OMAHA白皮书 2018 年 10 月 第期 10 W H I T E P A P E R www.omaha 促进健康医疗大数据规范化应用 — 开放数据的隐私安全保护 PromotingBig Data Privacyand Securityin Healthcare Applications 敬请关注 OMAHA微信 2018 年 10月 第 10 期 “我们有保护你的信息的责任。如果我们做不到，我们就不配拥有。” ——扎克伯格 目 录 内容摘要 1 前 言 3 一、健康医疗数据开放与隐私安全概述 4 4 （一） 健康医疗数据开放与隐私安全的关系 （二） 健康医疗数据隐私安全基 础框架 4 （三） 不同 数据开放场景下的隐私安全分析 4 二、国外开放数据的隐私安全现状 8 （一） 国外隐私安全法律法规要 求 8 （二） 美国数据开放平台隐私安全实践 14 三、 国内开放数据的隐私安全现状 19 （一） 中国隐私安全法律法规要 求 19 23 23 （二） 中国数据开放平台隐私安全实践 （三） 数据开放与隐私安全国内外现状比较 四、 促进健康医疗大数据规范化应用建议 27 （一） 政府管理层面 27 （二） 欧亿·体育（中国）有限公司实践层面2 8 参考文献 30 促进健康医疗大数据规范化应用—开放数据的隐私安全保护 Promoting Big Data Privacy and Security in HealthcareApplications 本期导读 健康医疗大数据的应用发展，标准是前提，安全是保障，服务是目的。数据开放与隐私安全是 一组矛盾，利益平衡的关键在于从法制层面出发，制定一系列医疗健康数据隐私安全保护规范 和数据流通规则，建立包含身份认证、权限控制、数据加密等在内的技术保障体系，促进数据 在多种场景下的开放应用。 OMAHA秘书处 李莹莹 胡 冉 朱烨琳 OMAHA 白皮书 促进健康医疗大数据规范化应用 2018 年 10月 第10 期 内容摘要 随着医疗信息化的发展，大数据分析等技术 的崛起，健康医疗大数据的价值愈发显现。 探索数据开放共享的模式，同时保护数据的 安全和隐私，是促进健康医疗大数据规范化 应用的关键。本期白皮书分析国内外数据开 放和隐私安全的现状，旨在为我国健康医疗 大数据的规范化应用提供建议。 中，患者对数据的全部控制权是管理的要点， 在技术保障体系上建立了面向用户的权限控 制系统是其核心特征。 数据开放与隐私安全国内现状 国内目前关于个人隐私和数据安全的法律不 多，不论是法律体系和法律条款都与国外有 较大差距，目前相对比较完整的规定仅在国 家推荐标准《信息安全技术 个人信息安全 规范》中体现。在实践层面上，国内数据开 放的场景明显少于国外，主要集中与区域健 康医疗服务平台的数据共享交换上，虽然隐 私安全的技术保障体系与过国外差距不大， 但在数据应用流程中对隐私安全的保护更多 依赖于系统层面的信息安全，缺乏对个体隐 私安全保护的独立考量。 健康医疗大数据开放与隐私安全 概述 数据开放和隐私安全是健康医疗大数据规范 化应用的关键，数据的开放程度加深必然会 带来越大的隐私安全问题，权衡好二者之间 的关系显得尤为关键。不同场景的数据开放 所导致的隐私安全问题不同，因此建立适应 于多场景下的隐私安全管理制度与技术保障 体系至关重要。 促进健康医疗大数据规范化应用 的建议 数据开放与隐私安全国外现状 为了保障数据的安全和隐私，美国和欧 盟都出台了相当严格的法律，如 HIPAA和 GDPR。HIPAA和 GDPR都明确定义了约束主 体和受保护的信息类型，在充分考量数据 所有人权益的前提下，规定了受保护主体 的权利和受约束主体的义务。与此同时， 在遵从法律规范下，国外不同健康医疗数 据应用场景中隐私安全的关键要点侧重不 同。以数据交换场景为主的互操作平台中， 通过制定参与主体间的共同协议实现管理 规范；通过系统测评，前置身份认证、患 者识别模型等技术保障了隐私安全。以个 人健康医疗数据应用为主的 PHR管理平台 政府管理层面上，需加强立法和完善个人健 康医疗信息制度，建议设立信息安全管理机 构，推进医疗机构资源的开放和整合，培育 公众对健康医疗数据应用意识与隐私安全的 认知，持续推动国家统一身份标识体系和基 于统一身份标识的共性基础服务平台；在行 业实践层上，提高企业对个人隐私安全的保 护意识，加强用户参与与理解，建立数据处 理规则，慎重处理个人隐私数据，建立数据 加密存储传输的普遍共识，关注数据二次使 用的边