由 dawei 
湖南网(http://www.hunanwang.cn)观点由于健康医疗数据应用场景繁多,隐私安全关键问题也不尽相同,本文主要聚焦在美国患者照护场景中的隐私安全行业实践情况,重点分析以下3个问题:
1、患者照护场景中隐私安全关键问题是什么? 2、实现患者照护场景的互操作性平台如何解决数据应用中的隐私安全? 3、对中国行业实践有哪些借鉴意义? 一、患者照护场景中隐私安全的关键问题
我们参考了美国协调卫生信息安全与隐私的合作组织(Health Information Security&Privacy Collaboration,HISPC2)项目工具包中提供数据交换场景与隐私安全问题讨论框架3,针对患者照护场景的隐私安全讨论问题可总结分为两类,一类是隐私安全的管理策略,另一类是隐私安全的技术实现方式
1、隐私安全的管理策略:
患者授权管理:保证医疗信息交换隐私安全的基础是知情同意,即数据所属者对数据使用的知情与授权。
患者医疗健康信息分级管理:当患者在保密部门(例如,心理健康或物质滥用)治疗,则属于HIPPA治疗规定(在治疗场景下,不强制征得患者同意)的例外情况,这类数据的交换必须获得患者同意。这提示我们医疗健康信息的敏感性并不一致,应当对不同敏感程度的信息建立分级管理制度。
最小必要数据原则:例如紧急治疗情况下可查看的数据有哪些内容,通过基于场景的必要数据集设计,减少患者信息泄露风险。
2、隐私安全的技术实现方式
身份识别与认证:身份识别和身份验证是访问控制的关键组件。用来解决“你是谁?”和“我为什么要相信你?”。
访问权限的控制:在访问这通过身份认证后,通过访问权限的控制可以用来解决:“现在我知道你是谁了,这就是你能接触到的东西。”
数据加密:在数据交换过程实现隐私保护需要解决的首要问题是通讯的安全性,数据加密使在通信网络中的数据处于密文状态,降低因网络原因造成的信息泄露风险。
二、美国患者照护相关的互操作性平台隐私安全实践情况
HIPPA法案中对基于场景的数据使用授权分级,基于角色的数据使用权限界定以及基于责任主体的数据使用边界等都有较为明确的规定,能够给行业实践提供可操作性的指导,而关于隐私安全的技术保障方面,仅给出了基本的要求。
美国行业在构建满足隐私安全管理要求的服务体系中形成了具有重要指导意义的标准与自治规范,其中以电子病历互操作性为核心的平台是实现健康医疗数据在患者照护场景中应用的重要行业实践。