医疗数据开放与患者隐私数据脱敏处理

医疗数据开放与患者隐私数据脱敏处理
上海市第六人民医院郑西川
2020.8.23
目录
◼互联网医疗大数据◼医疗数据开放难点◼解决方案与实践◼结论讨论
◼医疗数据具有大数据的4V 特点
•门急诊住院全流程
•患者临床数据、付费数据Volume 量大
•类型多、多格式、多来源、多渠道•微信、短信、图像、影像、视频等Variety 多样•实时收集患者信息•快速反馈
Velocity 快速•真实数据、历史数据
•发病预测、治疗规律发现等
Value
价值
➢时序性：患者就诊、疾病
发病过程在时间上有一个进度
➢隐私性：具有高度的隐私
性，泄露信息将造成严重后果
➢不完整性：大量来源于人工记录，导致数据记录的残缺和偏差，无法全面反
映疾病信息
◼医疗数据主要包括
➢保险数据：病人费用、医疗成本
➢临床数据：电子病历、影像数据、检查报告➢药品数据：药品种类、产地目录
➢行为数据：个人行为、生命体征
◼医疗数据累积历史
➢电子病历：10TB
➢影像数据：500TB
◼医学创新对大数据应用需求不断加强➢病例总结、临床指南、数据利用
◼政府推动医疗大数据研究
➢数据平台建设
➢精准医学研究
➢基因组学研究
◼数据利用存在问题
➢科室各自为政，数据分散缺乏整合➢没有工具支持，手段方法原始
➢数据服务职责不清，技术能力不足
◼2010年美国“蓝色按钮”（Blue Button Connector）计划
让患者记录自己的医疗数据、主动寻求预防护理、持续
关注慢性病。

为了提升患者自我健康管理的积极性，采用
多种策略让患者参与到疾病预防和管理当中
旨在为病患和普通使用者提供在线安全的健康记录，并
且对他们的健康进行管理和监督。

“蓝色按钮”记录包含
详细的个人健康信息，还包括化验结果、医生记录、问题
清单及健康提示等。

使用者不仅可以在线查看这些健康信
息，还可以从自己的病历中导出数据，系统会自动生成包
含个人体重、血压、膝关节损伤等详细数据的健身计划
开放式共享
让患者成为主体
◼美国公共健康数据集建设
➢美国最重要的数据开放平台就是奥巴马政府在2009年推出的
➢共开放出了388529项原始数据和地理数据，涵盖大约50个门类
➢截至2015年4月，共发布812个健康医疗类数据集，分级分类开放有借鉴意义
◼健康数据集例子
➢U.S. Chronic Disease Indicators (CDI)
（美国慢性病指数）
➢Leading Causes of Death by ZIP Code, 1999-2013
（根据邮编分布的死亡原因）
➢Most Popular Baby Names, 2009-2014
（孩子常用名）
➢Infectious Disease Cases by County, Year, and Sex, 2001-2014（按照年份，性别及区域的传染病案例）
➢Medicare Hospital Spending by Claim
（医院费用开支）
➢Road Traffic Injuries 2002-2010
（道路交通伤亡）
◼国内区域健康信息服务平台——上海“医联工程”
概况
简介上海“医联工程”是上海市级医院信息共享和协同服务工程的简称，旨在实现申康内部市级临床医疗机构间信息共享
主体上海申康医院发展中心
时间2006年至今
使用现状覆盖上海38家三级甲等医院
隐私安全解决方案
授权管理患者就诊时，医生经授权可通过医生工作站调阅患者最近一个月的就诊记录和部分影像检查信息
平台结构“一网、二卡、三库、四平台、多应用”一个临床信息共享平台，一个中心数据库，一个连接各个医院的网络，一个所属市级医院通用的就医卡，一个对外门户网站
数据存储非影像数据采取中心化存储方式，定时上传；影像类数据采取分布式存储模式
患者识别采用统一的就诊卡，通过交叉对比与各种就诊卡相关联的患者身份信息进行确认
数据交换模式非影像类数据由中心统一调度，按需调阅，影像类数据由中心根据请求提供资源定语与地址网络安全性利用政务外网搭建，分内外网管理，医院通过内网访问，患者通过对外门户网站访问
目录
◼互联网医疗大数据◼医疗数据开放难点◼解决方案与实践◼结论讨论
医疗数据开放难点
◼保护隐私是一项具有挑战性的任务
◼HIPAA及其相关法案介绍
➢1996年，美国通过《健康保险携带与责任法》（Health Insurance Portability and Accountability
Act，HIPAA）
➢2003年，HIPAA中的隐私规则（Privacy Rule）和安全规则（Security Rule）生效
➢HIPAA提出“受保护的健康信息”(ProtectedHealth Information，PHI)，其定义为：由适用主体或其商业
伙伴持有或传输的以口头、书面和电子等任何形式或媒
体存在的可识别的个人健康信息。

➢特殊情况：最小必要原则、脱敏数据
◼受保护的健康信息（PHI）——18项与个人健康相关的隐私数据
1.患者的姓名
2.患者的住址
3.就诊相关所有日期信息只能显示到年
4.患者的电话号码
5.患者的传真号码
6.患者的电子邮箱
7.患者的URL地址
8.患者IP地址
9.患者身份证号
10.患者账户信息11.患者驾照信息
12.患者医疗记录（病历）号
13.患者医疗保险信息
14.患者随身使用的医疗装置（如：心脏起搏
器，体内缓释给药装置等）品牌和序列号15.患者使用的车辆（含有治疗或助残功能的
车辆）品牌和序列号
16.患者生物识别信息（指纹，音纹，纹身，
耳洞等）
17.患者正面照片和其他类似图像
18.其它可能识别出患者的信息
◼中国相关规范介绍——GB/T35273-2017➢2017年12月29日正式发布，2018年5月1日实施的GB/T35273-2017《信息安全技术个人信息安全规
范》是一部相对较完善的个人信息安全规范，从个人
信息的收集、保存、使用、共享、转让、公开披露等
环节出发，提出了保护个人信息安全应遵循的原则和
安全要求。

◼个人信息安全基本原则
1.权责一致原则：对其个人信息处理活动对个人信息主体合法权益造成的损害承担责任
2.目的明确原则：具有合法、正当、必要、明确的个人信息处理目的
3.选择同意原则：明示个人信息处理目的、方式、范围、规则等，征求授权同意
4.最少够用原则：除与个人信息主体另有约定外，只处理满足个人信息主体授权同意的
目的所需的最少个人信息类型和数量。

目的达成后，应及时根据约定删除个人信息
5.公开透明原则：以明确、易懂和合理的方式公开处理个人信息的范围、目的、规则等，
并接受外部监督
6.确保安全原则：具备与所面临的安全风险相匹配的安全能力，并采取足够的管理措施
和技术手段，保护个人信息的保密性、完整性、可用性
7.主体参与原则：向个人信息主体提供能够访问、更正、删除其个人信息，以及撤回同
意、注销账户等方法
医疗数据脱敏难点
◼脱敏后的数据安全吗？
医疗数据脱敏：影像数据
◼影像数据的脱敏保密
➢医疗影像设备产生dcm格式的图片，其内含有如病人姓名、出生年月、设备相关的一系列tag，需要对这些dcm格式的图片做一个脱敏处理，将一些敏感的私人信息模糊处理，以供其他非医疗人员学习调用该图片，避免了病人的隐私泄露
医疗数据开放要点
◼个人隐私数据界定
◼脱敏后加以利用
◼医疗数据参与各方的责权利
权利义务
患者知情权，保存数据权力，没有删改记录
的权力加入真实数据的义务，为科研用途提供数据的义务
医生接触特定患者全部医疗数据的权力，根
据以往知识提供诊断结果和医疗方案的
权力，修订诊疗方案的权力，没有在执
行诊疗方案后删改记录的权力承担对患者医疗数据保密的义务，为科研用途提供数据的义务
医院采集、调用和保存患者及医生全部数据
的权力，没有删改记录的权力承担对患者和医生医疗数据保密的义务，为科研用途提供脱敏数据的义务
公司获得脱敏后的患者生理数据保护患者隐私，开发良心产品政府有要求相关机构汇总指定数据的权力有监督管理医疗数据应用的义务
目录
◼互联网医疗大数据◼医疗数据开放难点◼解决方案与实践◼结论讨论
数据中心CDR架构
◼已汇聚的临床数据源
17记录数亿18
时间段年
4.2
存储量
TB
病人标识身份登记病人服务预约、挂号、收费入出转入院、出院、转科医嘱医嘱开立、医嘱执行病历文书门诊病历、住院病历
护理护理记录、护理评估、生命体征监测检验实验室检验、血糖
检查医学影像检查、病理检查、电生理检查、其他医技检查手术麻醉手术、麻醉
输血输血评估、输血申请、输血执行、输血记录健康体检
健康体检
数据中心CDR 建设
数据在医疗过程中展现
◼患者统一视图
用于医院科研的数据管理体系
◼统一数据模型（Common Data Model ，CDM ）
✓只提供结果数据✓不提供原始数据✓
访问受控
✓
符合HIPPA 原则
✓
满足整个学科的科研需要
CDM 模型域
生命体征
病人结局转归随访
药品患者在院期间电子病历
检验检查报告
量表评分工具临床术语字典
辅助工具
访问控制信息加密隐私保护技术
数据脱敏
基于数据的临床研究
人群分布分析
费用疗效比较
临床特征分析
机器学习研究
数据中心CDR
科研服务平台
科研检索平台
专病数据库
◼临床科研检索平台及专病数据库
◼下肢静脉血栓专病库
◼
糖尿病专病库◼鼾症专病库
◼骨转移专病库
研究成果
◼核心期刊论文
◼发明专利
◼互联网问诊在收集信息方面的特点
从信息主体看
用户除了患者，还可能涉及患者家属、医生，该场景下所收集的信息既有完全行为能力人的信息，也可能涉及无行为能力人或限制行为能力人（例如未成年人、因疾病而不能完全辨认自己行为的成年人）的信息
从信息主体看
所收集的信息涉及识别用户的一般身份信息（例如用户登录时的手机、邮箱、姓名等）、互联网医疗服务费用支付时所需的银行账号等金融信息、患者健康生理信息（例如患者的病情隐私、病历信息、诊断结果、用药信息、患处照片）等
互联网医疗服务平台经营者需要结合互联网问诊服务的特点，有的放矢地管理
收集信息
患者身份信息病情隐私信息付款金融信息联系地址信息线上诊疗
医生开处方
药剂师审核
实体医疗机构和药房
药品销售
配送事宜
➢与互联网问诊相配套的，互联网医疗服务平台通常还提供用药咨询及药品配送辅助服务➢用户向互联网医疗服务平台提出用药咨询需求，互联网医疗服务平台收集用药咨询需求和相关信息后，将其提供给合作实体医疗机构和药房，经医生开出处方并经药剂师审核后，由药房安排药品销售和配送事宜
➢上述场景涉及相关个人信息的共享和流转➢互联网医疗服务平台经营者应在相关用户协议、隐私政策中提前告知用户、取得用户授权
➢在信息共享和流转的过程中，互联网医疗服务平台经营者应保证个人信息不被相应的合作伙伴之外的任何个人、组织和机构所获知➢并对相关实体医疗机构和药房等合作伙伴的数据保护义务提出要求
信息流转
隐
私
保
护◼药品配送信息流转中的隐私保护
医疗健康大数据的合规要点
1.使用患者信息和医疗服务信息等，应当取得信息相关权益人的授权。

2.将相关大数据分析结果提供给其他合作方或向社会公示时，应当以不能还原识别特定自然人身份的脱敏信息呈现。

1.对人口健康信息进行储存和管理时，应当特别注意遵循《网络安全法》、《人口健康信息管理办法（试行）》等法律法规关于人口健康信息储存和管理的要求。

2.涉及与政府部门、医疗机构、科研机构等公共机构合作的，需要关注由此所涉对相关保密信息的保密，特别是对于病历资料的访问、复制等，均应遵守合作方、主管政府部门和相关法律法规的规定。

3.经营过程中所获取、收集和产生的人口健康信息应在境内储存。

1.人类遗传资源包括含有人体基因组、基因及其产物的器官、组织、细胞、血液、制备物、重组脱氧核糖核酸（DNA ）构建体等遗传材料及相关的信息资料。

2.如果涉及对人类遗传资源信息的获取、收集和使用，严格遵守相关法律法规对人类遗传资源信息的使用、转让、披露和申请专利的限制。

信息使用合规
信息储存和管理合规
遗传资源信息合规
与互联海量患者信息和医疗服务信息为基础的健康医疗大数据业务是互联网医疗行业的重要组成部分和重要发展方向之一。

健康医疗大数据经营者在海量患者信息和医疗服务信息的基础上，通过大数据、人工智能等先进技术对相关信息进行整合、处理和分析，为政府部门、各级医疗机构、科研机构、药品和医疗器械生产企业提供解决方案。

除了信息收集环节需要关注的合规问题外，健康医疗大数据经营者应关注以下：
目录
◼互联网医疗大数据◼医疗数据开放难点◼解决方案与实践◼结论讨论
◼当前数据脱敏技术应用存在的不足
◼1）范围小。

目前只实现了对数值型、标签型、轨迹类型数据的能够保留相关统计特征。

◼2）静态多、动态少。

目前现有的算法与产品都是针对静态数据进行的脱敏，然而在互联网医疗大数据环境下，数据大都是实时动态的。

◼3）未能实现数据的分级分类脱敏。

尚未定级待脱敏数据集的所有属性，实现多种脱敏算法的协同。

◼4）当前靠人工手动选择原始数据集的编码方式及待脱敏数据列等，效率低下，难以应付医疗大数据场景需要，未引入机器学习等关键技术。

数据脱敏属
性
可逆性
部分知识可
逆过程可逆组合可逆不可逆
规范性
绝对规范相对规范
转移性
随机
对称
不对称对称
重叠
不重叠
均值保留不保留
重叠
固定
◼数据脱敏技术具有三个主要属性：可逆性，规范性和转移性。

了解其属性背后的含义可以为之后数据脱敏算法的研究与设计指明方向。

（1）不可
逆（2）保留
原始特征
（3）保留
引用完整性
（4）脱敏
关联字段
（5）脱敏
过程流水化
且可反复
◼优秀的数据脱敏技术算法应遵循的5个设计原则
◼未来展望
政府：主导推动大数据应用医疗机构：完善数据治理个人：交互参与制定中国版本的PHI制定在数据库设计层面重视个体隐私保护提供准确的数据大力宣传相关各方的责权利建立业务系统的用户权限控制系统遵守隐私保护规范强制推行医疗数据用于科研共享建立医疗健康数据泄露处理规范防止数据泄露
推动医疗最小数据集的采集推进区块链等技术在个人隐私安全中的应用
鼓励医疗大数据科研成果的应用
谢谢！。