互联网医疗健康服务平台隐私保护现状及对策研究

随着大健康产业发展和健康大数据的应用以及互联网医疗健康市场规模化、精细化发展，医疗健康数据打破传统医疗行业的数据“孤岛”，其使用范围与程度不断扩大和加深。但与此同时，也增加了医疗健康隐私数据的泄漏风险。医疗健康隐私数据属于个人敏感信息，互联网医疗健康服务平台（以下简称“互联网健康平台”）上用户对自身医疗健康隐私的存储、使用与共享的控制能力有限，个人医疗健康隐私保护与利用的矛盾日益突出。保护医疗健康隐私是国家及社会义不容辞的责任。2014年5月，国家卫生计生委印发《人口健康信息管理办法（试行）》，要求“加强建设人口健康信息安全保障体系，通过制定安全管理制度、操作规程和技术规范，保障人口健康信息安全”。2016年，国务院制定《“健康中国2030”规划纲要》，规定各级部门需制定分级分类分域的数据应用政策规范，并加强保障医疗健康数据安全和患者隐私。同时，国务院办公厅《关于促进和规范健康医疗大数据应用发展的指导意见》中也要求建立健全“互联网+健康医疗”服务安全工作机制，加强保护患者隐私等重要信息。医疗健康隐私信息的保护机制建设，既是互联网医疗互联网健康平台提供高质量、个性化服务的制度保障，又是用户安全使用平台服务的基础前提。因此，本研究对国内外互联网健康平台隐私保护现状及对策进行分析，为建立有效的隐私保护机制，保障医疗健康隐私数据安全提供参考。

1相关概念界定

1.1隐私信息

1967年，Westin首次对隐私进行概念界定，认为隐私是自然人身体或精神短时间内自愿远离社会，或在大群体社会交往中隐藏（部分）身份信息或仅在小群体内亲密。随着社会交往理论不断发展，1975年，Altman认为隐私是在自然人（群体）与其他自然人（群体）的社会交往中，保留自身身份信息和对他人开放程度界限的动态处理过程。隐私保护重视程度日益加大，逐渐将隐私权上升为独立人格权利，纳入法律保护范围。一般来说，隐私属于个人敏感信息，一旦泄露或滥用可能危害人身财产安全，极易损害个人名誉、身心健康或受到歧视待遇等。

1.2医疗健康隐私信息

随着研究者对隐私的细化研究和重视程度的提高，隐私在医疗健康范畴具体内化为医疗健康隐私。它具有强烈的主观性，是在人权和交易的基础上，关于个人利益、实际成本和假设成本的权衡，是法律明确规定和自然人意愿协调形成的、被公众接受的个人专属信息。根据《信息技术安全个人信息安全规范》（以下简称《规范》），医疗健康隐私主要包括生理健康信息、生物识别信息以及性取向、婚姻史等。生理健康信息指因医疗行为等产生的相关记录，如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等，以及与个人身体健康状况相关信息等；生物识别信息则指个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。

1.3互联网健康平台隐私

互联网健康平台是利用互联网技术，提供寻医问诊、挂号、医药、体检、医疗健康与疾病管理以及医疗学术等与医疗健康相关的网站和移动应用程序。随着用户利用互联网健康平台获取便利服务，个人医疗健康隐私也逐步面向整个网络健康社区，打破了传统医学模式中医患双方的交流界限。互联网健康平台隐私基于医疗健康隐私，在网络空间中不断衍生。除医生对患者提供个性化的医疗服务获取的健康信息外，其他用户也可以通过浏览用户的诊治经验获取相关信息。总的来说，互联网健康平台隐私包含标识现实生活中特定个体的用户医疗信息、分享的医疗信息以及数据挖掘的有商业价值的信息。

2互联网健康平台隐私保护模式分析

医疗健康的隐私保护问题一直都是社会关注的焦点，国内外的政府、社会以及互联网健康平台运营商均采取了不同的策略来加大隐私保护力度，具体可以分为法律保护、技术保护和平台自我规制3类。

法律保护是由国家或地区政府以立法的形式，规定医疗健康隐私的主体与客体，并利用国家强制力保障用户医疗健康隐私安全。技术保护主要指互联网健康平台在信息的使用、存储等过程中对信息采取安全保护的措施，包括但不限于保护个人信息完整性，加密传输、存储备份过程，个人信息授权访问和使用以及个人信息的删除机制等。自我规制，又称隐私政策，是国内外网站或平台尊重和保护用户隐私的重要考核标准之一。它主要指网站或平台向用户公开隐私政策，保障用户利用服务时，了解自身信息哪些被收集、如何收集、为何收集；如何保存、使用和共享；以及发生信息安全事件后处置和补救措施等。

法律保护是宏观基础，它是互联网健康平台隐私保护的指导原则，也为平台自我规制提供法律依据；技术保护是手段，是平台医疗健康隐私保护的技术支撑；自我规制是微观基础，是各平台自身医疗健康隐私保护的指导规范。总的来说，3种保护均至关重要，是互联网健康平台隐私保护必不可少的一环，见图1。

图1 互联网健康服务平台三中保护方式及关系

2.1法律保护

法律保护是互联网健康平台开展健康隐私保护的依据和保障，如果医疗健康隐私法律保护机制健全，用户基于对一般法律环境的信心，会广泛使用和高度评价互联网健康平台。

随着1973瑞典《数据法》的出台，一系列个人信息隐私保护法案陆续颁布，至2012年初，全球颁布个人数据隐私保护法案的国家和地区超过89个。其中个人医疗健康隐私保护主要分为两类：美国、澳大利亚等采用单独立法模式，欧盟、英国、韩国、加拿大等把医疗健康隐私保护加入到一般隐私保护法中，见表1。

表1 部分国家和地区个人健康信息相关隐私保护立法情况

目前，我国缺乏专门的个人信息隐私保护法律，但医疗健康隐私保护的相关描述散见于《侵权责任法》、《精神卫生法》、《传染病防治法》、《网络安全法》等法律中，见表2。2017年11月，国家标准化管理委员会公布了《规范》，规范个人信息收集、保存、使用、共享披露以及安全事件处置等过程中的行为。2018年12月，全国信息安全标准化技术委员会发布征求《健康医疗信息安全指南》（草案）通知，日益重视医疗健康隐私的保护。目前，隐私信息保护法律还不够完善，未来仍需不断改进与完善。

表2 国内个人健康信息相关隐私部分法律及规范情况

2.2平台自我规制

自我规制是互联网健康平台医疗健康隐私保护的微观基础，也是保护医疗健康隐私的最佳技术实践。一般以隐私政策的规范制定为主要方式开展，通过为用户提供服务效果期望使用户对互联网健康平台和医生产生信任，从而间接促进用户分享自身的健康信息有关的隐私。《规范》中规定，隐私政策需公开发布且易于访问，同时所告知内容应清晰易懂，并保证真实、准确与完整。

目前，在自我规制的调查与研究中，隐私政策的可见性和可读性是重要的评价标准，除保证隐私文本标题明确、位置显著和链接有效外，还要保证隐私文本规范化，充分展示各层级隐私保护内容。关于互联网健康平台自我规制的调查主要涵盖于综合调查中。据2018年消费者协会对100款各类APP调查报告，在可见性方面，近34%APP不对用户公布隐私保护条款，41%隐私政策位置不显著；在可读性方面，内容晦涩难懂、笼统不清，91%APP存在过度收集个人信息现象，存储期限和地点以及安全应急事件的处置措施等方面评分仅1.2～1.5分（满分3分）。

在互联网健康平台自我规制相关研究中，健康APP隐私政策拥有率仅为30.5%，即使在拥有的情况下，用户对隐私政策认识和了解也受用户、环境、平台和政策多维度的影响，需要较高的阅读能力才能理解隐私政策。在个人健康信息的收集、使用与共享上，存在过度收集和未经用户同意披露的现象。比如，大多数运动健康APP会在缺乏用户知情同意下收集个人信息，48.8%糖尿病APP与第三方共享个人健康信息。在隐私政策可读性方面，由于缺乏针对自身服务的隐私政策，各互联网健康平台隐私政策制定的规范性和可操作性均受到限制。例如，Zapata等评估移动个人健康记录时，发现隐私政策平均质量得分不超过3.5分（满分6分）。

总体来说，目前国内外对互联网健康平台的自我规制执行力较弱，即使提供了隐私政策模板，但也容易形式化。同时，互联网健康平台自我规制缺乏完整统一的考核与评价标准，无法做到统一调查与监测。

2.3技术保护

互联网医疗健康服务是互联网服务在医疗健康领域的具体细化，其信息技术保护可借鉴互联网的技术保护。一般来说，一种信息技术并不能保障所有的信息安全，需要多种技术协同保护。

目前关于互联网医疗健康服务信息保护技术主要包括脱敏处理、信息加密、访问限制等3种方式。脱敏处理技术是匿名或去标识化处理，使他人无法通过处理后的信息识别特定个人信息主体，仅保留某些数据或属性进行数据统计处理。信息加密技术主要采用加密技术隐藏个人敏感信息。例如，在用户通过https浏览平台服务时，采用传输层安全协议来保障浏览器与服务间安全交换数据。访问限制技术主要指平台开发商或运营商通过设置用户访问权限，只有用户本身或平台上特定个人才能访问。

即使运用上述信息技术保护，但国内外仍旧时不时发生信息安全事件。同时，健康大数据挖掘日益加大医疗健康隐私泄露风险，且用户信息持续处在进入、交换与退出的动态变化中，如果仅仅基于静态用户信息数据集的技术保护方式不足以应对迅速变化的外界环境。因此需要不断完善互联网健康平台的信息技术保护机制。

3建议

3.1建立健全医疗健康隐私法律

虽然近年来社会各界对医疗健康隐私保护的关注日益增加，但由于缺乏完整、配套的法律基础，使互联网健康平台上的用户医疗健康隐私保护受到限制。国家相关部门应加强完善个人医疗健康隐私法律，除规范实体医疗机构和医护人员行为外，还要规范互联网健康平台上个人医疗健康信息的收集、使用和存储、共享等。同时提高医疗隐私健康法律的效力，在指导具体实践中更具操作性，为保障医疗健康隐私提供良好的法律环境基础。

3.2互联网健康平台加强自我规制

自我规制是互联网健康平台隐私保护的主要手段。为加强自我规制效果，应重视以下几方面的工作。首先，互联网健康平台需要参照《规范》的原则、标准以及隐私政策模板，结合自身提供服务特点，建立适合自身平台的自我规制保护机制。其次，根据自我规制的可见性，在用户注册和使用互联网健康平台时，提示或显示互联网健康平台的隐私政策，并对核心内容进行高亮突出显示，做到主动告知用户。再次，在自我规制可读性方面，尽量使隐私文本通俗易懂，并基于平台核心服务和拓展服务，主动告知用户信息收集的范围和目的，同时告知共享和披露医疗健康隐私的情形，做到用户知情同意。最后，构建统一的隐私政策评价指标体系，方便互联网健康平台修正不合理的隐私条款，消除霸王条款和不公平的单方面免责声明。

3.3完善互联网健康隐私信息的技术保护机制

基于静态数据集的数据保护无法同时实现信息的合理利用与隐私信息的保护，开发商和运营商可以借鉴电子商务网站的技术保护模式。例如，在敏感信息中加入扰动数据，进行失真处理。另外，完善医疗健康隐私技术保护机制不仅需要技术的开发与应用，还需要大量资金与项目支持，国家应当设立健康信息技术安全相关的基金项目，分析个人医疗信息泄露的原因和途径，通过完善信息技术保护来预防个人信息盗用或未经授权使用。

3.4提高用户医疗健康隐私保护意识和平台监管机制

虽然高质量和个性化服务能够降低隐私泄露风险，但用户仍要加强对自身医疗健康隐私的保护与重视，防止遇到信息安全事件时手足无措，减少“亡羊补牢，为时晚矣”情况的发生。同时，国家应建立医疗健康隐私相关的投诉与举报机制，开通信息安全事件处理的绿色通道，在安全事件发生时能及时告知群众事件进展。最后，发挥媒体作用，利用典型安全事件警示用户，提高用户安全防范意识，促使用户认真阅读平台协议和隐私声明。

来源：节选自《中国医院》杂志2019年9月刊，摘要和参考文献略。
作者：刘乾坤、马骋宇
作者单位：首都医科大学公共卫生学院