随着社会的发展及信息的广泛深入，隐私问题越来越受到人们关注，尤其在医疗领域，更显得尤为突出。由于在实际医疗活动中，医疗机构为了诊断、科研及教学需要，必须经常大量采集、发布、利用各种医疗数据，而这些数据就包含着个人的隐私信息。医疗数据的扩散难以控制个人隐私信息的泄露，因此仅靠法律规范来约束是远远不够的，必须采用必要的技术手段来解决隐私保护问题。

1前言

2009年5月，卫生部发布了《健康档案基本架构与数据标准(试行)》和《基于健康档案的区域卫生信息平台建设指南(试行)》等文件。作为临床信息系统核心的电子病历(EMR)因其存储量大、节省资源、查询方便、共享性好、有利于提高诊疗工作效率等优点，开始在医院推广应用；同时，医保、远程医疗、科研教学的需要，以及数据传输标准的确立和推广，也使得电子病历的应用更加深入。电子病历储存了患者个人的基本情况、健康状况、疾病发展、诊疗情况等信息，包含了大量病人隐私，而因其易传播、易复制等特征，也使患者的隐私保护出现了新的问题。医疗信息的泄露途径主要包括两方面：从医院内部信息系统中泄露，即非交互式泄露；在医学数据的科学研究过程中泄露，即交互式泄露。针对第一种情况，传统方法是使用数据加密等技术解决，不足之处是密钥管理困难、面对海量医学数据使用成本较高：第二种情况，常用的方法是使用基于角色访问控制技术(RBAC)。但随着系统运行，角色数量会逐渐增多，当达到一定程度时会使得角色层次关系变得异常复杂。由此可以看出，目前医疗信息保护技术已不能满足需要。尤其随着电子病历的出现和推广，要求有更加灵活、高效的隐私保护技术。因此，急需对面向电子病历的隐私保护技术进行分析研究，以更好地维护患者隐私权、保护患者切身利益，促进我国医疗行业健康发展。

2医疗信息隐私保护的重要意义在医疗过程中，围绕患者疾病和医疗行为会形成关于患者身体特征、健康状况、疾病情况的客观记录，其中既包括医学检查结果记录、患者身体表征记录、疾病诊断记录，以及与健康有关的各方面情况，还包括所有这些情况蕴含的信息。例如，某种疾病能反映出患者的生活方式、折射出患者的家族遗传历史，或患者某种身体器官的病变具有研究价值、血液组织蕴藏的患者基因等，这些显性或隐性特征，全面记录着患者与该疾病甚至个人健康、生活、情感状况有关的事实。这些医疗隐私信息由于其特殊性而具有特别的价值。2．1医疗信息隐私体现患者人格尊严和价值医疗机构在对患者诊疗过程中，收集了大量关于患者生理、疾病、生育等方面信息，一经泄露将给患者的声誉及生活造成极大影响，可能会引起严重的道德甚至伦理问题。2．2医疗信息隐私具有特殊的经济价值医疗过程中形成的信息隐私内容多样，其中蕴含的资讯更加丰富，有着巨大的潜在价值，对于医学研究、商业开发、政府统计等均具有重要意义。如果医疗机构对患者隐私的尊重不到位，就会发生漠视、侵犯公民隐私权的现象，既影响医院的社会效益和经济效益，也严重侵害了患者自尊。因此，在医疗活动中，必须采用技术手段来解决相关隐私保护问题。3研究现状目前，国内外针对医疗信息的隐私保护研究主要从法律和技术两个角度展开。从法律角度来看，电子病历信息是个人信息的组成部分，主要是指在体检、诊断、治疗、疾病控制、医学研究过程中涉及到的个人肌体特征、健康状况、人际接触、遗传基因、病史病历等方面的信息。随着患者对个人医疗信息保护的重视程度逐步提高，越来越多的国家开始建立相关法律。早在1974年，美国就正式制定了《隐私权法》，被视为美国隐私保护的基本法。1996年美国国会颁布《健康保险携带和责任法案》(HealthInsurancePortabilityandAccountabilityAct，HlPAA)，针对医疗信息化中的交易规则、医疗服务机构的识别、从业人员的识别、医疗信息安全、医疗隐私、健康计划识别、患者识别等问题制定了详细的法律规定，以保护医疗数据安全和患者隐私-权。一11o2000年，美国卫生和福利部(HHS)依据该法授权制定《个人可识别健康信息的隐私标准》，标志着美国已为保护患者医疗隐私构建起一个完整且具有可操作性的法律体系。相比之下，我国对隐私权还缺乏相关规定。关于患者隐私权的保护，只有少数法律条文有零星涉及，如《执业医师法》、《护士管理办法》、《艾滋病监测管理的若干规定》、《医务人员医德规范及其实施办法》、《关于审理名誉权案件若干问题的解答》、《关于审理名誉权案件若干问题的解释》等。2002年，最高人民法院《关于确定民事侵权精神损害赔偿责任若干问题的解释》才将隐私作为一项独立的人格利益加以规定。

从技术角度来看，Ray等人基于电子商务隐私保护的研究经验将电子病历中的隐私保护问题分为七大类：认证、透明度、控制、采集、数据安全性、准确性以及标识。在此基础上，针对澳大利亚的HealthLink系统和美国的HlPPA系统进行了研究，并给出相应技术方案。Zhang等认为数据挖掘技术虽然在医疗诊断方面成功应用，但面对隐私数据时还需特殊处理，例如在医院信息系统中，财务部门进行数据分析时不能访问患者治疗记录。马伟等认为，电子病历的传输缺乏安全、统一的规范，通过网络传输资料面临着快捷和安全的冲突。王令群等认为由于医学数据对安全性和保密性要求都很高，而医学专业人员对数据分析和处理的能力有限，为防止隐私泄露，在将数据交给分析人员时必须对其进行必要处理。目前针对电子病历的隐私保护主要关注三个方面：面向原始数据的隐私保护技术研究；基于访问控制的隐私保护技术研究；构建隐私保护系统。3．1面向原始数据的隐私保护指数据拥有者提供共享数据给他人进行分析，但又不愿意透露原始数据的精确值。可先对原始数据进行干扰、匿名化等处理，形成新的数据集，并使新数据集不再明显含有个人隐私信息，同时保持原始数据分布特征，从而实现个体隐私信息的保护。Zhu等讨论了信息共享尤其是信息化社会给医疗行业带来的威胁，重点对链接攻击(1inkingattack)进行了关注。针对此问题，设计了相应的匿名模型和和泛化技术，即一种基于熵的K匿名模型来改进医疗信息共享模型，以保护医疗隐私。

Mohammed等针对香港红十字会．血液传输过程中设计的隐私问题进行研究，找出了影响传统匿名方法应用的主要因素。在此基础上，提出了一种基于匿名算法的LKC隐私模型来解决香港红十字会血液传输过程中的隐私保护问题。现实数据分析表明，该方法可以有效保留隐私数据中的相关信息供数据分析使用，且用于大规模j的匿名数据集。

Alhaqbani等使用假名来替代患者真实身份，让患者能够控制自己的隐；私信息，并用实例证明该架构在数据真实性和患者隐私之间取得了较好的：平衡。

Maglogiannis等提出一个面向患者远程监控系统的数据加密框架，采用基于点对点协议实现了一个原型系统。

高爱强等讨论了基于数据可用性的隐私保护匿名方法，主要讨论数据分析任务。如果对属性顺序敏感环境：下的数据处理方法，基于多维数据匿名化概念，讨论了一种方法来进行基于数据可用性的数据发布共享和匿名性处理方法。综上所述，目前大多数针对原始i数据的隐私保护方法都是基于数据匿名，数据匿名化的主要目标是在保证数据可用性的同时，通过适当损失一些属性值所包含的信息来提高数据的安全性。因此，匿名化原始数据集，j必然会造成信息的损失。数据的可用性和数据的安全性是相互矛盾的，两者之间需要找到折中平衡。目前，数据匿名化的研究工作主要是设计更有效的匿名保护模型，以及针对特定匿名保护模型设计出性能更好的匿名化算法。3．2基于访问控制的隐私保护访问控制技术是一种非自主强制访问控制技；术，支持特定安全需求的集中式权限管理，主要是针对越权使用资源的防御措施，基本目标是限制访问主体(用户、进程、服务等)对访问客体(电子病i历、医疗信息系统等)的访问权限，从而使医疗数据在合法范围内使用。

Smith提出了一种基于情境的访问控制模型来加强HIPPA的隐私保护功能。通过应用该模型，医疗机构可j以从事务规范的过程中获得巨大优势，弥补传统手工方式带来的负面效应。Mohammad等基于交互式架构提出了一种新的访问控制模型应用于医疗领域，该模型能够根据用户的行为i进行访问权限的动态设定。访问控制引擎动态地从目标用户处接收相关数据，根据不同的专业模块来确定用户访问权限。该模型使用标准的数据表示格式，并用一个真实案例证明其有效性。Blanquer等将加密和相关性技术应用于数据组织，使用自然语言的方式进行授权，提高了隐私保护水平。Martino等设计了一种基于多域隐私感知的访问控制技术应用健康系i统。该系统解决了电子病历访问过程中的安全与隐私保护问题，能够基于电子病历的元信息来限制访问。Patrick等提出了一种基于隐私扩；展的角色控制方法，该模型基于电子：健康情境信息，设计了一个决策支持模型与基于角色的访问控制模型进行交互来保护个人健康信息。刘逸敏等回顾了目前研究或已被采用的关系数据库中细粒度访问控制模型，以医院数据应用场景为例分析了模型在应用中存在的问题，并探讨了解决方法。从上述研究成果可以看出，大多数研究人员将关注点集中在基于角色的访问控制方面。访问控制是对信息系统资源进行保护的重要措施，有助于信息系统的拥有者选择和使用访问控制手段对系统进行防护。访问控制决定了谁能够访问系统，能访问系统的何种资源以及如何使用这些资源。适当的访问控制能够阻止未经允许的用户有意或无意地获取数据。然而，访问控制的实现手段较为复杂，通常包括用户识别代码、口令、登录控制、资源授权(如用户配置文件、资源配置文件和控制列表)、授权核查、日志和审计等，不易进行调整和管理。而规则引擎作为一种嵌入在应用程序中的组件，实现了将业务决策从应用程序代码中的分离，能够较好地解决这个问题。目前，规则引擎技术已在电信业的费用分担、的故障处理等领域应用，尚未有医疗领域的应用案例。因此，基于规则引擎的医疗信息隐私保护技术值得进一步探讨和研究。3．3构建隐私保护系统除上述对隐私保护的关键技术进行研究外，还有学者进行了一些系统性研究。Song等提出了一个面向环境服务模型的安全医疗隐私架构SHOES，包括认证服务、访问控制服务、隐私保护服务等，同时还建立了一个技术指南应用于患者信息的隐私保护过程中，使医疗信息的隐私保护更有弹性、易于管理。Gardner等提出了一个标识转换3(DEidentification)系统HlDE来保护患者健康信息，该系统采用条件随机场(ConditionalRandomFields)技术从非结构化数据中抽取标识属性，采。用K匿名方法进行标识转换处理。Lin等提出了一个针对电子健康系统的隐私保护方案SAGE，通过形式化推理证明该方案能够同时保护医疗隐私及其情境信息。通过对这三个系统的分析可以看出，目前多数系统研究人员将目光集中在技术方面，而忽略了对体系结构的研究和完善。而一个实用的隐私保护系统，首先应构建一个面向医疗信息的隐私度量模型。其次，要构建基于上述度量模型的匿名隐私保护方法。此外，还需要一个随情境变化的访问控制方法和一种基于安全多方计算的数据分析方法，在确保各参与单位数据不被泄露的基础上有效获得整体数据的分析结果，达到保护电子病历隐私的目的(见图1)。就目前情况来看，构建一个实用的医疗信息隐私保护系统尚需时日。

4展望隐私保护技术在诸多领域都有广泛应用，每类隐私保护技术也都有不同的特点，在不同的应用需求下，其适用范围、性能表现等都不尽相同。目前，就国内外总体研究状况而言，大多集中在原始数据处理、访问控制等隐私保护的初级阶段，而诸如电子病历的隐私度量问题、电子病历数据分析过程中的隐私保护等问题还未涉及，值得进一步研究。