Language: Chinese | English

1 浙江大学医学院附属第一医院监察室, 浙江 杭州 310003

2 杭州亿括数据服务有限公司, 浙江 杭州 310023

在我国大力实施大数据战略的背景下，健康医疗是国家大数据战略重点推进的领域之一。但随着健康医疗大数据业的迅猛发展，健康医疗大数据的安全风险日益凸显，而互联网+医疗使健康医疗大数据安全保护形势更趋严峻。本文通过分析健康医疗大数据安全保护的现状，提出了健康医疗大数据保护的相对安全观，基于我国健康医疗大数据的保护策略和保护重点，尝试从法律监管、人才培养、宣传教育、关键数据保护等方面构建健康医疗大数据安全风险防控体系，在最大限度促进数据应用的同时尽力降低安全风险，在相对安全的背景下达到数据利用和数据安全的均衡状态。

With China's implementing big data strategy, health care becomes one of the key areas in which the national big data strategy is highly promoted. However, as the health care big data industry grows rapidly, the security risk is increasingly prominent and the internet plus medical care makes the protection of health care big data more complicated. By analyzing the current situation of health care big data security protection, the article proposes the viewpoint of relative security and suggests the strategies and key issues of health care big data protection. From the aspects of legal supervision, talents cultivation, publicity and education, and key data protection, it is necessary to build the prevention and control system for health care big data security, so that the security risk can be reduced and the data utility can be maximized.

健康医疗是大数据应用最活跃的领域之一，我国政府高度重视健康医疗大数据的应用，国务院《促进大数据发展行动纲要》和《关于促进和规范健康医疗大数据应用发展的指导意见》将健康医疗大数据列为国家重要的基础性战略资源 [ 1- 2] 。在健康医疗大数据业迅猛发展的同时，健康医疗大数据的安全问题日益凸显，数据采集、储存、交易、加工、应用各环节广泛存在不安全因素( 图 1)，各类危害数据安全的事件层出不穷，风险来源日益广泛，侵犯手段日益高明，健康医疗大数据安全保护刻不容缓。

我国政府对健康医疗大数据安全问题高度重视，各类法律法规均要求在保证数据安全的前提下开展各项应用。如《关于促进和规范健康医疗大数据应用发展的指导意见》要求“加强对涉及国家利益、公共安全、患者隐私、商业秘密等重要信息的保护，加强医学院、科研机构等方面的安全防范”；《关于促进“互联网+医疗健康”发展的意见》要求“严格管理患者信息、用户资料、基因数据”等 [ 3] 。通过梳理各类法律法规、行业规则相关要求，结合行业操作实践，笔者认为，健康医疗大数据安全保护的目标主要包括以下六个方面：①保证数据不被窃取，即避免不拥有数据所有权的他方将数据据为己有；②保证数据不被滥用，即避免数据被用于危害国家安全、违反社会伦理、侵犯个人权益的应用；③保护个人隐私和商业秘密，即避免数据中携带的与个人隐私或商业秘密有关的信息被泄露给不具有知情权的他方；④保护数据价值，即将数据作为资产，保证数据资产的价值不折损；⑤保证数据不被超限使用，即外部合作方不得将数据超出授权界限使用，合作完成后交回或销毁全部原始数据；⑥保障数据物理安全，即避免数据非正常灭失、损伤或不能读取。然而在现阶段，数据不安全因素广泛存在，上述保护目标难以完全达成。

一是数据来源庞杂超出管控能力。健康医疗大数据至少包括：①来自传统实体医疗机构和新兴线上医疗机构的就诊患者病历、检验报告、医嘱、处方、分诊及医院运营数据；②来自政府管理机构和社区服务机构的居民健康档案、健康普查记录、医保报销记录、登记表、统计表等；③来自高校和其他学术机构的研究成果；④来自药品生产销售企业的产品研发、生产经营销售数据；⑤来自历史文献和民间传统的方剂。更广泛意义上，所有与健康医疗有关的信息都可纳入健康医疗大数据范畴，如，教育机构培养健康医疗业人才的数据，药品原材料的种养、开采数据，国民健康消费数据，可穿戴智能健康装备和家庭健康设备产生的数据，健康医疗专业网站、报刊、书籍的出版、借阅、订阅记录，社交媒体上与健康医疗有关的记录等。上述数据涉及诸多国家机关、企事业单位及每一位公民，且广泛存在信息孤岛、信息烟囱、同源异构现象。目前，还没有哪家医院、哪个管理部门有能力同时对这么多方面的数据进行管理和监控。

二是数据量庞大挑战管理能力。大数据的典型特征是数据量庞大，健康医疗大数据也不例外。例如：2012年上海市每天进入卫生信息系统的记录达到1600万条 [ 4] ；截至2017年4月，国家健康医疗大数据平台(福州)汇聚了公共卫生数据、临床数据、基因组学数据、物联网数据等达近百亿条 [ 5] ；2018年，湖北省宜昌市通过统一146家左右的医疗机构，及共享人社等部门的信息每天采集的健康信息档案涉及90多万人，数据量达150万~180万条数据 [ 6] 。实践中各类数据还在加速增长，如此巨量的信息，对储存和管理的人力、物力、财力都是挑战。

我国政府高度重视健康医疗大数据的隐私保护，所有相关法律法规都明确规定，对于涉及个人隐私和商业秘密的数据必须经“脱敏”、“脱密”后才可应用。目前的脱敏脱密技术主要通过去除患者姓名、年龄、住址、单位、联系方式、身份证号等人口信息实现。但健康医疗大数据的特性制约了脱敏脱密效果：一是数据细粒化导致难以脱敏。大数据应用中，常通过把原始数据聚合为更大粒度的数据后再对外提供，这种粗粒化处理可以降低原始数据被识别的可能性。但在医疗大数据应用中，许多场景下数据粗粒化较难实现。目前医疗大数据“原料”主要使用方向为用于大数据分析和用于训练人工智能，前者如临床辅助决策、基于大数据的疾病分析，后者如智能影像识别、手术机器人。由于人体健康和疾病具有个体特征性，无论是用于分析还是用于训练，聚合数据的效果不如细粒度数据，为了研发更有实用价值的应用，许多情况下都需要有基于个体体征的细粒度数据。对特定病种的研究更需要与患者性别、年龄、生活习惯、生活地域、家族成员健康状况等数据相关联，有时不得不保留一些个人信息。二是数据泛在性影响脱敏脱密效果。随着国家医疗制度改革，患者可以在多家医院就诊，患者在一家医院的诊疗信息被脱敏了，但通过关联其他医院的诊疗信息，还是有可能恢复其较完整的信息。另外，大量商业机构拥有海量用户个人信息，如果商业机构缺少自律，将之与健康医疗大数据融合，也可能恢复脱敏脱密信息。

信息技术一直处于高速发展中，计算机设备和软件迭代速度越来越快，随着软硬件的变化，一些早期的存储介质面临无法读取的风险。电子介质对存储环境的温度、湿度、光照、磁场等条件远比传统介质更为苛刻，数据损毁的概率更高。另一方面，数据容灾备份在医疗机构并未普及，据抽样调查，国内建有异地灾备中心的医疗机构仅有2% [ 7] 。这些因素会影响数据的物理安全。

网络入侵是全球医疗机构面对的共同难题。由于健康医疗大数据信息价值高，近年来医疗机构日益成为网络入侵的重灾区。2016年全球范围内针对医疗保健行业的网络攻击增加了63% [ 8] ，2017年全球15%的数据泄漏事件来自医疗保健行业，仅次于金融业 [ 9] 。2018年7月，新加坡遭遇史上最强网络攻击，150万例患者个人信息被窃取 [ 10] 。

在我国，医疗系统被侵犯的案例并不鲜见。早在2012年，浙江省温州市警方侦破利用黑客软件盗取医院用药信息的案件 [ 11] ；2016年5月，宁夏回族自治区宣判宋某等非法侵入某部委网站，盗取新生儿、精神病患者信息案 [ 12] ；2018年多家医疗机构计算机系统被勒索病毒攻击 [ 13- 14] 。在国内，医疗业是遭受勒索软件攻击第二多的行业，仅次于能源业 [ 15] ；甚至发现有国外黑客组织已将中国医疗保健实体纳入高级持续性威胁(advanced persistent threat)攻击目标 [ 16] 。针对医疗行业的分布式拒绝服务(distributed denial of service)攻击正呈上升趋势 [ 17] 。面对网络攻击的严峻形势，阿里巴巴集团在2018年专门开展了帮助医疗机构进行安全排查的公益行动。

“互联网+医疗健康”的发展将加剧网络入侵严峻形势。2017年我国开展远程医疗服务的医疗机构已达1.3万余家 [ 18] ；互联网医疗健康服务平台等第三方机构快速发展，“平安好医生”招股说明书显示，其注册用户高达1.92亿；据分析，2017年移动医疗产业已达230.7亿元市场规模 [ 19] 。根据《“十三五”卫生与健康规划》，“十三五”期间我国还将实现全员人口信息、电子健康档案和电子病历三大数据库融合共享 [ 20] 。随着上网数据几何级增长，数据安保风险也将迅速扩大。

目前国际上已形成发达的包括健康医疗类数据在内的大数据交易地下产业链，国内这类活动也很猖獗。据分析，2016年，我国网络黑色产业市场规模已达千亿元级别，从业人员已超过150万 [ 21] 。暴利驱使下，监守自盗不乏其人，企事业单位内部人员非法泄露公民个人信息已成为信息泄露的主要源头 [ 22] 。业内人士称，80%的数据泄露是企业内部人所为 [ 23] ，甚至出现“职业内鬼”。2017年3月公安部侦破的郑某鹏案，其辗转应聘多家公司，借公司职员身份盗取客户个人信息 [ 24] 。在医疗系统，内部人作案也屡见不鲜，如2017年上海判决的贩卖新生儿信息案，疾控中心工作人员窃取20余万条新生婴儿信息进行贩卖 [ 25] 。近年来一些医疗机构通过技术手段加强对内部人作案的防范，起到了一定效果，但根治内部黑手尚无良方。

与大数据安全严峻形势相对应的是，我国在健康医疗数据保护的技术、设备、人才等软硬件方面都还较薄弱。一方面是医疗机构信息安全防范能力弱。近年来各级政府和医疗机构对信息安全的投入快速增长，但安全保护建设仍跟不上大数据业务的发展速度。表现在：信息化投入比例远低于发达国家，有调查显示，64%的医疗机构认为投资预算不足以支撑网络安全规划 [ 7] ；未掌握核心技术，数据处理、分析和呈现的核心技术都由发达国家掌控；医疗机构自身的研发能力弱，数据应用研发游离在医疗体系以外，信息安全保护技术也产自医疗体系以外；医疗机构的安防产品、关键网络设备、高端服务器等硬件设施完全国产化还有待时日，二级及以下医院普遍硬件设备配备不足；医疗机构使用的软件碎片化严重，互不兼容，造成安全漏洞。最大的问题是人才匮乏，2018年初，81.2%的医院自报信息化人员数量不能满足工作需求，平均每张床位拥有的医疗卫生信息化人员数，我国分别是英国和美国的1/8和1/12 [ 26] 。上述缺口尚为普通信息化人员，熟悉数据保护的人才更为稀缺。另一方面是新技术有待实践检验。国内已有医疗机构应用区块链之类的前沿技术来保护数据安全，审计单位可利用区块链防篡改、可追溯的技术特性，精准跟踪监控医疗敏感数据的全程流转情况。但从金融领域实践看，目前环境下区块链技术也非万全之策，以区块链为底层技术的各类虚拟货币频频被盗，难以追回。区块链技术在健康医疗大数据保护领域的应用还刚刚开始，实际效果留待实践检验。信息安全业其他数据保护新方法，囿于经费、技术、人员限制，在医疗系统的推广尚待时日。

数据资产的价值有赖于稀缺性、独占性，在数据市场上，一手数据和二手数据间的价格差距可达上百倍。数据具有可无损复制的特性，数据复制威胁到数据的稀缺性和独占性，进而威胁数据资产的价值安全。复制数据与其他数据加工后的再生品更难以辨识“原材料”，即便知道被盗用也可能因难以取证而无法主张自身权益。

健康医疗大数据被复制的风险普遍存在。如医院将网站建设等业务外包，又无能力对后台运营进行监督；医院与外部研究机构或公司合作研发项目，同意合作方将数据导出后带离本地存储设备；有的数据公司通过正规渠道获得数据接口，但调用数据时可能形成“缓存库”。这些都可能造成数据脱离监控状态，存在数据被复制的风险。还有的第三方公司经合法方式获取数据后，未经数据所有者授权，违法将数据再次交易或应用于其他目的，这种情况并不鲜见。当然，医疗机构会审慎选择合规守法的合作方，但即便主流的外部合作方严格履行数据保护义务，脱离监控的数据被其他不法分子盗取的风险也大大增加，如大数据业界一再爆出“缓存库”被拖库盗取的案例，甚至同一个库被不同黑客“轮番洗劫”。

我国政府与时俱进，制定了《网络安全法》 [ 27] 、《侵犯公民个人信息刑事案件适用法律若干问题解释》 [ 28] 等普适法律；在健康医疗信息领域，密集出台了《关于促进和规范健康医疗大数据应用发展的指导意见》、《远程医疗信息系统建设技术指南》 [ 29] 、《医疗机构病历管理规定》 [ 30] 、《人口健康信息管理办法(试行)》 [ 31] 、《全国医院信息化建设标准与规范(试行)》 [ 32] 、《国家医疗健康信息区域(医院)信息互联互通标准化成熟度测评方案(2017年版)》 [ 33] 、《关于促进“互联网+医疗健康”发展的意见》、《互联网诊疗管理办法(试行)》 [ 34] 、《互联网医院管理办法(试行)》 [ 34] 、《远程医疗服务管理规范(试行)》 [ 34] 、《国家健康医疗大数据标准、安全和服务管理办法(试行)》 [ 35] 等规范和标准，福州市、贵州省等地也出台了地方规范，对保障健康医疗大数据安全做了大量积极务实的探索。但即便如此，健康医疗大数据安全立法仍落后于实践需求。法律具有滞后性特点，健康医疗大数据作为新兴事物，发展速度远远快于立法进程，导致世界范围内普遍存在与之相关的法律和规范不健全，我国的法律体系是成文法，滞后性矛盾就更为突出。以个人信息保护为例，2018年5月25日生效的欧盟《通用数据保护条例》 [ 36- 37] 对全球企业产生巨大影响，我国尽管在2018年5月1日已实施了国家推荐标准《信息安全技术个人信息安全规范》 [ 38] ，但由于不具有强制力，影响力远低于业界期望，而更具强制力的《个人信息保护法》至今尚未出台。健康医疗大数据产业链长、覆盖面广，有大量全新的应用场景，触及许多法律的空白地带，与健康医疗大数据安全相关的周边环节，如评估数据资产价值、界定数据资产归属、保护个人隐私、保证患者知情权、基因科技界限等方面都尚未形成成熟的法规体系，导致一些实践探索存有安全隐患，暂时性乱象难以避免。另一方面，健康医疗大数据产业处于发展初期，需要大量创新应用推动行业发展，信息技术的创新必然伴生对传统秩序的挑战，相对宽松的监管环境有利于试错，从务实角度看，立法进程稍落后于行业发展可能也是不得不接受的次优选项。当然，这决不意味着默许突破社会伦理、医疗伦理的底线，更不允许违反既有的法规。

综上，健康医疗大数据不安全的状态将长期存在。尽管近年来我国各级政府和医疗管理机构对健康医疗大数据保护工作高度重视，采取各种措施推进数据的规范利用和有效保护，尤其是2017年《网络安全法》及其司法解释出台后，涉及数据的违法行为得到有效遏制。但从当下现实看，由于健康医疗行业特性、健康医疗大数据自身特征、信息技术自身缺陷、相关法规滞后，无论从人才、技术，还是财力、物力、法律各方面，目前都没有能力完全管控广泛存在的不安全因素，很难彻底根除数据被盗窃、滥用、损毁、超限使用，无法彻底避免个人隐私和商业机密被泄露，因此保护医疗大数据绝对安全的目标当前难以实现。从未来发展看，随着互联网+医疗的发展，医疗健康大数据产业扩大，技术迭代，云存储、云计算发展，新的不安全因素快速增加，数据安全防护的内容不断更新，边界不断变化，安全防护和风险威胁两股力量此消彼长，相伴相生，将长期处于动态博弈之中。在信息安全技术出现革命性突破以前，健康医疗大数据不能获得绝对安全将是长期存在的现实。

发展健康医疗大数据业是现实机遇和历史使命，强调健康医疗大数据不安全的状态将长期存在，绝不是因噎废食地限制健康医疗大数据利用，也不能因此放弃对健康医疗大数据的保护，而是要树立科学的安全观，更好地促进健康医疗大数据的利用。

如何既坚定不移地推进健康医疗大数据的最大限度利用，又最大限度地降低安全风险？笔者认为，各级政府和健康医疗大数据产业各参与方应树立“相对安全”观念，接受无法保证数据绝对安全的现实，根据数据特征制订不同的数据利用策略和保护措施，使有限的防护力量尽可能发挥最大效用，在最大限度促进数据应用的同时尽力降低安全风险，把安全风险掌握在可控范围内，达到相对安全，构建数据利用与安全的均衡状态。

2018年4月，习近平总书记在全国网络安全和信息化工作会议上强调，信息化为中华民族带来了千载难逢的机遇，必须敏锐抓住信息化发展的历史机遇。2018年9月有报告表明，我国的数字经济发展指数仅次于美国，已名列世界第二位 [ 39] 。智慧医疗是健康医疗业发展的方向，大数据是智慧医疗的基础，只有抓好大数据发展才能抓住健康医疗业的未来。“十三五”规划提出要实施国家大数据战略，国务院《促进大数据发展行动纲要》对健康医疗大数据应用进行了规划，《“十三五”国家信息化规划》 [ 40] 等文件均将促进和规范健康医疗大数据应用列为重要内容。相应实体正在迅速布局，我国已明确江苏、福建、安徽、山东和贵州五省试点建设健康医疗大数据区域中心，正在筹建中国健康医疗大数据产业发展集团公司等三大医疗大数据集团，浙江大学、北京大学、山东大学、武汉大学、中国科学院大学相继建立了健康医疗大数据国家研究院 [ 41- 43] 。在各界支持下，我国医疗大数据应用市场规模呈突飞猛进之势，2015、2016、2017年分别比上年增长了39%、62%、201%，2017年达到41亿元 [ 18] 。我国健康医疗大数据产业与发达国家的差距并不很大，依托数据优势和政府资源调配优势，完全可能在这一领域异军突起，成为领跑者，我们决不能放弃这一绝佳的历史机遇。同时，健康医疗大数据的应用场景大多具有治病救人、促进人类身心健康的公益性，发展好这一产业是政府的使命, 也是执政为民的体现。

推进健康医疗大数据应用是必须坚持的现实，而不能保证数据绝对安全是无法回避的现实，如何在两者间取得平衡？笔者倡议，健康医疗大数据产业各参与方应认清难以保证数据绝对安全的现实，树立相对安全观，从更务实的角度看待这一产业的安全问题，在密切关注的前提下，允许产业带病成长，区分轻重缓急，把有限的保护资源集中用于重点保护具备重大社会和经济价值的关键数据，把安全风险掌握在可控范围内，在无法保证绝对安全的情况下达到数据的相对安全。同时，制定更精准高效的对症策略，帮助产业在与外感内伤的斗争中增强免疫力，培育免疫细胞和新生抗体，促进健康医疗大数据业健康成长。

应从法律法规、数据监管、数据分级、技术手段、宣传教育和人才培养各方面加强对健康医疗数据的保护。

法律最立竿见影的作用是司法审判。如2018年下半年起，有关部门再次发起针对盗窃公民个人信息行为的整治，一些违规违法者被抓。业内估计，此次行动后，游走在灰色地带的数据公司将大批量消失。通过对案件的侦办、审理，保护行业健康发展，向大数据采集、保管、交易、应用各方灌输守法意识，向普通公众普及法律常识。同时，以司法实践推动立法进程。根据健康医疗大数据的特点，与时俱进，不断完善现有的《网络安全法》、《侵犯公民个人信息刑事案件适用法律司法解释》、《国家健康医疗大数据标准、安全和服务管理办法》等法律和规范，并制定新的法规，强化健康医疗大数据的监管，做到“有法可依、违法必究”，促进健康医疗大数据业持续健康发展。

一方面是监测数据来源。针对数据资产可复制性带来的监管难，要从数据来源方面加强对数据流转的监管。不仅数据产品的生产者要在产品说明中标明所利用健康医疗大数据的来源、获取方式、获取日期，产品的销售者、购买者、使用者都有义务提供相应说明。产品生产者还应保留产品生成过程中各环节的日志，形成可溯源的数据监控链。政府的大数据管理机构应被赋予检查权限，有权对数据产品产业链上任一环节的参与方进行抽检，查验其数据来源的合法性。建立违规企业、机构和个人的黑名单，对于列入黑名单者实行行业禁入制度。来自国外的产品较难实施此类管控，如何解决有待业内探讨。

另一方面是监管数据跨境流动。欧盟等发达国家对数据跨境流动的监管非常严格。我国对数据跨境流动的监管法规也越来越具体，对人口健康信息出境严格管控。《人口健康信息管理办法(试行)》等更明确规定，不得将人口健康信息在境外的服务器中存储。但健康医疗大数据跨境流动问题正变得日益复杂，突出表现在三个方面：一是网络传输技术造成的难以监控，通过网络传输数据方便快捷，传统的实体管控措施全部失效；二是海外就医带来的数据外流，预计2018年中国人赴海外就医市场规模将达到20亿元人民币 [ 44] ；三是国际在线远程医疗带来的数据跨境流动，如美国某医疗机器人自2016年引入中国后已广泛布点，市场目标主要是三级综合性医院和县域地方医院 [ 45] ，工作过程是将患者年龄、性别、体质量、详尽病案输入系统，经服务器分析后输出治疗方案，其国内合作商还有计划向其开放海量患者行为信息、临床数据、购药数据和保险数据等，以供制定个性化解决方案 [ 46] 。虽然合作商称数据是经过两次清洗后再予提供，但其主服务器位于美国，数据安全尚存可探讨之处。

对数据跨境流动很难简单地一关了之。健康医疗大数据领域上游的技术、人才和设备主要掌握在发达国家手中。外企伴生着中国医疗大数据业的发展，在高度开放合作的市场中，过于保守会制约自身发展，而境外就医等人民群众对高质量医疗的追求也不宜阻挠，我们无法与境外机构隔绝，在国际协作过程中无可避免要让渡一些自身利益。如何处理合作与保护的关系，即充分、合理地使用数据，又保障数据安全，是一门新课题，需要业内共同探讨。

针对健康医疗大数据体量庞大、占用资源多的现实，合理区分存量数据和实时数据，实行不同管理策略。信息具有价值递减规律，随时间流逝价值衰减，对于存量数据，如历史文献，年代久远的病历、处方、检查报告等，可实行相对宽松的管理策略。而新产生的实时数据，一旦泄露对个人隐私、商业秘密的危害更大，同时，随着医学检测技术的发展，新数据的维度更多、精准度更高，应用价值更大。以中医诊方为例，当前与之配套的有明确的患者人口信息、各种检验数据、详细治疗记录，相较于传统文献，维度更多、粒度更细，更便于对药理和药效进行量化研究。另外，根据《关于促进“互联网+医疗健康”发展的意见》，我国自2018年起全面推行病案首页书写规范、疾病分类及代码、手术操作分类及代码、医学名词术语“四统一”，统一后数据的结构性大幅提升，数据应用价值将更高。因此，对实时数据应实行更为严苛的管理。

从效益角度考虑，大数据安防技术研发等高层次的技术工作交给外部安防公司更合适，医疗机构自身应着力做好常规技术手段的应用。从实践看，健康医疗大数据安全问题频发的最主要原因是全行业广泛存在比互联网、金融等行业更低级的安全薄弱环节，大量安全漏洞由低级失误形成，或者由于工作人员不专业或设施不完备而导致数据意外暴露、意外灭失。通过查漏补缺、“扎紧篱笆”，加强日常防御，夯实安全基础，抬高防线高度，可以有效减少不安全因素。具体措施无非是加强制度建设、强化管理责任、完善技术规范、增加人员配置、配齐基础设施、配置防范软件、实施数字加密、加强日常监测、异地备份数据等。这些措施看似老生常谈，但若真正落到实处效果显著，如2017年某在线医生平台数据被盗案，虽然遭遇了黑客加内鬼联手作案，但由于预设了报警系统，做了数据混淆处理，有效避免了恶性后果。

能直接从数据独占性中获利的一方显然最有保护数据的动力。普通公众和医疗机构是健康医疗大数据的初始拥有者和最终使用者，但目前在数据保护中的作用较弱，这与对数据价值缺少认知有关，对自身数据被滥采滥用缺少警觉。如，一些医院为了极低的“科研合作经费”而将宝贵的一手诊疗数据拱手相让给外部公司，一些个人“有事没事测个基因”，全然没有基因保护的概念。应加强健康医疗大数据价值的宣传，培养数据权益意识，激发公众参与数据维权的主动性和积极性，动员更多力量参与数据安全防护，从源头上减少数据被滥采滥用的可能。在医院层面，应加强对公立医疗机构大数据价值的评估，设立有偿使用制度，将大数据纳入国有资产保值增值监管，防止各种形式的廉价出让数据。在个人层面，要强调消费者知情权，如在基因检测领域，基因检测机构除承诺保证数据安全外，还要在检测前清晰告知数据被滥用后可能出现的风险及数据储存保管情况，数据二次使用前要征得受检者本人或其直系亲属同意，要赋予受检者随时要求检测机构删除数据的权力，除国家权力机关强制要求的检测和医保经费支持的检测外，公众个人自费进行的基因检测应允许受检者自由选择采用实名还是匿名方式。

宣传数据价值的同时也应注意培养科学的数据隐私观。目前，紧捂数据奢求绝对安全不是科学的态度，而应以开放的心态对待数据。在保证核心数据安全的情况下，要乐于进行公平合理的数据分享，更好地发挥健康医疗大数据造福人类的功效。如何把握好“保护”和“开放”的度，是一新课题，尚待探讨。

目前健康医疗大数据业的一大痛点是极缺兼具健康医疗行业经验和数据处理技术的人才，这类人才对医疗大数据产生和应用场景更为熟悉，对不同数据的价值和安全风险有更深刻的预见，对应用中的技术漏洞更为了解，能在医疗大数据安全分级和数据采集、储存、交易、加工、应用各环节发挥关键作用。鉴于目前人才奇缺的现状，从不具任何经验的“小白”开始培养这样的复合型人才用时太久，“半路出家”是更合适的培养路径。从人才培养实践看，熟悉健康医学领域业务的难度大于掌握大数据处理一般技能的难度，可考虑在医疗队伍各学科中选拔年富力强的人才进修大数据技术，以解燃眉之急。

鉴于健康医疗行业在信息安全防范方面投入有限、资源不足的短板短期内无法补足的现实，将有限的防护资源用于重点保护数据价值巨大、一旦泄露后果非常严重的数据是理性的选择，将起到事半功倍的效果。在重点保护对象的选择上，除了保护个人信息，健康医疗领域特有的特种疾病数据、中医药数据、基因数据也应列为重中之重。

有数据显示，2013至2017年，一审非法获取公民个人信息刑事案件增长了12.7倍 [ 47] 。个人信息也是健康医疗大数据的重灾区，患者姓名、住址、电话、身份证、银行卡号等人口信息和金融信息频频泄露，造成的危害直接又广泛，是社会公众和各级政府极关注的问题，理应作为数据保护的重中之重。但从实务角度看，公民个人信息分布最广泛、数据保护薄弱环节最多、与黑客的角力也最激烈，无论是数据来源还是泄露的范围都超出了医疗领域，单靠医疗界一己之力实在勉为其难。强调困难并不是放弃责任，保护个人信息是各级医疗机构责无旁贷的义务，但要达到理想的防范效果，有赖全社会的数据安防能力整体提升，形成合力。关于个人信息保护的严峻形势及其重要性已有诸多论述，此处不再赘述。

传染病、精神疾病等特种疾病信息一旦泄露，患者权益会受到很大影响，2016年7月艾滋病患者信息疑似大面积泄露即是一个例子 [ 48] 。我国一贯重视此类疾病信息的保护，制定实施了《传染病信息报告管理规范》、《重性精神疾病信息管理办法》 [ 49- 50] 等规范，这方面的管理已较规范，不再赘述。

一是要高度认识中医药数据的重要性。我国高度重视中医药业，国家“十三五”规划专门列出一节规划中医药传承与发展，国务院《中医药发展战略规划纲要(2016—2030年)》 [ 51] 将中医药发展摆在了经济社会发展全局的重要位置。中医药具有巨大经济价值，《中医药发展“十三五”规划》 [ 52] 显示，2015年中药进出口额达到48亿美元；“十三五”期间计划保持15%的年均增速，计划至2020年中药工业规模以上企业主营业务收入达到15 823亿元。随着东方“养生”理念在全球范围内勃兴，未来中医药还将有更广阔的前景。中国要成为这一领域的领跑者和推动者，必须掌握大量的基础数据。二是需更新中医药数据保护的观念。长期以来，我国以促进人类健康为己任，大量中医药古籍、诊疗方法通过各种出版物和对外交流活动在世界范围内广为传播。当下，全球化竞争加剧、知识产权权益强化，中医药承担了更多贡献经济价值的使命，中医药数据利用的策略也应有所调整。中医药大数据是实现中医药发展的“原材料”，数据“原材料”的价值有赖于稀缺性和独占性，必须将数据牢牢掌握在自己手里，形成“独家秘笈”，才能掌控中医药自主创新的主导权和国际定价权。三是要明确中医药数据保护的重点。重视各种传统医学，不仅要重视当下仍有强大生命力的汉医药数据，也要重视藏医、蒙医、维医、苗医、朝医、彝医、壮医、傣医等更具稀缺性的民族传统医药数据。

首先，要重视基因数据的价值。人体基因携带信息的丰富性和重要性远高于一般疾病信息，成为各国政府高度关注的焦点。基于基因分析的精准医疗是各国争抢的制高点，祖源检测等反映出基因在社会领域的应用前景，其在国防上的可能性更令各国紧张，2017年俄罗斯对于他国采集俄罗斯人生物资料发出警告即是例证 [ 53] 。就个人隐私而言，基因数据比指纹更敏感，只需75个左右在统计上独立的单核苷酸多态性位点即可确定具体个体 [ 54] ，初始遗传数据融合成高维度数据进行共享，仍能推理出参与某项基因组研究的个人身份 [ 55] ，当基因检测数据融合其他病理数据时更容易匹配到具体个人。因此，欧盟《通用数据保护条例》规定，未经准许禁止处理个人基因数据。我国政府对人体基因的安全也从未放松警惕，上世纪末就制定了有关管理规定。

其次，要认清基因数据保护的严峻形势。我国基因检测服务能力在全球已处于领先地位，近几年年均增速保持在30%以上 [ 56] ，基因测序已泛化波及测智商、测性格、测饮食偏好、测胖瘦等非医学领域。2015年起，国家对高通量基因测序技术临床应用的管理日益规范，但对消费级基因检测一直没有明确规范，目前国内从事基因检测和基因数据解读的机构有数百家，质量和管理水平参差不齐，受检基因标本和基因信息的保存、流转、再利用都存在乱象。如我国禁止外商投资基因诊断和治疗产业，但随着消费级基因市场的发展，外商投资的体检机构、检测机构正在这一市场广泛渗透。

最后，要确定基因数据保护的重中之重。所有公民的基因数据都很重要，但在国家层面，应把加强出生人口基因数据的保护列为重中之重。《“十三五”生物产业发展规划》 [ 57] 提出，“十三五”期间，基因检测能力覆盖50%以上出生人口。对照发达国家的高水平，估计我国这一比例未来还将扩大。这些基因信息的主人，有我国未来的政府官员、军警人员、科学家和各行各业的领导者，对其基因安全负责，是对未来负责。

总之，发展健康医疗大数据业是我国的现实机遇和历史使命，必须坚定不移地推进，但在产业高速发展的情况下，技术、人才、经费、设备、法律监管不能完全跟上产业发展速度，无法完全保证数据安全，健康医疗大数据采集、储存、交易、加工、应用各环节的安全风险将长期存在。在发展和风险的矛盾中，健康医疗大数据业各参与方应正视现实，以更务实的态度对待安全问题，培养“相对安全”观念，根据数据特征采取有针对性的利用策略和保护措施，把有限的保护资源用在刀刃上，在最大限度促进数据应用的同时尽力降低安全风险，把安全风险掌握在可控范围内，达到数据利用和安全的均衡状态，保障行业健康成长，促进智慧医疗业的发展，为增进人民健康和人类福祉做出更大贡献。