编者按

　　医疗数据作为主要集中在医疗诊疗活动中产生的数据类型，有很广阔的应用场景。但医疗数据包含丰富的隐私信息，且往往涉及人类健康领域，其应用蕴含着更多更严重的安全风险。如何在医疗数据应用过程中避免非法信息泄露，如何确保患者对医疗数据应用的知情同意权，如何保证医疗数据的准确性以防继发安全风险等问题都亟待解决。由“医疗卫生与法治协同创新中心”研究课题组撰写的《医疗数据应用中的重大安全风险防范》（载法治蓝皮书·《中国卫生法治发展报告2021》，社科文献出版社2021年12月）介绍了医疗数据收集和应用的场景，以及可能引发的安全风险，为做好医疗数据应用的安全风险防范和规避体系建设提供重要参考。

　　大数据时代背景下，数据呈现爆发增长态势，数据的应用与分析已经成为各个行业领域的重大议题。医疗数据是指在医疗服务活动和医学科研过程中产生和收集的所有数据。截至2021年3月底，中国医院总数目达3.5万家，其中三级甲等医院门急诊日接诊量高达数千人次，每例病人从门诊挂号信息，到电子病历记录，再到相关化验检查内容，每天在医疗诊疗过程中产生和存储的医疗数据就已经达到相当庞大的规模。鉴于医疗行业的特殊属性，医疗数据具有应用范围广、应用价值高，数据隐私性强、数据增长速度快等特点，所以有效且安全地应用医疗数据有利于中国人民健康事业和医学理论的快速发展。

　　在过去，医疗数据往往只体现于诊疗方式与诊疗效果，关注医疗数据的人也就更加集中和局限于医疗行业相关人员，如医生、药师等。但是进入大数据时代以来，随着数据价值的不断凸显，医疗数据因为与人民健康、社会民生密切相关，吸引了越来越多医疗领域之外的人员来探寻医疗数据的应用价值。当医疗数据的应用场景从诊疗过程向更多领域扩展时，就带来了更多的安全风险。近年来中国相关部门一直关注医疗数据应用领域的健康发展问题，出台一系列制度文件。2016年，国务院办公厅印发《关于促进和规范健康医疗大数据应用发展的指导意见》，把“规范有序、安全可控”作为医疗大数据应用的重要原则；2018年，国家卫健委发布《国家健康医疗大数据标准、安全和服务管理办法（试行）》，就健康医疗大数据标准、安全和服务管理作出具体规定；2020年，国家市场监督管理总局与国家标准化管理委员会正式发布《信息安全技术 健康医疗数据安全指南》（GB/T 39725-2020）（以下简称《安全指南》），对健康医疗数据的披露原则、安全措施、安全技术等提供了详细的指导。2021年6月10日正式通过的《数据安全法》作为中国数据安全领域的基本法，也将对包括医疗数据在内的数据安全及处理活动进行宏观规范。基于此背景，厘清医疗数据应用中的安全风险及其防范是大数据时代医疗卫生事业发展的必由之路。

一、 医疗数据的收集与应用场景

1. 医疗数据的收集场景

　　医疗数据是具有人的特性的具体数据，每一条医疗数据都有具体个体与之对应。所以医疗数据的收集与其他大数据的收集会有所不同，从客观的基础信息、精准的化验检查到症状表现描述，都是医疗数据关注的对象。在医疗数据收集过程中，往往需要医学专业人员对数据进行专业合理的转化和分析。

　　医疗收集场景比较常见的是传统诊疗过程中的数据收集，这些数据依托患者的就诊过程，是医生诊疗过程中的副产物。电子病例系统对患者基础信息和诊疗过程进行详细记录和追踪，收集数据的目的主要是促进医患诊疗过程的顺利进行。收集到的数据包括经医生加工处理的患者病史，体格检查、体液化验和仪器检查结果等，可见传统诊疗过程中收集的数据专业性强，数据完整性高，但数据搜集耗费时间长，受医生主观性影响大。

　　随着互联网医疗领域的不断发展，线上问诊和远程医疗逐渐成为医疗市场的主流。在网络医疗平台上，患者通过文字图片、视频通话等方式达到诊疗目的。在这一过程中，患者的个人信息通过线上平台注册、线上问诊过程的资料提供等将相关医疗数据提供给线上诊疗医生，线上医疗平台在医疗数据传输储存的过程中通常会采用合适的加密传输机制。鉴于目前互联网医疗尚处于起步阶段，医患往往以初步诊断和基础治疗为目的，所以互联网医疗虽然数据收集难度较小，但是收集的数据准确性可能偏低，数据完整性不强，且容易受到患者的主观偏差影响。

　　智能穿戴设备如智能手表、智能手环、健康监测App等日益普及，可以监测和获取佩戴者的心率、血氧、睡眠状况等基础健康数据。随着科学技术的不断发展，这些智能设备对个人健康情况的监测能力不断提升，将越来越多地获取和记录人们的健康数据。这部分数据与医疗健康事业息息相关，也属于健康医疗数据的组成部分，这部分数据收集具有客观性、连续性，但是易受到设备精准性的影响。

　　此外，医疗数据的收集还包括诊疗后电话或线上随访、基层卫生服务中心家庭诊疗、传染病防控筛查等多种途径，医疗数据多维度的收集过程决定了医疗数据的多样性、管理的复杂性和应用过程的高风险性。

2. 医疗数据的应用场景

　　医疗数据最主要的应用场景是医疗诊疗领域，这是医疗数据的基本价值。搜集个人完整的基础数据和疾病相关数据是为了给患者提供标准且适宜的治疗方案，但医疗数据的区域网管理模式导致大部分医疗数据不能实现院际互认，导致了医疗数据的重复录入，降低了医疗数据的应用效能。

　　另一个重要应用场景是临床科研应用领域，包括治疗方案的疗效判断、新药研发、器械研制、疾病危险因素分析等各类临床科研。收集特定条件的数据进行分析，从而得出相应的医学理论或对既有医学发现进行验证，推动医学科学的发展，促进医疗行业继续进步。这一应用具有重要的科学意义，对医疗数据的准确性提出了更高的要求。

　　近年来，医疗数据也逐步应用于人工智能领域。例如，越来越多的科技公司聚焦人工智能诊疗开发，这要求人工智能通过大宗的医疗数据实现深度学习，才能保证其精确性。新冠肺炎疫情的有效防控也是医疗大数据应用的一大成功案例，通过整合患者的出行信息和医疗信息（如疫苗接种情况），得到的出行健康码可以高效有力地实现疫情期间的人群出行初筛。此外，医疗数据还可以应用于公众健康、慢病管理、医疗管理、政策制定等领域。

二、 医疗数据应用过程所涉个人隐私安全

　　随着信息化时代的到来，人们对于个人信息安全保护的要求正在日益提高。2021年8月20日通过的《个人信息保护法》于2021年11月1日起施行。《个人信息保护法》将医疗健康相关信息列为敏感个人信息，要求只有在具有特定目的和充分的必要性并采取严格保护措施的情形下，方可处理敏感个人信息，同时应当事前进行影响评估，并向个人告知处理的必要性以及对个人权益的影响。

　　在医疗服务活动过程中，医护人员出于疾病诊治的目的，通过问诊、体格检查、体液化验、仪器检查等形式获取并收集患者的一般信息，健康状况等详细数据，医护人员及仪器设备的专业性和患者群体在医疗过程中对疾病诊治的需求保障了此类数据的准确性。这类医疗数据往往包含了患者的隐私信息，此类数据一旦泄露或遭受恶意使用，极易导致患者的人格尊严受到侵害或人身、财产安全受到危害，所以医疗数据的处理必须受到更加严格的限制。

　　在医疗机构发展建设领域，医疗数据大多以医院为单位存储，为防止医疗数据外泄和非法入侵，多数医院的电子病历系统采用院内局域网共享并通过防火墙等模式进行数据保护。但相关统计表明，医疗行业网络安全隐患普遍存在，安全防护水平相对较低，且较容易受到勒索病毒等的威胁和侵入，医疗数据在医疗机构内部的保存并不十分安全，加强医疗行业的网络数据安全措施和硬件系统防护刻不容缓。

　　除了外部非法入侵和病毒攻击，医疗数据的内部泄露威胁比例也相对其他数据更高。近年来，患者信息隐私安全保护已经加入医疗相关人员的必修培训内容，这有效增强了医疗过程中医疗人员对患者隐私数据安全的保护意识。但也应看到，除了个别医疗人员对医疗数据的恶意泄露以外，还存在大量无意识或因失误操作导致的医疗数据过失泄露，这些数据泄露未必一定会造成实质性危害性后果，但是依然不可疏忽。《安全指南》中针对数据安全提出了数据分级管理，数据调阅时采用身份鉴别，按医生科室、职称等进行权限分配，从而对医疗数据进行规范化管理，降低因失误导致的数据泄露风险，并利于将数据泄露事件责任具体到人，对医疗数据使用者起到约束作用。

　　近年来，随着医疗大数据的不断发展，越来越多的人提出医院之间的“去孤岛化”理念。所谓“去孤岛化”，是在多家医院就诊的同一患者在多次就诊时可以共享之前就诊收集的信息，包括一般信息、病史采集、化验检查结果等，从而增加患者的就诊效率并减少医疗资源的重复占用，这有利于提高患者的就诊体验，降低不必要的医疗开支。医疗数据共享是发展电子病历系统“去孤岛化”的必要前提，要实现“去孤岛化”，不止要解决医疗大数据处理应用的技术壁垒，更要能够让医疗数据安全地走出单个医院的局域网，保证医疗数据共享后，整个医疗数据网络能够抵御来自外界的入侵，同时随着加入这个共享网络的医疗人员的增多，对于全体人员的数据安全规范教育和责任归属也都是不可规避的重要议题。由此可见，实现“去孤岛化”，还有很长的路要走。

　　医学事业的发展离不开临床实践与反馈，如今大规模的医学科研成果以数据的形式体现，从医疗数据的收集与分析过程中可以获取疾病的发病特征、危险因素等有效信息。这一数据收集过程在临床上集中体现为临床试验的开展和临床数据库（如专项疾病数据库、专项手术方式数据库等）的建立，目前主要通过患者知情同意获取和数据脱敏处理，以实现对患者隐私权益的保障。知情同意获取即在患者确认加入临床试验项目或收集其数据入数据库之前，由主管医生或专项科研管理人员等向患者介绍临床试验或临床数据库建立的整个过程以及数据收集方法，数据应用领域和隐私保护途径等详细内容，患者本人或其监护人（被委托人）充分了解项目内容后自愿参加临床试验或允许本人数据进入数据库后签署书面文件，当已收集的医疗数据应用范围超过知情同意范围时，需取得患者本人或其监护人（被委托人）的补充同意后方可应用；数据脱敏处理即在数据应用过程中隐去与疾病或与本项医学研究不相关的数据，包括患者的姓名性别等一般信息和患者的既往史、传染病史等可以从中分析推断出患者身份的信息。这样的双重保障，在大部分临床实践中得到应用，既有效使用医疗数据又不暴露患者隐私。但是在实际应用过程中，这两种隐私保护途径仍存在一定缺陷。知情同意获取往往开展于治疗开始之前，部分患者担心因拒绝加入临床试验或临床数据库而影响自己的医疗过程，从而出现非完全自愿性知情同意。而数据脱敏处理过程目前尚无明确的脱敏范围规定，隐去的数据内容选择主要取决于研究者和研究团队，存在相当的主观性，无法保证数据脱敏的绝对有效性。

　　在新冠肺炎疫情期间，医疗数据领域的个人隐私权利与公共安全的冲突也成为一大重要议题。毋庸置疑的是，当个人私权利与社会公共安全和国家安全冲突时，必须优先保障后者。新冠肺炎疫情期间，通过对新冠肺炎患者进行流行病学调查并公开其旅居史、接触史等，可第一时间对新冠肺炎可能感染者进行全面筛查，最大程度降低感染的进一步扩散可能，有效控制疫情，保障广大人民群众安全。但在如今网络大数据时代，“人肉搜索”已不算新兴词，部分医疗数据公开可能会造成全网搜索进而公开此人的非必要公开数据，甚至影响其正常生活，疫情防控期间一些恶意造谣传谣者以公开的流行病学调查数据为素材的事件也确有发生。所以在公权力与私权利冲突时，个人隐私数据公开范围的程度应得到更加精准的管控。

　　就目前常见医疗数据应用场景而言，医疗数据主要集中存储于医疗机构和与医疗数据处理相关的专业数据库公司和各类医疗科技公司。鉴于医疗机构和企业公司在运营管理模式上有较大差异，针对医疗数据在不同领域的应用应分别制订适宜的隐私数据安全管理制度。在实践中，医疗机构与医疗科技公司或数据分析公司合作的情形日渐多见。例如，一些多中心临床医学数据库往往需要第三方数据公司搭建安全平台进行多中心医疗数据的共享。例如，某些公司参与的基因测序或其他特定检查相关的临床科研项目进行的部分数据存储工作等，这些多方共同参与医疗数据管理的情况在医疗行业领域屡见不鲜，构成医疗数据采集和应用的一大特点。但是众所周知，在数据安全管理方面，参与方越多，数据泄露和被篡改风险越大。在医疗合作发生共享医疗数据的情况下，应更加严格地界定医疗数据安全保护的责任归属，对医疗数据进行规范的分级管理，对各个参与方的医疗数据权限进行明确划分，从而最大限度地减少医疗信息在共享过程中的泄露，避免侵犯患者个人隐私。

三、 医疗数据准确性造成的继发安全风险

　　医疗数据在大部分应用场景中，对数据的精准性都有比较高的要求。在诊疗过程中，病历系统中的数据是制订治疗方案的主要依据，这是对单组医疗数据准确性的高要求；在医学科研过程中，通过各种形式收集的临床数据资料是进行最终数据分析、得出科研结论的重要载体，这是对群组型医疗数据的准确性需求；人工智能在医疗领域的应用过程中，需要准确的医疗大数据支持，以实现人工智能的深度学习，从而实现医疗和人工智能的相互促进，共同发展。有理由相信，医疗数据的准确性风险可能导致一系列问题。一是即时接受诊疗的患者因为医生收到了错误的基本疾病信息受到不合理的治疗甚至承担安全风险。二是医疗科研有可能因为出现的错误数据而得到错误的结论，轻者会导致整个科研过程失败，耗费人力财力，重者可能会错误引导医学理论发展方向，影响整体医学发展进程。三是医疗大数据的准确性偏差影响人工智能的深度学习过程，不利于新仪器新设备的创新发展等。医疗数据的准确性蕴藏着巨大的安全风险，对于医疗数据准确性的规范管理具有很深刻的现实意义，但是目前在大多数情况下，保证医疗数据绝对的精确度仍然存在诸多阻碍。

　　医疗数据的采集过程往往经过多次筛选与转换。例如，转换过程最简单的医院电子病例医疗数据产生至少经历了患者口述、医生笔录、病例电子化三个阶段；医疗专病数据库的建立，则需要第三方科研人员或医护人员在已形成的电子病例系统中进行有效信息的选择与抄录，在这一过程中有可能再次经历电子化的过程；在医疗科研应用时则又涉及数据库中数据的提取与分析过程。信息数据在这样的多次转换过程中，每增加一次筛选和转换，每增加一个数据处理者，数据准确性带来的安全风险都会随之增加。由于大部分医疗数据的收集不可干扰正常医疗服务活动，尽管在医生问诊、体格检查、患者口述病史以及医生记录病历过程中也可能存在一些错误信息，转换过程最简单的未经其他处理的电子病例系统内医疗数据通常被认为是高正确率的原始医疗数据，这是因为这些数据在收集之后，在诊疗过程中还会进行多次核对以减少诊疗失误。所以目前医疗数据的准确性往往认为是最终用于分析的数据同这部分数据对比的结果。

　　为了提高医疗数据的准确性，国内外一些政府机构或医疗机构开展了一些医疗数据的数据核查工作。这类数据核查主要针对用于医疗科研的数据库，抽取一部分最终用于科研分析的数据，将其与原始医疗数据进行对比，发现其中的准确性差异，并将最终得到的数据核查反馈给各家医疗机构，从而得到医疗科研所用数据的准确性报告，并敦促各个参与医院及时采取措施提高数据准确性。部分相关核查结果和研究结果表明，不同国家的数据准确性有所差异，但都在可以接受的范围内。而且数据核查工作可以通过敦促作用有效地提高数据搜集转换过程中的准确性。但是数据核查工作耗费人力财力巨大，目前已开展的数据核查多为数据抽检且往往由大型医疗联合组织或政府主导。有鉴于此，在可接受范围内的医疗数据不准确性和耗费巨大的数据核查之间作何取舍也是一大重要议题。

　　此外，医疗大数据的搜集与提取采用传统的人工收集方式是不现实的，一些人工智能技术也正在应用于医疗数据的提取和识别过程中，通过人工智能，OCR等技术直接识别电子病历系统并完成有效数据的提取，这一过程的实现将有效减少医疗数据提取过程的人力耗费且有可能通过机器学习提高数据的准确性。这些医疗数据提取的自动化策略必然是医疗数据提取的重要未来方案，对于解决当下的医疗数据准确性安全性风险意义重大。

四、 人类遗传学资源与国家安全

　　人类遗传学资源不同于其他医疗数据，它同时具有数据属性和物质属性。人类遗传资源是指包含了人类基因、基因组及其产物的所有器官，组织、血液、细胞等遗传材料及相关信息数据。在医疗活动和医疗科研过程中，对于此类人类遗传学资源的搜集不可避免，医疗活动中，由于精准医疗的需要，越来越多种类的基因和基因组学测定，生物标志物的测定已经成为临床诊疗活动的一部分。例如，循环肿瘤细胞DNA测定、术后病理标本或活检标本的基因检测和免疫组化测定以及各种基因测序等。这样的临床检测是以诊疗为目的，在获取患者知情同意后进行检测并获取确切的人类遗传学信息数据。医疗科研过程中，为了特定的科研目的，医生或科研人员会在获得患者知情同意后对获取的标本进行特定检测。由于技术限制和仪器设备的缺乏，无论是出于何种目的的检测过程难免有一些不能直接在医院体系内完成，第三方技术公司的加入增加了这一过程的安全风险，包括但不限于患者人类遗传学数据的泄露与超知情同意范围应用。目前在医学临床科研的伦理申请审核阶段，对于涉及大宗人类遗传学数据收集或有外企以及国外单位参与合作项目等情况时，均需要在科学技术部政务服务平台的人类遗传资源服务系统中进行备案并接受审批，从而对在中国境内从事的中国人类遗传资源采集、收集、买卖、出口、出境等事项进行规范和管理。

　　随着生物医学的高速研发，人类遗传学资源数据的价值将逐渐凸显。对于人类遗传资源的研究，可以帮助人类更加全面地认知人类的共性与独特性，揭示不同民族、不同种族人类遗传资源的特征性表现，甚至可以通过对人类遗传资源基因、基因组等进行重编码和再创造。人类社会的进步与发展势必造就人类对自身本质认识的加深，提前掌握和分析出人类遗传学资源数据的密码，必将利于中国卫生健康事业的发展。但同时还有极大的安全风险，对人类遗传学数据的不正当应用有可能造成道德问题、社会伦理学问题乃至严重的法律问题。随着生物医学的高速发展，人类遗传学数据资源可能带来的安全风险将会日益显著，这要求我们必须竭尽所能构建完善的人类遗传学数据管理体系和法律规范，提高相关单位和个人对人类遗传学资源的保护意识。

五、 医疗数据的归属权

　　医疗数据从产生到应用过程中往往涉及三方：患者作为医疗数据的产生来源，医疗机构的医务人员作为医疗数据的采集者，数据分析整理的公司或个人作为数据的分析者，三方均为医疗数据产生和应用过程中不可或缺的组成部分，数据所有权不同于传统实物所有权的权属，其产出价值和应用领域的多元化决定了数据的归属权的复杂性，这一议题在国内外一直存在激烈争议。医疗数据归属权的模糊性对于医学领域理论和医学相关科技的未来发展造成诸多潜在风险。明确医疗数据归属权仍有很长的路要走，势必需要更进一步的探讨。

　　结  语

　　医疗数据作为一种产生于人又将完全作用于人的数据类型，其所具有的应用价值正在逐渐凸显，随着人们对医疗数据应用的关注，医疗数据势必不能只局限应用于医院内部诊疗活动。要想安全高效地使用医疗数据，必须加强对医疗数据应用安全风险的认识和规避，医疗数据与其他各个行业领域的数据有共同特性，也有显著差异。研究医疗数据的安全风险防范体系，既应该借鉴一般数据的安全管理经验，也应该结合医疗数据的本质特性提出专门的管理模式，医疗数据的安全防范研究也可以反过来为其他行业的数据管理提供更多的选择与借鉴，从而促进大数据时代数据管理和安全风险防范领域的健康发展。

　　扫描或长按识别下图二维码

　　即可前往京东旗舰店购买本书

　　如需电子版请前往皮书数据库购买