不同級別���。對于核心敏感數(shù)據(jù)����,如患者的身份信息����、病歷記錄等,需要采取最為嚴格的安全措施和可見范圍�,如加密存儲、訪問控制等�;對于高敏感數(shù)據(jù),如治療方案���、藥物過敏史等���,可采取適當?shù)陌踩胧鐢?shù)據(jù)脫敏�、訪問控制等;對于一般敏感數(shù)據(jù)���,可采取基本的安全措施����。通過分級管理,可以更好地滿足不同類型數(shù)據(jù)的隱私保護需求���。
2.數(shù)據(jù)保護措施
為確保數(shù)據(jù)的安全性和隱私性����,可制定數(shù)據(jù)使用政策�、訪問控制策略、數(shù)據(jù)備份與恢復機制等����;定期對數(shù)據(jù)管理制度和規(guī)范進行審查和更新,確保其適應醫(yī)療信息化發(fā)展的需要��;采用加密技術(shù)對數(shù)據(jù)進行加密存儲和傳輸��;采用數(shù)據(jù)審計工具對數(shù)據(jù)使用過程進行實時監(jiān)控和記錄���;采用虛擬化技術(shù)對醫(yī)療數(shù)據(jù)進行隔離保護等。
3.具體措施
一是采用防火墻�����、入侵檢測系統(tǒng)等技術(shù)手段對網(wǎng)絡進行安全防護。將醫(yī)療數(shù)據(jù)與其他非醫(yī)療數(shù)據(jù)進行隔離���,以降低數(shù)據(jù)泄露的風險����。
二是及時更新病毒庫��、修補系統(tǒng)漏洞�,定期對安全設備進行檢測和維護,確保其正常運行���。
三是采用動態(tài)口令����、指紋識別等技術(shù)手段進行身份認證�。對不同級別的用戶設定不同的訪問權(quán)限,確保只有授權(quán)用戶才能訪問敏感數(shù)據(jù)�����。
四是采用磁帶庫���、云存儲等技術(shù)手段進行數(shù)據(jù)備份,并定期進行數(shù)據(jù)恢復演練�����,確保在發(fā)生意外情況時能夠及時恢復數(shù)據(jù)����。
五是成立應急響應小組,制定應急預案和處理流程����。同時,應該定期進行應急演練和模擬攻擊測試���,提高應急響應能力��。
幾乎每一個醫(yī)療場景下都會涉及醫(yī)療敏感數(shù)據(jù)��,但必須根據(jù)不同場景應用不同的敏感數(shù)據(jù)保護方式�。一般情況下�,使用保密性和可用性兩個屬性對場景進行判斷。在互聯(lián)網(wǎng)醫(yī)院診療中����,主要涉及數(shù)據(jù)交換�,包含患者歷史疾病等敏感數(shù)據(jù)�,屬于“高保密性���,低可用性”場景��,一般采用AES 算法加密數(shù)據(jù)��;進行軟件項目開發(fā)測試時����,需模擬真實應用場景�����,訪問醫(yī)院其他業(yè)務系統(tǒng)數(shù)據(jù)庫����,只需保證數(shù)據(jù)結(jié)構(gòu)正確且對數(shù)據(jù)的真實性要求不高,屬于“高保密性�、低可用性”場景,一般采用泛化技術(shù)�、替代等方式處理,保留數(shù)據(jù)結(jié)構(gòu)�,使用偽裝數(shù)據(jù)替代敏感數(shù)據(jù)��;院內(nèi)處方點評需確保處方信息的完整性及真實性����,但不需要識別到患者本人�,屬于“低保密性、高可用性”場景��,將處方信息中的病人姓名做屏蔽處理���;門診叫號屏結(jié)合語音播報使得服務對象本人可識別叫號信息��,周邊人不易識別���,屬于“低保密性、低可用性”場景�,將病人姓名用“*”進行部分遮擋。
醫(yī)療敏感數(shù)據(jù)隱私安全保護是一個復雜而重要的任務�。為了確保患者的隱私權(quán)益得到充分保障���,需要從多個方面入手����,包括對數(shù)據(jù)進行分級管理、識別敏感信息并進行適當?shù)拿撁籼幚?、建立完善的?shù)據(jù)管理制度和規(guī)范、加強技術(shù)手段的應用����,以及培訓和教育醫(yī)護人員等�����;同時��,還需要不斷地對現(xiàn)有措施進行評估和改進���,以適應醫(yī)療信息化發(fā)展的需要��。通過這些措施的實施����,可以更好地保護醫(yī)療敏感數(shù)據(jù)的隱私安全�����,為患者和醫(yī)療機構(gòu)創(chuàng)造一個更加安全和可靠的環(huán)境���。
作者:江門市中心醫(yī)院網(wǎng)絡信息科 李薇 趙瑞興 王柏鴻
免責聲明:平臺轉(zhuǎn)載僅做分享�����,非商業(yè)用途�����。本文著作權(quán)歸原創(chuàng)者所有��,如有侵權(quán)請聯(lián)系小編進行刪除����。
