電子病歷的隱私保護方法研究

1、電子病歷的隱私保護方法研究電氣論文電子病歷的隱私保護方法研究王慶飛1代夢含2方翔1（1.湖北醫(yī)藥學院公共衛(wèi)生與管理學院，湖北 十堰442000 ; 2.十堰市人民 醫(yī)院麻醉科，湖北十堰442000 ）【摘 要】電子病歷的快速發(fā)展使得與之相關的隱私保護問題日益突岀，本 文通過兩個方面對電子病歷隱私保護機制進行研究：在醫(yī)院內部信息系統(tǒng)方面， 分別從政策法規(guī)、管理機制、技術層面進行分析；在電子病歷發(fā)布方面，主要介 紹了當前常用的數據發(fā)布隱私保護方法k匿名機制。關鍵詞電子病歷；隱私保護；醫(yī)院信息系統(tǒng)；k-匿名基金項目:湖北醫(yī)藥學院研究生啟動基金項目”面向醫(yī)院信息系統(tǒng)的隱私 保護機制研究（2013qdj

2、zr11 x作者簡介:王慶飛”男,湖北十堰人,碩士 z湖北醫(yī)藥學院公共衛(wèi)生與管理 學院計算機教研室教師，研究方向為信息安全、網絡技術以及計算機應用技術。隨著信息技術的快速發(fā)展，以及醫(yī)藥衛(wèi)生體制的深化推進,電子病歷作為醫(yī)療衛(wèi)生信息的主要載體,因其存儲量大、節(jié)省資源、查詢方便、提高診療工作效率等優(yōu)點，已在醫(yī)院里得到大量推廣和使用，電子病歷將逐步代替?zhèn)鹘y(tǒng)的紙質病 歷已成為一種趨勢。與此同時,電子病歷的快速發(fā)展也帶來了病人隱私容易泄露的問題z通過電 子病歷導致的醫(yī)療隱私泄露途徑主要有兩個方面：從醫(yī)院內部信息系統(tǒng)泄露信 息，因電子病歷的易共享性，患者信息很容易被泄露出去，有的地方甚至出現醫(yī)務工作人員出賣

3、病人隱私數據的現象;另外，在電子病歷發(fā)布過程中也容易造成 隱私泄露，如醫(yī)院為了對病人數據做統(tǒng)計，在將病人信息發(fā)布給外部醫(yī)療中心的 過程中,如果沒有對這些信息做隱私保護，則病人信息會完全暴露出去，包括病 人的敏感患病信息。目前，電子病歷的隱私泄露問題越來越受到重視和關注，本 文在對電子病歷個人隱私保護方法研究基礎上，從醫(yī)院內部信息系統(tǒng)和電子病歷 發(fā)布這兩個方面對醫(yī)療信息隱私保護機制研究現狀進行一些探討。1醫(yī)院信息系統(tǒng)隱私保護機制醫(yī)院醫(yī)療信息的隱私保護主要從法律法規(guī)、管理機制和技術手段幾個方面進 行借戶。1.1法律法規(guī)國外歐美等發(fā)達國家已建立了比較完善的法律法規(guī)制度來加強醫(yī)療信息隱 私保護。199

4、6年美國政府頒布了健康保險可攜性及責任性法案來加強電子 病歷的隱私保護和信息安全方面的監(jiān)管，此法案對電子病歷利益相關者的義務、 權利和法律責任做出了嚴格界定。2003年美國政府又頒布了個人可識別健康 信息的隱私標準,進一步加強醫(yī)療信息隱私保護。歐盟也對醫(yī)療信息交換過程 中安全和隱私問題給與了高度關注，建立了覆蓋全歐盟范圍的數字醫(yī)療體系。英國在1984年頒布的數據保護法中規(guī)走”獲個人信息必須征得個人同意z持有個人信息的個人或機構必須具有合法性,在使用個人信息時需采取安全措施lo國內目前我國對電子病歷隱私保護的政策法規(guī)相對來說略顯滯后,2000年左右我國開始推廣使用電子病歷，但未對其使用的規(guī)范性和

5、法律作用做統(tǒng)一的規(guī) 定，只有少數法律條文有零星涉及，如執(zhí)業(yè)醫(yī)師法護士管理辦法醫(yī)務人員醫(yī)德規(guī)范及其實施辦法等。到2010年，又相繼出臺電子病歷基本規(guī)范（試 行）電子病歷基本架構與數據標準（試行）病歷書寫基本規(guī)范等政策文件。但對某些具體的問題如電子病歷使用權限分級、存檔管理、醫(yī)療事故責任認定等 卻未提出具體可操作性的解決方案。1.2管理機制醫(yī)院對醫(yī)療信息的隱私保護在管理機制方面常采用訪問控制的方式。對信息 資源按權限分類，給用戶分配相應的權限來訪問數據，使各類數據在合法范圍內 使用。對病歷進行訪問控制,可使病歷內容不被未授權的用戶所訪問，合理的病 歷訪問控制，應能夠按病人和病歷內容分類進行授權。具

6、有代表性的訪問控制技 術是由美國國家標準技術研究院提出的基于角色的訪問控制機制（role-basedaccess control 由于電子病歷功能很多，能被很多人員訪問，如醫(yī)生、護士、 急診室技術員以及負責收費和記賬的后勤人員等此較好的方式就是對病歷采用 基于角色的訪問控制機制，實現角色的授權。不同的用戶具有不同的權限和級別,基于角色的訪問控制技術可以減少授權的復雜性，降低管理開¥肖，又能保證系統(tǒng) 安全。1.3技術手段目前在技術層面對電子病歷進行隱私保護主要有電子簽名技術和數據加密 技術。由于電子病歷在安全性上需要達到機密性、完整性和不可否認性,因此需要 套安全機制來保證患者隱私不被

7、泄露，而電子簽名正是實現這一要求的基本技 木 電子簽名技術是基于公鑰基礎設施（public key infrastructure , pki）的 數字簽名技術,使用電子簽名可以有效的保證信息的安全性、完整性，以及簽名的不可抵賴性。在使用電子病歷簽名時，應簽完整姓名，而不能只簽姓;若由實 習醫(yī)生簽的名，則應該有主治醫(yī)師進行復簽。電子病歷的使用可以防止病歷中的 信息被篡改、破壞、泄露,并使電子病歷具有合法性2。對電子病歷內容進行隱私保護,還有一種方法就是數據加密。尤其是對患者 的一些敏感疾病信息采取信息加密的方式，可以有效的保護病人隱私。常用的數 據加密技術有對稱加密技術和非對稱加密技術。對稱加密

8、技術特點是加密和解密 使用相同的密鑰，使用起來簡單快捷，密鑰較短，如des加密技術；非對稱加 密技術需要一對密鑰：公鑰和私鑰，一個用來加密，一個用來解密，非對稱加密相比對稱加密技術更加安全，破譯難度更大，如rsa加密技術。對電子病歷采 取數據加密技術可以高強度的保護患者隱私,但缺點是加密和解密過程計算開銷 較大,實時性不強。2電子病歷發(fā)布中的隱私保護電子病歷的發(fā)布對于醫(yī)學研究有著有利的作用，比如科研單位對電子病歷進行統(tǒng)計和分析，可以得到年齡和疾病的關系，或者預測流行性疾病；醫(yī)院有時候也需要收集病人信息并將其發(fā)布給醫(yī)療數據中心，醫(yī)療中心對這些信息進行統(tǒng)計 分析，例如是對男性糖尿病患者數量的統(tǒng)計，

9、或者是一些復雜的聚類分析。如果 在病歷發(fā)布過程中”沒有對病人隱私進行保護”則也會造成嚴重的隱私泄露。在電子病歷發(fā)布過程中主要通過技術手段來進行隱私保護，使用的方法主要有數據擾亂、匿名化、泛化、阻塞等，其中數據匿名化是近年來研究的熱點，它是一種基于限制數據發(fā)布的隱私保護方法，通過有選擇的發(fā)布原始數據、不發(fā)布 或發(fā)布精度較低的數據值來實現隱私保護。典型的匿名保護方法有k匿名、卜 多樣性模型等。在電子病歷的原始數據中，有可以唯一確定病人個體的信息，如電話號碼、身份證號等,稱之為標識符;也有一些信息通過組合起來可以確走某個個體，如 由臨、生日、性別，將這些組合起來的信息稱為準標識符;還有一些敏感信息,

10、 如病人的疾病信息等。k-匿名就是在發(fā)布過程中隱藏掉標識符信息，然后通過泛 化準標識符取值使其在同一組（稱之為等價組）取值相同的個數不少于k個，這 樣通過準標識符找到某條特定病人記錄的概率就是1/k，可以有效的進行隱私保 護。采用k-匿名機制保護的過程如下表所示:（上接第54頁）表1病人基本信息表id年齡郵編疾病125225412消化不良215225026癌癥316225132癌癥426225432mr517225322癌癥618225244at m表2滿足2-匿名的數據表id年齡郵編疾病1消化不良49*2254*流感2<20225*癌癥3<20225*癌癥5<20225*癌

11、癥6<20225*流感表1是電子病歷系統(tǒng)中已隱藏掉標識符的6條病人記錄，通過泛化準標識符（年齡、郵編）,得到滿足2匿名的數據表2 ,對數據表2進行發(fā)布將不會泄露病人的隱私。因為表2滿足2匿名z即等價組中準標識符相同的記錄個數不少 于2個，這就意味著用這張匿名表與外部表進行鏈接時匹配到的是不小于2條 的相似記錄，而無法匹配出精確個體。l-多樣性模型則是在k-匿名的基礎上z要 求同一等價組里至少要有i個不同的敏感屬性值” i多樣性比k匿名的安全性更 高,且能夠防止k-匿名無法抵御的一致性攻擊。3總結本文從兩大方面探討了電子病歷隱私保護的方法，在醫(yī)院內部信息系統(tǒng)方 面，分別從政策法規(guī)、管理機制、技術層面進行分析；在電子病歷發(fā)布方面,主 要介紹了當前常用的數據發(fā)布隱私保護方法k匿名機制。總之，對電子病歷 的隱私保護需要從多個方面進行綜合考慮，如完善法律法規(guī)，完善醫(yī)院信息基礎 化建設，提高隱私保護意識，提出更優(yōu)化的隱私保護方案等，是多個方面共同努 力的結果。參考文獻1 schwartz p m.european data protection law and restrict!ons on international data flowsj.lowa l.rev, 1994,80.2 周拴龍，李娜.美國電子病歷應用中個人隱私保護措施探討j.醫(yī)