邬金鸣,钱 庆,张丽鑫,等.人口健康科学数据中个人敏感信息分类研究[J].中华医学图书情报杂志,2020,29(11):8-15.DOI:10.3969/j.issn.1671-3982.2020.11.002
㊃研究与探讨㊃
人口健康科学数据中个人敏感信息分类研究
邬金鸣,钱 庆,张丽鑫,唐明坤,吴思竹
[摘要]目的:细化人口健康科学领域个人敏感信息类型,以期推进人口健康科学数据的开放和共享及个人敏感信息的立法保护提供参考,为人口健康科学数据平台的数据管理工作提供借鉴㊂方法:基于文献调研法考察了国内外个人敏感信息的界定,基于内容分析法总结了人口健康领域中个人敏感信息的类型,并进行了多维特征分析㊂结果:将人口健康领域中个人敏感信息细化为身份标识信息㊁生物特征信息㊁健康医疗信息3个大类,下分9个小类㊂结论:个人敏感信息细化分类符合依据不同领域特点将敏感个人信息具体化的国际立法的趋势,可作为制定人口健康科学数据收集管理策略和共享策略的参考㊂[关键词]人口健康科学数据;个人敏感信息;数据分类;开放共享
[中图分类号]R-058;TP309.2 [文献标志码]A [文章编号]1671-3982(2020)11-0008-08
Classification of personal sensitive information in population health science data WU Jin -ming ,QIAN Qi
ng ,ZHANG Li -xin ,TANG Ming -kun ,WU Si -zhu (Institute of Medical Information,Chinese Academy of Medical Sciences /Beijing Union Medical College,Beijing 100020,China)
Corresponding author:WU Si-zhu
[基金项目]国家重点研发计划精准医学研究重点专项课题
重大疾病精准医学数据库”(2016YFC0901602);中国医学科学院医学与健康科技创新工程项目 肿瘤生物样本库与精准医学大数据的深度挖掘与利用”(2017-I2M-2-003);中国医学科学院/北京协和医学院医学信息研究所/图书馆新冠肺炎疫情专项项目 面向新冠肺炎临床病例数据共享的隐私保护机制研究”
(2020XG003)
[作者单位]中国医学科学院/北京协和医学院医学信息研究
所/图书馆,北京 100020
[作者简介]邬金鸣(1995-),女,山东潍坊人,在读硕士研
究生㊂
[通讯作者]吴思竹(1981-),女,河北乐亭人,博士,副研究
员,研究方向为医学科学数据共享,发表论文40余篇㊂E-mail:wu.sizhu@imicams.ac [Abstract ]Objective To classify the personal sensitive information in population health science data in order to provide reference for promoting the opening and sharing of population health science data,legislation and protection of personal sensitive information,and data management of population health science data platform.Methods The domestic and foreign personal sensitive information was defined based on literature survey.The types of personal
sensitive information in population health science were summarized by content analysis.The characteristics of per⁃
sonal
sensitive
information
were
analyzed
by
multidimensional analysis.Results The personal sensitive information in population health science was classified into 3big classes,namely identity information,biological charac⁃teristic information,health and medical care information,which were further classified into 9small classes.Conclu⁃
sion The classification of personal sensitive information is confirmed to the international legislation trend in specific personal sensitive information according to the characteris⁃tics of different fields and can be used as a reference in
working out the strategies for data collection and manage⁃ment in population health science.
[Key words ]Population health science data;Personal sen⁃sitive information;Data classification;Opening and sharing ㊃
8㊃中华医学图书情报杂志2020年11月第29卷第11期 Chin J Med Libr Inf Sci,Vol.29No.11 November,2020
近年来,我国积极布局大数据战略,数据安全问题得到高度重视㊂人口健康科学数据涉及很多高度敏感的个人信息,一旦泄露后果不堪设想[1]㊂人口健康科学数据的管理与使用需要严格注意个人隐私保护
和信息安全[2]㊂国家卫生健康委员会发布的‘人口健康信息管理办法(试行)“[3]规定,运维单位要承担人口健康信息的管理和安全责任,实行分类管理㊁分级存储,做好人口健康信息安全和隐私保护工作,不得对外提供保密信息和个人隐私信息,对科学数据中心和共享平台提出了更高要求㊂
国家人口科学数据中心人口健康科学数据仓储(Population Health Data Archive,PHDA)[4]集成基础医学㊁临床医学㊁药学㊁公共卫生㊁中医药学㊁人口与生殖健康等多方面的科学数据资源,提供了国民体质与健康㊁热点传染病预警与追踪等多种专题服务㊂该数据仓储在实际操作过程中需要对收集的数据进行敏感信息检测,确认是否包含敏感信息,甚至需要确定敏感度级别及是否符合不同共享需求等㊂明晰人口健康科学数据中的个人敏感信息类型及其内在分类,可为制定人口健康科学数据的开放和共享策略提供参考,为人口健康科学数据平台的数据收集㊁管理提供借鉴,维持隐私保护与数据使用价值之间的平衡,进而稳步推进人口健康科学数据的开放和共享㊂
1 个人敏感信息界定
英国‘数据保护法案“(Data Protection Act, DPA)[5]提出了敏感性原则,认为某些类型的数据比其他类型更为敏感,应受到更严格的控制[6]㊂目前关于敏感信息的定义尚未统一,现有规定多基于 歧视”和 基本权利面临高风险损害”两种标准对个人敏感信息进行定义[7]㊂如1990年联合国‘电子化个人数据档案规范指南“(Guidelines for the Regulation of Computerized Personal Data Files)[8]指出 歧视” 差别化待遇”的信
息属于个人敏感信息㊂国内具有代表性的规定是2013年2月1日起实施的‘信息安全技术公共及商用服务信息系统个人信息保护指南“[9]和2018年5月1日起实施的‘信息安全技术个人信息安全规范“[10]㊂两者均明确将个人信息分为个人一般信息和个人敏感信息,并根据内容或性质定义了个人敏感信息㊂前者将个人敏感信息定义为一旦遭到泄露或修改,会对标识
的个人信息主体造成不良影响的个人信息,并指出
各领域个人敏感信息的具体内容根据信息主体意愿
和各自业务特点确定;后者在此基础上更为细化,将
个人敏感信息定义为一旦泄露㊁非法提供或滥用可
能危害人身和财产安全,极易导致个人名誉㊁身心健
康受到损害或歧视性待遇等的个人信息,从泄露㊁非
法提供㊁滥用3个角度对个人敏感信息进行了界定㊂
国内有学者进一步探索了个人敏感信息的指标性判
定㊂如有研究参考Paul Ohm的 多重因素检测”观
点[11],指出应特别考虑被泄露的信息是否会导致重大伤害㊁被泄露的信息给信息主体带来伤害的概率
是否非常大㊁特定社会大多数人对某类信息的敏感
度等考虑因素[12]㊂
2 个人敏感信息范围
本文调研了国内外法律法规中所规定的个人敏
感信息范围,以期为确定个人敏感信息范围提供借
鉴和参考㊂
2.1 国外法律法规中个人敏感信息范围
欧盟㊁美国是个人敏感信息立法保护的典型代
表㊂欧盟采用统一立法模式,即通过制定综合性个
人信息保护法对个人信息的收集㊁处理和利用进行
规范[13]㊂欧洲理事会成员国在1981年签订的‘个人数据自动化处理中的个人保护公约“(即 108号公约”)[14]中规定了个人敏感信息包括种族或民族起源㊁宗教或哲学信仰㊁政治权利和政治观点㊁健康信息㊁性生活或性取向信息㊁刑事裁决信息㊂1995年欧洲议会和欧盟理事会提出了‘关于在个人资料处理和个人资料自由流通过程中对个人资料进行保护的指令“(以下简称‘个人资料保护指令“)[15],在‘个人数据自动化处理中的个人保护公约“的基础上增加了 工会会员资格”,但不包含刑事裁决信息㊂这一规定在全欧洲范围实行,成为欧盟及其他国家和地区的个人信息保护立法模板㊂欧盟对健康信息采取 全保护”模式,如欧盟‘个人资料保护指令“中将 所有的个人健康数据”定义为敏感类,但对 健康信息”只是进行了笼统的表述,并未详细说明哪些健康信息受保护㊂
美国缺乏专门的个人信息保护法,主要采用分
散立法与行业自律相结合的模式,如‘美国健康保
㊃9㊃
中华医学图书情报杂志2020年11月第29卷第11期 Chin J Med Libr Inf Sci,Vol.29No.11 November,2020
险轻便和责任法案“(Health Insurance Portability and Accountability Act/1996,Public Law104-191, HIPAA)[16]㊁‘保护个人身份信息机密性指南“[17]㊁‘消费者隐私保护法案“[18]等㊂在美国的个人信息保护相关规定中,个人敏感信息种类主要包括健康信息㊁金融信息㊁与个人安全相关的信息(如地址㊁电话号码㊁等)㊁教育信息㊁儿童信息㊁公务记录等㊂美国对健康信息采取 限定保护”模式,最具代表性的是个人健康信息保护的综合性专门立法㊂该法案定义了18项受保护的健康信息(protec⁃ted health information,PHI),包括姓名㊁小于州的地理位置㊁小于年的日期㊁电话号码㊁传真号码㊁地址㊁社会福利号码㊁医疗记录号码㊁健康保险号码㊁账号号码㊁资格/驾照号码㊁车辆识别号㊁设备识别号㊁网址地址㊁IP地址㊁生物特征㊁全脸照片㊁其他唯一识别号码等,这也成为许多去标识研究的基础㊂其他国家大多借鉴欧盟和美国经验㊂英国于1998年通过的‘数据保护法案“规定,个人敏感信息包括种族/民族㊁政治观念㊁性状况㊁宗教信仰㊁工会身份㊁身体或精神健康状况㊂2005年日本通过的‘个人信息保护法“[19]旨在全方位实现个人信息保护,规定个人敏感信息包括种族㊁信仰㊁社会地位㊁病史㊁犯罪记录㊁受害历史及内阁令中提供的可能引起社会歧视的其他信息㊂对于 健康信息”保护的范围,英国‘数据保护法案“规定为 身体或精神健康状况”,日本的‘个人信息保护法“则规定为 病史”,‘加拿大医疗信息隐私与保密框架“[20]更为细致地规定数据库中电子医疗记录㊁患者登记资料(姓名㊁身份证号等可识别信息)㊁医疗机构资料(医疗专业人员名单㊁执照号及其他可识别信息)㊁使用医疗信息者的登记资料㊁重要安全资料㊁资料传输与所在系统信息等均在保密范围内㊂大多数国家和地区均认同某些种类的个人健康数据更为敏感,许多国家在国家级别的规章或指南中对这些种类的个人健康信息进行了特别的规定,如对
性传播疾病㊁人工流产等特别敏感的信息可能需要采取特殊预防措施[21]㊂随着互联网应用和数字化进程的加快,民众和国际组织对敏感信息的认知发生了变化,一些新划分的个人敏感信息类型如基因信息㊁生物特征信息越来越受到重视㊂2012年欧盟修订‘个人数据自动化处理的个人保护公约“,将基因数据㊁可以识别个人身份的生物特征数据也纳为敏感个人信息;2015年美国‘消费者隐私保护法案“将包括面相㊁指纹㊁声音㊁视网膜㊁虹膜等在内的生物特征识别数据列为个人敏感信息;2018年欧盟颁布的‘通用数据保护条例“(General Data Protection Regulation,GDPR)[22]明确禁止为了确定自然人身份而对基因数据㊁生物特征数据进行处理㊂此外,精确的地理位置㊁网页浏览信息也被一些国家纳入个人敏感信息范畴㊂如美国HIPAA列出的受保护健康信息包含 小于州的地理位置”,‘消费者隐私保护法案“中规定的个人敏感信息也包含了精确的地理位置㊂
2.2 国内法律法规中个人敏感信息范围
国内相关立法实践初期,对个人敏感信息的范围尚未形成明确统一的规定,而是多种法律法规对某些信息提出保密要求,以实现对个人敏感信息的特殊保护㊂
一是对特殊病种患者信息的保密进行了规定㊂如针对社会敏感的传染病信息,‘中华人民共和国传染病防治法实施办法“[23]规定不经县级以上政府卫生部门批准,不得将淋病㊁梅毒㊁麻风病㊁艾滋病患者和艾滋病病原携带者及其家属的姓名㊁住址和个人病史公开;‘关于对艾滋病病毒感染者和艾滋病病人的管理
意见“[24]规定不得将艾滋病病毒感染者和艾滋病患者的姓名㊁住址等个人情况公布或传播;针对精神疾病患者信息,‘中华人民共和国精神卫生法“[25]规定不得泄露精神疾病患者姓名㊁肖像㊁住址㊁工作单位㊁病历资料及其他可能推断出患者身份的信息㊂
二是对病历信息的保密进行了规定㊂如‘医疗美容服务管理办法“‘医疗机构病历管理规定“‘医疗事故处理条例“等均对患者病历资料的保密提出了明确要求[26-28]㊂
三是对不同类型的个人信息提出了不同的对待方式㊂如‘征信业管理条例“[29]对个人信息采集进行了禁止性和限制性两种区分,规定对宗教信仰㊁基因㊁指纹㊁血型㊁疾病和病史等信息禁止采集;‘大型人队列研究数据安全技术规范“[30]明确将个人信息分为直接个人信息和一般个人信息,提出前者应该受到更为严格的保护㊂
国内相关立法实践过程中,慢慢形成了个人敏感信息定义的雏形㊂如我国澳门特别行政区2005年颁布的‘个人资料保护法“[31]将世界观㊁政治或宗教信仰㊁政治社团或工会关系㊁种族或民族起源㊁遗传信息㊁私人生活㊁健康和性生活等归为敏感资料;我国2010年颁布的‘健康信息学:推动个人健康信息跨国流动的数据保护指南“[21]将 遗传学或基因组学数据,有关测试结果或阳性结果㊁尤其是社会敏感的传染性疾病,有关妊娠信息㊁结果或终止怀孕或收养”定义为 特别敏感”的个人健康数据㊂国内正式出现 个人敏感信息”定义的是‘信息安全技术公共及商用服务信息系统个人信息保护指南“和‘信息安全技术个人信息安
全规范“㊂‘信息安全技术个人信息安全规范“对个人敏感内涵和范围的规定最具代表性,该规范将身份证件号码等个人身份信息,指纹㊁基因等个人生物识别信息,包括交易信息㊁银行账号在内的个人财产信息,医疗记录等健康生理信息,以及通信记录㊁聊天内容㊁行踪轨迹㊁住宿信息等内容,纳入个人敏感信息范围㊂2.3 综合分析
国内个人敏感信息保护最初呈现分散立法的特点,通过不同法律法规未实现对某些特殊信息指定保密或区分对待㊂现阶段,个人敏感信息保护实践致力于统一立法模式,其中最具代表性的是国家标准‘信息安全技术个人信息安全规范“㊂该标准旨在统一规范个人信息控制者在收集㊁存储㊁使用㊁共享㊁转让㊁公开披露等信息处理环节中的相关行为㊂欧盟统一立法模式中目前最具代表性的是GDPR㊂与该条例相比较,我国‘信息安全技术个人信息安全规范“同样重视个人生物识别信息㊁健康相关信息,但不像GDPR那样列举了种族/民族㊁政治观念㊁宗教信仰㊁工会身份㊁刑事定罪信息㊁性生活/取向信息等项,而是基于国情增加了身份证件号码㊁银行账户㊁通信记录和内容㊁财产信息㊁征信信息㊁行踪轨迹㊁住宿信息㊁交易信息等项,并特别指出14周岁以下(含)儿童的个人信息尤受保护㊂
我国关于个人敏感信息范围的界定还存在着混乱情况,需要进一步规范㊂如通讯方式在‘互联网公布裁判文书的规定“[32]中属于一般个人信息,但‘信息安全技术个人信息安全规范“却将其归入个人敏感信息;又如宗教信仰在‘征信业管理条例“和‘个人信息保护指南“中属于敏感信息,但在其他规范性文件中并未作特殊规定㊂
国内有学者对个人敏感信息保护进行了进一步探索㊂如基于问卷调查,立足中国国情,建议将健康信息㊁性生活和性取向㊁身份证件号码㊁金融信息㊁政治意见㊁通讯信息㊁基因信息㊁生物特征信息和精确地理位置列为个人敏感信息[11]㊂
基于不同领域特点将敏感个人信息具体化是国际立法的趋势[33]㊂在人口健康科学领域,个人健康信息是关注重点,欧盟采用 全保护模式”,美国采用 限定保护模式”,而国内在这方面的实践尚处于探索阶段㊂我国去标识研究中多基于HIPAA定义的18项受保护的健康信息进行敏感信息去标识[34],而这些受保护的健康信息并不完全适合我国国情㊂在未来发展过程中,我国应结合人口健康领域特点㊁中国国情及数据管理和共享需求,进一步完善㊁细化人口健康领域个人敏感信息保护范围,对人口健康领域个人敏感信息进行更为科学合理的界定㊂
3 个人敏感信息类型细化
本文在调研基础上总结了人口健康科学数据中常见个人敏感信息类型,主要分为身份标识信息㊁生物特征信息和健康医疗信息三大类(表1)㊂3.1 身份标识信息
身份标识信息与个人健康状态及医疗行为无直接关系,可细化为一般身份标识信息㊁网络身份标识信息及间接身份标识信息㊂前两种信息可直接识别个体,最后一种的信息类型组合后可以对个体进行识别㊂
3.2 生物特征信息
生物特征信息是指通过对自然人的物理㊁生理或行为特征进行技术处理得到的,能够识别该自然人身份的个人信息[35],该类信息可直接识别个体㊂3.3 健康医疗信息
健康医疗信息又细分为肌体信息㊁临床信息㊁健康信息㊁医保和付费信息㊁其他健康医疗信息等5类㊂其中临床信息是指因临床医疗行为产生的相关记录,多以电子病历为载体;健康信息是指与个人健康状况相关的信息,多以电子健康档案㊁可移动穿戴
设备等为载体㊂一直以来病历都属于受保护健康信息[36],病历中个体的病情,特别是涉及到性与生育(如淋病㊁梅毒㊁人工流产)㊁社会敏感性传染疾病
(如麻风病㊁艾滋病)㊁精神障碍等的个体信息尤为敏感㊂一般患有发病率越低㊁传染率越高的疾病,相
关个人信息越敏感㊂
表1 人口健康科学数据中个人敏感信息类型
一级类目二级类目
具体信息类型
身份标识信息
一般身份标识信息
姓名㊁身份证号㊁死亡证明编号㊁出生证明编号㊁医疗保险号码㊁病历编号㊁电子健康档案编号㊁就诊卡号㊁银行账号㊁电话号码㊁传真号码㊁护照号码㊁社保号码㊁执照号
网络身份标识信息
系统账号㊁地址及相关密码㊁口令及保护答案㊁用户个人数字证书㊁互联网协议(IP)地址号㊁签名信息
间接身份标识信息
出生日期㊁死亡日期㊁种族/民族㊁年龄(特别是大于89岁)㊁身高㊁体重㊁婚姻状态及婚史㊁个人生活习惯㊁收入及财产㊁籍贯㊁地址(家庭住址㊁工作单位地址)㊁家庭成员㊁职业㊁职务㊁工作单位㊁工作经历㊁性生活或性取向㊁宗教信仰㊁党派㊁生活轨迹㊁学历
生物特征信息生物特征信息指纹㊁掌纹㊁虹膜㊁基因等遗传数据㊁面部识别特征㊁耳郭㊁声纹㊁步态健康医疗信息
肌体信息
生理特征(身体隐私部位等)㊁生理心理缺陷(器官残缺等)
临床信息(多以电子病历等为载体)
诊疗过程中的相关信息,包括患者手术名称㊁患者用药信息㊁患者检查信息㊁患者主诉㊁患者入院科室㊁转诊记录㊁病程记录(特别是心理笔记等)㊁护理记录㊁预后信息㊁手术同意书㊁麻醉同意书㊁手术记录㊁麻醉记录
诊疗结论中的相关信息,包括诊断信息㊁患者出院情况㊁患者类型代码㊁医嘱信息
健康信息(多以电子健康档案㊁可移动穿戴设备等为载体)
血型㊁疾病史(家族史㊁传染病史(药物过敏史㊁药物不良反应)㊁慢性病风险因子与监测信息,特别是精神相关信息(精神状况㊁药物成瘾㊁酒精依赖)㊁性和生育相关信息(性倾向㊁性功能障碍㊁生育状况㊁流产记录㊁节育㊁性生活㊁性病)㊁社会敏感性传染疾病(麻风病㊁艾滋病等)信息
医保和付费等信息患者医疗保险类型和付费方式㊁收费项目名称和总金额㊁索赔数据㊁投保与否等
其他健康医疗信息
医疗卫生人员信息(医疗专业人员名单㊁执照号及其他可识别信息)㊁使用医疗信息者的登记资料㊁医疗卫生机构信息㊁医疗器械标识号和序列号等
4 个人敏感信息特征4.1 分析思路
本文从内容属性㊁直接/间接性㊁个体性/社会性
相对强弱㊁敏感级别及公开/隐秘类型5方面对上述敏感信息类型进行多维度特征分析,分析思路如图1所示
㊂
图1 个人敏感信息特征分析思路
内容属性主要根据不同信息类型具有的自然属性㊁社会属性㊁经济属性㊁生活属性进行划分㊂
直接/间接性主要根据是否可单独识别个体进行划分,可单独识别个体的信息为直接个人信息,需与其他信息结合才可识别的为间接个人信息㊂此方式较客观,其法律意义在于可表明间接个人信息属于个人信息的一种,同样应受到法律保护[37]㊂
个体性/社会性主要根据不同个人信息类型中
个体性与社会性的相对强弱进行划分㊂不同类型个人信息的个体性与社会性的强弱程度各有不同,社会性较强的个人信息包括以下3类[38]㊂一是作为社会交往主体符号的个人信息,如姓名㊁身份证号㊁
个人敏感信息手机号;二是社会活动中展示个人直观表征的个人信息,如肖像㊁身高㊁社会职位;三是动态行为信息,如生活轨迹㊁地理定位等㊂家庭住址㊁婚姻状况㊁基
因等信息不属于上述3类,其个体性强于社会性㊂
发布评论