互聯(lián)網(wǎng)醫(yī)療行業(yè)該如何走出隱私困境

（文章來源：科技云報道）

隨著移動醫(yī)療、AI醫(yī)療影像、電子病歷等醫(yī)療數(shù)字化程度的加深，如今醫(yī)療數(shù)據(jù)被泄露已成家常便飯。在理想狀態(tài)下，醫(yī)療數(shù)字化是解決世界范圍內(nèi)醫(yī)療資源分配效率低下的最好方法。通過移動化、AI等新技術(shù)，醫(yī)患之間可以實現(xiàn)遠程溝通，不僅節(jié)省了就醫(yī)成本，同時更讓醫(yī)療資源得到了均衡配置，即使醫(yī)療資源過于集中在一線城市，那些生活在三四線和鄉(xiāng)、鎮(zhèn)、村的人們也能通過這種方式獲得更好的醫(yī)療服務。

當人們在享受互聯(lián)網(wǎng)醫(yī)療帶來的巨大便利同時，卻未曾考慮過它的陰暗面，那就是個人醫(yī)療健康數(shù)據(jù)泄露。由于云端配置錯誤，美國一家為患者提供家庭醫(yī)療服務的企業(yè)Patient Home Monitoring保存在亞馬遜S3服務器中的47GB的醫(yī)療數(shù)據(jù)意外泄露，預計至少有15萬患者受影響。這些泄露的數(shù)據(jù)包括患者的血液測試結(jié)果、個人信息，如患者的姓名、家庭住址、醫(yī)生信息以及病例管理記錄等。

在中國，醫(yī)療機構(gòu)大都各自為政，即便是一個醫(yī)院內(nèi)部也很難做到信息共享。目前市場上各類移動醫(yī)療APP沉淀著大量個人醫(yī)療數(shù)據(jù)，很多用戶只看到了這些產(chǎn)品的工具屬性或平臺屬性，卻沒人在意這些數(shù)據(jù)最終流向哪里，或被用到何處，信息共享和個人隱私的博弈始終在進行。

顯然，包括上述個人信息的數(shù)據(jù)字段是不應該被公開的，因為這有可能泄露個人隱私。比如：該研究曾使用麻省總醫(yī)院的出院數(shù)據(jù)和選舉投票的注冊數(shù)據(jù)進行匹配，最終鏈接出某麻省議員的住院信息。健康醫(yī)療大數(shù)據(jù)在全球快速發(fā)展，越來越多的個人數(shù)據(jù)被“脫敏”后公開，用于精準醫(yī)學等各類大數(shù)據(jù)研究。然而，如上所述的健康醫(yī)療數(shù)據(jù)被公開或?qū)⒁鲆幌盗须[私安全問題。

脫敏后分享，隱私就會安全嗎？健康醫(yī)療大數(shù)據(jù)時代，大量醫(yī)療數(shù)據(jù)被源源不斷采集。人們往往認為，一組醫(yī)療數(shù)據(jù)把名字、身份證信息去掉后就安全了，可以公開使用。然而，當這組數(shù)據(jù)跟另一組數(shù)據(jù)連在一起時，可能會完全暴露個人隱私。如果加入基因數(shù)據(jù)，隱私安全威脅就會更明顯。隨著基因檢測技術(shù)發(fā)展，只需大概75個統(tǒng)計上獨立的SNP位點即可唯一確定一個人，所以說基因數(shù)據(jù)比指紋數(shù)據(jù)更敏感。

當基因檢測數(shù)據(jù)與一些病理數(shù)據(jù)相遇時很容易匹配到具體個人，這種確認可能會侵犯人類隱私。2013年，英國曾推出一個Care.data計劃，將有關病人的數(shù)據(jù)采集、匯總，進行共享和使用，但是實施不過3年，2016年7月份，該項目被關停，更多的原因則是隱私方面的問題沒有做得很好。首先，對數(shù)據(jù)的保密性關注不夠，比如，對個人隱私進行匿名化和脫敏處理之后，該系統(tǒng)和其他系統(tǒng)關聯(lián)后，依然可以通過數(shù)據(jù)挖掘的方式辨別有關病人。

其次，項目里沒有界定數(shù)據(jù)開放共享的用處。最后，采集病人的數(shù)據(jù)信息時，并未征得患者的同意。今年年初，比雷埃夫斯大學研究人員對安卓生態(tài)中20款最受歡迎的醫(yī)療、健康類產(chǎn)品進行了調(diào)研，得出的結(jié)論是80%的產(chǎn)品涉嫌擅自傳播用戶數(shù)據(jù)。這些產(chǎn)品中有50%都和第三方共享用戶文本、多媒體甚至醫(yī)療影像方面的數(shù)據(jù)。而且有20%的應用沒有推出包含隱私問題的用戶須知文件。

隱私數(shù)據(jù)如何突破“棱鏡”困擾？健康醫(yī)療大數(shù)據(jù)的巨大潛力吸引無數(shù)醫(yī)療機構(gòu)、科研團體積極探索，一邊是數(shù)據(jù)帶來的隱私安全“黑洞”，一邊是精準醫(yī)學打開的未來醫(yī)療世界大門，隱私安全保護與數(shù)據(jù)公開應用能否兼得？以下一些技術(shù)可以在醫(yī)療數(shù)據(jù)化過程中加以應用。

比如學習一個模型需要看某些參數(shù)，這些參數(shù)代表疾病的高風險性與年齡、性別或其它特征的關系，我們可以把從每個醫(yī)療機構(gòu)內(nèi)部個體數(shù)據(jù)得到的統(tǒng)計值整合成一個全局的模型參數(shù)，然后把對應的模型分享給研究人員，但訓練模型的原始數(shù)據(jù)并不需要被分享給其他醫(yī)療機構(gòu)或研究人員。差分隱私：如果只是做一些前期探索性研究，研究者并不需要原始數(shù)據(jù)，只需要跟原始數(shù)據(jù)相似的數(shù)據(jù)信息即可。

因此，可以在原始的數(shù)據(jù)上添加噪音，或者先在原始數(shù)據(jù)上擬合出一個分布來，然后在這個分布的空間里面再抽象出數(shù)據(jù)來。這個數(shù)據(jù)會跟原始數(shù)據(jù)很相像，但是沒有任何點能夠?qū)皆紨?shù)據(jù)上。這樣，研究人員可以使用這種數(shù)據(jù)去做研究，但是無從得知數(shù)據(jù)本來屬于誰。同態(tài)加密：如果是基于公有云做數(shù)據(jù)運算，為提高安全等級可以選擇同態(tài)加密。

同態(tài)加密是級別非常高的一項加密手段，通過同態(tài)加密可以在加密數(shù)據(jù)上做加密運算，得到的結(jié)果也是加密的，只有授權(quán)的用戶才能把加密的結(jié)果拿到。這樣就能既能讓用戶放心使用公有云資源，又能保護個人隱私等數(shù)據(jù)安全。硬件加密：利用英特爾第六代之后的芯片的一個加密區(qū)域，讓只有授權(quán)的用戶才可以訪問。所有數(shù)據(jù)在硬件外都是加密的，非授權(quán)用戶看不到。

與此同時，在醫(yī)療數(shù)據(jù)保護方面，政府也要進一步加強相關數(shù)據(jù)安全法律建設，企業(yè)則要積極進行細分領域的科技創(chuàng)新，只有多方共同努力，才能真正實現(xiàn)我的隱私我做主。
? ? ? ?