隨著大健康產業發展和健康大數據的應用以及互聯網醫療健康市場規模化、精細化發展，醫療健康數據打破傳統醫療行業的數據“孤島”，其使用范圍與程度不斷擴大和加深。但與此同時，也增加了醫療健康隱私數據的泄漏風險。醫療健康隱私數據屬于個人敏感信息，互聯網醫療健康服務平臺（以下簡稱“互聯網健康平臺”）上用戶對自身醫療健康隱私的存儲、使用與共享的控制能力有限，個人醫療健康隱私保護與利用的矛盾日益突出。保護醫療健康隱私是國家及社會義不容辭的責任。2014年5月，國家衛生計生委印發《人口健康信息管理辦法（試行）》，要求“加強建設人口健康信息安全保障體系，通過制定安全管理制度、操作規程和技術規范，保障人口健康信息安全”。2016年，國務院制定《“健康中國2030”規劃綱要》，規定各級部門需制定分級分類分域的數據應用政策規范，并加強保障醫療健康數據安全和患者隱私。同時，國務院辦公廳《關于促進和規范健康醫療大數據應用發展的指導意見》中也要求建立健全“互聯網+健康醫療”服務安全工作機制，加強保護患者隱私等重要信息。醫療健康隱私信息的保護機制建設，既是互聯網醫療互聯網健康平臺提供高質量、個性化服務的制度保障，又是用戶安全使用平臺服務的基礎前提。因此，本研究對國內外互聯網健康平臺隱私保護現狀及對策進行分析，為建立有效的隱私保護機制，保障醫療健康隱私數據安全提供參考。

1相關概念界定

1.1隱私信息

1967年，Westin首次對隱私進行概念界定，認為隱私是自然人身體或精神短時間內自愿遠離社會，或在大群體社會交往中隱藏（部分）身份信息或僅在小群體內親密。隨著社會交往理論不斷發展，1975年，Altman認為隱私是在自然人（群體）與其他自然人（群體）的社會交往中，保留自身身份信息和對他人開放程度界限的動態處理過程。隱私保護重視程度日益加大，逐漸將隱私權上升為獨立人格權利，納入法律保護范圍。一般來說，隱私屬于個人敏感信息，一旦泄露或濫用可能危害人身財產安全，極易損害個人名譽、身心健康或受到歧視待遇等。

1.2醫療健康隱私信息

隨著研究者對隱私的細化研究和重視程度的提高，隱私在醫療健康范疇具體內化為醫療健康隱私。它具有強烈的主觀性，是在人權和交易的基礎上，關于個人利益、實際成本和假設成本的權衡，是法律明確規定和自然人意愿協調形成的、被公眾接受的個人專屬信息。根據《信息技術安全個人信息安全規范》（以下簡稱《規范》），醫療健康隱私主要包括生理健康信息、生物識別信息以及性取向、婚姻史等。生理健康信息指因醫療行為等產生的相關記錄，如病癥、住院志、醫囑單、檢驗報告、手術及麻醉記錄、護理記錄、用藥記錄、藥物食物過敏信息、生育信息、以往病史、診治情況、家族病史、現病史、傳染病史等，以及與個人身體健康狀況相關信息等；生物識別信息則指個人基因、指紋、聲紋、掌紋、耳廓、虹膜、面部識別特征等。

1.3互聯網健康平臺隱私

互聯網健康平臺是利用互聯網技術，提供尋醫問診、掛號、醫藥、體檢、醫療健康與疾病管理以及醫療學術等與醫療健康相關的網站和移動應用程序。隨著用戶利用互聯網健康平臺獲取便利服務，個人醫療健康隱私也逐步面向整個網絡健康社區，打破了傳統醫學模式中醫患雙方的交流界限。互聯網健康平臺隱私基于醫療健康隱私，在網絡空間中不斷衍生。除醫生對患者提供個性化的醫療服務獲取的健康信息外，其他用戶也可以通過瀏覽用戶的診治經驗獲取相關信息。總的來說，互聯網健康平臺隱私包含標識現實生活中特定個體的用戶醫療信息、分享的醫療信息以及數據挖掘的有商業價值的信息。

2互聯網健康平臺隱私保護模式分析

醫療健康的隱私保護問題一直都是社會關注的焦點，國內外的政府、社會以及互聯網健康平臺運營商均采取了不同的策略來加大隱私保護力度，具體可以分為法律保護、技術保護和平臺自我規制3類。

法律保護是由國家或地區政府以立法的形式，規定醫療健康隱私的主體與客體，并利用國家強制力保障用戶醫療健康隱私安全。技術保護主要指互聯網健康平臺在信息的使用、存儲等過程中對信息采取安全保護的措施，包括但不限于保護個人信息完整性，加密傳輸、存儲備份過程，個人信息授權訪問和使用以及個人信息的刪除機制等。自我規制，又稱隱私政策，是國內外網站或平臺尊重和保護用戶隱私的重要考核標準之一。它主要指網站或平臺向用戶公開隱私政策，保障用戶利用服務時，了解自身信息哪些被收集、如何收集、為何收集；如何保存、使用和共享；以及發生信息安全事件后處置和補救措施等。

法律保護是宏觀基礎，它是互聯網健康平臺隱私保護的指導原則，也為平臺自我規制提供法律依據；技術保護是手段，是平臺醫療健康隱私保護的技術支撐；自我規制是微觀基礎，是各平臺自身醫療健康隱私保護的指導規范。總的來說，3種保護均至關重要，是互聯網健康平臺隱私保護必不可少的一環，見圖1。

圖1 互聯網健康服務平臺三中保護方式及關系

2.1法律保護

法律保護是互聯網健康平臺開展健康隱私保護的依據和保障，如果醫療健康隱私法律保護機制健全，用戶基于對一般法律環境的信心，會廣泛使用和高度評價互聯網健康平臺。

隨著1973瑞典《數據法》的出臺，一系列個人信息隱私保護法案陸續頒布，至2012年初，全球頒布個人數據隱私保護法案的國家和地區超過89個。其中個人醫療健康隱私保護主要分為兩類：美國、澳大利亞等采用單獨立法模式，歐盟、英國、韓國、加拿大等把醫療健康隱私保護加入到一般隱私保護法中，見表1。

表1 部分國家和地區個人健康信息相關隱私保護立法情況

目前，我國缺乏專門的個人信息隱私保護法律，但醫療健康隱私保護的相關描述散見于《侵權責任法》、《精神衛生法》、《傳染病防治法》、《網絡安全法》等法律中，見表2。2017年11月，國家標準化管理委員會公布了《規范》，規范個人信息收集、保存、使用、共享披露以及安全事件處置等過程中的行為。2018年12月，全國信息安全標準化技術委員會發布征求《健康醫療信息安全指南》（草案）通知，日益重視醫療健康隱私的保護。目前，隱私信息保護法律還不夠完善，未來仍需不斷改進與完善。

表2 國內個人健康信息相關隱私部分法律及規范情況

2.2平臺自我規制

自我規制是互聯網健康平臺醫療健康隱私保護的微觀基礎，也是保護醫療健康隱私的最佳技術實踐。一般以隱私政策的規范制定為主要方式開展，通過為用戶提供服務效果期望使用戶對互聯網健康平臺和醫生產生信任，從而間接促進用戶分享自身的健康信息有關的隱私。《規范》中規定，隱私政策需公開發布且易于訪問，同時所告知內容應清晰易懂，并保證真實、準確與完整。

目前，在自我規制的調查與研究中，隱私政策的可見性和可讀性是重要的評價標準，除保證隱私文本標題明確、位置顯著和鏈接有效外，還要保證隱私文本規范化，充分展示各層級隱私保護內容。關于互聯網健康平臺自我規制的調查主要涵蓋于綜合調查中。據2018年消費者協會對100款各類APP調查報告，在可見性方面，近34%APP不對用戶公布隱私保護條款，41%隱私政策位置不顯著；在可讀性方面，內容晦澀難懂、籠統不清，91%APP存在過度收集個人信息現象，存儲期限和地點以及安全應急事件的處置措施等方面評分僅1.2～1.5分（滿分3分）。

在互聯網健康平臺自我規制相關研究中，健康APP隱私政策擁有率僅為30.5%，即使在擁有的情況下，用戶對隱私政策認識和了解也受用戶、環境、平臺和政策多維度的影響，需要較高的閱讀能力才能理解隱私政策。在個人健康信息的收集、使用與共享上，存在過度收集和未經用戶同意披露的現象。比如，大多數運動健康APP會在缺乏用戶知情同意下收集個人信息，48.8%糖尿病APP與第三方共享個人健康信息。在隱私政策可讀性方面，由于缺乏針對自身服務的隱私政策，各互聯網健康平臺隱私政策制定的規范性和可操作性均受到限制。例如，Zapata等評估移動個人健康記錄時，發現隱私政策平均質量得分不超過3.5分（滿分6分）。

總體來說，目前國內外對互聯網健康平臺的自我規制執行力較弱，即使提供了隱私政策模板，但也容易形式化。同時，互聯網健康平臺自我規制缺乏完整統一的考核與評價標準，無法做到統一調查與監測。

2.3技術保護

互聯網醫療健康服務是互聯網服務在醫療健康領域的具體細化，其信息技術保護可借鑒互聯網的技術保護。一般來說，一種信息技術并不能保障所有的信息安全，需要多種技術協同保護。

目前關于互聯網醫療健康服務信息保護技術主要包括脫敏處理、信息加密、訪問限制等3種方式。脫敏處理技術是匿名或去標識化處理，使他人無法通過處理后的信息識別特定個人信息主體，僅保留某些數據或屬性進行數據統計處理。信息加密技術主要采用加密技術隱藏個人敏感信息。例如，在用戶通過https瀏覽平臺服務時，采用傳輸層安全協議來保障瀏覽器與服務間安全交換數據。訪問限制技術主要指平臺開發商或運營商通過設置用戶訪問權限，只有用戶本身或平臺上特定個人才能訪問。

即使運用上述信息技術保護，但國內外仍舊時不時發生信息安全事件。同時，健康大數據挖掘日益加大醫療健康隱私泄露風險，且用戶信息持續處在進入、交換與退出的動態變化中，如果僅僅基于靜態用戶信息數據集的技術保護方式不足以應對迅速變化的外界環境。因此需要不斷完善互聯網健康平臺的信息技術保護機制。

3建議

3.1建立健全醫療健康隱私法律

雖然近年來社會各界對醫療健康隱私保護的關注日益增加，但由于缺乏完整、配套的法律基礎，使互聯網健康平臺上的用戶醫療健康隱私保護受到限制。國家相關部門應加強完善個人醫療健康隱私法律，除規范實體醫療機構和醫護人員行為外，還要規范互聯網健康平臺上個人醫療健康信息的收集、使用和存儲、共享等。同時提高醫療隱私健康法律的效力，在指導具體實踐中更具操作性，為保障醫療健康隱私提供良好的法律環境基礎。

3.2互聯網健康平臺加強自我規制

自我規制是互聯網健康平臺隱私保護的主要手段。為加強自我規制效果，應重視以下幾方面的工作。首先，互聯網健康平臺需要參照《規范》的原則、標準以及隱私政策模板，結合自身提供服務特點，建立適合自身平臺的自我規制保護機制。其次，根據自我規制的可見性，在用戶注冊和使用互聯網健康平臺時，提示或顯示互聯網健康平臺的隱私政策，并對核心內容進行高亮突出顯示，做到主動告知用戶。再次，在自我規制可讀性方面，盡量使隱私文本通俗易懂，并基于平臺核心服務和拓展服務，主動告知用戶信息收集的范圍和目的，同時告知共享和披露醫療健康隱私的情形，做到用戶知情同意。最后，構建統一的隱私政策評價指標體系，方便互聯網健康平臺修正不合理的隱私條款，消除霸王條款和不公平的單方面免責聲明。

3.3完善互聯網健康隱私信息的技術保護機制

基于靜態數據集的數據保護無法同時實現信息的合理利用與隱私信息的保護，開發商和運營商可以借鑒電子商務網站的技術保護模式。例如，在敏感信息中加入擾動數據，進行失真處理。另外，完善醫療健康隱私技術保護機制不僅需要技術的開發與應用，還需要大量資金與項目支持，國家應當設立健康信息技術安全相關的基金項目，分析個人醫療信息泄露的原因和途徑，通過完善信息技術保護來預防個人信息盜用或未經授權使用。

3.4提高用戶醫療健康隱私保護意識和平臺監管機制

雖然高質量和個性化服務能夠降低隱私泄露風險，但用戶仍要加強對自身醫療健康隱私的保護與重視，防止遇到信息安全事件時手足無措，減少“亡羊補牢，為時晚矣”情況的發生。同時，國家應建立醫療健康隱私相關的投訴與舉報機制，開通信息安全事件處理的綠色通道，在安全事件發生時能及時告知群眾事件進展。最后，發揮媒體作用，利用典型安全事件警示用戶，提高用戶安全防范意識，促使用戶認真閱讀平臺協議和隱私聲明。

來源：節選自《中國醫院》雜志2019年9月刊，摘要和參考文獻略。
作者：劉乾坤、馬騁宇
作者單位：首都醫科大學公共衛生學院