生物醫(yī)療大數(shù)據(jù)隱私安全保障機(jī)制研究

肖 璦 盧雅雯 呂智慧 吳 杰 祖立軍

1(復(fù)旦大學(xué)計(jì)算機(jī)科學(xué)技術(shù)學(xué)院 上海 200433)2(中國(guó)銀聯(lián)股份有限公司 上海 201201)

0 引 言

隨著現(xiàn)代社會(huì)高速的信息化和網(wǎng)絡(luò)化，各種應(yīng)用、服務(wù)、網(wǎng)絡(luò)中產(chǎn)生的數(shù)據(jù)與信息都在以爆炸式的速度增長(zhǎng)?，F(xiàn)在關(guān)于大數(shù)據(jù)的研究已是人們耳熟能詳?shù)脑掝}，大數(shù)據(jù)的收集、開(kāi)發(fā)和利用，已經(jīng)成為當(dāng)今社會(huì)的潮流之一。事實(shí)上，大數(shù)據(jù)的分析應(yīng)用對(duì)于政府或企業(yè)的決策有著非常積極的作用。

現(xiàn)在，生物醫(yī)療大數(shù)據(jù)給醫(yī)療衛(wèi)生領(lǐng)域帶來(lái)了深刻的變革，其被廣泛應(yīng)用在領(lǐng)域內(nèi)的各個(gè)方面，包括電子病歷、決策支持系統(tǒng)、遠(yuǎn)程醫(yī)療、個(gè)人健康管理、精準(zhǔn)醫(yī)療[1]等，蘊(yùn)藏著巨大的醫(yī)療價(jià)值和科研價(jià)值。我國(guó)對(duì)于生物醫(yī)療大數(shù)據(jù)的發(fā)展也很關(guān)注，頒布了各類文件支持生物醫(yī)療大數(shù)據(jù)的基礎(chǔ)建設(shè)。

生物醫(yī)療大數(shù)據(jù)在為人們提供高效、便利服務(wù)的同時(shí)，也帶來(lái)了一系列的挑戰(zhàn)[2]如隱私安全保障問(wèn)題。相較于過(guò)去，大數(shù)據(jù)時(shí)代下的生物醫(yī)療大數(shù)據(jù)泄露的后果更為嚴(yán)重。例如，個(gè)人的身體缺陷、疾病情況，甚至是基因缺陷，都可能會(huì)使其在投保險(xiǎn)求職時(shí)受到不公正對(duì)待。并且，隨著醫(yī)療信息系統(tǒng)的普及，患者就醫(yī)時(shí)被采集到的醫(yī)療信息包含了詳細(xì)的個(gè)人信息。數(shù)據(jù)泄露后，基于個(gè)人基本信息，可關(guān)聯(lián)到主體在金融、通信、交通等領(lǐng)域的信息，從而帶來(lái)嚴(yán)重的經(jīng)濟(jì)、精神損失。

為了保障隱私安全，本文梳理了生物醫(yī)療大數(shù)據(jù)研究背景和保護(hù)現(xiàn)狀，并以生物醫(yī)療大數(shù)據(jù)的生命周期為基礎(chǔ)，對(duì)生命周期中各個(gè)階段的隱私安全保障行為進(jìn)行規(guī)范。同時(shí)，基于OpenStack搭建了一個(gè)大數(shù)據(jù)云平臺(tái)來(lái)保障電子數(shù)據(jù)在云上的安全性。

1 大數(shù)據(jù)時(shí)代下的生物醫(yī)學(xué)

1.1 生物醫(yī)療大數(shù)據(jù)的研究背景

醫(yī)療衛(wèi)生領(lǐng)域每年都會(huì)產(chǎn)生海量的生物醫(yī)療數(shù)據(jù)，其數(shù)據(jù)規(guī)模可達(dá)到TB或PB級(jí)別[3]。這些生物醫(yī)療數(shù)據(jù)可被簡(jiǎn)單地分為兩類：用于臨床醫(yī)療的醫(yī)療數(shù)據(jù)和用于科學(xué)研究的生物數(shù)據(jù)。其中用于臨床醫(yī)療的醫(yī)療數(shù)據(jù)主要為患者的診療檔案，包括了患者的個(gè)人基本信息、診療信息、影像報(bào)告、治療方案、藥物使用信息、手術(shù)記錄、住院信息等。而用于科學(xué)研究的生物數(shù)據(jù)則包含了基因數(shù)據(jù)、生物樣本、實(shí)驗(yàn)記錄等。

通過(guò)對(duì)生物醫(yī)療大數(shù)據(jù)的收集、處理和分析，醫(yī)療人員的相關(guān)決策獲得了海量歷史數(shù)據(jù)的支持，疾病預(yù)防和診療的效率得到了提升。此外，生物醫(yī)療大數(shù)據(jù)還可用于疾病預(yù)防、藥物研究、基因分析、疫情監(jiān)測(cè)、人體保健等領(lǐng)域。

但是，隨著生物醫(yī)療大數(shù)據(jù)平臺(tái)和技術(shù)的發(fā)展，相關(guān)隱私泄露事件頻發(fā)。生物醫(yī)療大數(shù)據(jù)的隱私安全問(wèn)題面臨著重大的挑戰(zhàn)。醫(yī)療衛(wèi)生行業(yè)的特殊性以及生物醫(yī)療數(shù)據(jù)的敏感性要求人們?cè)诳焖侔l(fā)展生物醫(yī)療大數(shù)據(jù)的同時(shí)，也要加大對(duì)生物醫(yī)療信息隱私保護(hù)的重視。

1.2 國(guó)內(nèi)生物醫(yī)療大數(shù)據(jù)保護(hù)現(xiàn)狀

我國(guó)對(duì)于生物醫(yī)療大數(shù)據(jù)的發(fā)展也是十分關(guān)注，有關(guān)生物醫(yī)療大數(shù)據(jù)的文件政策也是層出不窮。2014年，衛(wèi)計(jì)委頒布了《基于電子病歷的醫(yī)院信息平臺(tái)技術(shù)規(guī)范》《基于居民健康檔案的區(qū)域衛(wèi)生信息平臺(tái)技術(shù)規(guī)范》等文件。2015年，國(guó)務(wù)院頒布了《關(guān)于城市公立醫(yī)院綜合改革試點(diǎn)的指導(dǎo)意見(jiàn)》，并在《促進(jìn)大數(shù)據(jù)發(fā)展行動(dòng)綱要》中指出要在健康醫(yī)療領(lǐng)域全面推廣大數(shù)據(jù)應(yīng)用，構(gòu)建以人為本、惠及全民的民生服務(wù)新體系[4]。2016年，國(guó)務(wù)院頒布了《關(guān)于促進(jìn)和規(guī)范健康醫(yī)療大數(shù)據(jù)應(yīng)用發(fā)展的指導(dǎo)意見(jiàn)》；中國(guó)信息通信研究院頒布了《大數(shù)據(jù)白皮書(2016)》，并在其中描述了醫(yī)療領(lǐng)域大數(shù)據(jù)應(yīng)用的進(jìn)展情況及發(fā)展趨勢(shì)。2017年，國(guó)家開(kāi)始施行《中華人民共和國(guó)網(wǎng)絡(luò)安全法》，將對(duì)信息安全的保護(hù)由行政法規(guī)層面逐步上升到了法律層面。2018年，國(guó)家衛(wèi)健委頒布了《國(guó)家健康醫(yī)療大數(shù)據(jù)標(biāo)準(zhǔn)、安全和服務(wù)管理辦法(試行)》，對(duì)生物醫(yī)療數(shù)據(jù)的標(biāo)準(zhǔn)管理、安全管理、服務(wù)管理、管理監(jiān)督四個(gè)方面進(jìn)行了規(guī)范。2019年，《互聯(lián)網(wǎng)個(gè)人信息安全保護(hù)指南》正式發(fā)布，明確規(guī)定了個(gè)人信息的管理機(jī)制、技術(shù)措施、業(yè)務(wù)流程和應(yīng)急處置辦法，進(jìn)一步加強(qiáng)了個(gè)人信息的安全保護(hù)。這些文件內(nèi)容覆蓋了醫(yī)院信息化、醫(yī)藥信息化、數(shù)據(jù)融合等領(lǐng)域，為生物醫(yī)療大數(shù)據(jù)的建設(shè)提供了強(qiáng)有力的支持。

2 生物醫(yī)療大數(shù)據(jù)生命周期下的數(shù)據(jù)安全保障

生物醫(yī)療大數(shù)據(jù)中涵蓋了大量的個(gè)人隱私信息，為了降低隱私泄露的風(fēng)險(xiǎn)，需要對(duì)數(shù)據(jù)使用者和管理者的數(shù)據(jù)操作行為進(jìn)行規(guī)范。本節(jié)以生物醫(yī)療大數(shù)據(jù)的生命周期為線索，對(duì)生命周期各個(gè)階段的數(shù)據(jù)安全保障進(jìn)行研究并給出建議。

從生物醫(yī)療視角出發(fā)，基于張靜[5]對(duì)于大數(shù)據(jù)生命周期的定義，將生物醫(yī)療大數(shù)據(jù)的生命周期分為數(shù)據(jù)采集、數(shù)據(jù)存儲(chǔ)、數(shù)據(jù)訪問(wèn)、數(shù)據(jù)應(yīng)用、數(shù)據(jù)共享、數(shù)據(jù)銷毀這六個(gè)階段。

2.1 數(shù)據(jù)采集階段

數(shù)據(jù)采集階段是大數(shù)據(jù)生命周期的第一個(gè)階段。在這一階段，個(gè)人的生物醫(yī)療數(shù)據(jù)被采集，為未來(lái)的數(shù)據(jù)處理和分析奠定了基礎(chǔ)。

個(gè)人生物醫(yī)療數(shù)據(jù)的采集手段繁多，包括個(gè)人資料填寫、醫(yī)生就診問(wèn)詢、醫(yī)療設(shè)備收集、醫(yī)學(xué)研究志愿者自愿提供等。獲取的內(nèi)容主要有個(gè)人基本信息、個(gè)人醫(yī)療信息和生物數(shù)據(jù)樣本。其中：個(gè)人基本信息包括姓名、電話號(hào)碼、家庭住址、婚姻狀況等信息；個(gè)人醫(yī)療信息包括病情、藥方、過(guò)敏史、患病史等信息；生物數(shù)據(jù)樣本包括血液樣本、基因樣本、生物組織樣本等。收集到的數(shù)據(jù)和樣本會(huì)被用于數(shù)據(jù)主體的臨床治療或醫(yī)療相關(guān)的科學(xué)研究。

收集數(shù)據(jù)時(shí)需要獲得數(shù)據(jù)主體的知情和同意。在獲取數(shù)據(jù)或生物樣本時(shí)需要以文字形式告知數(shù)據(jù)主體獲取的方式、內(nèi)容和用途。若在獲取時(shí)不確定數(shù)據(jù)是否具有后續(xù)用途，需要獲得數(shù)據(jù)主體的動(dòng)態(tài)知情同意，即每次數(shù)據(jù)用于新的用途之前，就要向數(shù)據(jù)主體說(shuō)明，再次獲得數(shù)據(jù)主體的同意。必須要在獲得數(shù)據(jù)主體知情和同意的前提下才可以進(jìn)行數(shù)據(jù)的采集工作，在數(shù)據(jù)主體不同意的情況下不應(yīng)當(dāng)采集數(shù)據(jù)或生物樣本。

在數(shù)據(jù)的采集過(guò)程中應(yīng)當(dāng)遵循最小化原則，避免收集無(wú)關(guān)目的的隱私數(shù)據(jù)，即收集的數(shù)據(jù)的類型和數(shù)量應(yīng)與獲取目的有直接關(guān)聯(lián)。同時(shí)，收集隱私數(shù)據(jù)應(yīng)有特別提示，在以書面或網(wǎng)絡(luò)形式獲取數(shù)據(jù)時(shí)需標(biāo)明是否為隱私數(shù)據(jù)，以及必填/非必填項(xiàng)。

數(shù)據(jù)采集時(shí)也需要對(duì)數(shù)據(jù)進(jìn)行簡(jiǎn)單的處理，包括對(duì)采集到的數(shù)據(jù)進(jìn)行核對(duì)與矯正。對(duì)于生物樣本，則需要及時(shí)貼好標(biāo)簽，做好相應(yīng)的標(biāo)識(shí)以便與其記錄進(jìn)行關(guān)聯(lián)。

進(jìn)行數(shù)據(jù)采集的人員需要進(jìn)行管理。其中涉及隱私數(shù)據(jù)采集的人員需要經(jīng)過(guò)隱私數(shù)據(jù)安全培訓(xùn)，并簽訂安全保密協(xié)議。接觸數(shù)據(jù)的人員不得篡改或記錄數(shù)據(jù)，不得保留數(shù)據(jù)備份、部分或全部生物樣本。

2.2 數(shù)據(jù)存儲(chǔ)階段

數(shù)據(jù)被采集后需要根據(jù)相應(yīng)的要求進(jìn)行存儲(chǔ)。海量的數(shù)據(jù)被集中存儲(chǔ)和管理，這要求我們保障數(shù)據(jù)存儲(chǔ)環(huán)境的安全性。

首先,需要明確存儲(chǔ)的對(duì)象。存儲(chǔ)的數(shù)據(jù)對(duì)象包括以紙質(zhì)、網(wǎng)絡(luò)、醫(yī)療器械等方式采集到的生物數(shù)據(jù)和醫(yī)院、醫(yī)療相關(guān)研究機(jī)構(gòu)獲取的生物樣本。存儲(chǔ)的目的是為數(shù)據(jù)主體后續(xù)治療或后續(xù)患病治療提供參考，也會(huì)為相似病例治療提供參考，部分會(huì)成為科研病例的素材。

其次，不同介質(zhì)的數(shù)據(jù)會(huì)有不同的存儲(chǔ)手段。重要紙質(zhì)材料應(yīng)有專門房間妥善保存。經(jīng)過(guò)采集和錄入的數(shù)據(jù)應(yīng)存儲(chǔ)在數(shù)據(jù)庫(kù)中，存儲(chǔ)數(shù)據(jù)的服務(wù)器及其備份服務(wù)器等應(yīng)放置在可靠安全的環(huán)境里。生物樣本應(yīng)存放在適宜的環(huán)境下。

然后,存儲(chǔ)的數(shù)據(jù)也需要進(jìn)行一定的處理。在隱私保護(hù)方面，需要對(duì)姓名、身份證號(hào)等關(guān)鍵追溯性信息做脫敏處理，對(duì)隱私數(shù)據(jù)設(shè)置隱私標(biāo)記。信息安全技術(shù)個(gè)人信息安全規(guī)范中有規(guī)定：收集個(gè)人信息后，需要立即進(jìn)行去標(biāo)識(shí)化處理，并采取技術(shù)和管理兩方面的措施，將去標(biāo)識(shí)化后的數(shù)據(jù)與可用于恢復(fù)識(shí)別個(gè)人的信息分開(kāi)存儲(chǔ)，并確保在后續(xù)的個(gè)人信息處理中不能重新識(shí)別個(gè)人[6]。同時(shí)，數(shù)據(jù)保存應(yīng)遵從時(shí)間最小化原則，即個(gè)人信息保存期限應(yīng)為實(shí)現(xiàn)目的所必須的最短時(shí)間，超出個(gè)人信息保存期限后，應(yīng)對(duì)個(gè)人信息進(jìn)行刪除或匿名化處理。

另外，從數(shù)據(jù)管理的角度來(lái)看，數(shù)據(jù)存儲(chǔ)方應(yīng)建立專門的數(shù)據(jù)管理系統(tǒng)來(lái)對(duì)獲取的生物數(shù)據(jù)進(jìn)行管理。為數(shù)據(jù)管理系統(tǒng)所處網(wǎng)絡(luò)劃分不同的網(wǎng)絡(luò)區(qū)域，并按照方便管理和控制的原則為各網(wǎng)絡(luò)區(qū)域分配地址[7]；對(duì)存儲(chǔ)數(shù)據(jù)的數(shù)據(jù)庫(kù)網(wǎng)絡(luò)進(jìn)行防火墻等隔離手段，保證網(wǎng)絡(luò)隔離；定期進(jìn)行數(shù)據(jù)備份(本地及異地)，并做好容災(zāi)方案。

最后，在管理人員方面，數(shù)據(jù)存儲(chǔ)方應(yīng)為數(shù)據(jù)管理系統(tǒng)、存儲(chǔ)數(shù)據(jù)的機(jī)房、保存生物樣本的房間分配相應(yīng)管理者，并明確其責(zé)任范圍。管理者需要經(jīng)過(guò)隱私數(shù)據(jù)保護(hù)培訓(xùn)并簽訂數(shù)據(jù)保護(hù)協(xié)議。同時(shí)需要建立數(shù)據(jù)管理制度體系，其中包括安全策略、管理制度、操作規(guī)程等[7]。

2.3 數(shù)據(jù)訪問(wèn)階段

經(jīng)過(guò)采集、存儲(chǔ)階段后，生物醫(yī)療數(shù)據(jù)已經(jīng)可以支持簡(jiǎn)單的醫(yī)療診斷行為，例如患者的醫(yī)療數(shù)據(jù)被醫(yī)護(hù)人員訪問(wèn)查詢以便于治療方案的確定和實(shí)行。為了保障患者的隱私，降低信息泄露風(fēng)險(xiǎn)，訪問(wèn)行為需要被約束和控制。

在訪問(wèn)手段上，由于生物醫(yī)療數(shù)據(jù)在物理意義上可分為電子數(shù)據(jù)、紙質(zhì)文檔、生物樣本，所以訪問(wèn)手段也相對(duì)多樣。電子數(shù)據(jù)可以通過(guò)數(shù)據(jù)管理系統(tǒng)訪問(wèn)，也可以直接訪問(wèn)數(shù)據(jù)庫(kù)；紙質(zhì)文檔和生物樣本則需要直接接觸和翻閱。

對(duì)于電子數(shù)據(jù)，應(yīng)對(duì)訪問(wèn)人員進(jìn)行訪問(wèn)控制和安全審計(jì)。訪問(wèn)數(shù)據(jù)管理系統(tǒng)需要有合法身份，通過(guò)其身份對(duì)應(yīng)權(quán)限進(jìn)行訪問(wèn)。訪問(wèn)系統(tǒng)的合法身份在獲取其身份及對(duì)應(yīng)權(quán)限前需要了解涉及隱私數(shù)據(jù)類型，并簽訂協(xié)議。非系統(tǒng)內(nèi)人員如有正當(dāng)理由需要訪問(wèn)系統(tǒng)，需要進(jìn)行審批，獲得臨時(shí)身份后訪問(wèn)。

對(duì)于物理數(shù)據(jù)，訪問(wèn)機(jī)房或存儲(chǔ)紙質(zhì)文檔、生物樣本的房間需要進(jìn)行審批，并對(duì)人員進(jìn)出進(jìn)行記錄。

2.4 數(shù)據(jù)應(yīng)用階段

應(yīng)用階段是生物醫(yī)療大數(shù)據(jù)產(chǎn)生價(jià)值的重要階段。在這一階段，海量的數(shù)據(jù)被處理、分析和解釋，能有效地輔助醫(yī)療領(lǐng)域的決策制定。

應(yīng)用數(shù)據(jù)的整個(gè)過(guò)程中都要獲得數(shù)據(jù)所有者的明示同意，即數(shù)據(jù)所有者對(duì)其個(gè)人數(shù)據(jù)的處理做出明確授權(quán)的行為，包括書面聲明等。在應(yīng)用數(shù)據(jù)前，應(yīng)獲得數(shù)據(jù)主體的明示同意。在應(yīng)用數(shù)據(jù)的過(guò)程中，應(yīng)用范圍不得超出數(shù)據(jù)收集過(guò)程中所聲稱的范圍，若超出上述范圍，需再次征得數(shù)據(jù)主體的明示同意。對(duì)收集的數(shù)據(jù)進(jìn)行加工處理后產(chǎn)生的新數(shù)據(jù)應(yīng)被認(rèn)為是數(shù)據(jù)主體的生物數(shù)據(jù)，所以對(duì)新數(shù)據(jù)的使用也應(yīng)獲得數(shù)據(jù)主體的明示同意。

在數(shù)據(jù)應(yīng)用的過(guò)程中，需要對(duì)數(shù)據(jù)的操作、管理行為進(jìn)行約束，有專人基于數(shù)據(jù)應(yīng)用相關(guān)規(guī)章制度監(jiān)管數(shù)據(jù)應(yīng)用過(guò)程，負(fù)責(zé)數(shù)據(jù)使用的申請(qǐng)和審批。應(yīng)消除數(shù)據(jù)中與研究目的無(wú)關(guān)的信息，使數(shù)據(jù)無(wú)法追溯到主體；應(yīng)采取權(quán)限控制技術(shù)，使不同領(lǐng)域的人員僅獲取其領(lǐng)域所需的生物醫(yī)療數(shù)據(jù)，降低數(shù)據(jù)竊取的可能性；應(yīng)保障對(duì)數(shù)據(jù)進(jìn)行分析、挖掘后產(chǎn)生的新數(shù)據(jù)[8]的安全性；應(yīng)控制數(shù)據(jù)的流動(dòng)，限制數(shù)據(jù)的使用范圍，使數(shù)據(jù)不進(jìn)入保險(xiǎn)、保健等盈利行業(yè)；應(yīng)保障數(shù)據(jù)可視化過(guò)程中的安全性，使個(gè)人的信息不被公開(kāi)泄露。

2.5 數(shù)據(jù)共享階段

隨著共享信息平臺(tái)的建立，各行各業(yè)都開(kāi)始嘗試進(jìn)行數(shù)據(jù)的共享，醫(yī)療行業(yè)也不例外。特別在臨床醫(yī)療領(lǐng)域內(nèi)，患者通常會(huì)到不同的醫(yī)院治療疾病，這時(shí)，個(gè)人生物醫(yī)療數(shù)據(jù)就可以在不同的醫(yī)院中進(jìn)行共享。此舉消除了數(shù)據(jù)的孤島，讓醫(yī)生的診斷決策有更堅(jiān)實(shí)的基礎(chǔ)。數(shù)據(jù)共享在為醫(yī)療領(lǐng)域帶來(lái)便利的同時(shí)也增加了隱私泄露的可能性。 數(shù)據(jù)共享雙方都應(yīng)嚴(yán)格規(guī)范自身的數(shù)據(jù)共享行為，防止惡意人員獲取共享數(shù)據(jù)。

共享的數(shù)據(jù)內(nèi)容主要包括各醫(yī)療機(jī)構(gòu)之間相互協(xié)作進(jìn)行臨床治療所需的醫(yī)療數(shù)據(jù)和各科研機(jī)構(gòu)用于醫(yī)學(xué)研究所需的生物數(shù)據(jù)。數(shù)據(jù)共享的方式主要包括線下方式的數(shù)據(jù)共享；基于共享數(shù)據(jù)庫(kù)的在線數(shù)據(jù)共享；基于請(qǐng)求和反饋的數(shù)據(jù)共享。

為了保障傳輸過(guò)程中的數(shù)據(jù)安全，出于研究目的傳輸?shù)臄?shù)據(jù)應(yīng)進(jìn)行匿名化、去標(biāo)識(shí)化處理，讓數(shù)據(jù)無(wú)法追溯到個(gè)體；線下共享數(shù)據(jù)時(shí)應(yīng)采取措施保證傳輸過(guò)程的安全性；線上傳輸數(shù)據(jù)時(shí)應(yīng)采用文本、圖像加密等技術(shù)保證數(shù)據(jù)的完整性和保密性。

在使用共享數(shù)據(jù)時(shí)，共享數(shù)據(jù)接收方應(yīng)將共享數(shù)據(jù)與接收方原有數(shù)據(jù)隔離存儲(chǔ)，并基于最小授權(quán)原則對(duì)接收的數(shù)據(jù)進(jìn)行訪問(wèn)控制、提供身份鑒別服務(wù)，也應(yīng)對(duì)共享數(shù)據(jù)的操作行為進(jìn)行安全審計(jì)，并保留審計(jì)記錄。

需要有第三方機(jī)構(gòu)對(duì)共享數(shù)據(jù)發(fā)送方和共享數(shù)據(jù)接收方的數(shù)據(jù)共享行為進(jìn)行管理。第三方機(jī)構(gòu)應(yīng)制定數(shù)據(jù)共享相關(guān)規(guī)章制度和文件，執(zhí)行并落實(shí)相關(guān)的管理制度，監(jiān)管數(shù)據(jù)共享行為。

共享數(shù)據(jù)雙方應(yīng)配合第三方機(jī)構(gòu)的指導(dǎo)和監(jiān)管，遵循數(shù)據(jù)共享的相關(guān)流程規(guī)定，不應(yīng)私自進(jìn)行數(shù)據(jù)共享。共享數(shù)據(jù)發(fā)送方應(yīng)保證發(fā)送數(shù)據(jù)的真實(shí)性，不得篡改數(shù)據(jù)；當(dāng)共享時(shí)限到達(dá)后，共享數(shù)據(jù)發(fā)送方應(yīng)檢驗(yàn)共享數(shù)據(jù)接受方是否歸還共享樣本、是否刪除共享數(shù)據(jù)。共享數(shù)據(jù)接收方人員不得私自獲取、復(fù)制、更改、存儲(chǔ)共享數(shù)據(jù)；當(dāng)共享時(shí)限到達(dá)時(shí)，共享數(shù)據(jù)接收方應(yīng)歸還共享樣本并刪除共享數(shù)據(jù)。

2.6 數(shù)據(jù)銷毀階段

數(shù)據(jù)銷毀階段是數(shù)據(jù)生命周期的最后一個(gè)階段。所有的數(shù)據(jù)都有時(shí)效性，收集到的生物數(shù)據(jù)在患者康復(fù)、研究結(jié)束或數(shù)據(jù)到達(dá)保存期限后應(yīng)被銷毀。

數(shù)據(jù)的銷毀可分為數(shù)據(jù)刪除和實(shí)物銷毀。數(shù)據(jù)刪除對(duì)應(yīng)于電子數(shù)據(jù)的刪除，需要采取一定的措施防止他人通過(guò)技術(shù)手段恢復(fù)存儲(chǔ)設(shè)備中的生物數(shù)據(jù)，例如亂碼數(shù)據(jù)覆蓋、設(shè)備格式化等。實(shí)物銷毀對(duì)應(yīng)于紙質(zhì)文檔、存儲(chǔ)設(shè)備、生物樣本的銷毀，其中：存儲(chǔ)設(shè)備應(yīng)采取永久消磁或徹底銷毀手段進(jìn)行處理；紙質(zhì)報(bào)告應(yīng)進(jìn)行粉碎處理；樣本應(yīng)按照相應(yīng)規(guī)章制度進(jìn)行處理。

各機(jī)構(gòu)需要在數(shù)據(jù)保存期限到達(dá)后銷毀數(shù)據(jù)。其中：對(duì)生物數(shù)據(jù)進(jìn)行處理、計(jì)算后的衍生數(shù)據(jù)應(yīng)設(shè)有保存期限，到期后應(yīng)刪除；共享數(shù)據(jù)到期后應(yīng)刪除；生物樣本等實(shí)物到達(dá)保存期限或不能使用后應(yīng)銷毀；數(shù)據(jù)主體在機(jī)構(gòu)違反法律法規(guī)或與數(shù)據(jù)主體的約定時(shí)，要求機(jī)構(gòu)銷毀個(gè)人數(shù)據(jù)時(shí)，機(jī)構(gòu)應(yīng)刪除數(shù)據(jù)并銷毀對(duì)應(yīng)實(shí)物；機(jī)構(gòu)停止運(yùn)營(yíng)后應(yīng)刪除所有生物數(shù)據(jù)并銷毀對(duì)應(yīng)實(shí)物。

各機(jī)構(gòu)的數(shù)據(jù)銷毀人員也應(yīng)遵循相關(guān)的規(guī)定，不應(yīng)保留、復(fù)制銷毀數(shù)據(jù)，應(yīng)檢查銷毀結(jié)果，若有遺漏則再次銷毀。

3 平臺(tái)實(shí)現(xiàn)

本文基于OpenStack初步建立了一個(gè)大數(shù)據(jù)平臺(tái)，提供了電子數(shù)據(jù)的安全保障管理環(huán)境。

本平臺(tái)為每個(gè)業(yè)務(wù)系統(tǒng)建立專用的虛擬資源空間，使之在相對(duì)隔離的環(huán)境中可信、高效地運(yùn)行，并可按需靈活調(diào)整。具體功能包括：平臺(tái)物理資源調(diào)度和管理、虛擬運(yùn)行環(huán)境的自動(dòng)化配置和交付、平臺(tái)性能監(jiān)測(cè)和優(yōu)化等。

除此之外，為了保障平臺(tái)和平臺(tái)中各系統(tǒng)的信息安全，如圖 1所示，本平臺(tái)采用基礎(chǔ)平臺(tái)安全防護(hù)，基于虛擬化的安全隔離、安全初始化及交付、接入控制、安全審計(jì)監(jiān)控、多粒度訪問(wèn)控制等機(jī)制，建立安全保障體系，為平臺(tái)和系統(tǒng)的運(yùn)行提供安全服務(wù)。

圖1 平臺(tái)安全服務(wù)部署情況

本平臺(tái)的基礎(chǔ)平臺(tái)安全防護(hù)采用了控制平臺(tái)和業(yè)務(wù)平臺(tái)相對(duì)分離的思路?？刂破脚_(tái)完全對(duì)外隔離，僅連接平臺(tái)的物理資源；業(yè)務(wù)平臺(tái)是構(gòu)筑于控制平臺(tái)之上的虛擬化平臺(tái)，可對(duì)外連接?？刂破脚_(tái)與業(yè)務(wù)平臺(tái)間的連接將受到嚴(yán)格控制，安全防護(hù)的重心將放在控制平臺(tái)。針對(duì)控制平臺(tái)，我們根據(jù)網(wǎng)絡(luò)、主機(jī)、存儲(chǔ)設(shè)備的具體規(guī)劃，采取相應(yīng)的安全防護(hù)機(jī)制，包括外網(wǎng)部署防火墻、內(nèi)網(wǎng)劃分獨(dú)立網(wǎng)段、采用統(tǒng)一身份驗(yàn)證和授權(quán)管理、關(guān)鍵通道入侵檢測(cè)設(shè)施等。

基于虛擬化的安全隔離為每個(gè)虛擬機(jī)分配專用的計(jì)算、存儲(chǔ)和網(wǎng)絡(luò)資源，可防止殘余數(shù)據(jù)的利用，消除側(cè)信道。安全初始化及交付階段采用隨機(jī)化因素改變虛擬空間的缺省安全機(jī)制配置，并通過(guò)安全的通道和環(huán)節(jié)將相關(guān)的認(rèn)證因子進(jìn)行交付。

接入控制部分提供身份認(rèn)證和授權(quán)管理服務(wù)，采用安全接入機(jī)制使授權(quán)用戶進(jìn)入系統(tǒng)，防止非授權(quán)用戶對(duì)平臺(tái)和系統(tǒng)造成損害。

安全審計(jì)監(jiān)控實(shí)現(xiàn)多層次監(jiān)測(cè)數(shù)據(jù)的關(guān)聯(lián)分析，并向用戶提供對(duì)監(jiān)測(cè)數(shù)據(jù)的查詢和分析服務(wù)，實(shí)現(xiàn)安全審計(jì)。用戶通過(guò)安全審計(jì)和監(jiān)測(cè)服務(wù)，可實(shí)現(xiàn)對(duì)相關(guān)事件的溯源。

多粒度訪問(wèn)控制機(jī)制能實(shí)現(xiàn)對(duì)多樣化數(shù)據(jù)資源的保護(hù)。生物醫(yī)療大數(shù)據(jù)類型駁雜、體量巨大，難以采用統(tǒng)一的數(shù)據(jù)訪問(wèn)控制機(jī)制，因此本平臺(tái)采用了多粒度的訪問(wèn)控制，對(duì)資源類型和資源實(shí)例進(jìn)行權(quán)限管理。

業(yè)務(wù)系統(tǒng)在上線運(yùn)行后會(huì)面臨各式各樣的數(shù)據(jù)安全挑戰(zhàn)，相應(yīng)的安全防護(hù)措施是必不可少的。本平臺(tái)為電子數(shù)據(jù)安全保障提供了必要的安全服務(wù)，降低了信息安全風(fēng)險(xiǎn)。但對(duì)數(shù)據(jù)的攻擊手段是不斷變化、不斷發(fā)展的，因此，本平臺(tái)會(huì)在未來(lái)繼續(xù)完善數(shù)據(jù)保護(hù)措施，使電子數(shù)據(jù)保護(hù)方案更加完備。

4 結(jié) 語(yǔ)

當(dāng)下我國(guó)醫(yī)療衛(wèi)生領(lǐng)域在生物醫(yī)療大數(shù)據(jù)的使用方面尚未形成標(biāo)準(zhǔn)的規(guī)范，這導(dǎo)致數(shù)據(jù)的安全保障管理方面存在很多風(fēng)險(xiǎn)。本文則以數(shù)據(jù)的生命周期為基礎(chǔ)，面向數(shù)據(jù)使用者和管理者，給出在數(shù)據(jù)采集、存儲(chǔ)、訪問(wèn)、應(yīng)用、共享、銷毀等階段的隱私安全保障建議。希望能以此為基礎(chǔ)形成生物醫(yī)療大數(shù)據(jù)監(jiān)管規(guī)范框架并撰寫數(shù)據(jù)共享的保障監(jiān)管規(guī)范。

同時(shí)，本文建立了一個(gè)基于OpenStack的大數(shù)據(jù)平臺(tái)，為數(shù)據(jù)系統(tǒng)的運(yùn)行提供了安全的防護(hù)，保障了電子數(shù)據(jù)的安全。