美國健康醫療大資料應用與隱私安全實踐
【編者按】美國行業在構建滿足隱私安全管理要求的服務體系中形成了基友重要指導意義的標準與自治規範,其中以電子病歷互操作性為核心的平臺是實現健康醫療資料在胡拿著照護場景中應用的重要行業實踐。
本文發於OMAHA聯盟,作者為OMAHA聯盟; 經億歐大健康編輯,供行業人士參考。
資訊化的發展改變了醫療健康資料共享的介質,極大的提高了資訊交換和使用的效率。但同時也面臨著更加嚴峻的資訊洩露風險,來自系統的,來自網路的,來自管理的。
Medscape釋出的《2016年電子病歷使用報告》顯示,關於電子病歷可能導致病人隱私洩露的問題,只有8%的醫生認為電子病歷對患者隱私不構成威脅,關於隱私洩露的原因,一半以上的醫生選擇了黑客攻擊和誤用資訊(60%),其次是未經授權訪問以及由於故障導致資訊丟失(均為57%)。
2018年7月衛健委釋出了《國家健康醫療大資料標準、安全和服務管理辦法(試行)》旨在保障公民知情權、使用權和個人隱私的基礎上,根據國家戰略安全和人民群眾生命安全需要,促進健康醫療大資料的規範管理和開發利用。
我們可以看到,資料的價值在於使用,隱私安全的核心不是避免資料的使用,而是要實現資料開放與隱私風險之間的平衡。
國外尤以美國在這一方面實踐較早,從標準制定,安全管理以及服務體系的搭建上都相對成熟,因此通過對美國醫療相關實踐的研究可為我們推動健康醫療資料使用提供管理上和實施上的建議。
由於健康醫療資料應用場景繁多,隱私安全關鍵問題也不盡相同,本文主要聚焦在美國患者照護場景中的隱私安全行業實踐情況,重點分析以下3個問題:
1、患者照護場景中隱私安全關鍵問題是什麼?
2、實現患者照護場景的互操作性平臺如何解決資料應用中的隱私安全?
3、對中國行業實踐有哪些借鑑意義?
一、患者照護場景中隱私安全的關鍵問題
我們參考了美國協調衛生資訊保安與隱私的合作組織(Health Information Security&Privacy Collaboration,HISPC2)專案工具包中提供資料交換場景與隱私安全問題討論框架3,針對患者照護場景的隱私安全討論問題可總結分為兩類,一類是隱私安全的管理策略,另一類是隱私安全的技術實現方式。
1、隱私安全的管理策略:
患者授權管理:保證醫療資訊交換隱私安全的基礎是知情同意,即資料所屬者對資料使用的知情與授權。
患者醫療健康資訊分級管理:當患者在保密部門(例如,心理健康或物質濫用)治療,則屬於HIPPA治療規定(在治療場景下,不強制徵得患者同意)的例外情況,這類資料的交換必須獲得患者同意。這提示我們醫療健康資訊的敏感性並不一致,應當對不同敏感程度的資訊建立分級管理制度。
最小必要資料原則:例如緊急治療情況下可檢視的資料有哪些內容,通過基於場景的必要資料集設計,減少患者資訊洩露風險。
2、隱私安全的技術實現方式:
身份識別與認證:身份識別和身份驗證是訪問控制的關鍵元件。用來解決“你是誰?”和“我為什麼要相信你?”。
訪問許可權的控制:在訪問這通過身份認證後,通過訪問許可權的控制可以用來解決:“現在我知道你是誰了,這就是你能接觸到的東西。”
資料加密:在資料交換過程實現隱私保護需要解決的首要問題是通訊的安全性,資料加密使在通訊網路中的資料處於密文狀態,降低因網路原因造成的資訊洩露風險。
二、美國患者照護相關的互操作性平臺隱私安全實踐情況
HIPPA法案中對基於場景的資料使用授權分級,基於角色的資料使用許可權界定以及基於責任主體的資料使用邊界等都有較為明確的規定,能夠給行業實踐提供可操作性的指導,而關於隱私安全的技術保障方面,僅給出了基本的要求。
美國行業在構建滿足隱私安全管理要求的服務體系中形成了具有重要指導意義的標準與自治規範,其中以電子病歷互操作性為核心的平臺是實現健康醫療資料在患者照護場景中應用的重要行業實踐。
下表是我們對美國幾個主流的電子病歷互操作性平臺的基本情況、資料流通規則以及實現隱私安全的解決方案分析結果(簡版,詳細案例分析請見第10期OMAHA白皮書)彙總:
表1、美國五個電子病歷互操作平臺隱私安全實踐
美國行業實踐小結:
1、共同協議:
為了提高資訊交換的安全高效,參與資料主體會建立共同遵守的規範協議。協議中與隱私安全相關的內容通常包括可信的網路資訊框架規範,身份認證管理,基於資料用例(場景)的資料訪問許可權管理,資料隱私保護的權責等。
2、隱私安全規範:
HIPPA法案非常細化的制定了健康醫療資料應用中的隱私安全條款,分析的平臺中關於隱私安全的保護均直接引用了法案中的內容。
3、平臺定位:
在患者照護場景下,實現資料交換的這些平臺均會宣告沒有儲存患者的病歷資訊,而是提供可信的資料交換的網路,記錄資料交換的審計資訊,具有一部分資料使用監管的功能。
4、系統測評:
部分網路中為了確保資訊交換網路的安全與可信,會對加入網路的申請者進行系統、程式的測試認證,確保其滿足協議規範框架、資料傳輸標準和隱私安全要求,這部分工作通常有聯盟多方參與的工作組或第三方組織負責。
5、身份認證:
分析的平臺中大多前置了身份認證步驟,在加入資料交換網路前就需要將責任主體、資源定位等遞交給平臺維護工作組,通過稽核後獲取特定的網路證書或允許加入網路,這類資訊會被新增到系統身份認證的程式框架中。而在資料交換過程中,對於訪問機構或訪問者的身份認證實現程式化認證,提高了資料交換的效率。
6、許可權管理:
大多數平臺採用了基於角色的訪問許可權控制。資訊化平臺許可權管控制通常會涉及以下幾類:訪問時間段控制,資料二次使用規範,基於用例(場景)的訪問人與訪問內容控制。
7、患者識別:
患者照護場景下,最重要的需求是正確關聯目標患者記錄併發送給治療的醫生。準確的患者識別符號能夠避免將錯誤的患者資訊披露給非治療者而造成資訊洩露。但由於美國缺乏統一的公民身份標識,在實現患者識別上產生了多種解決方案,一類是基於統計學特徵的演算法匹配(年齡段、性別、所在區域等);另一種是採用較強的身份識別符號替代(如駕照等)。患者識別資訊是關鍵的隱私資訊,為了確保這類核心資料的安全,平臺通常會將這類資訊進行加密,僅用於患者匹配演算法內。
8、醫療記錄的連續性:
SHIEC提供了一個安全的患者連續性記錄實現方案,通過建立中立平臺,進行ADT資訊的實時分析,發現和記錄患者的異地就診情況,再通過兩個HIE平臺資訊的交換,實現資訊的連續性歸集。
三、對中國健康醫療資料應用行業隱私安全實踐的借鑑意義
1、謹慎使用與儲存患者識別資訊:
患者識別資訊是健康醫療資料關聯到個人,造成個人隱私洩露的重要的核心資料單元,在處理這類資料時需要加密儲存,並限定該類資料的使用範圍,僅必要的查詢演算法等可以訪問,減少由管理人員洩露而造成的隱私洩露事件。
2、處理統一身份標識缺失資訊時可參考美國患者識別體系:
我們具有全國統一的個人身份識別碼(身份證號),在實現資訊的跨區域交換應用上要比美國簡易許多。但在一些資料產生場景或機構中可能缺失這類識別資訊,在此情況下可參照美國的成熟識別體系。
3、身份認證技術實現的前提是需要建立身份進入、稽核和退出的管理:
技術只是實現管理規範的手段,在訪問控制框架中前提是要現有一套完成的身份認證的管理方案。
4、許可權管理中要關注到資料二次使用的控制:
資料二次使用在遵循資料使用基本規範上,還需要原始資訊披露者知曉有關此類法律運作的存在以及使用邊界,允許披露者有權反對此類披露,確保資訊在二次使用中權責明確。
5、形成第三方認證管理平臺推動行業自治:
健康醫療資料應用中涉及到大量的協調工作,參與資料交換的利益相關者之間的組織協調,權益制定,技術標準,隱私安全權責等。例如在隱私安全實現中,重要的程式測試、技術安全評估等都需要一箇中立的第三方組織進行評估。
“健康中國2030”的政策定調,直接推動了萬億級市場的不斷擴張。而“促進健康服務業發展的若干意見”,也為大健康產業指明瞭方向。科學生活、健康管理、健康消費等一系列細分賽道上,不斷湧現出創新者的身影。新風口之下,如何把握機會進而彎道超車?大健康投資又該怎麼找到好專案?
2018年11月30日,北京國貿大酒店,2018億歐創新者年會【大健康創新者論壇】 特開免費報名: ofollow,noindex"> https://www.iyiou.com/post/ad/id/709