2019大数据产业峰会|清华大学软件学院教师金涛：健康医疗数据安全指南标准研制与实践

在这些原则的指引下，我们制定了这样一个标准，目前这个标准在整个国家的数据安全的标准体系当中处的位置是这样的位置，因为国家专门有标准化工作组在制定跟数据安全相关的国家标准，健康医疗数据安全指南是放在应用领域，属于指南性的定位，为什么单独做专门领域的指南，因为这个数据本身有它的特点。这一点宁主任在前面提到了，这个特点我们可以简单地用右图展示。首先健康医疗数据不仅涉及到个人层面的属性问题，它也涉及到公共利益，不完全是个人的私事，一个人生病可能不是完全是你个人的私事，有可能涉及到流行病、传染病的问题，有可能涉及到整个疾病治疗方案的优化改进的问题，会对整个社会大众都会有福祉，也涉及到国家安全的问题，前面宁主任提到了，比如说基因涉及到人种安全，自然就到国家安全层面了，所以它涉及到了三个层次。另外从“安全”这个词本身来讲，涉及到了我们经常讲的三个概念，前面宁主任，包括前面的一些专家也都提到了，隐私的概念很好理解，保密性、安全性、可用性的问题也涉及到了。安全性就是前面宁主任讲到的，因为它跟人的生命健康是相关的，数据出了问题有可能影响到医疗的安全和质量问题，比如说你做着做着手术系统不能用了，你看不到任何数据，手术下面怎么做？这个是很典型的影响到生命安全的状况。正是因为健康医疗数据的这些特点，导致我们会有一些工作有差别，因为它跟生命健康很相关，所以在数据的完整性和可用性方面，我们的要求比一般领域的要求是高的，因为直接跟生命安全相关。因为它跟个人隐私密切相关，很多人都不希望自己得某些疾病的信息被更多人知道，所以它是高度敏感的话题，所以隐私保护的力度也是要大的。因为这个领域本身专业性非常强，信息是高度不对称的，所以在使用这些数据的时候，怎么用这些数据，用哪些数据，这个和一般的领域也是有差别的。目前在提倡个人信息保护的时候，往往很多时候都强调个人自主的决定权，我可以决定把哪些数据披露给你，但是治病这件事情做不到，甚至连医生都没有办法一开始给你一个明确的框框，我治你这个病这些数据就够了，因为有很多不确定性，有很多是在过程中不断明晰、发现的，还有一些问题，比如有些疾病会影响到医护人员的安全，所以是必须披露给医护人员的，让他做好相关的安全防护，比如都是拔牙，但是如果一个艾滋病患者去拔牙，对医护人员的防护要求就是不一样的，这方面的使用披露是有专业要求的。

公共福祉的问题前面讲了，现在在推个人信息保护，前提是这完全是我个人的私事，我可以隐起来，不让任何人知道，不想让任何人关注我，但是健康这件事情不完全是你的私事，一个流行病、一个传染病的问题会影响到很多人，一个疾病的治疗方案的改进也会影响到后面整个人类的福祉，所以它不完全是你的私事，所以我们不能完全用个人隐私保护的理念来限制健康医疗数据的使用问题。国家安全相关前面提到了。在2014年的时候卫健委发布的《人口信息健康管理办法》中明确提到这个数据只能存在国内，不能放在国外的服务器上，因为最近这个领域也在做一些上云的工作，当然了，我们也看到，其实很多地方已经明确要求上云只能上政务云或者是央企云，就是想从存储的环节把控好数据的安全。

我们提到了个人信息安全、隐私保护，这是目前国内做得比较多方面的工作，也是一个非常大的进步，这是在个人信息安全规范当中提出来隐私保护的七原则，也是国际公认的原则。最早在OECD，后来在GDPR都是贯穿了这样的原则。前面我们讲到了，因为健康医疗领域本身有它的特殊性，因为它有它的不确定性，有它的高度性，所以有些原则是不能完全适用的。所以我们不能简单地拿个人信息安全规范去框健康医疗数据的使用问题，比方说这四条原则都会存在适配的问题，一开始没有办法告诉你，说我治你感冒要这些数据就够了，有可能你根本不是感冒，治着治着发现情况更明确了，可能是肺炎等等，所以目的明确，一开始是没办法做到的。最少够用也是没办法一开始做到的，因为人的差异是很大的，没有医生敢给出一个标准说对所有的人治这个病，最小的数据集就够用了，这个非常难。选择同意前面介绍了，不是患者能够自主决定的问题，因为专业差异实在是太大了。主体参与原则，最近我们看到App都上了很多注销的功能，能够允许个人删除自己的一些历史数据。

健康医疗的数据如果个人随意删除会带来什么后果？因为我们知道，一个基本的观点是说你以前得过什么病，以前采取过什么措施，注射过什么药物，很可能影响到后续健康状况和后续治疗方案，从个体本人健康状况来讲也是不能随意删除前面的历史数据。从整个疾病的数据的积累和探索也需要更多的数据积累，才能探究数据的起因，去发现更好的治疗方案，所以不能简单地采取其他领域的主体参与的原则。关于这一点国家也有明确的规定，比如门诊病例必须至少保存15年，住院病例必须至少保存30年，这是国家规定的。在国际上，在很多国家这些数据都是终身保存的，所谓的终身健康档案。这些原则应该做一些简单的适配。

我们看一下标准的定位，健康医疗数据的源头可能是跟个人相关的，所以我们说，还是要从保护隐私的角度来做一些工作，所以要符合个人信息安全规范的要求，前面我们分析了，有些地方是不适用的，是要做一些适配，做一些改进。包括大数据服务安全要求对数据安全也做了相关的要求，数据安全体系对整个组织体系做了相关的要求，在健康医疗领域针对数据安全这件事情我们具体怎么做、怎么落地是需要我们做一些工作的，所以这个标准的定位简单地来看，就是说我首先要符合这些基本的原则，在健康医疗领域怎么落地，它偏重的还是在数据合规层面上的，要确保数据安全能够推动数据的利用。数据不是孤立存在的，它要依赖于相应的网络和系统，网络和系统的安全问题，我们已经实际上有很多的安全控制措施，国家的信息安全标准已经发布了200多个，里面有大量的安全控制措施可以用，最新的等保2.0，在系统和网络层面提出了很多很多的安全控制措施，我们可以用，可以应对网络和系统的安全风险。还有27002也提出了很多控制措施，可以去做。安全能力要求对云计算的安全提出了很多控制措施，可以去做，像这些我们都可以去利用已有的标准当中的安全控制去做，不需要我们再去设计更多的控制措施了，因为这些控制措施在信息领域还是比较通用的，所以这个标准就是这样一个定位。像这样的一些控制措施我们就明确地告诉大家，什么时候你去用什么标准就可以了，把更多的焦点放在数据安全合规问题上，当然也会涉及到其他的概念，比如重要数据，有专门的相关办法做，促进也有专门的标准和办法做。这就是标准的核心定位，侧重在数据安全合规的层面。因为它是第一个国标，所以健康医疗领域的第一个国标，又发挥框架性的作用，告诉大家，什么时候去采信什么样的标准就可以了。

（编辑：应用网_阳江站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!