广东省卫生经济学会于2022年发布的《广东省健康医疗数据安全分类分级管理技术规范》（T/GDWJ 013—2022）中明确提出，健康医疗数据安全保护应遵循国家监管部门和行业部门指导与监管的原则，落实数据保护的主体责任和监管职责，应遵循国家网络安全等级保护、大数据安全相关法律法规及标准规范要求。医疗敏感数据的隐私安全问题也越发突出，引起了社会各界的广泛关注。医疗敏感数据泄露事件频发，不仅侵犯了患者的隐私权，还可能对患者的生命健康造成严重威胁。

因此，对医疗敏感数据隐私安全保护的研究具有重要的现实意义和理论价值。当前，针对医疗敏感数据的安全问题，传统技术方式主要为对数据进行访问控制、加密处理等，通过严格控制对敏感数据的访问来降低敏感数据被泄露的可能。在大数据挖掘需求和数据互联互通的大趋势下，传统技术方式已无法满足应用需求。敏感数据的脱敏技术则可以在最大程度上保障数据安全的前提下，实现对数据的应用、挖掘或加工。同时，也需要注重对数据的安全防护，保护数据在传输和使用过程中不被非法获取。

1.数据采集来源丰富多样

随着信息技术的发展，数据采集的来源越来越多，通过多种渠道获取所需的数据。比如，通过手机从互联网上获取信息；从数据库中提取所需信息；通过传感器或其他设备收集实时监测的数据；还可以通过人工调查等方式获得所需信息。最终，把信息经过信息系统转化为数据。

2.数据脱敏

医疗领域常见数据有姓名、就诊卡号、证件号、参保号、交易金额、交易流水号、就诊日期、患者住址、患者手机号码、证件类型、出生日期等。根据数据特征、使用场景及技术的实现方法，选择不同的算法对数据进行脱敏。脱敏方式一般可分为静态数据脱敏和动态数据脱敏。

静态数据脱敏为永久性、不可逆的数据脱敏处理，统一对整个数据集进行批量脱敏处理并保存，该方式不会对数据的内在关系和价值产生破坏。一般适用于开发、测试、培训等非生产环境。

动态数据脱敏为临时性、暂时的数据脱敏处理，在对敏感数据进行访问、查询的时候，按照预先设定好的脱敏策略对数据进行脱敏处理后，再返回访问结果。对不同权限的用户或不同的数据可以设定不同的脱敏策略，也可以对脱敏策略进行临时调整。一般适用于生产环境下对敏感数据的访问。

数据脱敏算法通常使用遮蔽、屏蔽、替换、加密的方式进行脱敏，具体如下。

部分数据遮蔽。将原数据中部分或全部内容，例如用符号“*”或“@”等字符进行替换，遮盖部分关键信息或全部信息内容。如手机号码显示为“130****1234”。

混合屏蔽。将相关的列作为一个组进行屏蔽，以保证这些相关列中被屏蔽的数据保持同样的关系，例如，城市、省、邮编在屏蔽后保持一致。

替换。替换敏感数据的内容，使数据看上去和原始数据类似，但实际上两者没有任何关联。使用一定的规律去替换掉信息，常用于姓名替换、数值替换、日期替换及卡号替换等。

加密。使用MD5加密、加密（FPE）和强加密算法（如AES）等算法加密敏感数据。若需要使用数据，必须使用密钥对加密后的数据进行解密才能获取明文，否则只能查看到加密后的无实际运用意义的密文。缺点是密钥必须严格保管，防止泄露。

3. 数据匿名化

根据《中华人民共和国个人信息保护法》第七十三条，匿名化是指个人信息经过处理无法识别特定自然人且不能复原的过程。数据匿名化也是数据脱敏的一种手段。K-匿名（K-anonymity）通过对数据或标签进行更加概括、抽象的描述及隐藏部分信息，让每条记录至少与数据中其他的K-1条记录具有完全相同的属性值。经过K-匿名处理后的数据，即使攻击者知道某一位患者的健康卡号和年龄，也无法准确得知该患者具体的疾病。表1是数据匿名化处理前后对比。

表1  数据匿名化处理前后对比

1.数据分类分级管理

数据分类分级是数据安全治理的提升。数据分类分级是数据恰当使用中不可忽视的问题。只有对数据进行有效分类分级，才能让数据在安全传输和使用过程中采取更加精细的措施，得到有效防护。针对医疗数据的不同级别，采取不同的安全措施。具体而言，可以根据数据的重要性和敏感程度，将其分为核心敏感数据、高敏感数据和一般敏感数据等不同级别。对于核心敏感数据，如患者的身份信息、病历记录等，需要采取最为严格的安全措施和可见范围，如加密存储、访问控制等；对于高敏感数据，如治疗方案、药物过敏史等，可采取适当的安全措施，如数据脱敏、访问控制等；对于一般敏感数据，可采取基本的安全措施。通过分级管理，可以更好地满足不同类型数据的隐私保护需求。

2.数据保护措施

为确保数据的安全性和隐私性，可制定数据使用政策、访问控制策略、数据备份与恢复机制等；定期对数据管理制度和规范进行审查和更新，确保其适应医疗信息化发展的需要；采用加密技术对数据进行加密存储和传输；采用数据审计工具对数据使用过程进行实时监控和记录；采用虚拟化技术对医疗数据进行隔离保护等。

3.具体措施

一是采用防火墙、入侵检测系统等技术手段对网络进行安全防护。将医疗数据与其他非医疗数据进行隔离，以降低数据泄露的风险。

二是及时更新病毒库、修补系统漏洞，定期对安全设备进行检测和维护，确保其正常运行。

三是采用动态口令、指纹识别等技术手段进行身份认证。对不同级别的用户设定不同的访问权限，确保只有授权用户才能访问敏感数据。

四是采用磁带库、云存储等技术手段进行数据备份,并定期进行数据恢复演练，确保在发生意外情况时能够及时恢复数据。

五是成立应急响应小组，制定应急预案和处理流程。同时，应该定期进行应急演练和模拟攻击测试，提高应急响应能力。

几乎每一个医疗场景下都会涉及医疗敏感数据，但必须根据不同场景应用不同的敏感数据保护方式。一般情况下，使用保密性和可用性两个属性对场景进行判断。在互联网医院诊疗中，主要涉及数据交换，包含患者历史疾病等敏感数据，属于“高保密性，低可用性”场景，一般采用AES 算法加密数据；进行软件项目开发测试时，需模拟真实应用场景，访问医院其他业务系统数据库，只需保证数据结构正确且对数据的真实性要求不高，属于“高保密性、低可用性”场景，一般采用泛化技术、替代等方式处理，保留数据结构，使用伪装数据替代敏感数据；院内处方点评需确保处方信息的完整性及真实性，但不需要识别到患者本人，属于“低保密性、高可用性”场景，将处方信息中的病人姓名做屏蔽处理；门诊叫号屏结合语音播报使得服务对象本人可识别叫号信息，周边人不易识别，属于“低保密性、低可用性”场景，将病人姓名用“*”进行部分遮挡。

医疗敏感数据隐私安全保护是一个复杂而重要的任务。为了确保患者的隐私权益得到充分保障，需要从多个方面入手，包括对数据进行分级管理、识别敏感信息并进行适当的脱敏处理、建立完善的数据管理制度和规范、加强技术手段的应用，以及培训和教育医护人员等；同时，还需要不断地对现有措施进行评估和改进，以适应医疗信息化发展的需要。通过这些措施的实施，可以更好地保护医疗敏感数据的隐私安全，为患者和医疗机构创造一个更加安全和可靠的环境。

作者：江门市中心医院网络信息科  李薇  赵瑞兴  王柏鸿