28、医疗记录信息安全与隐私保护

医疗记录信息安全与隐私保护

1. 共享密钥与化名模型

患者丢失安全密钥的情况时有发生。为了保障数据安全，可以采用共享密钥的方式，让多个个体共同持有一个共享密钥，只有当他们一致行动时才能访问患者数据。例如，在 n 个操作员中，可能需要 k 个操作员一致行动才能揭示患者数据，这样可以降低部分操作员恶意合谋滥用数据的风险。

化名模型旨在平衡隐私保护和服务效率。它在加密层面提供了较高的隐私保护，但这也使得系统更加复杂，资源消耗更大，体现了隐私和系统效率之间的权衡。

2. p - 敏感 k - 匿名性属性

虽然患者是其医疗数据的最终所有者，但有时为了更大的利益，需要披露这些数据。许多患者会将数据提供给值得信赖的医疗组织用于研究。然而，由于多个组织同时参与医学研究，对这些数据的访问控制很难实施，即使链条上有一个薄弱环节，也可能使整个数据库面临诸多风险。

不过，利用大量准确的患者数据进行医学研究的好处远远超过了个人隐私被侵犯的风险。但这并不意味着可以在暴露患者隐私的情况下进行数据披露。因此，许多法律法规要求在数据用于研究之前满足一定的基线条件，例如在数据发布前去除姓名、联系方式等属性。

然而，这些法律法规强制执行的技术最多只是初步的，因为有许多先进技术可以用于对患者进行画像。例如，通常留在数据库中的邮政编码、性别、出生日期等信息，与已知的公共数据库进行交叉引用，可能会泄露许多患者的身份。

为了增加患者数据的隐私性，可以采用 k - 匿名性属性。如果一个数据库满足 k - 匿名性属性，那么任何类型的画像都无法追溯到规模小于 k 的个体群体。虽然该属性能够防止身份披露，但无法防止另一种类型的披露，即属性披露。