面向医疗信息的数据隐私保护技术 | ||||||||||||||||
随着社会的发展及信息的广泛深入,隐私问题越来越受到人们关注,尤其在医疗领域,更显得尤为突出。由于在实际医疗活动中,医疗机构为了诊断、科研及教学需要,必须经常大量采集、发布、利用各种医疗数据,而这些数据就包含着个人的隐私信息。医疗数据的扩散难以控制个人隐私信息的泄露,因此仅靠法律规范来约束是远远不够的,必须采用必要的技术手段来解决隐私保护问题。 1前言 2009年5月,卫生部发布了《健康档案基本架构与数据标准(试行)》和《基于健康档案的区域卫生信息平台建设指南(试行)》等文件。作为临床信息系统核心的电子病历(EMR)因其存储量大、节省资源、查询方便、共享性好、有利于提高诊疗工作效率等优点,开始在医院推广应用;同时,医保、远程医疗、科研教学的需要,以及数据传输标准的确立和推广,也使得电子病历的应用更加深入。电子病历储存了患者个人的基本情况、健康状况、疾病发展、诊疗情况等信息,包含了大量病人隐私,而因其易传播、易复制等特征,也使患者的隐私保护出现了新的问题。医疗信息的泄露途径主要包括两方面:从医院内部信息系统中泄露,即非交互式泄露;在医学数据的科学研究过程中泄露,即交互式泄露。针对第一种情况,传统方法是使用数据加密等技术解决,不足之处是密钥管理困难、面对海量医学数据使用成本较高:第二种情况,常用的方法是使用基于角色访问控制技术(RBAC)。但随着系统运行,角色数量会逐渐增多,当达到一定程度时会使得角色层次关系变得异常复杂。由此可以看出,目前医疗信息保护技术已不能满足需要。尤其随着电子病历的出现和推广,要求有更加灵活、高效的隐私保护技术。因此,急需对面向电子病历的隐私保护技术进行分析研究,以更好地维护患者隐私权、保护患者切身利益,促进我国医疗行业健康发展。 2医疗信息隐私保护的重要意义 从技术角度来看,Ray等人基于电子商务隐私保护的研究经验将电子病历中的隐私保护问题分为七大类:认证、透明度、控制、采集、数据安全性、准确性以及标识。在此基础上,针对澳大利亚的HealthLink系统和美国的HlPPA系统进行了研究,并给出相应技术方案。Zhang等认为数据挖掘技术虽然在医疗诊断方面成功应用,但面对隐私数据时还需特殊处理,例如在医院信息系统中,财务部门进行数据分析时不能访问患者治疗记录。马伟等认为,电子病历的传输缺乏安全、统一的规范,通过网络传输资料面临着快捷和安全的冲突。王令群等认为由于医学数据对安全性和保密性要求都很高,而医学专业人员对数据分析和处理的能力有限,为防止隐私泄露,在将数据交给分析人员时必须对其进行必要处理。目前针对电子病历的隐私保护主要关注三个方面:面向原始数据的隐私保护技术研究;基于访问控制的隐私保护技术研究;构建隐私保护系统。3.1面向原始数据的隐私保护 Mohammed等针对香港红十字会.血液传输过程中设计的隐私问题进行研究,找出了影响传统匿名方法应用的主要因素。在此基础上,提出了一种基于匿名算法的LKC隐私模型来解决香港红十字会血液传输过程中的隐私保护问题。现实数据分析表明,该方法可以有效保留隐私数据中的相关信息供数据分析使用,且用于大规模j的匿名数据集。 Alhaqbani等使用假名来替代患者真实身份,让患者能够控制自己的隐;私信息,并用实例证明该架构在数据真实性和患者隐私之间取得了较好的:平衡。 Maglogiannis等提出一个面向患者远程监控系统的数据加密框架,采用基于点对点协议实现了一个原型系统。 高爱强等讨论了基于数据可用性的隐私保护匿名方法,主要讨论数据分析任务。如果对属性顺序敏感环境:下的数据处理方法,基于多维数据匿名化概念,讨论了一种方法来进行基于数据可用性的数据发布共享和匿名性处理方法。综上所述,目前大多数针对原始i数据的隐私保护方法都是基于数据匿名,数据匿名化的主要目标是在保证数据可用性的同时,通过适当损失一些属性值所包含的信息来提高数据的安全性。因此,匿名化原始数据集,j必然会造成信息的损失。数据的可用性和数据的安全性是相互矛盾的,两者之间需要找到折中平衡。目前,数据匿名化的研究工作主要是设计更有效的匿名保护模型,以及针对特定匿名保护模型设计出性能更好的匿名化算法。3.2基于访问控制的隐私保护 Smith提出了一种基于情境的访问控制模型来加强HIPPA的隐私保护功能。通过应用该模型,医疗机构可j以从事务规范的过程中获得巨大优势,弥补传统手工方式带来的负面效应。Mohammad等基于交互式架构提出了一种新的访问控制模型应用于医疗领域,该模型能够根据用户的行为i进行访问权限的动态设定。访问控制引擎动态地从目标用户处接收相关数据,根据不同的专业模块来确定用户访问权限。该模型使用标准的数据表示格式,并用一个真实案例证明其有效性。Blanquer等将加密和相关性技术应用于数据组织,使用自然语言的方式进行授权,提高了隐私保护水平。Martino等设计了一种基于多域隐私感知的访问控制技术应用健康系i统。该系统解决了电子病历访问过程中的安全与隐私保护问题,能够基于电子病历的元信息来限制访问。Patrick等提出了一种基于隐私扩;展的角色控制方法,该模型基于电子:健康情境信息,设计了一个决策支持模型与基于角色的访问控制模型进行交互来保护个人健康信息。刘逸敏等回顾了目前研究或已被采用的关系数据库中细粒度访问控制模型,以医院数据应用场景为例分析了模型在应用中存在的问题,并探讨了解决方法。从上述研究成果可以看出,大多数研究人员将关注点集中在基于角色的访问控制方面。访问控制是对信息系统资源进行保护的重要措施,有助于信息系统的拥有者选择和使用访问控制手段对系统进行防护。访问控制决定了谁能够访问系统,能访问系统的何种资源以及如何使用这些资源。适当的访问控制能够阻止未经允许的用户有意或无意地获取数据。然而,访问控制的实现手段较为复杂,通常包括用户识别代码、口令、登录控制、资源授权(如用户配置文件、资源配置文件和控制列表)、授权核查、日志和审计等,不易进行调整和管理。而规则引擎作为一种嵌入在应用程序中的组件,实现了将业务决策从应用程序代码中的分离,能够较好地解决这个问题。目前,规则引擎技术已在电信业的费用分担、的故障处理等领域应用,尚未有医疗领域的应用案例。因此,基于规则引擎的医疗信息隐私保护技术值得进一步探讨和研究。3.3构建隐私保护系统 |