隐私变迁与挑战关健(中国医学科学院北京协和医院&国家人口健康科学数据中心(临床医学)
和肿瘤专题数据服务,北京102732,dpumch@ 190. com)〔摘要〕个人健康隐私的保护是医学科学数据共享与再使用面临的挑战之一。受保护的个人健康信息
随着生命科学的进展,特别是新一代测序技术在生物医学研究中的广泛应用而发生变化。随着临床基因测
序的应用,基于电子健康记录的研究也带来遗传隐私风险。此外,数字化储存和电子传送极大地增加了隐
私泄露的风险。共享数据的价值被认为与数据的完整性成正比,数据共享中必须处理好隐私保护与数据价 值之间的矛盾和平衡。FAIR原则和去识别数据分别是再利用的数据标准和隐私保护的国际共识。通常这 两个原则并不矛盾,但是不能解决所有问题。因此,建议包括分级共享等多种策略相结合。我们将在数据
共享的伦理要求和管理规范中作为焦点内容之一进一步讨论。〔关键词〕数据共享;个人健康隐私;受保护的健康信息;隐私保护;遗传隐私;去识别数据;FAIR原则
〔中图分类号〕R-052 〔文献标志码〕A 〔文章编号〕1001 -5565(2020)03 -0265 -06DOI:!- 12026/j. issn. 1201 -5565.2020.03.27Ethicci Reauiremeatt and Managemepr Shndai'ds for tha Sharing and Ra - use of ScieptiPc
Dath in Health Carr and Meaicina ( H ) Privvcc Changat and ChallengatGuanJnan(Thc Nationnt Populatiou ant Health 50.1x1100 Data Cerarc Peking Uniou MSgat CoUeqc Hospital: Chinese Acalemy
op MeUPat Scieacco & Peiinq Union Mekicat CoUeqc, Beqing 120732, ChiTrn. E - maiggjpumch@ 122. com)Arstract: Protection of individual health privvee m one of the challedges faced during sharing and re - use of
scientific data in healtPcare. The protected individual health information has changed with the provress of UV science ,upuimty the next - yederatiou sepuencing (NGS) has been widfy used in biomedicat research. Electrichealth record (EHR) - based secondary research also poses y—om privvee rishs with the advent ot clinicat yene s—uuemy. D addition, the rish of privvee disclosure increases yreatly throuad digital storaye and release- D is be
lieved that the vvlue of the shared data is Uirectty pronortional to the inteprity of data; and the contradiction betoeen
privvee pretectiou and data vvlue must be balanced in practice - Nowddays, FAIR principles and de - idenPfication are suayested as international consensus for second 1^—\"-1 data standard and privvee protection respectivety. Thep cemivt solve alt the proUlems in practice, althouad there is no contradiction yederalty. Thus, a combination of strip
epies is suayested, incluuing hierarchicat shdriny- Then we wilt ^!!!/”!\" discuss privvee pretectiou as one of the fo-C2SVS in the ethicat repuirements and manayement norms of data shdring.Keywonlt: Data Sharing ; Individual Health Privvee ; The Protected Health Information ; Privvee Pretectiou ; Genetic Privvee; De - idedtificatiou Data; FAIR principles互联网和大数据时代,数据共享成必然趋势, 共享是大数据建设和精准服务的前提和基础。但
通、出行、通信、电子购物及其运输等),还是医疗服 务等都涉及隐私权的保护,隐私的内容、范围、泄露
是,随着数据产生、传播和分析等技术的发展,无论 的速度和影响等均与传统服务和传播有所不同。 有专家认为面对大数据,传统的隐私法律面临崩是涉及金融(如银行、保险)、生活日常服务(如交 —265 —中国医学伦理学Chinese Medical Ethics2222年23月Mas. 2222第33卷第23期Vol. 33 No. 23盘。数据共享和大数据带来服务的精准增加隐私
泄露的风险7 ],服务越精准,信息泄露隐患越大。
法取得并确保信息安全,不得非法收集、使用、加
工、传输他人个人信息,不得非法买卖、提供或者公 开他人个人信息。”在《侵权责任法》第2条中也用
医学科学数据涉及的健康隐私具有独有的内容和 特点。生命科学技术的发展和互联网、大数据分析
列举的方式明确隐私权作为民事权益被侵害时,应
技术的广泛应用,使健康隐私信息,也可以称为受
保护的健康信息(Protected Health Infounation, PHC ) 的内容和形式不断发生变迁,医学科学数据的共享
过程中隐私保护面临更多的挑战和问题。1隐私保护是医学伦理要求更是法律要求医学科学数据的共享必须遵循生命伦理学的 基本原则。特别是涉及人体的研究产生的数据的
共享和使用。隐私保护是生命伦理学基本原 则一一有益原则应用在涉及人体的医学研究受试
者和数据共享的个人参与者保护的重要要求。科学研究产生了巨大的社会效益,但同时引起
一些令人不安的伦理问题。《贝尔蒙特报告》确定 了开展涉及人类受试者的生物医学和行为研究所 应遵循的三个基本伦理原则一一尊重人、有益和公
平原则,为指导解决涉及人类主体的研究所产生的
伦理问题提供了一个分析框架7 ]。隐私保护是有 益原则应用于涉及人类主体研究的伦理要求。有
益原则是指受试者应该受到伦理对待;不仅要尊重 他们的决定,还要保护他们免受伤害,且努力保障 他们的福祉。《贝尔蒙特报告》中把有益原则解释
为一种义务,并相应的制定了两个一般性规则,即: 不损害和最大化潜在利益并尽量减少可能的危害。
要求在特定研究或项目,研究人员、数据提供者及
其相关机构有义务事先考虑研究或共享过程中利
益最大化和风险降低,包括隐私保护及隐私泄露的
风险。1948年联合国大会通过的《世界人权宣言》将
隐私权确定为一项基本人权7 ] O只是不同国家、不
同时期的隐私保护内容有所变化。隐私权是我国
公民的基本权利,公民的隐私权受法律保护。我国 《宪法》第38 -44条分别从公民的人格尊严、公民
的住宅以及通信自由和通信秘密方面作了规定,为
我国日后完善隐私权制度提供了宪法依据。民法
总则第五章民事权利中有隐私权的直接条款。其 中,第119条明确提出自然人享有隐私权。第111 条则进一步规定“自然人的个人信息受法律保护。
任何组织和个人需要获取他人个人信息的,应当依
当依照该法承担侵权责任。程序法,如《民事诉讼
法》也有保护隐私的相关规定。数据共享中的隐私
保护的对象是数据的贡献者一一产生数据的个人 参与者,保护隐私是数据共享的必要先决条件。2个人健康隐私概念和数据共享的潜在隐患医学科学 共 与 用 医学科学研究和疾病诊治等具有重要意义和潜在的巨大社会效益,
同时,共享的无论是解决医学科学问题的研究,还
用于研究的医学 , 泄露个人健康隐私的行为都可能会产生严重的后果。美国《健康 保险可携带性和责任法案》(the Health Inscranco
Portanilitf and Acconntanilitf Act,HIPAA)隐私规则
保护健康信息的去识别方法指南,把受保护健康信
息(Protected Health Infounation,pH))确定为该法案 的适用实体或其商业伙伴以任何形式或媒介传输
或维护的可单独识别的健康信息7 ]。该定义下豁
免了少数类别的个人可识别健康信息,例如在该实
体作为雇主持有的就业记录中发现的个人可识别
健康信息。医学科学
共 和 用 重 健康信息的保护。数据共享(Data SSaring)是指公开或
在特定访问条件下向其他研究人员提供个人水平 数据,包括原始数据和/或衍生数据;并包括数据用 户之间的数据传输或数据交换。数字化储存、电子
传输 共 的基 , 个人参与 的 泄露风险大大增加。而个人健康隐私信息对公民具
有更大的潜在危害性。2218年5月1日实施的国 家标准“信息安全技术个人信息安全规范”(以下简 称“个人信息安全规范”)把健康生理信息与身份证
件号码等一并归为个人敏感信息,即“一旦泄露、非 法提供或滥用可能危害人身和财产安全,极易导致 个人名誉、身心健康受到损害或歧视性待遇等的个
人信息7 ] O如健康体检信息的泄露(如乙型肝炎病
携带 )
致当事人的 作就 歧 和健康险歧视。因此,一些保险公司要求共享健康体检数
据是绝对不能允许的,且这与保险公司的初衷相
悖。疾病及其诊疗信息,特别是涉及一些敏感信息
—289 —网址与投稿:http: /yxllx. xjtu. edu. cn或疾病数据的泄露,可能不仅导致个人的声誉或者 生活和工作受到严重影响,还可能影响其家庭”如
测信息(器官、组织和细胞)也成为人工智能的研发 基础”与 部位的图像信
,人的面部信息的心理障碍、精神疾病或一些遗传性疾病信息的泄 露, 、获
家庭带来不利影响;性传播疾病(如梅不仅直接构成个人健康 信息,也是传统
重要组成部分”未经当事人允许,对一般人群(包 括
作人员)和疾病人群的面部
缺 )感染者和 信息的的收泄露将给其家庭带来极大的生活、工作压力和不利 ,无论直接商用,还是用于人 分析、研究或影响” ,对个人参与者保护的要求应 医学产品研发(如疾病诊治软件等)都涉嫌侵犯 应用人脸识别技术的面部
科学数据共享和使用的必然伦理要求”识别和收集的应用3个人健康隐私内容和传播方式变迁及其影响数据共享中不可避免的一个挑战是健康隐私
”生命科学技术的进展,为疾病诊治
应 规 和管理”-图5对面部的基因组预测图和真实图比较:
新的机遇和 ”分子遗传学检测技术的临床真实(左)预测(右)图片来源:LippeO C, ot ai, Prcc NO AcO Sol U S
应用,使更多的疾病被证实有遗传性因素参与或决
定”更多疾病成为广义上的遗传性疾病,如心脑血 管等慢性疾病、恶性肿瘤,甚至肥胖、、
海默症术A, 2017等均一定的遗传基础。随着新一代测
互联网和大数据时代隐私的潜在传播方式和
医学研究的广泛应用、临床基因组学的进展,个 人和其家庭的遗传信
范围也有所变化”传统的纸质版健康 信息的 传播,对个人的影响有限”如果
经成为研究、医疗和全传播,发共享的 个人健康隐私信息9 ] ”“个人信
现 泄露后采取措施,可以尽快限制隐私泄露的规范”中个人敏感信 的个人生物识别信息,,大
”而互联网 ,电子数字化健康信息往往通可以理解为个人遗传信息”事 分过互联网、自媒体等传播媒介,个人健康信息的传
术使基因组测序信息完全构成个人隐私和个人健
播快速而广泛,使隐私泄露
”网 的
可预知和难以控以管理康 信息”通过基因组测 果逆推人的外貌传输和共享,如果
为可能”有研究报道,在线个人图像
与大型基 与
,重要的 和信息一旦传输或发布,不受地
(如23andme)共存,将基因组数(如眼睛和肤色)
来获:殊型可以预测三维域的影响,全球几乎可以同时获知” ,医学科学,包括医学大 的共享和使用,陆保 护难度加大,责 为 ”的相关性;通过基因组
面部结构、声音、生物年龄、身高、体重、体重指数、
3. 1 数据共享中隐稻保护的挑战第一,数据共享与 的实现与
护的矛盾”共享价值护之间的矛盾关系如同防火和防”正如互联网和大
眼睛颜色和肤色等”甚至可以高精度预测遗传上
的性状,如眼睛颜色、肤色和性别;结合现代的 面部和语音识别系统达到了重新识别人类的性能”
盗之间的 分泄露的巨大风尽管仍处于初期,但对面部的基因组预测可能有助 于识别个人(图1)9] ”遗传信息作为隐私的逆向识 别不可避免地将带来对个人、家庭、工作和生活的
便利和精准 的 ,文
险”天网成为刑事破案神器,有效地震慑犯罪,但
个人生 产生大 ,无论
暴露在无处 的 术和科
的基因歧视”与此同时,基因检测和基因测序及其数 据共享的
和化增加个人健康信息和遗传信息泄,笔者认为“个人信
融(如银行、保险)工作,还是生活日露的风险9 ] ” 全规范”常(如交通、出行、通信、电子购物、物流等),隐 的、范围、泄露的速度和影响等均与传统服
中对“个人信息经 化处理后所得的信息不属于个人信息”的观点不完全适用个人健康信息”夕卜,医学 和人 的 的成果具有
务和传 所不同,有专家认为 大 ,传统的 法 临 ”可以说,数据共享和大 '
巨大的经济效益”人体各部位不同层次的图像检
—299 —带来服务的精准与信息和 泄露的 正中国医学伦理学Chinese Medical Ethics2222年23月Mas. 2222第33卷第23期Vet. 33 No. 23比的,服务越精准,信息泄露隐患越大。类似地,个
人水平
中最基本的要求就是共享数据的去隐私化处理。
的共享,其最终目的是促进
的完整度与
。共享的
的二次的潜在价如《美国联邦法规 》第45卷第46部分,也被称分析和再利用,共 值呈正向
为“共同规则”,要求为进一步研究发布 之前对越完整,包含的信息越数据进行去标识7 ] o hicaa隐私规则还概述了两 种常用的方法:“专家判定\"(Exp— Deteunination )
,数据再使用的科学价值越大,但其个人健康隐
私信息泄露的风险也越大;反之,健康隐私信息的
过度保护,则医学科学
共
。和“安全港”(Safe HarVor)727。“专家判定”方法
要求统计专家应用统计和科学原则, 可第二,数据共 护的 相关者众多。识别,或使重新识别的风险非常小。“安全港”
医学科学 个人
共 护面临的另一严重,如子女教育信息、方法要求删除适用于美国人群15个可用于识别个
护责 属问题。目前互联网和大人或其亲属、雇主或家庭成员的直接识别码。欧盟
(European Union)立法和欧洲药品管理局(European
信息泄露
购物和商业信息等,生活中经常 教育广告和银和 后Medicidvs Auedcy,EMA)政策中也有相关考虑。欧
行贷款的骚扰、网络诈骗等。而且被
盟 法规定,“保护(数据)的 应适的法律救济一一路径不清、维权困难。一方面因法
用于以 主 再可识别的方式 0272实施指南
的为律法规滞后于科学技术
共
完善;另一方面是。”79 ] EMA.
“
利益相关者众多隐私泄露责任认
临相似的问题。医学科学
。医学共 :呈现为不识别个人和 可能进行识别的为“ 识式的过 ”; 组合识别个人的
识别
践中,明确规
及利益相
共享中利益相
。但是医学科学
护的共别个人的形式的 ,以及 可能通过与.数全规责 属和要求更为
”73。“个人信
。如图2所示,除了个人参” 化 为“通过 个人信 的 术处理,
与者(( 用者和 题,以及规范相
)和 共
持有者,还包括 '使的第三方
个人信息主体无法被识别,且处理后的信平台等。履能被复原的过程”。《科学数据管理办法》第25条
规定“涉及国家秘密、国家安全、社会公共
需要面对如何明确各方隐私保护的责任和义务问
准和要求,并促使各方
行相关责任和义务。、商、保和个人 的科学数据,
知
外 共。”从2025享;; 夕卜 的, 用目的、用户
共
等进行审查,并严格
年承担国家医学科学
平台(2219年9中心)临床医学月被认定为国家人口健康科学 和
题科学数据的共
把去识别和
,我们在探索和实践中 化 共 【终,包括网作为最基本的 之一。所有共享的
平台共享的样
图2医学数据共享的利益相关人示意图
均删除涉及个人健康隐私的一般和专业标识符,如姓名、住址、电话、住院
EMRs :健康医疗记录;NGS :新一代测序号等。第五,数据标准的FAIR原则。为了促进共享
第三,医学科学 共享中 私保护和数据共享的平衡。鉴于 的
护,
护策略。促共享中进可持续 的医学科学 共享,需要处理好隐
可用于进一步研究,各国。保护个人参与数据可用于进一步研究的目的,国
用79-15 ] o
包括:①可查
践提出了共享数据标准的FAIR原则,已在世界范围内采
(Findante):数据已进行了探索和实践,获得两个主要共识。应
。其一且持 可识别的, 研究人 应清楚的;③—221——
第四,去识别
者的
的
够找到数据;②可访问性(Accessible ):对人类和计
共享的必 算机来说,可以使用 的条件应
网址与投稿:http: /yxllx. xjtu, edu, cn互操作性((nteoperaUie):互操作性是指来自非协作 资源的数据或工具以最小的努力集成或协同工作 的能力”数据应该是机器可读的,并使用领域中常 用的术语、词汇或本体;④可重复使用(RensaUie):
数据应符合上述要求,并充分利用元数据和出处信
息进行描述,以便数据源能够与其他数据源链接或 集成,并能够进行适当地引用”第六,分级共享的综合隐私保护策略” FAIR原 则与隐私保护通常情况下并不是矛盾的”但是,有 些隐私信息本身可能是研究或再利用的内容”因
此数据共享实践中,仅仅原则共识是不够的”医学
科学数据共享需要根据涉及的隐私内容和潜在风 险进行分级共享”理想的分级共享策略是根据隐 私内容和潜在风险确立数据风险等级评估标准,进 而设立相应的数据共享模式和管理方式”我们同 意美国HICPA隐私规则中的观点,经过统计分析的
没有个人水平数据的分析报告不属于受保护的健
康信息”在分级共享中,提供统计结果可以理解和 作为最严格的数据共享方式,即共享元数据,适用
于隐私信息是研究内容或一些涉及个人健康敏感 信息的数据”个人水平数据不允许访问,但是可以
应申请由数据持有者或提供者根据申请,直接提供 统计分析的汇总结果,如地区一级的人口普查数
据”此外,医疗保健机构或组织对于患者的隐私保 护通常采用的多层去标识策略,对医学科学数据的
共享与使用的分级管理有一定启示”如可以采用 至少两层去标识策略:①公共用途:一些去隐私化 的数据为公共用途可以直接完全共享,如去除个人
隐私和单位信息的药物不良反应数据;②限制访 问:提供元数据、共享数据的整体信息描述和少量 去隐私化的样例数据,应申请可以提供适当数量的 个人水平数据”采取限制访问的方式,既可以共享
正在研究的数据信息,又可以避免一般个人健康隐 私信息的泄露,适用多数去隐私化的医学科学数
据,包括一些在研数据,也是我们应用最多的数据 共享方式”分级共享具体可以参考共享临床试验
的患者水平数据保护隐私的一些做法”如通过隐 藏某些数据属性而不是直接访问数据的应用程序 进行数据挖掘,确保在公共数据库中无法识别特定
个人的多样性/封闭性模型,以及数据简化技术来 转换数据以保护受试者的隐私等”——
292—理论上,没有190%的数据隐私保护管理或技 术方案,重要的是数据持有者、数据提供平台等所
相 应 重 个人健康 的 护
履行责任和义务”作为国家人口健康科学数据中 心(临床医学)和肿瘤专题数据服务,我们采取多种
策略或方法结合使用,尽量降低相关风险”如采取 管理、技术安全措施,根据数据类型、来源和数据量 等拟定数据风险分级标准;并依托两个服务平台的 数据管理系统,与徐州医科大学医学信息工程学院
作研 化 管理平台和 台 挖掘平台”此外,与数据持有者和或数据使用者签署 通用数据共享章程或者数据共享协议(Data ShaOng
Agreemeni ; DSA ),把保护个人健康隐私的要求列为
重要的协议约定和条款”要求隐私保护的首要责 任人一一收集数据的研究人员、机构或其他有意愿 进行数据共享的数据持有者,必须评估确认个人健
康隐私信息的潜在总体风险很低,进而通过机构或 我们设立的数据使用审核委员会审核确认或把关”总之,医学科学数据所包含的个人健康隐私内 容和传播方式、影响范围等都具有一定的变迁,加
共 过 中 及 相
, 健康私的保护面临挑战”目前数据共享国际原则共识
是去识别数据和FAIR原则”负责任地数据共享应
该处理好数据价值与隐私保护的矛盾,风险评估和 分级共享等综合保护策略,我们将在后续的伦理要
求和管理规范(伦理审核指南)的体系中逐渐深入 的探讨”〔参考文献〕[]
Laue J and Schur C. Balancing Access to HealthData anU POvacy: A Review of the Issues and Ap- poaches for the Future [ J ]. Health Seo Res:
2210, 45(5 Pt 2) : 1456 -1469.[2 ]
Office of the Secretap: Ethicai POnciples andGuidelines for the Protection of Human Subjects of
Research [ R ]. The Nationai Commission for the Protection of Human SuUjects of Biomedicoi and
Bedavioral Research. THE BELMONT REPORT. 1979 -04 -18.[3 ]
Kayaalp M, Patient Privacy in the Era of Bip Data[J], BalUan Med J ,2015; 35(1) : 8 -15.中国医学伦理学Chinese Medicet Ethics2020年03月Mar. 2022第33卷第03期Vcd 33 No. 23[4]
46 CFR § 190. 193 DefmiPons. Department of26) [2019 - 19 -16]. http://www. hhs. yoe/
Health and Human Services]Z]. 2013.[6]中华人民共和国国家质量监督检验检疫总局&
sites/ke£aull//les/ocr/prevvcy/hipa8/iny/coverePentiPes/De - idedtificatmn/hhs _ deid _
中国国家标准化管理委员会•信息安全技术个 人信息安 全规范(GB/T 35273 - 2215 ) [S].
yuidance. pdf.[12] Tuc2vi' K,Branson J, Pleen M,et at. Protecting pa-
(2015 -12 -29) [m -05-01].[6]
Pent privaca when sharing paPent - level data from
Fisher CB and Layman DM, Genomics, Bip data, and broad consent: a new ethics frontier for pre-
clinmai t/m”[J]. BMC Med Res MetPoUoi,2010, 16( Suppl1) :77.[13] Eurouean Medicines Ayency. External yuidance on
venPon semnee [ J ]. Pree Scl, 2015,19(7) : 571 -579.the implementation of the Eurouean Medicines A-
[7] Lippert C, Sadatinl R, Mader MC , et ad IdentifP yedcy poUcy on the pubUcatiou of clinical data for mePminai proUncts for human use [ EB/OL ]. (2016 -03 -02) [2019 -19 - 11 ]. http://tww.
catiou of mnividuats bs trait prediction using whole -yenome sepuencing data [ J ]. Proc Nati Acad Scl USA,2215,116(35) :10166 -10171.[] 关健.基因组时代分子遗传学检测应用涉及的ema. enroua. en/kocs/ed_GB/koc2medl_lidrere/ Repulatory - and _ procedurai _ yuidenne/2016/k3/ WC560202221. pdf法律和伦理问题[J].中国医学伦理学,2015,
31(3) :273 -277.[16 ] Boeckhont M. , Zielhuis G. A. , Bredenoord A. L.
The FAIR yuiding principles for data stewardship:
[9] U. S. Deparemedt of Health and Human Services-
CoUe of Federal Reaulatmus. Title 45. PuUUc OP enouah? [ J]. Enr J Hum Genet:2017 (20 ):
Welfare, Part 46 Protection of Human Subjects
[EB/OL]. i 2019 - 16 - 25 ]. http://www. hhs.
931-9362[15] Wildinsou M, Dumoutier M, Aaldershery I , et ad
yoe/dUrp/kumaPSubjects/kuidance/45cfre6. htmd[9] HIDAA Privaca Rwte 169.519(p) [Z].The FAIR Guiding Principles for scientiPc data
manaaemeni and stewardship [ J/OL ]. Scl Data. 2016:3,160015. https://dod ory/19. 1035/sVpp.
[11] The Office for Civil Rights ) ORC , US) ■ Guidance
Reparding MethoUs for De - identiPcatmu of Pro2016 15tected Health Information in Accordance with the 收稿日期:2222 -02 -06修回日期:2222 -02 -23
(编 辑 吉鹏程)Health Insurance Portadilitp and Acconntadilita Act
(HIDAA) Privvca Rule [EB/OL]. (2012 - 11 -
向战# 钱的—203 —
因篇幅问题不能全部显示,请点此查看更多更全内容