如何增强云端医疗健康数据的隐私保护

关注微信公众号“云安全联盟CSA”，回复关键词“数据隐私”，即可阅读下载全文

数字经济时代，云计算在医健康领域中的应用广泛普及，存储在云端的医疗健康数据量也在不断累积。医疗健康数据的分析利用有利于广大民众的健康生活，但同时作为一类特殊的隐私数据，患者、医生，以及医疗健康组织等都存在信息泄漏或违规处理的风险。

CSA发布白皮书《保护云中医疗健康数据隐私》，结合业内最佳实践从隐私工程、风险评估、隐私监管几个方面阐述了云端医疗健康数据的保护策略，对企业和从业者有一定的借鉴作用，可作为云安全治理、隐私安全评估工作的参考。

由于信息系统面临各种高级持续性威胁和针对性攻击，云端医疗健康数据的隐私保护不能完全依赖于云服务商，需要医疗健康组织重点考虑如下两方面管控措施：

1）遵从数据安全法规，组建数据安全与隐私保护团队，建立数据安全管理制度，制定隐私保护准则。

2）围绕数据全生命周期构建完善的隐私工程能力，包括数据识别与分类、隐私威胁建模、隐私风险评估、缓解或消减制定等活动。

一、遵从数据安全法规

安全不同于隐私，但二者又紧密相关。传统意义的网络安全或数据安全以机密性、完整性和可用性（缩写为CIA）为基本原则，而隐私保护则是在数据主体同意的前提下，充分处理和利用个人信息的一种数据保护形式。

隐私保护可以通过不同的技术、方法和工具实现，但是，隐私保护的准则通常是依据数据安全相关法律法规、政策要求等制定的。因此，在开展隐私保护相关活动之前，必须关注数据安全相关的法规与政策的动态和要求。对于医疗健康组织而言，除了要关注适用于一般个人数据的法律（《如欧盟通用数据保护条例GDPR》《美国加州消费者隐私法案CCPA&CPRA》、中国《个人信息保护法》等）外，还要特别关注专门针对医疗健康数据的法律（如美国《健康保险携带与责任法案HIPAA》等）。

法规遵从策略

由于各部数据安全法律条款内容存在差异，包括适用地域、适用对象、数据主体权利与义务、安全措施要求、监管报备等，医疗健康组织应严格遵从当地法律要求，制定贴合业务的合规制度和措施。对于提供跨国服务的医疗健康组织，在涉及健康数据跨境传输时，必须要做风险评估，谨慎处理，并向当地数据保护监管机构咨询合法性。

组建合规团队

根据相关法规要求，满足条件的医疗健康组织需要组建合规团队，并设立数据保护官DPO，负责数据安全与隐私保护方面的建议、决策、管理、监督，以及与监管部门联系等工作。

建立数据安全管理制度

建立完善的数据安全管理制度，既是遵从相关法律的必要举措，也是对数据安全和隐私保护工作的指导。

制度名称	解释说明
分类分级数据保护制度	对隐私健康信息PHI、个人可识别信息PII、一般数据等制定分类分级保护要求。
数据安全审计制度	制定定期的内审与外审管理制度，审视数据保护工作落地情况。
数据安全应急处置制度	制定应急预案，及时采取相应的应急处置措施，有效控制风险，并根据相关要求及时报送数据监管部门。
数据处理协议	制定并与云服务商签署数据处理协议，约定服务应商安全、合规处理医疗健康数据。
数据跨境协议	即便在允许数据跨境处理的前提下，也必须通过数据跨境协议澄清必要性、数据内容、安全保护措施等。
隐私政策	云端服务需要通过隐私政策，使用简单易懂的语言说明医疗健康组织或企业的联系方式，以及医疗健康数据的采集范围、存储期限、使用目的等信息。

制定隐私保护准则

数据安全相关法规对数据处理的每个阶段都有保护要求，医疗健康组织可以据此制定隐私保护准则，用于指导隐私风险控制与消减措施的制定

如何增强云端医疗健康数据的隐私保护
图 1 隐私保护准则

二、隐私工程能力构建

云端医疗健康数据的隐私保护就是限制数据流动和数据挖掘么？

答案显然是否定的，在安全合规的尺度内，充分挖掘医疗健康数据价值，最大程度保护数据安全，尤其是隐私安全，这是隐私保护的初衷。

与安全左移思想一致，隐私工程师要在开发设计阶段识别隐私威胁、提取隐私需求，制定隐私缓解或消减措施，遵从隐私设计（Privacy by Design）和默认隐私（Privacy by Default）理念。

隐私威胁建模

与安全威胁建模STRIDE名称的由来类似，隐私威胁建模LINDDUN方法，也是由一组常见隐私威胁攻击路径首字母缩略词组合而成，该方法基于数据流图（DFD）进行威胁分析。

如何增强云端医疗健康数据的隐私保护
图2 数据流图

LINDDUN代表：

可链接性(Linkability)，指即使不知道项目关联主体的身份，也能充分识别两个项目是否有链接的能力。可链接性过程假设在数据迁移到云存储/处理环境（数据库存储）之前或过程中，执行了患者隐私和敏感数据所有相关隐私措施。因此，可链接性提供了在屏蔽、匿名或加密时，也能关联数据的能力（威胁）；
可识别性(Identifiability)，在众多主体中充分识别特定主体的能力（威胁）；
不可抵赖性(Non-repudiation)，无法拒绝索取（威胁）；
可检测性(Detectability)，充分识别感兴趣项目是否存在的能力（威胁）；
信息披露(Disclosure of information)，信息披露树不是LINDDUN的一部分，而是微软STRIDE的一部分。由于隐私依赖于安全，LINDDUN包括了微软STRIDE的信息披露威胁；
无意识(Unawareness)，缺乏对信息共享后果的认识，用户通常不知道共享数据的影响；
不合规(Non-compliance)，不遵从法律、法规和公司政策。

攻击路径表示为威胁树，其中详细说明了主要威胁类别的可能原因，并指定了DFD元素类型。隐私威胁建模是第一步，对于已识别的威胁，下一步需要执行隐私风险评估，以便帮助医疗健康组织或企业制定合理的控制措施。

隐私风险评估

隐私风险评估的目的是，对于已识别的威胁，分析其发生的概率或可能性，以及威胁行为导致的影响程度，确定风险的优先级，并制定适当的响应控制措施。

虽然隐私风险评估的概念并不新鲜，但一直以来并没有统一的评估指导或规范。NIST风险管理框架（RMF）为安全风险和隐私风险管理提供了结构化和灵活的流程。2020年，NSIT发布了《隐私框架1.0版：通过企业风险管理来提升隐私的工具》，为相关组织改进和提升个人数据保护能力提供了一套改善的隐私管理工具。欧盟通用数据保护条例（GDPR）中，明确提出DPIA作为识别和控制隐私风险的评估方法。

对于医疗健康组织来说，可以主要参考如下两个评估流程：隐私影响评估（PIA）和数据保护影响评估（DPIA）。

1）PIA旨在分析医疗健康组织如何收集、使用、共享和维护隐私健康信息PHI与个人可识别信息PII。PIA模板可参考白皮书《云端医疗健康数据的隐私保护》附录A。

2）DPIA旨在处理PII和PHI过程中的风险识别和控制。PIA模板可参考白皮书《云端医疗健康数据的隐私保护》附录B。

缓解或消减措施制定

通过隐私威胁建模识别威胁，通过隐私风险评估确认风险优先级，进而制定控制响应措施，包括：
缓解风险，通过制定技术或管理措施，将隐私风险降低到可接受的程度；
转移或分担风险，通过合同转移隐私风险，或者通过隐私政策和同意机制分担风险；
规避风险，医疗健康组织认为风险大于收益，从而放弃或终止数据处理；
接受风险，医疗健康组织认为医疗健康数据的风险发生概率非常小或预期可控，收益大于风险，从而没有必要投入资源来缓解风险。

隐私保护需要多学科方法，包括法律、社会学、信息安全、伦理和经济学等。构建一套成熟的隐私工程，能够帮助隐私工程师将隐私设计（PbD）集成至产品开发流程中，实现隐私保护左移。隐私保护不是一劳永逸的工作，需要建立持续的监控、评估和改进流程。

三、总结与建议
1、医疗健康组织应建立完善的数据保护制度，包括数据分类分级制度、数据审计制度、数据应急处置制度、数据处理协议和隐私政策等。
2、医疗健康组织应建立例行化的法律法规监管机制，保持与监控部门的交流沟通，并实时调整或新增贴合业务的合规制度。
3、医疗健康组织应考虑建立隐私工程能力，开展隐私威胁建模、隐私风险评估和响应控制，并不断提升能力成熟度。若没有隐私团队，也可邀请数据安全和隐私保护团队帮助其赋能，并逐步建立隐私工程能力。
4、根据云端医疗健康数据的隐私保护诉求，调研其他云上服务模式，参考其他行业最佳隐私保护实践。
5、强化医疗健康组织内部员工隐私保护培训，持续提升隐私保护意识。

致谢

《保护云中医疗健康数据隐私》(Protecting the Privacy of Healthcare Data in the Cloud)一文由CSA健康信息管理工作组专家编写，CSA大中华区秘书处组织翻译并审校。

中文版翻译专家组（排名不分先后）：

组长：童磊

翻译组：黄瑞、侯汉书、李娇娇、罗春、罗晓兰、马嘉、魏东、薛琨、周星宇

审校组：史宇航、王岩、赵晨明、张亮、姚凯、郭鹏程

感谢以下单位对本文档的支持与贡献：

360、威联科技、北森云、谷安天下、浙江大华、世平信息、虎符网络、启明星辰、物盾安全、兴业数金、任子行

特别鸣谢

本文作者：魏东
浙江大华网络安全研究院副院长，10多年安全领域工作经验，负责安全开发流程SDLC建设、网络安全和隐私保护的需求与设计，以及安全合规体系建设工作。