互联网医疗健康服务平台隐私保护现状及对策研究

SPECIAL PLANNING 互联网医疗健康服务平台隐私保护现状及对策研究

■ 刘乾坤① 马骋宇①

【摘 要】随着互联网医疗健康市场的规模化和精细化发展，个人对互联网平台上自己的医疗健康隐私信息的控制能力越来越弱。个人医疗健康隐私的保护与合理利用是值得关注的问题。各国家和地区虽然从法律、技术保护以及平台本身的自我规制等方面，不断加大对互联网医疗健康隐私信息的管理，但医疗健康隐私泄露事件仍然时有发生。因此，通过对比国内外互联网医疗健康隐私保护在法律和自我规制上的异同，分析国内医疗健康隐私保护管理中的不足，并提出通过建立健全医疗健康隐私法律法规，加强自我规制，提高用户医疗健康隐私保护意识、加强平台监管机制等方面加强对个人医疗健康隐私信息的保护。【关键词】医疗隐私 健康数据 隐私保护 互联网医疗 信息泄露

中图分类号 R197.3 文献标识码 A DOI 10.19660/j.issn.1671-0592.2019.09.05

Research on the status quo of privacy protection on internet healthcare platform / LIU Qiankun, MA Chengyu// Chinese Hospitals. -2019,23(9):16-19

【Abstract】Individuals have more and more difficulties on privacy protection with the large-scale and refined development of the internet healthcare market. And personal healthcare information protection and rational utilization has taking more and more attention. Although countries constantly increase the management on internet healthcare privacy by the legal, technical protection and the platform itself self-regulation, the leaks of healthcare privacy still happen occasionally. The shortcomings in the management of healthcare privacy protection in China have been analyzed with the comparison of the similarities and differences in law and self-regulation of internet healthcare privacy protection at home and abroad. It shows that it needs to strengthen the protection of personal healthcare privacy information by ways of issuing and completing the laws and regulations of healthcare privacy, strengthening internet healthcare company’s self-regulation, improving users’ awareness of healthcare privacy protection and strengthening the supervision mechanism of the platform.【Key words】health privacy, healthcare data, privacy protection, internet healthcare, information disclosureAuthor's address：School of Public Health, Capital Medical University, No.10, Xitoutiao, You'anmen Wai, Fengtai District, Beijing, 100069, PRC

随

着大健康产业发展和健康大数据的应用以及互联网医疗健康

程和技术规范，保障人口健康信息安全”。2016年，国务院制定《“健康中国2030”规划纲要》，规定各级部门需制定分级分类分域的数据应用政策规范，并加强保障医疗健康数据安全和患者隐私。同时，国务院办公厅《关于促进和规范健康医疗大数据应用发展的指导意见》中也要求建立健全“互联网+健康医疗”服务安全工作机制，加强保护患者隐私等重要信息。医疗健康隐私信息的保护机制建设，既是互联网医疗互联网健康平台提供高质量、个性化服务的制度保障，又是用户安全使用平台服务的基础前提。因此，本研究对国内外互联网健康平台隐私保护现状及对策进行分析，为建立有效的隐私保护机制，保障医疗健康隐私数据安全提供参考。

1 相关概念界定

1.1 隐私信息

1967年，Westin首次对隐私进行概念界定[1]，认为隐私是自然人身体或精神短时间内自愿远离社会，或在大群体社会交往中隐藏（部分）身份信息或仅在小群体内亲密。随着社会交往理论不断发展，1975年，Altman认为隐私是在自然人（群体）与其他自然人（群体）的社会交往中，保留自身身份信息和对他人开放程度界限的动态处理过程[2]。隐私保护重视程度日益加大，逐渐将隐私权上升为独立人格权利，纳入法律保护范围。一般来说，隐私属于个人敏感信息，一旦泄露或滥用可能危害人身财产安全，极易损害个人名誉、身心健康或受到歧视待遇等。

市场规模化、精细化发展，医疗健康数据打破传统医疗行业的数据“孤岛”，其使用范围与程度不断扩大和加深。但与此同时，也增加了医疗健康隐私数据的泄漏风险。医疗健康隐私数据属于个人敏感信息，互联网医疗健康服务平台（以下简称“互联网健康平台”）上用户对自身医疗健康隐私的存储、使用与共享的控制能力有限，个人医疗健康隐私保护与利用的矛盾日益突出。保护医疗健康隐私是国家及社会义不容辞的责任。2014年5月，国家卫生计生委印发《人口健康信息管理办法（试行）》，要求“加强建设人口健康信息安全保障体系，通过制定安全管理制度、操作规

基金项目：国家社会科学基金青年项目(16CGL066)

①首都医科大学公共卫生学院，100069 北京市丰台区右安门外西头条10号

·16· Chinese Hospitals,Sep.2019,Vol.23,No.9

SPECIAL PLANNING 特别策划

1.2 医疗健康隐私信息

随着研究者对隐私的细化研究和重视程度的提高，隐私在医疗健康范畴具体内化为医疗健康隐私。它具有强烈的主观性，是在人权和交易的基础上，关于个人利益、实际成本和假设成本的权衡，是法律明确规定和自然人意愿协调形成的、被公众接受的个人专属信息。根据《信息技术安全 个人信息安全规范》（以下简称《规范》），医疗健康隐私主要包括生理健康信息、生物识别信息以及性取向、婚姻史等。生理健康信息指因医疗行为等产生的相关记录，如病症、住院志、医嘱单、检验报告、手术及麻醉记录、护理记录、用药记录、药物食物过敏信息、生育信息、以往病史、诊治情况、家族病史、现病史、传染病史等，以及与个人身体健康状况相关信息等；生物识别信息则指个人基因、指纹、声纹、掌纹、耳廓、虹膜、面部识别特征等。

是社会关注的焦点，国内外的政府、社会以及互联网健康平台运营商均采取了不同的策略来加大隐私保护力度，具体可以分为法律保护、技术保护和平台自我规制3类。

法律保护是由国家或地区政府以立法的形式，规定医疗健康隐私的主体与客体，并利用国家强制力保障用户医疗健康隐私安全。技术保护主要指互联网健康平台在信息的使用、存储等过程中对信息采取安全保护的措施，包括但不限于保护个人信息完整性，加密传输、存储备份过程，个人信息授权访问和使用以及个人信息的删除机制等。自我规制，又称隐私政策，是国内外网站或平台尊重和保护用户隐私的重要考核标准之一。它主要指网站或平台向用户公开隐私政策，保障用户利用服务时，了解自身信息哪些被收集、如何收集、为何收集；如何保存、使用和共享；以及发生信息安全事件后处置和补救措施等。

健康隐私保护的依据和保障，如果医疗健康隐私法律保护机制健全，用户基于对一般法律环境的信心，会广泛使用和高度评价互联网健康平台。

随着1973瑞典《数据法》的出台，一系列个人信息隐私保护法案陆续颁布，至2012年初，全球颁布个人数据隐私保护法案的国家和地区超过89个[3]。其中个人医疗健康隐私保护主要分为两类：美国、澳大利亚等采用单独立法模式，欧盟、英国、韩国、加拿大等把医疗健康隐私保护加入到一般隐私保护法中，见表1。

目前，我国缺乏专门的个人信息隐私保护法律，但医疗健康隐私保护的相关描述散见于《侵权责任法》《精神卫生法》《传染病防治法》《网络安全法》等法律中，见表2。2017年11月，国家标准化管理委员会公布了《规范》，规范个人信息收集、保存、使用、共享披露以及安全事件处置等过程中的行为。2018年12月，全国信息安全标准化技术委员会发布征求《健康医疗信息安全指南》（草案）通知，日益重视医疗健康隐私的保护。目前，隐私信息保护法律还不够完善，未来仍需不断改进与完善。

1.3 互联网健康平台隐私

互联网健康平台是利用互联网技术，提供寻医问诊、挂号、医药、体检、医疗健康与疾病管理以及医疗学术等与医疗健康相关的网站和移动应用程序。随着用户利用互联网健康平台获取便利服务，个人医疗健康隐私也逐步面向整个网络健康社区，打破了传统医学模式中医患双方的交流界限。互联网健康平台隐私基于医疗健康隐私，在网络空间中不断衍生。除医生对患者提供个性化的医疗服务获取的健康信息外，其他用户也可以通过浏览用户的诊治经验获取相关信息。总的来说，互联网健康平台隐私包含标识现实生活中特定个体的用户医疗信息、分享的医疗信息以及数据挖掘的有商业价值的信息。

法律保护是宏观基础，它是互联网健康平台隐私保护的指导原则，也为平台自我规制提供法律依据；技术保护是手段，是平台医疗健康隐私保护的技术支撑；自我规制是微观基础，是各平台自身医疗健康隐私保护的指导规范。总的来说，3种保护均至关重要，是互联网健康平台隐私保护必不可少的一环，见图1。

2.2 平台自我规制

自我规制是互联网健康平台医疗健康隐私保护的微观基础，也是保护医疗健康隐私的最佳技术实践。一般以隐私政策的规范制定为主要方式开展，通过为用户提供服务效果期望使用户对互联网健康平台和医生产生信任，从而间接促进用户分享自身的健康信息有关的隐私。《规范》中规定，隐私政策需公开发布且易于访问，同时所告知内容应清晰易懂，并

2 互联网健康平台隐私保护模式分析

医疗健康的隐私保护问题一直都

图1 互联网健康服务平台三中保护方式及关系保证真实、准确与完整。

目前，在自我规制的调查与研究

2.1 法律保护

法律保护是互联网健康平台开展

中，隐私政策的可见性和可读性是重要的评价标准，除保证隐私文本标题

2019年9月第23卷第9期 ·17·

特别策划

SPECIAL PLANNING 明确、位置显著和链接有效外，还要保证隐私文本规范化，充分展示各层级隐私保护内容[4]。关于互联网健康平台自我规制的调查主要涵盖于综合调查中。据2018年消费者协会对100款各类APP调查报告[5]，在可见性方面，近34% APP不对用户公布隐私保护条款，41%隐私政策位置不显著；在可读性方面，内容晦涩难懂、笼统不清，91% APP存在过度收集个人信息现象，存储期限和地点以及安全应急事件的处置措施等方面评分仅1.2〜1.5分（满分3分）。

在互联网健康平台自我规制相

关研究中，健康APP隐私政策拥有率仅为30.5%[6]，即使在拥有的情况下，用户对隐私政策认识和了解也受用户、环境、平台和政策多维度的影响，需要较高的阅读能力才能理解隐私政策[7]。在个人健康信息的收集、使用与共享上，存在过度收集和未经用户同意披露的现象。比如，大多数运动健康APP会在缺乏用户知情同意下收集个人信息[8]，48.8%糖尿病APP与第三方共享个人健康信息[9]。在隐私政策可读性方面，由于缺乏针对自身服务的隐私政策，各互联网健康平台隐私政策制定的规范性和可

操作性均受到限制。例如， Zapata等[10]评估移动个人健康记录时，发现隐私政策平均质量得分不超过3.5分（满分6分）。

总体来说，目前国内外对互联网健康平台的自我规制执行力较弱，即使提供了隐私政策模板，但也容易形式化。同时，互联网健康平台自我规制缺乏完整统一的考核与评价标准，无法做到统一调查与监测。

2.3 技术保护

互联网医疗健康服务是互联网服务在医疗健康领域的具体细化，其

表1 部分国家和地区个人健康信息相关隐私保护立法情况

立法模式 单独立法 综合立法

国家或地区 美国

新南威尔士州 （澳大利亚） 欧盟 欧盟 英国 加拿大 韩国

法律

Health Insurance Portability and Accountability Act 1996

Health Records and Information Privacy Act 2002

Directive 95/46/EC on the protection of individuals

General data protection regulation

The Data Protection Act Personal Information Protection and Electronic Documents ActAct on Promotion of Information and Communi- cations Network Utilization and Data Protection

任何服务提供者不得提供医疗记录等

2005

处理健康等数据时须经用户明确同意；将基因数据、经处理可识别特定 个人的生物识别数据纳入个人信息保护将健康、基因等医疗信息列为高密信息

居民的身体或精神健康资料、卫生保健服务资料等均属于个人健康信息

199820052018

原则上禁止处理有关种族、血缘、健康或性生活等敏感信息

1995

主要方面

公布医疗健康隐私的保护标准和实施指南；在法律允许下，“受覆盖 实体”为方便治疗、支付和保健等，可未经同意使用、披露受保护的健康信息；可识别的个人健康信息是指个人所有的生理、心理健康状况、医疗护理状况及与医疗护理相关的支付信息等

保护个人健康信息隐私，并保障个人能获得其健康信息；平衡保护和 合理使用卫生信息

2002 颁布时间1996

表2 国内个人健康信息相关隐私部分法律及规范情况

法律及规范

关于对艾滋病病毒感染者和艾滋病 病人的管理意见(卫疾控发第164号）传染病防治法(主席令第17号） 侵权责任法(主席令第21号）

精神卫生法(主席令第62号）

医疗机构病历管理规定(国卫医发[2013]31号)

人口健康信息管理办法(试行)(国卫规划发[2014]24号)

网络安全法(主席令第53号）

信息安全技术个人信息安全规范(GB/T 35273-2017)

个人医疗健康隐私保护内容

任何单位和个人不得公布或传播艾滋病病人和病毒感染者的个人情况

疾控和医疗机构不得泄露涉及个人隐私的信息与资料

医疗机构及其医务人员应当对患者的隐私保密。泄露患者隐私或者未经患者同意 公开其病历资料，造成患者损害的，应当承担侵权责任

有关单位和个人应当对精神障碍患者的姓名、肖像、住址、工作单位、病历资料 以及其他可能推断出其身份的信息予以保密其他机构和个人不得擅自查阅患者信息

采集、利用、管理人口健康信息应当按照法律法规的规定，遵循医学伦理原则， 保证信息安全，保护个人隐私

网络运营者不得泄露、篡改、毁损其收集的个人信息，未经同意不得向他人提供 个人信息；个人信息不限于生物识别等信息界定个人生理健康信息和个人生物识别信息

颁布时间 1999年2004年(修订) 2009年 2012年 2013年 2014年 2016年 2017年

·18· Chinese Hospitals,Sep.2019,Vol.23,No.9

SPECIAL PLANNING 特别策划

信息技术保护可借鉴互联网的技术保护。一般来说，一种信息技术并不能保障所有的信息安全，需要多种技术协同保护。

目前关于互联网医疗健康服务信息保护技术主要包括脱敏处理、信息加密、访问限制等3种方式。脱敏处理技术是匿名或去标识化处理，使他人无法通过处理后的信息识别特定个人信息主体，仅保留某些数据或属性进行数据统计处理。信息加密技术主要采用加密技术隐藏个人敏感信息。例如，在用户通过https浏览平台服务时，采用传输层安全协议来保障浏览器与服务间安全交换数据。访问限制技术主要指平台开发商或运营商通过设置用户访问权限，只有用户本身或平台上特定个人才能访问。

即使运用上述信息技术保护，但国内外仍旧时不时发生信息安全事件。同时，健康大数据挖掘日益加大医疗健康隐私泄露风险，且用户信息持续处在进入、交换与退出的动态变化中，如果仅仅基于静态用户信息数据集的技术保护方式不足以应对迅速变化的外界环境。因此需要不断完善互联网健康平台的信息技术保护机制。

3.2 互联网健康平台加强自我规制自我规制是互联网健康平台隐私保护的主要手段。为加强自我规制效果，应重视以下几方面的工作。首先，互联网健康平台需要参照《规范》的原则、标准以及隐私政策模板，结合自身提供服务特点，建立适合自身平台的自我规制保护机制。其次，根据自我规制的可见性，在用户注册和使用互联网健康平台时，提示或显示互联网健康平台的隐私政策，并对核心内容进行高亮突出显示，做到主动告知用户。再次，在自我规制可读性方面，尽量使隐私文本通俗易懂，并基于平台核心服务和拓展服务，主动告知用户信息收集的范围和目的，同时告知共享和披露医疗健康隐私的情形，做到用户知情同意。最后，构建统一的隐私政策评价指标体系，方便互联网健康平台修正不合理的隐私条款，消除霸王条款和不公平的单方面免责声明。

减少“亡羊补牢，为时晚矣”情况的发生。同时，国家应建立医疗健康隐私相关的投诉与举报机制，开通信息安全事件处理的绿色通道，在安全事件发生时能及时告知群众事件进展。最后，发挥媒体作用，利用典型安全事件警示用户，提高用户安全防范意识，促使用户认真阅读平台协议和隐私声明。

参考文献

[1] Westin AF. Privacy and freedom[M]. New York: Athenum:the Berkeley Electronic Press, 1968.[2] Altman I. The environment and social behavior: privacy, personal space, territory, and crowding[J]. Psychological Medicine，1978,8(4):736. [3] Greenleaf G．Global data privacy laws: 89 countries，and accelerating［R］．UK: University of New South Wales，Faculty of Law，2011．[4] 姜盼盼.图书馆隐私政策的合规标准[J/OL].图书馆建设. http://kns.cnki.net/kcms/detail/23.1331.G2.20190107.1656.002.html[5] 中国消费者协会.100款App个人信息收集与隐私政策测评报告[EB/OL].(2018-11-28)[2019-03-22].http://www.cca.org.cn/jmxf/detail/28310.html.

[6] Sunyaev A, Dehling T, Taylor PL, et al. Availability and quality of mobile health app

3.3 完善互联网健康隐私信息的技术保护机制

基于静态数据集的数据保护无法同时实现信息的合理利用与隐私信息的保护，开发商和运营商可以借鉴电子商务网站的技术保护模式。例如，

privacy policies[J]. J Am Med Inform Assoc, 2014, 22(e1):e28.

[7] 张玥,王坚,朱庆华.医疗问诊APP隐私政策的认知影响因素框架模型研究——基于扎根理论方法[J/OL].情报理论与实践.http://kns.cnki.net/kcms/detail/11.1762.G3.20190122.1424.004.html.[8] 冯嘉诚,郜独秀,陈洪淼.基于用户隐私泄露预防的运动健康类App发展对策研究[J].吉林体育学院学报,2016(6):63-69.

[9] Blenner SR, Köllmer M, Rouse AJ, et al. Privacy policies of android diabetes Apps and sharing of health information [J]. JAMA, 2016, 315(10):1051.

[10] Zapata BC, Ninirola AH, Fernandez-Aleman JL, et al. Assessing the privacy policies in mobile personal health records [J]. Conf Proc IEEE Eng Med Biol Soc, 2014, 2014:4956-4959.

3 建议

3.1 建立健全医疗健康隐私法律

虽然近年来社会各界对医疗健康隐私保护的关注日益增加，但由于缺乏完整、配套的法律基础，使互联网健康平台上的用户医疗健康隐私保护受到限制。国家相关部门应加强完善个人医疗健康隐私法律，除规范实体医疗机构和医护人员行为外，还要规范互联网健康平台上个人医疗健康信息的收集、使用和存储、共享等。同时提高医疗隐私健康法律的效力，在指导具体实践中更具操作性，为保障医疗健康隐私提供良好的法律环境基础。

在敏感信息中加入扰动数据，进行失真处理。另外，完善医疗健康隐私技术保护机制不仅需要技术的开发与应用，还需要大量资金与项目支持，国家应当设立健康信息技术安全相关的基金项目，分析个人医疗信息泄露的原因和途径，通过完善信息技术保护来预防个人信息盗用或未经授权使用。

3.4 提高用户医疗健康隐私保护意识和平台监管机制

虽然高质量和个性化服务能够降低隐私泄露风险，但用户仍要加强对自身医疗健康隐私的保护与重视，防止遇到信息安全事件时手足无措，

通信作者

马骋宇：首都医科大学公共卫生学院副教授

E-mail：machengyu@hotmail.com

[收稿日期 2019-05-03](责任编辑 王远美)

2019年9月第23卷第9期 ·19·