(1.蘇州市衛(wèi)生計生統(tǒng)計信息中心���,蘇州 215002��;2.中國信息通信研究院安全研究所���,北京 100191;3.綠盟科技集團股份有限公司����,北京 100089 )
0 引言
近年來�����,我國衛(wèi)生健康行業(yè)信息化有了顯著的發(fā)展和進步,醫(yī)療數(shù)據(jù)開放共享已經(jīng)成為了當(dāng)下時代發(fā)展的趨勢��。中共中央����、國務(wù)院發(fā)布的《“健康中國2030”規(guī)劃綱要》,要求推進基于區(qū)域人口健康信息平臺的醫(yī)療健康大數(shù)據(jù)開放共享�、深度挖掘和廣泛應(yīng)用[1]。國家衛(wèi)生健康委員會(簡稱“衛(wèi)健委”)《“十四五”全民健康信息化規(guī)劃》也要求加強健康醫(yī)療大數(shù)據(jù)創(chuàng)新應(yīng)用與行業(yè)治理��,采取“原始數(shù)據(jù)不出域�、數(shù)據(jù)可用不可見”等方式,有序推動健康醫(yī)療大數(shù)據(jù)共享應(yīng)用[2]��。但從實際情況來看���,醫(yī)療健康數(shù)據(jù)共享與利用的難題仍是目前阻礙衛(wèi)生健康行業(yè)信息化發(fā)展最重要的因素之一�,其核心在于數(shù)據(jù)共享勢必會帶來更多數(shù)據(jù)安全問題�����。面對以上問題�����,結(jié)合衛(wèi)生健康行業(yè)實際場景進行了分析與探索,提出了隱私計算在實際應(yīng)用場景下的應(yīng)用方案�����,同時對隱私計算模型安全的建設(shè)進行了討論并給出了相應(yīng)的意見�����。
1 衛(wèi)生健康行業(yè)信息化發(fā)展現(xiàn)狀及面臨的挑戰(zhàn)
我國已經(jīng)步入了信息化時代���,衛(wèi)生健康行業(yè)也正在快速推進信息化建設(shè)的進程�,同時我國在政策上也在不斷完善衛(wèi)生健康行業(yè)信息化發(fā)展的要求��。2018年���,國務(wù)院辦公廳發(fā)布了《關(guān)于促進“互聯(lián)網(wǎng)+醫(yī)療健康”發(fā)展的意見》����,在該意見中指出醫(yī)療聯(lián)合體要積極運用互聯(lián)網(wǎng)技術(shù)���,加快實現(xiàn)醫(yī)療資源上下貫通�����、信息互通共享����、業(yè)務(wù)高效協(xié)同���,便捷開展預(yù)約診療�、雙向轉(zhuǎn)診�����、遠程醫(yī)療等服務(wù)[3]����。上述政策出臺之后全國各地迅速落實,2020年12月國家衛(wèi)健委發(fā)布了《關(guān)于深入推進“互聯(lián)網(wǎng)+醫(yī)療健康”“五個一”服務(wù)行動的通知》�,該通知總結(jié)了兩年來實踐中的典型做法,強調(diào)要推進新一代信息技術(shù)在醫(yī)療衛(wèi)生健康行業(yè)深度應(yīng)用創(chuàng)新發(fā)展[4]��。在國家政策的大力支持下��,我國衛(wèi)生健康行業(yè)信息化市場不斷壯大�����。據(jù)艾瑞咨詢報告[5],我國2021—2025年區(qū)域醫(yī)療信息化市場空間復(fù)合增長率為27.9%���,2025年我國醫(yī)療信息化市場空間將達到1 245 億元(見圖1)�����。
圖1 2021—2025年中國區(qū)域醫(yī)療信息化市場空間
在衛(wèi)生健康行業(yè)信息化高速發(fā)展的過程中�����,醫(yī)療健康數(shù)據(jù)也不斷加速了開放共享����,然而醫(yī)療健康數(shù)據(jù)的開放共享勢必也帶來了更多的數(shù)據(jù)安全問題����。《中共中央國務(wù)院關(guān)于構(gòu)建更加完善的要素市場化配置體制機制的意見》明確指出在推進政府?dāng)?shù)據(jù)開放共享��、提升社會數(shù)據(jù)資源價值的同時應(yīng)加強對政務(wù)數(shù)據(jù)�、企業(yè)商業(yè)秘密和個人數(shù)據(jù)的保護[6]。美國HIPPA Journal的報告顯示[7]���,2021年全美上報的醫(yī)療記錄數(shù)據(jù)泄露事件數(shù)量是2015年的2.5 倍以上�����、 2010年的3.5 倍以上��,2009—2021年間��,全美共有超過3.14 億份醫(yī)療記錄遭泄露����,這一數(shù)字占美國人口的比例超過94.63%�����。
2 隱私計算助力困境破局
醫(yī)療健康數(shù)據(jù)更好的高效流轉(zhuǎn)及開放共享已經(jīng)成為了衛(wèi)生健康行業(yè)信息化發(fā)展的趨勢���,但這種趨勢也會增大數(shù)據(jù)的安全風(fēng)險���。那么,如何在保證數(shù)據(jù)安全��、合法的前提下實現(xiàn)數(shù)據(jù)的高效流轉(zhuǎn)�����?在此背景下,隱私計算作為在數(shù)據(jù)融合應(yīng)用過程中保證數(shù)據(jù)安全合規(guī)的關(guān)鍵技術(shù)路徑��,成為當(dāng)前各界關(guān)注和研究的熱點技術(shù)之一��。
隱私計算�����,又稱隱私增強計算�����,指在提供隱私保護的前提下�����,實現(xiàn)數(shù)據(jù)價值的技術(shù)體系���。隱私計算通過基于安全多方計算�����、聯(lián)邦學(xué)習(xí)��、可信執(zhí)行環(huán)境等技術(shù)構(gòu)建特定的技術(shù)方案�,在保護數(shù)據(jù)隱私的基礎(chǔ)上實現(xiàn)多方數(shù)據(jù)共享,實現(xiàn)數(shù)據(jù)處于加密狀態(tài)或非透明狀態(tài)下的計算�����,以達到各參與方隱私保護的目的[8-9]�。
從理論上來看,隱私計算可以有效地緩解醫(yī)療健康數(shù)據(jù)的安全問題����,從而更好���、更快地推進衛(wèi)生健康行業(yè)信息化的發(fā)展��。但從實際情況來看�,隱私計算如何貼近衛(wèi)生健康行業(yè)不同的真實場景應(yīng)用����,以及隱私計算自身模型安全性是否可靠等問題仍需要進一步研究。
3 隱私計算在衛(wèi)生健康行業(yè)的應(yīng)用與安全探索
為了更好�、更快地利用隱私計算技術(shù)實現(xiàn)數(shù)據(jù)的開放、共享與利用落地��,以及更好、更快地推進衛(wèi)生健康行業(yè)信息化的發(fā)展�����,本文將對隱私計算在衛(wèi)生健康行業(yè)的應(yīng)用與安全進行全面的探索與實踐[10-11]��,具體如下�����。
3.1 隱私計算助力醫(yī)學(xué)科研
醫(yī)學(xué)科研主要是指借助實驗室手段對疾病發(fā)生機理��、診斷和治療等方面的科學(xué)研究�,其對人類社會的發(fā)展與進步起到了舉足輕重的作用,隨著信息化的推進及人工智能技術(shù)的逐步成熟����,醫(yī)學(xué)科研對醫(yī)療健康數(shù)據(jù)的需求量也在逐步地增加。然而���,由于數(shù)據(jù)安全���、患者個人隱私信息等問題,不同醫(yī)學(xué)科研單位之間難以共享各自的醫(yī)療健康數(shù)據(jù)���,醫(yī)院臨床的患者信息也很難提供給科研部門�����。醫(yī)療健康數(shù)據(jù)不足是現(xiàn)代醫(yī)學(xué)科研面臨的重要問題之一����,對于需要大量數(shù)據(jù)或數(shù)據(jù)難以獲取的醫(yī)學(xué)研究來說該問題尤為突出。
近年來�,我國高度重視罕見病的診療工作,國家衛(wèi)健委于2019年發(fā)布了《罕見病診療指南》[12]���,并于2020年1月發(fā)文設(shè)立了全國罕見病診療協(xié)作網(wǎng)辦公室[13]����。由于罕見病患者較少����,單個醫(yī)學(xué)科研部門很難獲取到足夠可供研究的醫(yī)療健康數(shù)據(jù)���,多個醫(yī)學(xué)科研部門罕見病數(shù)據(jù)共享開放又存在諸多合規(guī)及安全上的問題�����,數(shù)據(jù)不足則成為了罕見病醫(yī)學(xué)科研的主要障礙之一�。除了數(shù)據(jù)難以獲取,需要大量數(shù)據(jù)的醫(yī)學(xué)科研(如基因組關(guān)聯(lián)分析)也同樣存在數(shù)據(jù)不足的問題�����。
解決醫(yī)療健康數(shù)據(jù)孤島���,是促進醫(yī)學(xué)研究的關(guān)鍵�,而隱私計算技術(shù)的出現(xiàn)在一定程度上解決了該類難題�����。通過隱私計算技術(shù)�����,可以在保證醫(yī)療健康數(shù)據(jù)安全�����、合法的前提下�����,構(gòu)建一個數(shù)據(jù)流通使用的醫(yī)學(xué)科研應(yīng)用平臺(見圖2)。通過利用隱私計算聯(lián)邦學(xué)習(xí)技術(shù)��,可以根據(jù)實際科研機構(gòu)的需求在該平臺進行科研建模�����,醫(yī)學(xué)科研機構(gòu)和衛(wèi)健委可以作為數(shù)據(jù)提供方將自身的科研數(shù)據(jù)提供給平臺��。憑借著聯(lián)邦學(xué)習(xí)的特性�,醫(yī)學(xué)科研機構(gòu)可以在該平臺上不斷豐富自己的模型,同時醫(yī)學(xué)科研機構(gòu)和衛(wèi)健委提供的數(shù)據(jù)并不需要出其本地�,這個過程也在真正意義上實現(xiàn)了數(shù)據(jù)的“可用不可見”。此外�����,衛(wèi)健委也可以根據(jù)自身實際需求�,對該平臺上的建模任務(wù)及數(shù)據(jù)共享流通的過程進行監(jiān)督與管理����。
圖2 醫(yī)學(xué)科研應(yīng)用平臺
醫(yī)學(xué)科研應(yīng)用平臺上模型的安全問題也應(yīng)得到重視。在進行聯(lián)邦學(xué)習(xí)建模任務(wù)時會涉及到多個參與方��,每個參與方都會提供自身的數(shù)據(jù)助力模型的優(yōu)化����,然而在該過程中可能會出現(xiàn)“惡意”的參與方提供不當(dāng)?shù)臄?shù)據(jù)以至于模型受到污染��!皭阂狻钡膮⑴c方既可能是故意提供不當(dāng)?shù)臄?shù)據(jù),也可能是無意之舉�����,此類污染聯(lián)邦學(xué)習(xí)模型的行為稱之為“模型投毒”����。醫(yī)學(xué)科研應(yīng)用平臺往往會涉及到多個醫(yī)療機構(gòu)共同建模完善模型,因此該平臺應(yīng)具備防投毒功能��,以便隱私計算技術(shù)更好地助力醫(yī)學(xué)研究�。
3.2 隱私計算助力新藥研發(fā)
新藥研發(fā)領(lǐng)域有一個廣為人知的“雙十定律”,即研發(fā)一款新藥平均需要花費10 億美元并歷時10年之久���。隨著人工智能的發(fā)展����,數(shù)據(jù)對于新藥研發(fā)的重要性日益突出��,但由于醫(yī)療健康數(shù)據(jù)敏感性等問題�,藥企很難直接獲取到醫(yī)院的醫(yī)療健康數(shù)據(jù)��,數(shù)據(jù)不足的問題嚴重影響到了新藥研發(fā)的進程及新藥質(zhì)量的水平[14]���。
通過隱私計算技術(shù),可以在藥企側(cè)構(gòu)建一個藥物研發(fā)平臺(見圖3)�����,藥企可以在該平臺上開展與其相關(guān)的聯(lián)邦學(xué)習(xí)建模任務(wù)(如通過建模篩選藥物開發(fā)最有效的化合物)�,醫(yī)院和衛(wèi)健委則可以通過隱私計算技術(shù)給該平臺提供數(shù)據(jù)支撐。在該應(yīng)用場景下�����,醫(yī)院和衛(wèi)健委可以在保證醫(yī)療健康數(shù)據(jù)不出本地的情況下協(xié)助藥企優(yōu)化模型����,從而加速我國新藥研發(fā)的進程。同時�,在該應(yīng)用場景下,醫(yī)院和衛(wèi)健委也實現(xiàn)了數(shù)據(jù)的增值�����,從而一定程度上緩解了近些年來疫情給醫(yī)療行業(yè)帶來的財政壓力����。
圖3 藥物研發(fā)平臺
除了上述的應(yīng)用場景外,藥企之間也可以通過隱私計算技術(shù)共同合作來加速新藥的研發(fā)����。在2022年,安進����、阿斯利康、拜耳���、勃林格殷格翰�、葛蘭素史克等全球10 家頂尖藥企宣布攜手合作���,共同利用隱私計算技術(shù)進行藥物研究���,一起實現(xiàn)互惠共贏。此類應(yīng)用場景不僅可以消除同行業(yè)之間的壁壘屏障��、實現(xiàn)互惠共贏��,而且會大大促進人類社會醫(yī)療水平的進步。值得注意的是���,由于是競爭對手共同合作��,這類場景下“模型投毒”出現(xiàn)的概率會大大增加�,因此該應(yīng)用平臺更應(yīng)支持防投毒檢測等模型上的安全性功能��。
3.3 隱私計算助力智慧醫(yī)療
智慧醫(yī)療指的是通過打造健康檔案區(qū)域醫(yī)療信息平臺�,利用最先進的物聯(lián)網(wǎng)技術(shù),實現(xiàn)患者與醫(yī)務(wù)人員�、醫(yī)療機構(gòu)與醫(yī)療設(shè)備之間的互動。隨著衛(wèi)生健康行業(yè)信息化建設(shè)的深入和人工智能技術(shù)的逐步完善�����,智慧醫(yī)療在醫(yī)學(xué)影像信息和臨床決策支持等方面都有著顯著的應(yīng)用[5]�。
3.3.1 醫(yī)學(xué)影像信息化趨勢及面臨的問題
醫(yī)學(xué)影像是醫(yī)生用于診斷和評估疾病的常用手段,其類型通常包括MRI�����、CT����、超聲、PET、組織切片病理圖等����。隨著現(xiàn)代醫(yī)學(xué)發(fā)展����,傳統(tǒng)醫(yī)學(xué)影像管理方法已無法適應(yīng)現(xiàn)代醫(yī)學(xué)影像管理的要求,無膠片化影像科和數(shù)字化醫(yī)院已經(jīng)成為現(xiàn)代化醫(yī)療發(fā)展的必然趨勢����。由于醫(yī)生的人工成本高、醫(yī)生的知識水平參差不齊且臨床診斷一個患者需要評估數(shù)百張影像耗時耗力等原因�,用AI技術(shù)輔助醫(yī)生進行影像診斷已經(jīng)成為趨勢。但AI影像診斷同樣面臨著數(shù)據(jù)樣本有限�、數(shù)據(jù)質(zhì)量較低等問題(尤其是罕見病例),因此AI影像診斷仍無法對多種類型多種器官病灶進行精準(zhǔn)的特征描述����,也無法對疾病進行精準(zhǔn)的預(yù)后評估。
3.3.2 臨床決策支持系統(tǒng)信息化趨勢及面臨的問題
在我國醫(yī)療信息化高速發(fā)展的當(dāng)下���,臨床決策支持系統(tǒng)(Clinical Decision Support System����,CDSS)已進入規(guī)模化的應(yīng)用階段���,CDSS已較廣地覆蓋了國內(nèi)的三級醫(yī)院[5]�。CDSS是基于人工智能�����、深度學(xué)習(xí)等技術(shù)�,結(jié)合醫(yī)學(xué)知識、臨床案例和患者病情�����,輔助醫(yī)生分析病歷��,制定準(zhǔn)確�����、有效的治療方案的工具�����,具備減少醫(yī)療差錯�、提高醫(yī)療效率���、控制醫(yī)療費用支出等優(yōu)勢。但目前CDSS普遍存在不同醫(yī)院數(shù)據(jù)不共享����、信息跨級調(diào)用難等問題�,因此并不能構(gòu)建完整、專業(yè)的醫(yī)療知識庫���,從而無法高效地幫助醫(yī)生進行輔助診斷�����。
3.3.3 隱私計算生態(tài)體系助力智慧醫(yī)療發(fā)展
通過利用隱私計算技術(shù)���,可以從技術(shù)層面上解決數(shù)據(jù)不共享、信息跨級調(diào)用難等問題�����,在醫(yī)療健康數(shù)據(jù)不出本地的前提下�,多個醫(yī)療機構(gòu)可共同完成模型的建立,實現(xiàn)“數(shù)據(jù)可用不可見”的效果���,有效發(fā)揮分布在不同醫(yī)療機構(gòu)的數(shù)據(jù)價值����。智慧醫(yī)療體系會涉及到醫(yī)院、系統(tǒng)開發(fā)商����、衛(wèi)健委等多個實體機構(gòu),筆者認為應(yīng)該構(gòu)建一個協(xié)作共贏的智慧醫(yī)療隱私計算生態(tài)體系(見圖4)����,通過利用隱私計算技術(shù),提高訓(xùn)練樣本的數(shù)據(jù)量和質(zhì)量�����,以此提升模型精度和訓(xùn)練效果����,從而幫助醫(yī)生更好地進行臨床診斷。在該生態(tài)體系中����,隱私計算能力廠商將把隱私計算技術(shù)賦能于醫(yī)院業(yè)務(wù)系統(tǒng)(如臨床決策支持系統(tǒng)、醫(yī)學(xué)影像評估系統(tǒng)等)�����,業(yè)務(wù)系統(tǒng)開發(fā)廠商將在相應(yīng)的系統(tǒng)上集成隱私計算能力模塊,各醫(yī)療機構(gòu)將根據(jù)自己的實際情況決定是否參與到該生態(tài)體系之中���,同時衛(wèi)健委可以對整個過程進行監(jiān)督與審計���。該生態(tài)體系將會大大促進智慧醫(yī)療的進步,幫助患者得到更好的醫(yī)療服務(wù)�,同時會對個人隱私信息、醫(yī)療健康數(shù)據(jù)信息進行有效的保護�。
在隱私計算聯(lián)邦學(xué)習(xí)安全性方面���,盡管參與的各方不存在明顯的競爭關(guān)系���,但醫(yī)療業(yè)務(wù)復(fù)雜且繁忙,存在實際操作人員誤操作等人為不確定因素造成模型被污染的可能性����。為了使得該生態(tài)體系更好、更安全地運行��,隱私計算能力廠商應(yīng)支持防投毒的聯(lián)邦學(xué)習(xí)算法��,提高模型的安全水平。
圖4 智慧醫(yī)療隱私計算生態(tài)體系
3.4 隱私計算助力疫情防控
科學(xué)精準(zhǔn)疫情防控需要大量的個人數(shù)據(jù)及隱私信息����,涉及到的數(shù)據(jù)來源方包括運營商、互聯(lián)網(wǎng)�、醫(yī)院等實體機構(gòu)。在做好科學(xué)精準(zhǔn)疫情防控的同時����,數(shù)據(jù)安全也應(yīng)得到重視。疫情防控辦由于防疫需求可能會收集政府相關(guān)數(shù)據(jù)(如健康寶信息)��、運營商相關(guān)數(shù)據(jù)(如行動軌跡信息)�����、醫(yī)療相關(guān)數(shù)據(jù)(如個人醫(yī)療健康數(shù)據(jù))和互聯(lián)網(wǎng)相關(guān)數(shù)據(jù)�,由于數(shù)據(jù)的敏感性疫情防控辦應(yīng)加強數(shù)據(jù)庫的安全管理,使用隱私計算可信執(zhí)行環(huán)境技術(shù)便可以很好地滿足這方面的安全需求�。
可信執(zhí)行環(huán)境指在設(shè)備上一個獨立于不可信操作系統(tǒng)而存在的可信的、隔離的�、獨立的執(zhí)行環(huán)境, 為不可信環(huán)境中的隱私數(shù)據(jù)和敏感計算提供了一個安全而機密的空間, 其安全性通常通過硬件相關(guān)的機制來保障。疫情防控部門可以將數(shù)據(jù)存放在可信執(zhí)行環(huán)境中����,即使內(nèi)部工作人員也無法直接看到或修改存放的數(shù)據(jù)信息�����。當(dāng)數(shù)據(jù)需要計算時����,可以在可信執(zhí)行環(huán)境容器中進行機密計算����,并輸出可信結(jié)果。
3.5 隱私計算助力醫(yī)療健康數(shù)據(jù)安全防護
對于醫(yī)院���、衛(wèi)健委來說���,通常會收集到大量的醫(yī)療健康數(shù)據(jù)并需要長期的管理及維護���,保證醫(yī)療健康數(shù)據(jù)安全往往是其頭等大事����。近年來�,國內(nèi)外醫(yī)療健康數(shù)據(jù)泄露事件頻頻發(fā)生,醫(yī)療健康數(shù)據(jù)安全問題需要得到更多的重視���。
早在2014年���,國務(wù)院便提出要實行醫(yī)療���、醫(yī)保、醫(yī)藥三聯(lián)動����,強化公共衛(wèi)生服務(wù),切實滿足人民群眾的醫(yī)療衛(wèi)生需求[15]�。近年來,各地也都在積極推進醫(yī)療��、醫(yī)保�����、醫(yī)藥“三醫(yī)”領(lǐng)域的改革����,以海南和四川為例,在2021年取得了階段性的建設(shè)成果�����,但“三醫(yī)”聯(lián)動改革大大提高我國衛(wèi)生健康行業(yè)水準(zhǔn)的同時也加大了醫(yī)療健康數(shù)據(jù)安全防護的壓力。由于“三醫(yī)”聯(lián)動需要收集本地區(qū)醫(yī)療���、醫(yī)保和醫(yī)藥三個領(lǐng)域的醫(yī)療健康數(shù)據(jù)���,其數(shù)據(jù)庫安全防護水平需要得到額外的提高。
隱私計算可信執(zhí)行環(huán)境憑借著其獨特的安全特性�����,可以保證在安全環(huán)境中收集到的所有數(shù)據(jù)都不被篡改及外泄���,從而大大提高醫(yī)療機構(gòu)或政府部門對醫(yī)療健康數(shù)據(jù)的安全防護能力���。類似“三醫(yī)”聯(lián)動場景下量級龐大且重要的數(shù)據(jù)庫,在利用此數(shù)據(jù)做前沿性業(yè)務(wù)的同時���,也應(yīng)對此數(shù)據(jù)做好全方位的安全防護,既要能防止外部的惡意攻擊����,也要能避免內(nèi)部操作人員無意或惡意地窺竊、篡改或泄露數(shù)據(jù)。
4 結(jié)束語
我國衛(wèi)生健康信息化市場規(guī)模正呈逐年遞增的趨勢����,衛(wèi)生健康行業(yè)逐漸進入信息化時代的同時,也帶來了許多新的數(shù)據(jù)安全問題����。隱私計算作為實現(xiàn)數(shù)據(jù)可用不可見的“技術(shù)解”,近年來受到醫(yī)療領(lǐng)域的持續(xù)關(guān)注���,根本原因是醫(yī)療健康數(shù)據(jù)已經(jīng)進入了必須安全又必須共享的新時代�。本文重點闡述了隱私計算在衛(wèi)生健康行業(yè)的應(yīng)用場景����,并對多個應(yīng)用場景下隱私計算模型安全提出了針對性的建議。隨著隱私計算模型安全的不斷增強���、隱私計算在衛(wèi)生健康行業(yè)不同場景下落地方案的不斷完善�����,未來隱私計算在衛(wèi)生健康行業(yè)的重要性也會越來越高����、實際應(yīng)用也會變得更加普遍。
