隨著數(shù)字化技術(shù)的快速發(fā)展��,“互聯(lián)網(wǎng)+醫(yī)療”應(yīng)用不斷推進(jìn),健康醫(yī)療數(shù)據(jù)應(yīng)用的創(chuàng)新�,健康醫(yī)療數(shù)據(jù)在各層面面臨著越來越多的安全問題。
廣東省衛(wèi)生經(jīng)濟(jì)學(xué)會于2022年發(fā)布的《廣東省健康醫(yī)療數(shù)據(jù)安全分類分級管理技術(shù)規(guī)范》(T/GDWJ 013—2022)中明確提出���,健康醫(yī)療數(shù)據(jù)安全保護(hù)應(yīng)遵循國家監(jiān)管部門和行業(yè)部門指導(dǎo)與監(jiān)管的原則���,落實(shí)數(shù)據(jù)保護(hù)的主體責(zé)任和監(jiān)管職責(zé),應(yīng)遵循國家網(wǎng)絡(luò)安全等級保護(hù)���、大數(shù)據(jù)安全相關(guān)法律法規(guī)及標(biāo)準(zhǔn)規(guī)范要求��。醫(yī)療敏感數(shù)據(jù)的隱私安全問題也越發(fā)突出�����,引起了社會各界的廣泛關(guān)注�。醫(yī)療敏感數(shù)據(jù)泄露事件頻發(fā)���,不僅侵犯了患者的隱私權(quán)���,還可能對患者的生命健康造成嚴(yán)重威脅。
因此�,對醫(yī)療敏感數(shù)據(jù)隱私安全保護(hù)的研究具有重要的現(xiàn)實(shí)意義和理論價(jià)值����。當(dāng)前���,針對醫(yī)療敏感數(shù)據(jù)的安全問題�,傳統(tǒng)技術(shù)方式主要為對數(shù)據(jù)進(jìn)行訪問控制���、加密處理等�����,通過嚴(yán)格控制對敏感數(shù)據(jù)的訪問來降低敏感數(shù)據(jù)被泄露的可能�����。在大數(shù)據(jù)挖掘需求和數(shù)據(jù)互聯(lián)互通的大趨勢下,傳統(tǒng)技術(shù)方式已無法滿足應(yīng)用需求�����。敏感數(shù)據(jù)的脫敏技術(shù)則可以在最大程度上保障數(shù)據(jù)安全的前提下�����,實(shí)現(xiàn)對數(shù)據(jù)的應(yīng)用、挖掘或加工�����。同時(shí)���,也需要注重對數(shù)據(jù)的安全防護(hù)�,保護(hù)數(shù)據(jù)在傳輸和使用過程中不被非法獲取�����。
1.數(shù)據(jù)采集來源豐富多樣
隨著信息技術(shù)的發(fā)展���,數(shù)據(jù)采集的來源越來越多�,通過多種渠道獲取所需的數(shù)據(jù)�����。比如��,通過手機(jī)從互聯(lián)網(wǎng)上獲取信息�����;從數(shù)據(jù)庫中提取所需信息;通過傳感器或其他設(shè)備收集實(shí)時(shí)監(jiān)測的數(shù)據(jù)����;還可以通過人工調(diào)查等方式獲得所需信息。最終��,把信息經(jīng)過信息系統(tǒng)轉(zhuǎn)化為數(shù)據(jù)��。
2.數(shù)據(jù)脫敏
醫(yī)療領(lǐng)域常見數(shù)據(jù)有姓名����、就診卡號、證件號�����、參保號����、交易金額���、交易流水號����、就診日期、患者住址����、患者手機(jī)號碼、證件類型��、出生日期等�����。根據(jù)數(shù)據(jù)特征����、使用場景及技術(shù)的實(shí)現(xiàn)方法,選擇不同的算法對數(shù)據(jù)進(jìn)行脫敏��。脫敏方式一般可分為靜態(tài)數(shù)據(jù)脫敏和動態(tài)數(shù)據(jù)脫敏�。
靜態(tài)數(shù)據(jù)脫敏為永久性、不可逆的數(shù)據(jù)脫敏處理���,統(tǒng)一對整個(gè)數(shù)據(jù)集進(jìn)行批量脫敏處理并保存�����,該方式不會對數(shù)據(jù)的內(nèi)在關(guān)系和價(jià)值產(chǎn)生破壞��。一般適用于開發(fā)���、測試����、培訓(xùn)等非生產(chǎn)環(huán)境��。
動態(tài)數(shù)據(jù)脫敏為臨時(shí)性�����、暫時(shí)的數(shù)據(jù)脫敏處理�,在對敏感數(shù)據(jù)進(jìn)行訪問、查詢的時(shí)候��,按照預(yù)先設(shè)定好的脫敏策略對數(shù)據(jù)進(jìn)行脫敏處理后�,再返回訪問結(jié)果。對不同權(quán)限的用戶或不同的數(shù)據(jù)可以設(shè)定不同的脫敏策略��,也可以對脫敏策略進(jìn)行臨時(shí)調(diào)整��。一般適用于生產(chǎn)環(huán)境下對敏感數(shù)據(jù)的訪問�����。
數(shù)據(jù)脫敏算法通常使用遮蔽�、屏蔽、替換�����、加密的方式進(jìn)行脫敏���,具體如下�。
部分?jǐn)?shù)據(jù)遮蔽�����。將原數(shù)據(jù)中部分或全部內(nèi)容���,例如用符號“*”或“@”等字符進(jìn)行替換���,遮蓋部分關(guān)鍵信息或全部信息內(nèi)容。如手機(jī)號碼顯示為“130****1234”����。
混合屏蔽����。將相關(guān)的列作為一個(gè)組進(jìn)行屏蔽����,以保證這些相關(guān)列中被屏蔽的數(shù)據(jù)保持同樣的關(guān)系,例如�,城市、省����、郵編在屏蔽后保持一致。
替換�����。替換敏感數(shù)據(jù)的內(nèi)容��,使數(shù)據(jù)看上去和原始數(shù)據(jù)類似����,但實(shí)際上兩者沒有任何關(guān)聯(lián)。使用一定的規(guī)律去替換掉信息����,常用于姓名替換���、數(shù)值替換��、日期替換及卡號替換等�。
加密。使用MD5加密���、加密(FPE)和強(qiáng)加密算法(如AES)等算法加密敏感數(shù)據(jù)���。若需要使用數(shù)據(jù),必須使用密鑰對加密后的數(shù)據(jù)進(jìn)行解密才能獲取明文��,否則只能查看到加密后的無實(shí)際運(yùn)用意義的密文��。缺點(diǎn)是密鑰必須嚴(yán)格保管����,防止泄露。
3. 數(shù)據(jù)匿名化
根據(jù)《中華人民共和國個(gè)人信息保護(hù)法》第七十三條����,匿名化是指個(gè)人信息經(jīng)過處理無法識別特定自然人且不能復(fù)原的過程。數(shù)據(jù)匿名化也是數(shù)據(jù)脫敏的一種手段�。K-匿名(K-anonymity)通過對數(shù)據(jù)或標(biāo)簽進(jìn)行更加概括���、抽象的描述及隱藏部分信息,讓每條記錄至少與數(shù)據(jù)中其他的K-1條記錄具有完全相同的屬性值��。經(jīng)過K-匿名處理后的數(shù)據(jù)����,即使攻擊者知道某一位患者的健康卡號和年齡,也無法準(zhǔn)確得知該患者具體的疾病�。表1是數(shù)據(jù)匿名化處理前后對比。
表1 數(shù)據(jù)匿名化處理前后對比
1.數(shù)據(jù)分類分級管理
數(shù)據(jù)分類分級是數(shù)據(jù)安全治理的提升����。數(shù)據(jù)分類分級是數(shù)據(jù)恰當(dāng)使用中不可忽視的問題。只有對數(shù)據(jù)進(jìn)行有效分類分級���,才能讓數(shù)據(jù)在安全傳輸和使用過程中采取更加精細(xì)的措施���,得到有效防護(hù)。針對醫(yī)療數(shù)據(jù)的不同級別���,采取不同的安全措施��。具體而言�,可以根據(jù)數(shù)據(jù)的重要性和敏感程度,將其分為核心敏感數(shù)據(jù)�����、高敏感數(shù)據(jù)和一般敏感數(shù)據(jù)等不同級別����。對于核心敏感數(shù)據(jù)��,如患者的身份信息����、病歷記錄等,需要采取最為嚴(yán)格的安全措施和可見范圍��,如加密存儲�、訪問控制等;對于高敏感數(shù)據(jù)��,如治療方案��、藥物過敏史等��,可采取適當(dāng)?shù)陌踩胧?��,如?shù)據(jù)脫敏��、訪問控制等���;對于一般敏感數(shù)據(jù)�����,可采取基本的安全措施���。通過分級管理,可以更好地滿足不同類型數(shù)據(jù)的隱私保護(hù)需求��。
2.數(shù)據(jù)保護(hù)措施
為確保數(shù)據(jù)的安全性和隱私性�,可制定數(shù)據(jù)使用政策、訪問控制策略�、數(shù)據(jù)備份與恢復(fù)機(jī)制等;定期對數(shù)據(jù)管理制度和規(guī)范進(jìn)行審查和更新�����,確保其適應(yīng)醫(yī)療信息化發(fā)展的需要�;采用加密技術(shù)對數(shù)據(jù)進(jìn)行加密存儲和傳輸;采用數(shù)據(jù)審計(jì)工具對數(shù)據(jù)使用過程進(jìn)行實(shí)時(shí)監(jiān)控和記錄;采用虛擬化技術(shù)對醫(yī)療數(shù)據(jù)進(jìn)行隔離保護(hù)等��。
3.具體措施
一是采用防火墻���、入侵檢測系統(tǒng)等技術(shù)手段對網(wǎng)絡(luò)進(jìn)行安全防護(hù)���。將醫(yī)療數(shù)據(jù)與其他非醫(yī)療數(shù)據(jù)進(jìn)行隔離,以降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)�����。
二是及時(shí)更新病毒庫����、修補(bǔ)系統(tǒng)漏洞���,定期對安全設(shè)備進(jìn)行檢測和維護(hù)����,確保其正常運(yùn)行�。
三是采用動態(tài)口令、指紋識別等技術(shù)手段進(jìn)行身份認(rèn)證�。對不同級別的用戶設(shè)定不同的訪問權(quán)限,確保只有授權(quán)用戶才能訪問敏感數(shù)據(jù)。
四是采用磁帶庫���、云存儲等技術(shù)手段進(jìn)行數(shù)據(jù)備份,并定期進(jìn)行數(shù)據(jù)恢復(fù)演練�����,確保在發(fā)生意外情況時(shí)能夠及時(shí)恢復(fù)數(shù)據(jù)�����。
五是成立應(yīng)急響應(yīng)小組�,制定應(yīng)急預(yù)案和處理流程���。同時(shí)�����,應(yīng)該定期進(jìn)行應(yīng)急演練和模擬攻擊測試��,提高應(yīng)急響應(yīng)能力����。
幾乎每一個(gè)醫(yī)療場景下都會涉及醫(yī)療敏感數(shù)據(jù)����,但必須根據(jù)不同場景應(yīng)用不同的敏感數(shù)據(jù)保護(hù)方式�����。一般情況下�����,使用保密性和可用性兩個(gè)屬性對場景進(jìn)行判斷��。在互聯(lián)網(wǎng)醫(yī)院診療中����,主要涉及數(shù)據(jù)交換����,包含患者歷史疾病等敏感數(shù)據(jù)�����,屬于“高保密性����,低可用性”場景,一般采用AES 算法加密數(shù)據(jù);進(jìn)行軟件項(xiàng)目開發(fā)測試時(shí)�,需模擬真實(shí)應(yīng)用場景,訪問醫(yī)院其他業(yè)務(wù)系統(tǒng)數(shù)據(jù)庫����,只需保證數(shù)據(jù)結(jié)構(gòu)正確且對數(shù)據(jù)的真實(shí)性要求不高,屬于“高保密性����、低可用性”場景,一般采用泛化技術(shù)���、替代等方式處理���,保留數(shù)據(jù)結(jié)構(gòu),使用偽裝數(shù)據(jù)替代敏感數(shù)據(jù)�;院內(nèi)處方點(diǎn)評需確保處方信息的完整性及真實(shí)性,但不需要識別到患者本人��,屬于“低保密性����、高可用性”場景,將處方信息中的病人姓名做屏蔽處理����;門診叫號屏結(jié)合語音播報(bào)使得服務(wù)對象本人可識別叫號信息����,周邊人不易識別�,屬于“低保密性、低可用性”場景���,將病人姓名用“*”進(jìn)行部分遮擋��。
醫(yī)療敏感數(shù)據(jù)隱私安全保護(hù)是一個(gè)復(fù)雜而重要的任務(wù)�。為了確?��;颊叩碾[私權(quán)益得到充分保障�����,需要從多個(gè)方面入手����,包括對數(shù)據(jù)進(jìn)行分級管理����、識別敏感信息并進(jìn)行適當(dāng)?shù)拿撁籼幚怼⒔⑼晟频臄?shù)據(jù)管理制度和規(guī)范�����、加強(qiáng)技術(shù)手段的應(yīng)用�����,以及培訓(xùn)和教育醫(yī)護(hù)人員等�����;同時(shí)��,還需要不斷地對現(xiàn)有措施進(jìn)行評估和改進(jìn)�����,以適應(yīng)醫(yī)療信息化發(fā)展的需要�。通過這些措施的實(shí)施,可以更好地保護(hù)醫(yī)療敏感數(shù)據(jù)的隱私安全�����,為患者和醫(yī)療機(jī)構(gòu)創(chuàng)造一個(gè)更加安全和可靠的環(huán)境����。
作者:江門市中心醫(yī)院網(wǎng)絡(luò)信息科 李薇 趙瑞興 王柏鴻
免責(zé)聲明:平臺轉(zhuǎn)載僅做分享��,非商業(yè)用途���。本文著作權(quán)歸原創(chuàng)者所有,如有侵權(quán)請聯(lián)系小編進(jìn)行刪除����。
