數(shù)字經(jīng)濟(jì)時(shí)代，云計(jì)算在醫(yī)療健康領(lǐng)域中的應(yīng)用廣泛普及，存儲(chǔ)在云端的醫(yī)療健康數(shù)據(jù)量也在不斷累積。醫(yī)療健康數(shù)據(jù)的分析利用有利于廣大民眾的健康生活，但同時(shí)作為一類特殊的隱私數(shù)據(jù)，患者、醫(yī)生，以及醫(yī)療健康組織等都存在信息泄漏或違規(guī)處理的風(fēng)險(xiǎn)。

CSA發(fā)布白皮書《保護(hù)云中醫(yī)療健康數(shù)據(jù)隱私》，結(jié)合業(yè)內(nèi)最佳實(shí)踐從隱私工程、風(fēng)險(xiǎn)評(píng)估、隱私監(jiān)管幾個(gè)方面闡述了云端醫(yī)療健康數(shù)據(jù)的保護(hù)策略，對企業(yè)和從業(yè)者有一定的借鑒作用，可作為云安全治理、隱私安全評(píng)估工作的參考。

由于信息系統(tǒng)面臨各種高級(jí)持續(xù)性威脅和針對性攻擊，云端醫(yī)療健康數(shù)據(jù)的隱私保護(hù)不能完全依賴于云服務(wù)商，需要醫(yī)療健康組織重點(diǎn)考慮如下兩方面管控措施：

1）遵從數(shù)據(jù)安全法規(guī)，組建數(shù)據(jù)安全與隱私保護(hù)團(tuán)隊(duì)，建立數(shù)據(jù)安全管理制度，制定隱私保護(hù)準(zhǔn)則。

2）圍繞數(shù)據(jù)全生命周期構(gòu)建完善的隱私工程能力，包括數(shù)據(jù)識(shí)別與分類、隱私威脅建模、隱私風(fēng)險(xiǎn)評(píng)估、緩解或消減制定等活動(dòng)。

一、遵從數(shù)據(jù)安全法規(guī)

安全不同與隱私，但二者又緊密相關(guān)。傳統(tǒng)意義的網(wǎng)絡(luò)安全或數(shù)據(jù)安全以機(jī)密性、完整性和可用性（縮寫為CIA）為基本原則，而隱私保護(hù)則是在數(shù)據(jù)主體同意的前提下，充分處理和利用個(gè)人信息的一種數(shù)據(jù)保護(hù)形式。

隱私保護(hù)可以通過不同的技術(shù)、方法和工具實(shí)現(xiàn)，但是，隱私保護(hù)的準(zhǔn)則通常是依據(jù)數(shù)據(jù)安全相關(guān)法律法規(guī)、政策要求等制定的。因此，在開展隱私保護(hù)相關(guān)活動(dòng)之前，必須關(guān)注數(shù)據(jù)安全相關(guān)的法規(guī)與政策的動(dòng)態(tài)和要求。對于醫(yī)療健康組織而言，除了要關(guān)注適用于一般個(gè)人數(shù)據(jù)的法律（《如歐盟通用數(shù)據(jù)保護(hù)條例GDPR》《美國加州消費(fèi)者隱私法案CCPA&CPRA》、中國《個(gè)人信息保護(hù)法》等）外，還要特別關(guān)注專門針對醫(yī)療健康數(shù)據(jù)的法律（如美國《健康保險(xiǎn)攜帶與責(zé)任法案HIPAA》等）。

1. 法規(guī)遵從策略

由于各部數(shù)據(jù)安全法律條款內(nèi)容存在差異，包括適用地域、適用對象、數(shù)據(jù)主體權(quán)利與義務(wù)、安全措施要求、監(jiān)管報(bào)備等，醫(yī)療健康組織應(yīng)嚴(yán)格遵從當(dāng)?shù)胤梢?，制定貼合業(yè)務(wù)的合規(guī)制度和措施。對于提供跨國服務(wù)的醫(yī)療健康組織，在涉及健康數(shù)據(jù)跨境傳輸時(shí)，必須要做風(fēng)險(xiǎn)評(píng)估，謹(jǐn)慎處理，并向當(dāng)?shù)財(cái)?shù)據(jù)保護(hù)監(jiān)管機(jī)構(gòu)咨詢合法性。

2. 組建合規(guī)團(tuán)隊(duì)

根據(jù)相關(guān)法規(guī)要求，滿足條件的醫(yī)療健康組織需要組建合規(guī)團(tuán)隊(duì)，并設(shè)立數(shù)據(jù)保護(hù)官DPO，負(fù)責(zé)數(shù)據(jù)安全與隱私保護(hù)方面的建議、決策、管理、監(jiān)督，以及與監(jiān)管部門聯(lián)系等工作。

3. 建立數(shù)據(jù)安全管理制度

建立完善的數(shù)據(jù)安全管理制度，既是遵從相關(guān)法律的必要舉措，也是對數(shù)據(jù)安全和隱私保護(hù)工作的指導(dǎo)。

制度名稱

解釋說明

分類分級(jí)數(shù)據(jù)保護(hù)制度

對隱私健康信息PHI、個(gè)人可識(shí)別信息PII、一般數(shù)據(jù)等制定分類分級(jí)保護(hù)要求。

數(shù)據(jù)安全審計(jì)制度

制定定期的內(nèi)審與外審管理制度，審視數(shù)據(jù)保護(hù)工作落地情況。

數(shù)據(jù)安全應(yīng)急處置制度

制定應(yīng)急預(yù)案，及時(shí)采取相應(yīng)的應(yīng)急處置措施，有效控制風(fēng)險(xiǎn)，并根據(jù)相關(guān)要求及時(shí)報(bào)送數(shù)據(jù)監(jiān)管部門。

數(shù)據(jù)處理協(xié)議

制定并與云服務(wù)商簽署數(shù)據(jù)處理協(xié)議，約定服務(wù)應(yīng)商安全、合規(guī)處理醫(yī)療健康數(shù)據(jù)。

數(shù)據(jù)跨境協(xié)議

即便在允許數(shù)據(jù)跨境處理的前提下，也必須通過數(shù)據(jù)跨境協(xié)議澄清必要性、數(shù)據(jù)內(nèi)容、安全保護(hù)措施等。

隱私政策

云端服務(wù)需要通過隱私政策，使用簡單易懂的語言說明醫(yī)療健康組織或企業(yè)的聯(lián)系方式，以及醫(yī)療健康數(shù)據(jù)的采集范圍、存儲(chǔ)期限、使用目的等信息。

4. 制定隱私保護(hù)準(zhǔn)則

數(shù)據(jù)安全相關(guān)法規(guī)對數(shù)據(jù)處理的每個(gè)階段都有保護(hù)要求，醫(yī)療健康組織可以據(jù)此制定隱私保護(hù)準(zhǔn)則，用于指導(dǎo)隱私風(fēng)險(xiǎn)控制與消減措施的制定。

圖 1 隱私保護(hù)準(zhǔn)則

二、隱私工程能力構(gòu)建

云端醫(yī)療健康數(shù)據(jù)的隱私保護(hù)就是限制數(shù)據(jù)流動(dòng)和數(shù)據(jù)挖掘么？

答案顯然是否定的，在安全合規(guī)的尺度內(nèi)，充分挖掘醫(yī)療健康數(shù)據(jù)價(jià)值，最大程度保護(hù)數(shù)據(jù)安全，尤其是隱私安全，這是隱私保護(hù)的初衷。

與安全左移思想一致，隱私工程師要在開發(fā)設(shè)計(jì)階段識(shí)別隱私威脅、提取隱私需求，制定隱私緩解或消減措施，遵從隱私設(shè)計(jì)（Privacy by Design）和默認(rèn)隱私（Privacy by Default）理念。

1. 隱私威脅建模

與安全威脅建模STRIDE名稱的由來類似，隱私威脅建模LINDDUN方法，也是由一組常見隱私威脅攻擊路徑首字母縮略詞組合而成，該方法基于數(shù)據(jù)流圖（DFD）進(jìn)行威脅分析。

圖2 數(shù)據(jù)流圖
 

LINDDUN代表：

可鏈接性(Linkability)，指即使不知道項(xiàng)目關(guān)聯(lián)主體的身份，也能充分識(shí)別兩個(gè)項(xiàng)目是否有鏈接的能力。可鏈接性過程假設(shè)在數(shù)據(jù)遷移到云存儲(chǔ)/處理環(huán)境（數(shù)據(jù)庫存儲(chǔ)）之前或過程中，執(zhí)行了患者隱私和敏感數(shù)據(jù)所有相關(guān)隱私措施。因此，可鏈接性提供了在屏蔽、匿名或加密時(shí)，也能關(guān)聯(lián)數(shù)據(jù)的能力（威脅）； 可識(shí)別性(Identifiability)，在眾多主體中充分識(shí)別特定主體的能力（威脅）； 不可抵賴性(Non-repudiation)，無法拒絕索?。ㄍ{）； 可檢測性(Detectability)，充分識(shí)別感興趣項(xiàng)目是否存在的能力（威脅）； 信息披露(Disclosure of information)，信息披露樹不是LINDDUN的一部分，而是微軟STRIDE的一部分。由于隱私依賴于安全，LINDDUN包括了微軟STRIDE的信息披露威脅； 無意識(shí)(Unawareness)，缺乏對信息共享后果的認(rèn)識(shí)，用戶通常不知道共享數(shù)據(jù)的影響； 不合規(guī)(Non-compliance)，不遵從法律、法規(guī)和公司政策。

攻擊路徑表示為威脅樹，其中詳細(xì)說明了主要威脅類別的可能原因，并指定了DFD元素類型。隱私威脅建模是第一步，對于已識(shí)別的威脅，下一步需要執(zhí)行隱私風(fēng)險(xiǎn)評(píng)估，以便幫助醫(yī)療健康組織或企業(yè)制定合理的控制措施。

2. 隱私風(fēng)險(xiǎn)評(píng)估

隱私風(fēng)險(xiǎn)評(píng)估的目的是，對于已識(shí)別的威脅，分析其發(fā)生的概率或可能性，以及威脅行為導(dǎo)致的影響程度，確定風(fēng)險(xiǎn)的優(yōu)先級(jí)，并制定適當(dāng)?shù)捻憫?yīng)控制措施。

雖然隱私風(fēng)險(xiǎn)評(píng)估的概念并不新鮮，但一直以來并沒有統(tǒng)一的評(píng)估指導(dǎo)或規(guī)范。NIST風(fēng)險(xiǎn)管理框架（RMF）為安全風(fēng)險(xiǎn)和隱私風(fēng)險(xiǎn)管理提供了結(jié)構(gòu)化和靈活的流程。2020年，NSIT發(fā)布了《隱私框架1.0版：通過企業(yè)風(fēng)險(xiǎn)管理來提升隱私的工具》，為相關(guān)組織改進(jìn)和提升個(gè)人數(shù)據(jù)保護(hù)能力提供了一套改善的隱私管理工具。歐盟通用數(shù)據(jù)保護(hù)條例（GDPR）中，明確提出DPIA作為識(shí)別和控制隱私風(fēng)險(xiǎn)的評(píng)估方法。

對于醫(yī)療健康組織來說，可以主要參考如下兩個(gè)評(píng)估流程：隱私影響評(píng)估（PIA）和數(shù)據(jù)保護(hù)影響評(píng)估（DPIA）。

1）PIA旨在分析醫(yī)療健康組織如何收集、使用、共享和維護(hù)隱私健康信息PHI與個(gè)人可識(shí)別信息PII。PIA模板可參考白皮書《云端醫(yī)療健康數(shù)據(jù)的隱私保護(hù)》附錄A。

2）DPIA旨在處理PII和PHI過程中的風(fēng)險(xiǎn)識(shí)別和控制。PIA模板可參考白皮書《云端醫(yī)療健康數(shù)據(jù)的隱私保護(hù)》附錄B。

3. 緩解或消減措施制定

通過隱私威脅建模識(shí)別威脅，通過隱私風(fēng)險(xiǎn)評(píng)估確認(rèn)風(fēng)險(xiǎn)優(yōu)先級(jí)，進(jìn)而制定控制響應(yīng)措施，包括： 緩解風(fēng)險(xiǎn)，通過制定技術(shù)或管理措施，將隱私風(fēng)險(xiǎn)降低到可接受的程度； 轉(zhuǎn)移或分擔(dān)風(fēng)險(xiǎn)，通過合同轉(zhuǎn)移隱私風(fēng)險(xiǎn)，或者通過隱私政策和同意機(jī)制分擔(dān)風(fēng)險(xiǎn)； 規(guī)避風(fēng)險(xiǎn)，醫(yī)療健康組織認(rèn)為風(fēng)險(xiǎn)大于收益，從而放棄或終止數(shù)據(jù)處理； 接受風(fēng)險(xiǎn)，醫(yī)療健康組織認(rèn)為醫(yī)療健康數(shù)據(jù)的風(fēng)險(xiǎn)發(fā)生概率非常小或預(yù)期可控，收益大于風(fēng)險(xiǎn)，從而沒有必要投入資源來緩解風(fēng)險(xiǎn)。

隱私保護(hù)需要多學(xué)科方法，包括法律、社會(huì)學(xué)、信息安全、倫理和經(jīng)濟(jì)學(xué)等。構(gòu)建一套成熟的隱私工程，能夠幫助隱私工程師將隱私設(shè)計(jì)（PbD）集成至產(chǎn)品開發(fā)流程中，實(shí)現(xiàn)隱私保護(hù)左移。隱私保護(hù)不是一勞永逸的工作，需要建立持續(xù)的監(jiān)控、評(píng)估和改進(jìn)流程。

三、總結(jié)與建議

1、 醫(yī)療健康組織應(yīng)建立完善的數(shù)據(jù)保護(hù)制度，包括數(shù)據(jù)分類分級(jí)制度、數(shù)據(jù)審計(jì)制度、數(shù)據(jù)應(yīng)急處置制度、數(shù)據(jù)處理協(xié)議和隱私政策等。

2、 醫(yī)療健康組織應(yīng)建立例行化的法律法規(guī)監(jiān)管機(jī)制，保持與監(jiān)控部門的交流溝通，并實(shí)時(shí)調(diào)整或新增貼合業(yè)務(wù)的合規(guī)制度。

3、 醫(yī)療健康組織應(yīng)考慮建立隱私工程能力，開展隱私威脅建模、隱私風(fēng)險(xiǎn)評(píng)估和響應(yīng)控制，并不斷提升能力成熟度。若沒有隱私團(tuán)隊(duì)，也可邀請數(shù)據(jù)安全和隱私保護(hù)團(tuán)隊(duì)幫助其賦能，并逐步建立隱私工程能力。

4、 根據(jù)云端醫(yī)療健康數(shù)據(jù)的隱私保護(hù)訴求，調(diào)研其他云上服務(wù)模式，參考其他行業(yè)最佳隱私保護(hù)實(shí)踐。

5、 強(qiáng)化醫(yī)療健康組織內(nèi)部員工隱私保護(hù)培訓(xùn)，持續(xù)提升隱私保護(hù)意識(shí)。

致謝

《保護(hù)云中醫(yī)療健康數(shù)據(jù)隱私》(Protecting the Privacy of Healthcare Data in the Cloud)一文由CSA健康信息管理工作組專家編寫，CSA大中華區(qū)秘書處組織翻譯并審校。

中文版翻譯專家組（排名不分先后）：

組長：童磊

翻譯組：黃瑞、侯漢書、李嬌嬌、羅春、羅曉蘭、馬嘉、魏東、薛  琨、周星宇

審校組：史宇航、王巖、趙晨明、張亮、姚凱、郭鵬程  

感謝以下單位對本文檔的支持與貢獻(xiàn)：

360、威聯(lián)科技、北森云、谷安天下、浙江大華、世平信息、虎符網(wǎng)絡(luò)、啟明星辰、物盾安全、興業(yè)數(shù)金

特別鳴謝

本文作者：魏東

浙江大華網(wǎng)絡(luò)安全研究院副院長，10多年安全領(lǐng)域工作經(jīng)驗(yàn)，負(fù)責(zé)安全開發(fā)流程SDLC建設(shè)、網(wǎng)絡(luò)安全和隱私保護(hù)的需求與設(shè)計(jì)，以及安全合規(guī)體系建設(shè)工作。

相關(guān)知識(shí)

從健康A(chǔ)pp到云端，個(gè)人健康數(shù)據(jù)的安全與隱私保護(hù)
如何安全刪除健康數(shù)據(jù)？（保護(hù)個(gè)人隱私，有效刪除健康數(shù)據(jù)）
醫(yī)療健康大數(shù)據(jù)隱私保護(hù)手冊.doc
智慧醫(yī)療中健康醫(yī)療數(shù)據(jù)認(rèn)證與隱私保護(hù)方法
科學(xué)網(wǎng)—加強(qiáng)健康大數(shù)據(jù)隱私保護(hù)
大數(shù)據(jù)時(shí)代，醫(yī)療隱私如何保障？
健康數(shù)據(jù)隱私：健康數(shù)據(jù)的隱私保護(hù)和安全性
個(gè)人信息保護(hù)法下，健康醫(yī)療數(shù)據(jù)隱私保護(hù)新解讀
健康驛站是如何支持?jǐn)?shù)據(jù)云端同步與數(shù)據(jù)共享功能的？
醫(yī)療保健行業(yè)中的區(qū)塊鏈：保護(hù)患者數(shù)據(jù)和隱私

網(wǎng)址: 如何增強(qiáng)云端醫(yī)療健康數(shù)據(jù)的隱私保護(hù) http://www.u1s5d6.cn/newsview1232525.html