編者按

在醫(yī)療健康行業(yè)，共享患者數(shù)據(jù)對(duì)改善和突破醫(yī)療技術(shù)至關(guān)重要，尤其是處在海量數(shù)據(jù)與人工智能技術(shù)的時(shí)代。但在利用和共享自然人的醫(yī)療健康數(shù)據(jù)同時(shí)，還應(yīng)重點(diǎn)考量個(gè)人信息的安全風(fēng)險(xiǎn)。因此，如何在確?；颊邆€(gè)人信息安全的同時(shí)實(shí)現(xiàn)數(shù)據(jù)共享和訪問成為業(yè)界關(guān)注的焦點(diǎn)，醫(yī)療行業(yè)數(shù)據(jù)充分去識(shí)別化的技術(shù)方案因而進(jìn)入了行業(yè)相關(guān)方的視野。

本文在HealthITAnalytics發(fā)布的Exploring Data De-Identification in Healthcare一文的基礎(chǔ)上，闡釋了醫(yī)療行業(yè)中數(shù)據(jù)去識(shí)別化技術(shù)及其與個(gè)人信息保護(hù)、人工智能和連接設(shè)備運(yùn)用之間的關(guān)系，以探討醫(yī)療健康行業(yè)中個(gè)人信息保護(hù)與數(shù)據(jù)共享的兩全之策。

01 采取避免患者信息的“二次識(shí)別”的控制措施

最基本的“去識(shí)別化”是指無法根據(jù)病歷中的信息重新識(shí)別自然人，通常涉及刪除、隱藏個(gè)人姓名、出生日期、性別、地址或其他信息。除了這種基本的去識(shí)別化外，醫(yī)療行業(yè)利益相關(guān)者還需要了解其他信息以及可識(shí)別的級(jí)別，以保護(hù)患者信息。

實(shí)際上，存在一種超出潛在可識(shí)別性的信息級(jí)別，比如患者的IP地址、與患者起搏器相關(guān)聯(lián)的唯一設(shè)備ID、僅患者就診組織內(nèi)可見的病歷編號(hào)等信息。從理論上講，這些信息很容易重新識(shí)別到該患者。因此，人們需要采用額外的手段，對(duì)這類級(jí)別的信息去識(shí)別化，并且該操作應(yīng)當(dāng)持續(xù)到自然人個(gè)體不再容易被識(shí)別為止。換句話說，除了提取個(gè)人身份信息之外，還要有額外的信息保護(hù)和控制措施。

一個(gè)通過關(guān)聯(lián)信息進(jìn)行識(shí)別的例子：

一位億萬富翁在去年接受了針對(duì)特定類型癌癥的特定治療，通過與所選擇的治療方案、癌癥類型和時(shí)間范圍等信息的關(guān)聯(lián)，以及在醫(yī)療環(huán)境之外（例如在社交媒體平臺(tái)上）獲得的健康信息，此患者信息變得可識(shí)別。

因此，可以從兩個(gè)方面去考慮去識(shí)別化：一是提取特定信息，避免可以與特定個(gè)體相關(guān)聯(lián)的信息，或者串聯(lián)起來可以識(shí)別特定個(gè)體；二是如何使用一組數(shù)據(jù)集的因素組合來追蹤特定個(gè)體。這不僅僅通過提取特定信息來實(shí)現(xiàn)，還通過限制數(shù)據(jù)集查詢到特定個(gè)體的方式，防范追蹤到特定個(gè)體。

02 通過隱私增強(qiáng)技術(shù)推進(jìn)大規(guī)模醫(yī)療協(xié)作

在醫(yī)療行業(yè)，數(shù)據(jù)提取在個(gè)人信息保護(hù)合規(guī)方面發(fā)揮著重要作用，但不斷發(fā)展的數(shù)據(jù)分析技術(shù)（如AI技術(shù)）為符合合規(guī)標(biāo)準(zhǔn)進(jìn)行數(shù)據(jù)去識(shí)別化時(shí)，也帶來了新的挑戰(zhàn)和機(jī)遇。

AI技術(shù)有著更強(qiáng)大的信息識(shí)別功能，在AI面前，使用傳統(tǒng)的去識(shí)別化合規(guī)定義，會(huì)遇到一些問題。例如，由于AI技術(shù)比傳統(tǒng)分析框架更能夠?qū)崿F(xiàn)高水平的圖像重建，AI可以將識(shí)別面部的患者頭部CT掃描用來重建患者面部特征。因此，從理論上講，AI技術(shù)能夠在無需任何其他潛在的可識(shí)別信息的情況下，重新識(shí)別患者。

解決該問題的關(guān)鍵在于兩個(gè)方面：第一，如何充分混淆核心數(shù)據(jù)，無論是通過數(shù)學(xué)轉(zhuǎn)換、密碼轉(zhuǎn)換還是其他方式，從本質(zhì)上有效地使其在單個(gè)數(shù)據(jù)點(diǎn)上實(shí)現(xiàn)數(shù)據(jù)用戶的不可見，或者攔截試圖訪問該數(shù)據(jù)的其他人；第二，如何確保所進(jìn)行的分析操作的核心目的不是識(shí)別人群？可在流程中，使用技術(shù)方法、合規(guī)標(biāo)準(zhǔn)方法，以及手工操作的方法。

人工智能在幫助研究人員深入了解疾病和改進(jìn)治療方面有巨大前景，但如果不能廣泛訪問人群的數(shù)據(jù)集，醫(yī)療協(xié)作和研究將受到嚴(yán)重限制，醫(yī)學(xué)研究與治療的進(jìn)展可能會(huì)停滯。

僅使用傳統(tǒng)“混淆或提取個(gè)體標(biāo)識(shí)符”的去識(shí)別方法，將限制醫(yī)療行業(yè)的發(fā)展。因此，確保數(shù)據(jù)不被復(fù)制到多個(gè)數(shù)據(jù)組中，使個(gè)人無法攔截或惡意使用是至關(guān)重要的。這就是隱私增強(qiáng)技術(shù) （PET）發(fā)揮作用的地方，即在整個(gè)數(shù)據(jù)生命周期中，基于人工智能的技術(shù)可幫助用戶和組織來保護(hù)個(gè)人信息。

根據(jù)OECD在2023年3月8日發(fā)布的《新興增強(qiáng)隱私的技術(shù)（Emerging privacy-enhancing technologies）》，隱私增強(qiáng)技術(shù)（PET）是一種數(shù)字解決方案，即數(shù)字技術(shù)和方法的集合，PET允許收集、處理、分析和共享的信息，同時(shí)保護(hù)數(shù)據(jù)的機(jī)密性和隱私。

PETs可以分為四類：數(shù)據(jù)混淆、加密數(shù)據(jù)處理、聯(lián)合和分布式分析以及數(shù)據(jù)問責(zé)工具。

數(shù)據(jù)混淆工具包括零知識(shí)證明（ZKP）、差分隱私、合成數(shù)據(jù)，以及匿名化、假名化工具。這些工具通過改變數(shù)據(jù)來增加隱私保護(hù)，增加 "噪音"或刪除識(shí)別細(xì)節(jié)?；煜龜?shù)據(jù)可以使保護(hù)隱私的機(jī)器學(xué)習(xí)，并允許信息驗(yàn)證（例如，年齡驗(yàn)證）。而不需要披露敏感數(shù)據(jù)。然而，如果不仔細(xì)執(zhí)行，數(shù)據(jù)混淆工具可能會(huì)泄露信息。例如，在數(shù)據(jù)分析和補(bǔ)充數(shù)據(jù)集的幫助下，匿名的數(shù)據(jù)可以被重新識(shí)別出來。

加密的數(shù)據(jù)處理工具包括同態(tài)加密，多方計(jì)算包括私有集相交以及可信的執(zhí)行環(huán)境。加密數(shù)據(jù)處理PET允許數(shù)據(jù)在使用中加密，從而避免了在處理之前需要對(duì)數(shù)據(jù)進(jìn)行解密。例如，加密的數(shù)據(jù)處理工具被廣泛部署在冠狀病毒追蹤應(yīng)用中。然而，這些工具有局限性。舉例來說，它們的計(jì)算成本往往很高。

?聯(lián)合和分布式分析允許在數(shù)據(jù)上執(zhí)行分析任務(wù)，而數(shù)據(jù)對(duì)執(zhí)行任務(wù)的人來說是不可見或不可訪問的。例如，在聯(lián)合學(xué)習(xí)中，一種技術(shù)越來越受到關(guān)注，數(shù)據(jù)在數(shù)據(jù)源處被預(yù)處理。在這種方式下，只有摘要統(tǒng)計(jì)結(jié)果被傳遞給執(zhí)行任務(wù)的人。聯(lián)合學(xué)習(xí)模型被大規(guī)模部署，例如，在移動(dòng)操作系統(tǒng)上的預(yù)測(cè)性文本應(yīng)用中，以避免將敏感的擊鍵數(shù)據(jù)送回。?

數(shù)據(jù)問責(zé)工具包括問責(zé)系統(tǒng)、閾值秘密共享和個(gè)人數(shù)據(jù)存儲(chǔ)。這些工具的主要目的不是在技術(shù)層面上保護(hù)個(gè)人數(shù)據(jù)的機(jī)密性，因此通常不被視為技術(shù)層面的內(nèi)容。因此，通常不能稱為嚴(yán)格意義上的PET。然而，這些工具試圖通過讓數(shù)據(jù)主體控制自己的數(shù)據(jù)來加強(qiáng)隱私和數(shù)據(jù)保護(hù)。并制定和執(zhí)行何時(shí)可以訪問數(shù)據(jù)的規(guī)則。大多數(shù)工具都處于早期開發(fā)階段，用例集較少且缺乏獨(dú)立的應(yīng)用。

PET不僅僅是特定數(shù)據(jù)標(biāo)識(shí)符的提取，還能限制數(shù)據(jù)的移動(dòng)，同時(shí)還允許對(duì)數(shù)據(jù)進(jìn)行分析操作。這將有助于減少風(fēng)險(xiǎn)，在不會(huì)危及患者個(gè)人信息安全的前提下充分利用數(shù)據(jù)。當(dāng)然，PET并不能完全消除風(fēng)險(xiǎn)。因此，還需要通過盡職調(diào)查的方式，了解數(shù)據(jù)運(yùn)行的算法，并保持?jǐn)?shù)據(jù)用戶和數(shù)據(jù)所有者之間的密切溝通。以上技術(shù)和方法給數(shù)據(jù)提供者和患者創(chuàng)造了通過AI驅(qū)動(dòng)的數(shù)據(jù)去識(shí)別化，實(shí)現(xiàn)數(shù)據(jù)訪問與數(shù)據(jù)共享。

03 更新個(gè)人信息保護(hù)規(guī)則框架，滿足復(fù)雜連接設(shè)備與技術(shù)的合規(guī)要求

從個(gè)人信息傳輸?shù)结t(yī)院的角度來考慮連接設(shè)備時(shí)，由于醫(yī)院與患者之間存在“合同”，因此個(gè)人信息保護(hù)規(guī)則框架如何影響設(shè)備數(shù)據(jù)傳輸問題是相對(duì)簡(jiǎn)單的。然而，與去識(shí)別化一樣，連接設(shè)備與個(gè)人信息保護(hù)規(guī)則框架合規(guī)問題卻極為復(fù)雜。

在此類情況下，數(shù)據(jù)處理者可能是執(zhí)行檢查的衛(wèi)生系統(tǒng)或第三方，這給個(gè)人信息保護(hù)規(guī)則框架合規(guī)制造出額外的考慮因素。當(dāng)人們考慮到患者的數(shù)據(jù)不僅存儲(chǔ)在醫(yī)生辦公室，而且廣泛分布在只有某些人可以訪問的云設(shè)備時(shí)，問題變得愈來愈復(fù)雜。

歸根結(jié)底，所有問題都回到了協(xié)調(diào)舊的個(gè)人信息保護(hù)規(guī)則框架與更新技術(shù)的矛盾當(dāng)中。

醫(yī)療行業(yè)必然是保守的，人們不希望醫(yī)療行業(yè)過于創(chuàng)新。尤其在涉及到人們的個(gè)人健康時(shí)，并不想產(chǎn)生風(fēng)險(xiǎn)。因此，無論是藥物，還是醫(yī)療技術(shù)，人們都希望明確事物如何運(yùn)作、為何如此運(yùn)作，并擁有適當(dāng)?shù)目蚣軄碜C明新事物的使用是合理的。此外，在討論醫(yī)療行業(yè)中數(shù)據(jù)去識(shí)別化問題時(shí)，需要對(duì)臨床醫(yī)生、研究人員、監(jiān)管機(jī)構(gòu)、律師和個(gè)人信息保護(hù)合規(guī)專家、認(rèn)證人員等不同群體進(jìn)行培訓(xùn)。

同時(shí)，法律框架也需要演進(jìn)，以適應(yīng)醫(yī)療行業(yè)數(shù)據(jù)去識(shí)別化的需求。舊的法律框架沒有考慮到現(xiàn)實(shí)中存在擴(kuò)展保護(hù)級(jí)別需求的新技術(shù)。因此，仍需要在個(gè)人信息保護(hù)規(guī)則框架內(nèi)，進(jìn)一步細(xì)化對(duì)醫(yī)療健康行業(yè)數(shù)據(jù)去識(shí)別化的解釋。

參考資料：

1.Health Insurance Portability and Accountability Act of 1996 (HIPAA)，https://www.cdc.gov/phlp/publications/topic/hipaa.html.

2.OECD:Emerging privacy-enhancing technologies,https://www.oecd.org/digital/emerging- privacy-enhancing-technologies-bf121be4-en.htm

聲明：本文來自數(shù)據(jù)信任與治理，版權(quán)歸作者所有。文章內(nèi)容僅代表作者獨(dú)立觀點(diǎn)，不代表安全內(nèi)參立場(chǎng)，轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)，請(qǐng)聯(lián)系 anquanneican@163.com。

相關(guān)知識(shí)

2019年醫(yī)療行業(yè)信息化解決方案.ppt
從2018 CHITEC，看醫(yī)療信息化行業(yè)的跌宕起伏
大力推動(dòng)健康醫(yī)療信息化
遠(yuǎn)程醫(yī)療，持續(xù)推進(jìn)醫(yī)療行業(yè)信息化發(fā)展
醫(yī)藥與健康護(hù)理行業(yè)信息點(diǎn)評(píng)：《“十四五”全民健康信息化規(guī)劃》制定 醫(yī)療信息化產(chǎn)業(yè)有望加速發(fā)展
個(gè)人健康醫(yī)療信息保護(hù)模式考察
智慧醫(yī)療是什么？有什么醫(yī)療信息化建設(shè)方案推薦？
20家醫(yī)療信息化企業(yè)大盤點(diǎn)
移動(dòng)醫(yī)療:體驗(yàn)醫(yī)療服務(wù)信息化
遠(yuǎn)程醫(yī)療：醫(yī)療信息化的必由之路——HC3i中國(guó)數(shù)字醫(yī)療網(wǎng)

網(wǎng)址: 醫(yī)療健康行業(yè)中個(gè)人信息去標(biāo)識(shí)化的技術(shù)方案 http://www.u1s5d6.cn/newsview516785.html