电子病历的隐私保护方法研究

来源:用户上传      作者:

　　【摘 要】电子病历的快速发展使得与之相关的隐私保护问题日益突出，本文通过两个方面对电子病历隐私保护机制进行研究：在医院内部信息系统方面，分别从政策法规、管理机制、技术层面进行分析；在电子病历发布方面，主要介绍了当前常用的数据发布隐私保护方法――k匿名机制。
　　【关键词】电子病历；隐私保护；医院信息系统；k-匿名
　　0 引言
　　随着信息技术的快速发展，以及医药卫生体制的深化推进，电子病历作为医疗卫生信息的主要载体，因其存储量大、节省资源、查询方便、提高诊疗工作效率等优点，已在医院里得到大量推广和使用，电子病历将逐步代替传统的纸质病历已成为一种趋势。
　　与此同时，电子病历的快速发展也带来了病人隐私容易泄露的问题，通过电子病历导致的医疗隐私泄露途径主要有两个方面：从医院内部信息系统泄露信息，因电子病历的易共享性，患者信息很容易被泄露出去，有的地方甚至出现医务工作人员出卖病人隐私数据的现象；另外，在电子病历发布过程中也容易造成隐私泄露，如医院为了对病人数据做统计，在将病人信息发布给外部医疗中心的过程中，如果没有对这些信息做隐私保护，则病人信息会完全暴露出去，包括病人的敏感患病信息。目前，电子病历的隐私泄露问题越来越受到重视和关注，本文在对电子病历个人隐私保护方法研究基础上，从医院内部信息系统和电子病历发布这两个方面对医疗信息隐私保护机制研究现状进行一些探讨。
　　1 医院信息系统隐私保护机制
　　医院医疗信息的隐私保护主要从法律法规、管理机制和技术手段几个方面进行保护。
　　1.1 法律法规
　　国外 欧美等发达国家已建立了比较完善的法律法规制度来加强医疗信息隐私保护。1996年美国政府颁布了《健康保险可携性及责任性法案》来加强电子病历的隐私保护和信息安全方面的监管，此法案对电子病历利益相关者的义务、权利和法律责任做出了严格界定。2003年美国政府又颁布了《个人可识别健康信息的隐私标准》，进一步加强医疗信息隐私保护。欧盟也对医疗信息交换过程中安全和隐私问题给与了高度关注，建立了覆盖全欧盟范围的数字医疗体系。英国在1984年颁布的《数据保护法》中规定，获取个人信息必须征得个人同意，持有个人信息的个人或机构必须具有合法性，在使用个人信息时需采取安全措施[1]。
　　国内 目前我国对电子病历隐私保护的政策法规相对来说略显滞后，2000年左右我国开始推广使用电子病历，但未对其使用的规范性和法律作用做统一的规定，只有少数法律条文有零星涉及，如《执业医师法》《护士管理办法》《医务人员医德规范及其实施办法》等。到2010年，又相继出台《电子病历基本规范（试行）》《电子病历基本架构与数据标准（试行）》《病历书写基本规范》等政策文件。但对某些具体的问题如电子病历使用权限分级、存档管理、医疗事故责任认定等却未提出具体可操作性的解决方案。
　　1.2 管理机制
　　医院对医疗信息的隐私保护在管理机制方面常采用访问控制的方式。对信息资源按权限分类，给用户分配相应的权限来访问数据，使各类数据在合法范围内使用。对病历进行访问控制，可使病历内容不被未授权的用户所访问，合理的病历访问控制，应能够按病人和病历内容分类进行授权。具有代表性的访问控制技术是由美国国家标准技术研究院提出的基于角色的访问控制机制（Role-based Access Control）。由于电子病历功能很多，能被很多人员访问，如医生、护士、急诊室技术员以及负责收费和记账的后勤人员等，比较好的方式就是对病历采用基于角色的访问控制机制，实现角色的授权。不同的用户具有不同的权限和级别，基于角色的访问控制技术可以减少授权的复杂性，降低管理开销，又能保证系统安全。
　　1.3 技术手段
　　目前在技术层面对电子病历进行隐私保护主要有电子签名技术和数据加密技术。
　　由于电子病历在安全性上需要达到机密性、完整性和不可否认性，因此需要一套安全机制来保证患者隐私不被泄露，而电子签名正是实现这一要求的基本技术。电子签名技术是基于公钥基础设施（Public Key Infrastructure，PKI）的数字签名技术，使用电子签名可以有效的保证信息的安全性、完整性，以及签名的不可抵赖性。在使用电子病历签名时，应签完整姓名，而不能只签姓；若由实习医生签的名，则应该有主治医师进行复签。电子病历的使用可以防止病历中的信息被篡改、破坏、泄露，并使电子病历具有合法性[2]。
　　对电子病历内容进行隐私保护，还有一种方法就是数据加密。尤其是对患者的一些敏感疾病信息采取信息加密的方式，可以有效的保护病人隐私。常用的数据加密技术有对称加密技术和非对称加密技术。对称加密技术特点是加密和解密使用相同的密钥，使用起来简单快捷，密钥较短，如DES加密技术；非对称加密技术需要一对密钥：公钥和私钥，一个用来加密，一个用来解密，非对称加密相比对称加密技术更加安全，破译难度更大，如RSA加密技术。对电子病历采取数据加密技术可以高强度的保护患者隐私，但缺点是加密和解密过程计算开销较大，实时性不强。
　　2 电子病历发布中的隐私保护
　　电子病历的发布对于医学研究有着有利的作用，比如科研单位对电子病历进行统计和分析，可以得到年龄和疾病的关系，或者预测流行性疾病；医院有时候也需要收集病人信息并将其发布给医疗数据中心，医疗中心对这些信息进行统计分析，例如是对男性糖尿病患者数量的统计，或者是一些复杂的聚类分析。如果在病历发布过程中，没有对病人隐私进行保护，则也会造成严重的隐私泄露。
　　在电子病历发布过程中主要通过技术手段来进行隐私保护，使用的方法主要有数据扰乱、匿名化、泛化、阻塞等，其中数据匿名化是近年来研究的热点，它是一种基于限制数据发布的隐私保护方法，通过有选择的发布原始数据、不发布或发布精度较低的数据值来实现隐私保护。典型的匿名保护方法有k-匿名、l-多样性模型等。 　　在电子病历的原始数据中，有可以唯一确定病人个体的信息，如电话号码、身份证号等，称之为标识符；也有一些信息通过组合起来可以确定某个个体，如邮编、生日、性别，将这些组合起来的信息称为准标识符；还有一些敏感信息，如病人的疾病信息等。K-匿名就是在发布过程中隐藏掉标识符信息，然后通过泛化准标识符取值使其在同一组（称之为等价组）取值相同的个数不少于k个，这样通过准标识符找到某条特定病人记录的概率就是1/k，可以有效的进行隐私保护。采用k-匿名机制保护的过程如下表所示：
　　表1是电子病历系统中已隐藏掉标识符的6条病人记录，通过泛化准标识符（年龄、邮编），得到满足2-匿名的数据表2，对数据表2进行发布将不会泄露病人的隐私。因为表2满足2-匿名，即等价组中准标识符相同的记录个数不少于2个，这就意味着用这张匿名表与外部表进行链接时匹配到的是不小于2条的相似记录，而无法匹配出精确个体。L-多样性模型则是在k-匿名的基础上，要求同一等价组里至少要有l个不同的敏感属性值，l-多样性比k-匿名的安全性更高，且能够防止k-匿名无法抵御的一致性攻击。
　　3 总结
　　本文从两大方面探讨了电子病历隐私保护的方法，在医院内部信息系统方面，分别从政策法规、管理机制、技术层面进行分析；在电子病历发布方面，主要介绍了当前常用的数据发布隐私保护方法――k匿名机制。总之，对电子病历的隐私保护需要从多个方面进行综合考虑，如完善法律法规，完善医院信息基础化建设，提高隐私保护意识，提出更优化的隐私保护方案等，是多个方面共同努力的结果。
　　【参考文献】
　　[1]Schwartz P M.European data protection law and restrictions on international data flows[J].lowa L.Rev，1994，80.
　　[2]周拴龙，李娜.美国电子病历应用中个人隐私保护措施探讨[J].医学信息学杂志，2014，35（2）.
　　[3]王伟.电子病历发布中的匿名化隐私保护方法研究[D].中南大学，2013.
　　[4]关延风，马骋宇.网络信息时代电子病历的隐私保护研究[J].中国卫生法制，2011，9，19（6）.
　　[5]陶爱军.论个人医疗信息的隐私保护[D].西南政法大学，2010.
　　[6]关延风，等.基于电子病历的医疗信息隐私保护研究[J].医学信息学杂志，2011，32（8）.
　　[责任编辑：汤静]
转载注明来源:https://www.xzbu.com/8/view-11838027.htm