重大传染病防治期间的隐私保护现状研究
2022-03-18王换换
王换换
(徐州医科大学医学信息与工程学院 江苏·徐州 221004)
0 引言
当前包括甲肝、肺结核等在内的众多传染病仍在世界范围内传播,其监测与防治形势始终严峻[1]。在进行人工防控各类传染病的同时,技术人员利用信息技术搭建了传染病大数据防控体系,在整个传染病防控工作中发挥了重要支撑作用。而由于传染病防控体系的建立与应用涉及患者隐私安全保护的关键问题,在我国《中华人民共和国网络安全法》《中华人民共和国传染病防治法》以及国外的HIPAA(健康保险携带和责任法案)与GDPR(通用数据保护条例)等多部法律文件中对个人信息的隐私保护做出了明确规定。然而,国内隐私保护法规缺乏系统性与实用性,导致传染病防控中的隐私泄露问题仍普遍存在[2]。同时因部分工作人员及公众隐私保护意识薄弱,造成了较为严重的隐私泄露事故,给患者造成严重危害。
1 国内外重大传染病防治期间的隐私保护现状
重大传染病具有传播性强、危害性大的特点,爆发后将导致严重的经济与社会危机。在应对重大传染病的防治,国内外利用信息技术搭建了传染病防控体系[3-4],在该体系运作期间收集了大量被监测人员的个人信息。据调研,仅美国在2020年产生的医疗数据量便达到6.45ZB,同年欧洲个人信息交易量占据欧洲GDP总量的8%,这些数据在帮助医院决策及政府监管方面发挥重要作用的同时,也存在极高的经济价值,而这必将导致大量医疗信息的泄露,对患者造成严重的侵害。在多类传染病全球传播背景下,数据系统受攻击次数激增。据调研,2020年数据泄露总量中52%的数据泄露由外部人员恶意造成,25%由系统故障与攻击造成,23%由人为造成(见图1)。
1.1 法律层面上的隐私保护现状
美国及欧洲等多个地区国家本部了HIPAA与GDPR[5]等隐私保护法律文件,对数据挖掘和预处理流程中的数据安全提出严格要求。在重大传染病防治期间,数据掌握方需遵循最小必要原则,利用有限数据集进行数据清洗,并提高被监测人员数据隐私安全。而由于重大传染病的特殊性,HIPAA与GDPR等法律文件规定和明确了数据主体与受约束主体的责任与义务,在确保数据主体隐私安全的同时,确保重大传染病防治期间患者隐私权与公众知情权的相对平衡。与国外不同,国内缺少完备的隐私保护法律体系,难以形成有效地保护屏障。在关系重大传染病防治的医疗卫生领域,国内现有的《人口健康信息管理办法(试行)》《执业医师法》以及《医疗机构病历管理规定》等条例规定患者个人信息应受到医疗机构相关人员的保护,但因条例落地不到位,多次出现医务人员泄露患者隐私的事件,对患者造成了严重危害。
1.2 意识层面上的隐私保护现状
在重大传染病防治期间,公民可通过法律手段及维权通道进行维权,有效降低了人为泄露隐私的可能。而由于重大传染病的特殊性,尽管拥有完备的隐私保护法律条例保障,国外仍然发生了严重的隐私泄露事件。据调研,在众多隐私泄漏事件中,23%是内部人员缺乏隐私保护意识造成的,其中医疗卫生行业占内部人员泄露的27%。同样,在国内与传染病防控相关的工作人员也缺乏足够的隐私保护意识,在防控工作中多次出现泄露疑似患者或患者隐私信息的情况。淡薄的隐私保护意识造成了巨大规模的个人信息泄露,对数据安全产生了多重挑战,是当前保证数据隐私安全亟须解决的关键难题。
1.3 技术层面上的隐私保护现状
图1:隐私保护现状、问题产生原因及解决问题方法关系图
因医疗数据拥有极高的价值,且现有部分医疗卫生系统存在较多安全漏洞,进而导致国内外多次出现技术人员攻击卫生系统的事件,造成了严重的隐私泄露后果,如TheDarkOvrlord组织非法入侵牙科医院,18万份患者病历信息被泄露;华盛顿大学医学院遭钓鱼攻击,8万余份患者病历泄露;巴西卫生部官网存在严重漏洞,导致2.43亿人信息泄露;美国医疗保险上Anthem被入侵,超过8000万个人医疗信息被泄露。在国内,因部分医疗卫生系统缺少严格的审核与预警机制,导致内部员工可轻易完成医疗数据的外泄,国内某市妇幼信息管理系统中50余万条新生婴儿数据泄露;广西一医护人员倒卖8万条婴儿信息等。外部人员通过技术手段恶意攻击造成的隐私泄露比例达52%,成为威胁数据安全的头号隐患,是必须重视和防范的重点。
2 结束语
与常态化隐私保护不同,在重大传染病防治期间开展隐私保护需充分考虑公众知情权与传染病防控需要。而在重大传染病防治期间国内外同样面临个人隐私泄露可能,因此必须加大国家监管强度,建立完备的重大传染病防治隐私保护法律文件,构建保护公民个人信息的安全防线。另外在传染病防控特殊情况下,当频繁出现数据泄露现象时,应首先从数据安全需求角度出发,搭建隐私数据防控体系,利用智能化内容识别技术产品开展数据治理工作。其次从法律监管角度出发,颁布严格实用的法律文件,建立安全可靠的法律保护屏障。然后,必须加强公民隐私保护意识教育力度,切实提高行业人员隐私保护意识,避免出现内部员工泄露数据事件的发生。最后,必须提高数据管理系统的安全性,可通过先进人工智能技术与主动预防策略建立良好的防护体系,并根据扫描与探测的特征和行为,采用全网威胁情报与深度学习算法实现对系统攻击行为的自动拦截,全面提高数据管理与存储系统的安全性,为重大传染病防治期间的隐私保护提供更多保障。
