1引言

医疗卫生行业正处于一个信息公开的时代，数字化医疗记录数十年的发展，构成健康大数据的基础。同时，制药企业和其他组织多年来的研究和开发数据都聚集在电子化数据库，极大促进了健康大数据的发展。现今的一些压力在不断刺激医疗卫生行业对大数据的需求，尤其不断上涨的医疗费用和随之改变的医疗费用报销赔付方式。为通过挖掘数据来确定具体条件下的最优治疗方式、识别与药物相关的副作用或患者再次入院的模式、获得能帮助患者和减少费用的其他重要信息，政府和其他利益相关者把医疗卫生行业作为一个整体，积极促进对健康数据的利用、搜索和操作，最大限度挖掘数据的潜在价值。

健康大数据中最宝贵的资产即患者的健康数据，要利用健康大数据真正解决医疗卫生行业所面临的问题，共享健康数据是前提，保护患者隐私是关键。在梳理大数据背景下保护患者隐私研究现状的基础上，本文重点从知情同意、科学研究、医疗卫生整合三方面分析健康大数据给患者隐私安全带来的挑战，找出保护患者隐私的方案。

2  大数据带来的隐私安全挑战

隐私保护因“大数据”的出现受到挑战，重新识别技术更使“匿名数据能保护数据主体隐私”的信心瓦解。大数据是一场有关数据收集和处理的革命，其急剧增大了数据主体的隐私风险，即看似安全的碎片数据被聚集起来后，会有暴露隐私的风险，“目的限制”和“最少够用”等数据保护基本原则并不适用于大数据的发展。大数据给隐私保护带来了新的挑战，以下主要从知情同意、科学研究和医疗卫生整合三方面予以阐述。

2.1 知情同意 根据隐私专家Alan Westin博士对“隐私”的权威定义，隐私是作为个体对其信息的支配。公众法律意识的提高使越来越多人关注健康数据处理中涉及到的隐私保护。患者希望自主控制健康数据，特别是对其数据进行处理时，要事先咨询其意见，最好能征得同意。知情同意原则是数据保护的基石，但目前来说，想要获取所有患者的同意还是一个较大的挑战，主要因为大数据涉及到的人数比较多，要获得每位患者的同意不太实际，且需要很高的经济成本。且当隐私保护过于依赖患者的同意时，患者有可能为了获取某种服务而被迫做出同意的决定，反而容易暴露其个人隐私，或数据控制者由于获取患者同意过于简单从而废止对数据保护的大部分责任。

获取患者知情同意的办法主要分两类：opt-in（明示同意）和opt-out（默认同意）。opt-in是指只有获得数据主体的明确同意才能使用数据，而opt-out指只要数据主体不明确拒绝就默认可以使用数据。opt-in和opt-out只是简单地对知情同意进行二分类，不能灵活应对各种情况，在实践中这两类同意模式并非是保护隐私的最优机制。最近，有学者提出新的同意模式—适应性模式或动态模式，即任何有关数据访问或使用都需患者重新同意。当患者情况有所改变，动态模式使患者同意重新使用其数据或实时改变同意。同时，在患者的选择发生改变的情况下，该模式能使患者的数据机密性不受影响。

患者的知情同意对再次使用数据至关重要，如丹麦的出生同期群（Danish National Birth Cohort，DNBC)和英国生物样本库（UK Biobank）。在DNBC，当个体被要求为医疗研究项目提供数据，前提是该研究项目已获得国家伦理委员会或数据检查团批准。参与者有权在任何时间点撤回同意且有权拒绝提供任何新数据。这种情况下的同意并没有时间限制，直到被撤回，否则都认为同意是有效的。在英国，可随时撤回同意，如没有撤回，即便参与者已故或精神不正常，同意也是有效的。

2.2 科学研究 科学研究对改善患者诊断和治疗非常重要，为提高对患者的管理水平，关键是把健康数据用于科学研究，但隐私风险也会随之上升。根据欧盟数据保护规则的相关条例，敏感数据不能用于科学研究，而所有与健康相关的数据又都被视为敏感数据，故健康数据不能用于科学研究。但如果该研究项目经过法律允许或已获得患者同意，可将健康数据用于科学研究。当研究有利于崇高的公共利益时，该研究可豁免患者同意，否则将不能进行研究。但现阶段对于什么是崇高的公共利益和由谁来决定崇高的公共利益并没有明确说法。

健康数据须经过去识别后才能用于科学研究，这表明用于科学研究的数据都属于匿名化数据。对数据进行假名化得按照最高的技术标准，并要采取一切防范措施避免对患者的再识别。由于数据链接是大多数研究项目的关键，过多限制匿名数据的使用和获取假名化的数据受限都会造成科学研究无法实现大数据的价值。如果大范围的数据都被排除在研究之外—不仅排除姓名或电话号码等可识别信息，且摒除那些通过链接能间接识别出特定个体的信息，最终没留下什么数据，大数据带来的种种益处也将会消失。

由于科学研究会促进商业发展，在不侵犯隐私的情况下，将数据用于公共利益的研究项目常被认为是合理的。不过丹麦国立血清研究所（Statens Serum Institut）的一项研究表明将公共数据用于出售时，情况会变得非常复杂。如果健康数据被私营企业用于盈利目的，这种情况下很难认为无需数据主体的明确同意是正当的。毕竟，数据的所有权属于数据主体，只有患者才能出售自己的数据。

2.3 医疗卫生整合 为了应对医疗资源不足的困境，各国对医疗卫生行业进行了整合，以期解决该行业所面临的难题。以美国为例，其医疗卫生行业整合主要包括三个方面：医院和医生团体的合并、责任制医疗机构的发展和医生与医院签订合同并提供服务。EMR（电子病历）的互用性允许健康信息交流（health information exchanges，HIEs）或组织聚集不同医生存储的个人健康信息。通过扩大医务人员访问个人健康信息的范围，医疗卫生整合达到了与HIEs相同的效果。值得注意的是，医疗卫生的整合使得EMR也发生了一些变化。EMR的综合性（EMR包含与健康相关的各类信息）和纵向性（EMR包含了个体由出生到死亡过程中所有的健康信息）意味着某些健康信息看似已失去临床价值，但并不会消失，可以通过点击鼠标进行检索。此外，医疗卫生整合也意味着由越来越多医务人员产生的各种健康信息都可以被同一机构内的医生和其他医务人员（如护士、药剂师）访问。

在医疗卫生整合改革中，EMR的合并受到极大关注。虽然信息技术的进步使医院智能化程度越来越高，但患者隐私限制了信息技术在医院的发展，尤其是与健康数据紧密相关的EMR。因为EMR包含了患者大量健康数据，而不同患者对其健康数据是否被共享、哪些部门的健康数据被共享、与谁共享等问题的考虑也不尽相同。有研究者提出对EMR进行颗粒隐私控制（granular privacy control）来实现不同患者的偏好，但目前如何确保实现合并EMR的同时避免患者隐私泄露，仍是急需解决的问题。

3  讨论

由上可知，研究者在获取知情同意和医院EMR合并方面提出了新的模式，相关政策也表明健康数据用于科学研究时将更多地关注在公共利益。虽然数据的控制权属于数据主体，数据保护相关法案更是将数据主体参与作为数据安全使用的重要保障，但目前数据主体仍未能参与到数据使用的各个环节。现阶段，确保数据主体控制其数据不仅难以实现保护隐私的目标，而且可能是一种不受欢迎的方式。考虑到越来越普遍的数据收集和监测、廉价的数据存储和数据共享，数据的使用将会受到越来越多的关注。为了更好地保护隐私，我们应把注意力放在数据使用而非数据收集上面，如此一来，保护隐私的职责就转移到了数据使用方。虽然我们提倡把保护隐私的重点放在数据使用，但这并不意味着收集数据就不用考虑隐私保护，也不意味着在数据收集与隐私保护发生冲突的时候就放弃对数据的收集。只有适当、安全地使用数据才能真正实现数据的价值和隐私的保护。

通过以上分析，再结合我国医疗卫生行业的具体情况，建议对医院的健康数据进行分级管理，实现患者隐私保护。健康数据的分级管理是指按照一定的评级模式对医院所有的健康数据进行分级，使用不同级别的数据要进行相应的安全保护措施，利用有限资源最大化地保护患者隐私，同时实现健康大数据的价值。

4  小结

虽然目前在知情同意、科学研究和医疗卫生整合还没有研究出一个通用的范式，但政府、企业和研究机构都在积极探索如何规范对数据的使用以及保护患者隐私。总体来说，当前健康大数据与患者隐私保护的相关研究还不充分，但可以确定的是大多数国家都认识到健康大数据的重要性。大数据时代需要共享数据，而严格的数据保护规则又会阻碍数据的共享，探索出一条适合时代发展的数据保护道路任重道远。只有把对数据的“保护”转变成“共享与保护”，才能最大限度地实现健康大数据背后的潜在价值。

（来源：节选自《中国数字医学》杂志2016年第8期  作者：赵新蓉 赵韡  中国医学科学院阜外医院信息中心）