健康医疗数据应用：个人信息保护的挑战与对策

关键词：个人信息保护；健康医疗数据；数据脱敏；隐私权；数据处理标准

0 引言

健康医疗数据与个人隐私密切相关，在大多数国家被视为敏感信息，需要进行严格保护。这类数据在提高医疗服务质量、优化医疗资源配置和推进医学研究等方面具有极高的价值。然而，个人健康医疗数据涉及身份信息、健康状况、疾病诊断等高度敏感的内容，一旦泄露，不仅会影响个人隐私权，还可能威胁到个人的身体健康和社会安全。在大数据时代，如何在有效应用数据的同时保护个人隐私，已成为健康医疗领域面临的重大挑战。为了更好地保护健康医疗数据，需要针对当前的问题进行分析和探讨。

在国际层面，美国通过《健康保险可携性和责任法案》（HIPAA） 及其隐私规则，构建了较为完善的健康医疗数据保护体系，并设立了明确的数据脱敏标准。欧盟则通过《通用数据保护条例》（GDPR） ，对数据使用进行了严格规范，明确规定了数据主体的权利及数据处理者的义务。上述法律体系相对成熟，在一定程度上有效降低了数据泄露的风险。

我国《个人信息保护法》将健康医疗数据归类为敏感信息，但由于缺乏具体细则和技术标准，实践中仍存在数据滥用、脱敏标准不统一、个人控制权不足等问题。此外，监管机制的不完善也增加了数据泄露的风险。因此，有必要全面考量个人健康医疗数据的独特性，通过完善数据脱敏标准、加强对数据处理者的监管、健全数据安全评估机制，以及赋予个人更多的数据控制权，维护大数据在健康医疗领域的安全应用及有序发展。

1 健康医疗数据概述

1.1 健康医疗数据的定义

健康医疗数据通常指为实现健康医疗和公共卫生目标而生成或挖掘的数据，范围十分广泛，包括但不限于在诊疗过程中所产生的数据。实践中，这类数据包含与个体健康状态相关的各种信息，如个人病历、体检数据、医学影像资料、用药记录等。

各国立法中关于健康医疗数据的描述与涉及的部门法律不尽相同。美国在健康医疗数据领域制定了多部法律，其中1996年颁布的《健康保险可携性和责任法案》（Health Insurance Portability and Account⁃ ability Act，简称HIPAA） 为美国医疗保健行业提供了第一套专门针对健康信息的保密性、完整性和可用性的标准措施。HIPAA中将健康医疗数据定义为“受保护的健康信息”“（ protected health information”，简称PHI） ，并在HIPAA颁布四年后，由美国卫生与公众服务部（HHS） 颁布《HIPAA隐私规则》，为PHI制定了保障措施，将大多数可识别个人身份的健康信息包含在PHI之中。

欧盟在2018 年颁布的《通用数据保护条例》（GDPR） 中，使用了“有关健康的数据”，指与自然人身体或精神健康相关的个人数据，包括能够体现其健康状况的健康保健服务所提供的数据。我国《个人信息保护法》将健康医疗数据归类为敏感个人信息，但目前缺少专门的配套法律在细则层面对此进行定义与规制。在2020年由国家市场监督管理总局和国家标准化管理委员会联合发布的《健康医疗数据安全指南》中指出：健康医疗数据包括个人健康医疗数据以及由个人健康医疗数据加工处理之后得到的健康医疗相关电子数据。然而，该指南作为推荐性指南，缺少法律强制力。

1.2 健康医疗数据的特性

健康医疗数据的应用涵盖医疗机构、个人健康管理和科研等多个层面。在应用层面，各领域对健康医疗数据不仅具有较强的使用需求，还十分依赖其时效性。同时，由于健康医疗数据来源于敏感个人信息，因而具有人身属性和高度敏感性。

1.2.1 应用价值高

首先，健康医疗数据的应用对医疗机构至关重要。医疗机构通过对健康医疗数据的收集和分析，能够更好地了解患者的健康状况，从而为患者提供个性化的治疗方案和健康管理建议。医护人员在分析患者的病历、影像资料等数据后，能够准确诊断疾病并制定最合适的治疗方案。同时，还能通过健康医疗数据对疾病进行监测和预防，及时发现潜在的健康风险。

其次，随着移动互联网和智能设备的普及，健康医疗数据的应用场景逐渐从传统医疗机构延伸到个人领域，数据在个人健康管理中也发挥着重要作用。越来越多的人为了了解自身健康状况，积极采集和分析自己的健康数据。个人可以利用健康医疗数据进行健康监测、健身管理和饮食控制。如通过穿戴式智能设备或手机应用程序获取身体指标数据，了解健康的实时状态，从而对健康规划进行相应的调整，例如调整饮食习惯或增加运动量等。

再者，健康医疗数据在科研领域的重要性不言而喻。其应用能够为科研工作提供丰富的资源和数据支持，从而加快科学研究进程。研究人员通过对海量健康医疗数据进行分析，能够发现潜在疾病规律，评估药品疗效，从而研究出新的治疗方法或药物。

1.2.2 时效性要求高

健康医疗数据的时效性要求高。在医疗领域，准确和及时的数据对于诊断和治疗尤为重要，因此健康医疗数据的采集、处理和存储必须具备高效性能和快速响应能力。实践中，可穿戴式医疗保健设备能够通过监测使用者的情况定期生成健康医疗数据。因此，时效性不仅要求有关主体在获取个人信息后的短时间内将其转化为有效数据，还对数据的保护提出了更高要求，确保数据在传输和存储过程中不被篡改、丢失或泄露。

1.2.3 人身属性和敏感性强

健康医疗数据具有极强的人身属性和高度敏感性。首先，健康医疗数据的主要来源是个人身体健康信息，其中包含个人身份、疾病诊断、用药记录等隐私信息，结合其他信息后能够识别个体身份。其次，《个人信息保护法》明确将健康医疗数据归类为敏感个人信息，其安全与保密性直接关系到个体健康和生命安全。对于个体而言，姓名、身份证号码、通讯地址、健康状况等数据一旦泄露或不当处理，将对个人隐私权和身体健康造成严重影响。同时，这也关系到公共卫生和社会稳定，对社会公共安全构成威胁。个人信息的失控可能导致诊疗过程和疫情防控等方面出现严重后果，因此，保护健康医疗数据对维护社会稳定和公众福祉具有重要意义。

2 健康医疗数据在个人信息保护中存在的问题

2.1 个人信息保护中健康医疗数据的有关规定

首先，《中华人民共和国民法典》第一千零三十四条中明确规定：“自然人的个人信息受法律保护”，并对个人信息进行了界定。而我国《个人信息保护法》第四条对此进行了进一步规定：“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。”由此可知，匿名化处理后的个人健康医疗信息已不属于该法的保护范畴。

《个人信息保护法》第五章和第七章分别就数据处理者的义务和法律责任进行了规定。当作为敏感个人信息的健康医疗数据存在泄露、篡改、丢失情况或可能性时，数据处理者应积极采取补救措施。如果在数据处理过程中出现违法行为或未履行保护义务，将根据情节严重性追究数据处理者的法律责任。

此外，《个人信息保护法》第四章对于信息处理中个人所享有的权利进行了规定，包括知情权、决定权、查阅权、删除权等一系列权利。对于敏感个人信息的处理，该法第十三条中规定以取得个人同意为前提，并在第五十五条中明确规定处理前需对个人信息保护影响进行评估，并对处理情况进行记录。当信息处理者向其他信息处理者提供个人信息时，需依照第二十三条的规定取得个人同意，并向个人履行接收方的信息告知义务。当信息接收方变更信息处理目的、方式时，需重新取得作为信息主体的个人同意。这意味着个人在信息处理、信息传输、变更使用的全过程中享有知情权与决定权。

综上所述，《中华人民共和国民法典》和《个人信息保护法》对健康医疗数据的保护做出了原则性规定。然而，由于数据处理与存储环节缺乏明确标准，个人获取信息方面存在滞后性，导致实践中仍然存在数据脱敏失效、数据泄露风险以及个人信息保护能力不足等问题。

2.2 数据脱敏缺少标准并存在可识别风险

在我国，匿名化处理的信息已不属于个人信息的保护范畴，数据脱敏是处理健康医疗数据的主要方式。然而，我国法律并未对其作出明确规定。《个人信息保护法》第五十一条第三款中将其规定为信息处理者的义务，即“采取相应的加密、去标识化等安全技术措施。”但由于数据处理的范畴、方法、流程等缺乏统一的标准，相关主体在处理数据时往往依赖个人主观判断，以个人偏好或商业需求为处理宗旨，难以保障数据处理的有效性。

其次，数据处理手段并非绝对安全。脱敏处理通过对数据中的敏感信息进行修改或删除，使其无法被直接识别，从而保障数据在传输、共享和存储过程中的安全性。该原理是将敏感信息转化为不具有识别性的数据，只保留数据的统计特征或结构，以保护个人隐私。具体而言，数据脱敏的操作原理包括替换、删除和加密等方法。替换是将敏感信息替换为其他无关的数据，例如将姓名替换为随机生成的编码；删除是直接删除敏感信息，使其无法识别，例如删除手机号码中的后四位；加密是将敏感信息进行加密处理，只有授权用户才能解密并获取原始数据。

常用的数据脱敏方法包括匿名化、泛化、扰动和隐私保护算法等。其中，匿名化是一种常见的数据脱敏技术，通过删除或替换敏感信息中的个人标识符，使其无法识别具体个体。例如，对身份证号码进行脱敏处理。泛化是将具体的敏感信息进行模糊化处理，例如将年龄从具体的数值转化为年龄段。扰动是向敏感信息添加噪声，使其难以恢复原始数据，例如在收集体重数据时，随机添加一个小范围的偏差值。此外，隐私保护算法可以对敏感信息进行更复杂的处理，以增加数据的安全性。

尽管经过复杂的数据脱敏过程，仍有人担心，积累的大数据如果用于商业用途，可能会促进个人信息的商品化。实际上，2020年的一项研究对我国80多万名患者的脱敏信息进行了风险评估，结果表明，在有限数据集政策下，19.58%的患者可以被重新识别；而根据美国HIPAA安全港政策，约0.072%的患者的脱敏信息能够结合背景知识被恢复出身份。这表明，对医疗数据进行脱敏处理仍存在数据被重新识别的风险。同时，这组数据的对比显示，美国的HIPAA安全港政策在降低脱敏数据被重新识别的风险方面更具成效。

相比之下，由于我国在数据脱敏方面缺乏明确的标准，并在数据处理时赋予相关主体更多的决策自由，难以保障数据脱敏的有效性。因此，中国的数据保护方式在实践中仍面临诸多挑战，尤其是在防止个人信息被重新识别方面，亟须进一步强化和完善相关措施。

2.3 数据使用与储存期间存在泄露风险

医疗机构作为健康医疗数据的主要收集者，其数据收集及利用的首要目的通常是为了治疗患者的疾病。然而，通过科学研究和统计分析后生成的数据也能为医疗技术的发展做出贡献。因此，医疗数据的相关主体不仅包括医疗机构，还涵盖科研机构以及与健康保健相关的公司等。

在国外，一些科技巨头如苹果和谷歌等正在收购以健康为基础的科技初创公司，以寻找新的医疗数据供应线。这些公司通过与医院和传统医疗服务提供商合作，开发数据驱动的机器学习和算法医疗设备，以换取对患者健康记录的访问权。随着健康医疗数据的利用需求不断提高，原本储存在电子设备中的医疗数据将被不同的主体使用，这增加了数据泄露或被窃取的可能性。

根据国际商业机器公司发布的《2022年数据泄露成本分析报告》，医疗保健行业已经连续12年成为平均数据泄露成本最高的行业。高昂的数据泄露成本意味着健康医疗数据的安全保护价值极高。目前，数据泄露的主要途径包括黑客攻击和相关行业人员的非法获取。

首先，医疗数据所具有的特殊价值使得黑客不断将其相关主体作为攻击目标，以达到获取医疗数据的目的。然而，并非所有数据使用主体都开发了强大的安全机制，这使得黑客能够利用应用程序中的漏洞获取用户的健康医疗数据。例如，国外一款流行的生育和月经周期跟踪应用程序“Glow”曾存在漏洞，黑客可以在不需要高超技术的情况下获取用户的敏感个人信息。

其次，在数据存储期间，除了可能受到黑客攻击外，能够接触到存储信息的相关从业人员也可能成为侵害个人信息的对象。这些人员可能通过向他人非法提供大量健康医疗数据的方式，牟取非法利益。2021年，最高人民法院发布的7起惩处医保骗保犯罪的典型案例中，有多起案例涉及行业人员利用自身职务便利获取他人健康医疗数据，直接或间接进行非法牟利。例如，“靳利娟、罗安君等诈骗案”“马良、郭万灵诈骗案”“金叶、张川、高峰、陶玉铨、顾翠霞诈骗案”和“王韬贪污案”等案例均显示出医疗数据在不当利用时的风险。