健康医疗可穿戴设备数据安全与隐私研究进展

， ，， ，

[作者单位]中国医学科学院医学信息研究所， 北京 100020

随着可穿戴技术的快速发展，可穿戴设备逐渐应用于多种医疗健康的相关活动中，并已成为新型智慧医疗、智慧健康的重要组成部分。

健康医疗可穿戴设备在快速发展的同时，也带来更多数据安全相关问题，其不受时间、地点限制采集大量用户健康和行为数据，汇集形成新型健康医疗大数据，增加了数据管理和控制难度。近几年可穿戴设备泄露隐私数据的事件也频频发生，Fitbit、小米、华为、Jawbone等生产厂家都被曝出存在隐私泄露问题，且一些健康医疗可穿戴设备产品因侵犯个人隐私被迫退出市场。在2015年发布的《国务院关于印发促进大数据发展行动纲要的通知》文件[1]中，特别强调要“健全大数据安全保障体系”与“强化安全支撑”。国外在面临移动医疗等医疗新发展模式也积极修改HIPAA法案，要求增订与可穿戴数据相关的隐私法案。解决健康医疗可穿戴设备数据安全与隐私保护问题是智慧医疗与智慧健康发展不容忽视的重要环节，是亟待解决的根本性问题。本文对健康医疗可穿戴设备数据安全与隐私保护问题相关发展研究进行了梳理与分析，总结国内外研究主题的异同，并讨论现有研究的经验与不足，为健康医疗可穿戴设备数据安全与隐私保护机制的研究与构建提供理论参考与借鉴。

1 健康医疗可穿戴设备数据安全与隐私

1.1 健康医疗可穿戴设备数据安全与隐私的内涵

健康医疗可穿戴设备是指应用于临床和日常健康维护活动中的一切可以直接穿戴在身上的便携式医疗或健康电子设备，在软件支持下感知、记录、分析、调控/干预甚至治疗疾病或维护健康状态[2]。健康医疗可穿戴设备数据安全与隐私的内涵是指对健康医疗可穿戴设备所采集的数据本身及数据流动过程中涉及到数据安全与个人隐私的一切问题。

1.2 健康医疗可穿戴设备数据及隐私特点

健康医疗可穿戴设备的数据及隐私与传统医疗有所区别，明确其设备采集的数据内容及数据特点是分析健康医疗可穿戴设备数据安全与隐私问题的基础。

本文主要从介质、格式、规模、环节、标准五个维度，对比分析健康医疗可穿戴设备与传统医疗的数据及隐私内容(详见表1)。

表1 健康医疗可穿戴设备数据与传统医疗数据隐私对比分析

2 健康医疗可穿戴设备数据安全与隐私问题相关研究

2.1 国内研究进展

通过梳理相关研究，发现国内的研究学者主要围绕可穿戴数据的网络传输和系统安全、相关标准、精准度和安全性、数据整合、相关法律法规和国家政策以及隐私保护意识等方面展开研究。

2.1.1 网络传输与系统安全

张佩江、李瑞昌[3]、马博[4]等人与刘金芳[5]都认为谷歌的安卓系统漏洞、恶意软件的安装、设备对不安全的移动通信和无线网络的高依赖度等方面都会造成可穿戴设备隐私数据的泄露。此外，可穿戴设备的功能越多，被攻击的机会也就越多，黑客现在可以通过WiFi、蓝牙和NFC、声音等多种方式发动攻击，各种传感器的应用也会增加受攻击的风险。张建国[6]还针对可穿戴设备的信息链条提出了“针对可穿戴设备的云服务供应商进行攻击、中间应用进行攻击以及直接入侵可穿戴设备”三种造成隐私泄露的可能。不仅如此，可穿戴设备还可以不分时间、地点、场合搜集用户数据，将数据上传到云端中，使可穿戴设备的系统易遭受攻击和数据泄露[7]。

针对以上问题，有学者提出了一些解决办法，如采取更严密的安全协议、提供信息验证服务、内置杀毒软件以及定期备份数据、采用数据匿名化技术和匿名通信技术[8]及差分隐私保护等技术手段，提升设备的数据传输系统安全保障能力。

2.1.2 互联互通与跨平台操作

移动终端设备和产品快速发展，种类繁多[9]，导致各系统间互相独立，数据无法互通。有研究学者对医疗可穿戴设备数据相关标准问题展开了探讨，提出目前可穿戴设备面临的挑战主要包括数据传输协议的标准化问题[10]，以及可穿戴设备在医疗领域中的应用有互联互通程度较低的问题[11]。只有兼容统一的数据传输协议，才能促进医疗数据的共享和挖掘、分析，实现更广范围的互联互通，打造一体化的智能可穿戴体验，解决智能可穿戴设备领域的跨平台操作[12]的问题。隐私保护需要建立在平台间统一的数据标准基础上，才能在数据流动与共享过程中不被泄露。

2.1.3 数据整合的必要性及安全防范

数据的整合也会导致侵犯隐私问题和国家安全问题。可穿戴设备收集的大量用户信息可能被实时上传到云端，利用非法手段进行攻击获取数据后进行整合分析，可以获得具有商业价值的信息，追踪特定人的行为路径以及了解整个国家或地区的疾病谱，造成严重后果。如果不对数据进行整合就无法为医疗领域的研究提供参考，会降低新药品、新医疗产品的开发速度。因此，国内学者汤啸天[13]提出个人健康信息应在合理范围内无害化使用。

2.1.4 政策、法律及伦理规范

我国目前尚无全面的国家立法来规范数据隐私[14]和全面的数据保护法律框架[15]。我国当下的数据保护法律制度是基于一般的法律或法规，或只适用于特定工业部门。在2013年发布的世界数据保护法律报告[15]中，关于个人数据保护的相关规定在多种法律和制度中都有涉及，但隐私权的范围还没有清晰的界定。尽管个人数据保护法律已经被政府评价多年，但仍然没有指示去说明这项法律是否以及何时被通过。当隐私泄露问题出现时，往往通过《侵权责任法》、《刑法》或者各种地方法规进行处理，而且最近通过的法规焦点主要集中在中国的商业经营，尤其是关于互联网服务的商业。2012年12月28日，全国人民代表大会常务委员会(NPC)采纳了《强调在线信息保护的决定》。该项决定的目的是保护互联网和信息安全，保障公民、法人或其他组织的合法权益，确保国家和安全利益，这项决定和法律具有同等效力。我国目前虽已初步建立个人信息和隐私权保护有关的法律体系，但尚无针对医疗大数据隐私保护的责任法案。此外，大数据时代数据的边界模糊，增加了保护网络和信息安全的难度[16]。因而对医疗可穿戴设备建立严格的监管机制显得尤为重要，一旦应用于临床医疗领域，需要通过CFDA等监管机构的认证获得临床认可，而避免鱼龙混杂的问题出现。行业自律、完善可穿戴医疗设备的知情同意规范、认证制度、规范数据管理制度[17]是加强伦理规范和政策法规建设的基础。

2.1.5 隐私保护意识

隐私保护意识也是学者们讨论的重点，强调要加强用户的隐私维护意识，培训其信息安全技能，尽量将意外发生的概率降到最低，了解采集的数据内容、时间、使用范围等并要求签署知情同意。同时避免将重要数据与可穿戴设备连接，防止他人运用可穿戴设备记录个人或工作区域的信息数据，避免造成因不尊重他人隐私问题而泄露个人隐私以及工作区域核心数据被窃的问题。不仅用户需要注意此问题，运营商也要有信息安全意识，确保用户信息的安全性和隐私性。

2.2 国外研究进展

国外的研究主要是围绕用户隐私保护意识、隐私尊重的伦理道德及法律制度建设和信息安全技术、隐私保护框架模型、隐私保护范式建设等角度展开的。

2.2.1 用户隐私保护意识

Vivian Genaro Motti和Kelly Caine[18]分析发现，用户隐私保护存在的问题主要有用户难以意识到“什么数据被搜集”和“他们怎样被使用”，用户不能充分理解与数据搜集相关的潜在的风险、威胁的含义，并试图低估这些问题。并基于以上问题提出了用户应该让保密信息尽可能地离散显示，将第二屏幕作为一种隐私屏幕，避免其他人阅读到设备内容和尽量隐藏设备的视觉阻塞3种隐私保护策略。此外，IPC公司发布的报告中也提出强化登录密码和加密，应该安装最新式的防火墙、反病毒和反盗窃软件设备，设备应该提供最高级别的安全，如自动锁等，避免不安全的网络、当设置好蓝牙连接后应该调回不可被发现模式，如果设备未加密并且你不能够远程清除你的个人可识别信息时应向警察汇报等具体性的隐私保护策略[19]。

2.2.2 隐私尊重伦理道德

从生产商角度出发，一些用户并不喜欢他们的设备带有立即同步到社会媒体应用的情况和没有能够自主控制分享数据的功能，而现在的设备却大多都与社会媒体自动同步；从个人角度来看，要意识到他人的隐私与自己的隐私同样重要，因而要设定多种设备可被使用的场景，并要求在将设备带入职场中应告知周围人，尊重他人的选择[20]。此外，在保护个人隐私时，还应充分利用自己删除数据的能力，注意未来可穿戴设备重新识别的风险和服务提供商政策改变带来的隐私风险[21]。

2.2.3 信息安全技术

研究学者也对提升信息安全技术进行了相关探讨，当前最突出的问题就是缺少存取控制，增加了由于技术漏洞而导致隐私泄露的可能。他们提出，设备应使用消除可识别个人的数据来代替个人可识别数据以及设置某几次失败获取设备数据时后将导致自动删除和生物特征识别技术[22]等方案来解决隐私泄露问题。此外，Britt Cyr[23]等人还针对Fitbit Flex可穿戴设备阐述了其出现的4个漏洞：Fitbit在某些情况下不必要获取设备周围的信息，Fitbit未提供给用户搜集到的所有数据，Fitbit设备的MAC地址永远没有发生改变，造成相关用户攻击，蓝牙低功耗设备的凭证在配对时也会被暴露和容易遭受攻击。 同时，该研究也将采集数据的传感器作为涉及到隐私问题的因素，例如GPS可以披露位置、声音传感器和嵌入设备的照相录像，可以直接识别出个人等等。

2.2.4 可穿戴技术应用

katie McMullan[24]提出雇主在应用可穿戴设备制定企业健康策略的过程中，应保证搜集数据内容和使用环境的透明性，员工出于自愿而非强迫性接受可穿戴设备所采集到的数据被合理使用，在指定目的下设备使用的限制以及注意限制数据与原始目的有变化的不相称使用，不要过度期待可穿戴设备采集数据的精准性，建立数据保留标准、保障职员数据保护要求，制定安全预警等建议，以促进企业健康计划的顺利开展。

2.2.5 相关法律制度与规定

可穿戴设备在医疗领域的应用有以下问题。卫生保健的专家或相关机构搜集、保存和传输受保护的健康信息在HIPPA法案中都有相应规定，但独立第三方搜集受保护的健康信息的权利却还未在法案中规定。而且强调与医疗机构或者医师合作时，第三方有必要提供数据使用协议，但目前在接收搜集到的数据时却很少存在相关指导[25]。同时可穿戴设备也存在以下欠缺。首先是“忘记的权利”，即当用户不使用设备时，应具备自动清空数据的能力，这是用户应该具备的一项权利；其次，政策应该制定在什么地点和什么条件下可穿戴设备无线功能可以被使用，并应该解决雇主保留的权利，以维持这种传输的监督和他们可能被使用的目的。Greig Paul[22]提出应该明确医疗可穿戴设备数据的所有权问题、将HIPAA作为参考建立可穿戴健康监督在临床应用的相关数据分类法以及指定数据存储管辖权。

此外，本文也简单梳理了欧美等较具有代表性的国家的数据隐私保护的部分相关法律。虽然各种法律法规在执行范围、实行要求和补救措施等方面要求都不同，但都对个人信息的搜集、披露和使用提出了要求。具体情况如表2所示。

表2 具有代表性的世界数据隐私保护相关法律

2.2.6 框架、模型、范式的构建

国外相关研究学者还结合可穿戴设备数据安全和隐私的问题分别提出了隐私保护框架、模型和范式等，从不同角度对医疗可穿戴设备出现的安全和隐私保护提出了解决方案。Seyedmostafa Safavi[27]等提出了一个概念性的框架，该框架包含了数据隐私内容的范围、共享对象、知情同意、误用保障以及数据与技术的透明性等10个原则，数据安全和隐私保护中需要具备的通讯线路、交换相关信息的安全端口、用于医疗保健用户身份验证的安全访问控制等硬件和交互界面的易用、接受数据的可控性和包含稳定和隐私保护的应用程序等9个清单。Roberto Di Pietro[28]提出了手持和可穿戴无线设备的隐私保护模型，指出可穿戴设备应用场景和数据融合的问题，并提出HWW模型和具有保密性、融合性、可用性的安全挑战与隐私问题，还提出了逻辑边界机制、匿名用户识别概念等可能的解决方案。Christopher Wolf[29]等人在其研究中阐述了在互联网和物联网发展与可穿戴设备快速兴起中带来的隐私安全问题，并提出了一个弹性的、重在使用的可穿戴设备范式，并从情境尊重、受益-风险分析、透明性、消除可识别性数据、合理的个人存取、适当的安全性和发展的行为准则7个方面进行了介绍。此外，还存在设备丢失与被窃等其他可能导致隐私泄露的问题。

3 差异研究

通过对比发现，国内外对健康医疗可穿戴设备数据安全与隐私问题的研究存在一定的异同，具体内容如图1所示。

图1 国内外相关研究内容异同分析

国内外相关研究提出了政策、法律和伦理规范的建议，在医疗可穿戴设备数据隐私保护意识及能力的提升和信息安全技术方面具有一定的相似性，但也存在一定的差异。国内对可穿戴设备存在的系统漏洞、网络安全问题以及对政策、伦理、法律方面提出了建议，也对互联互通、隐私保护意识和能力等方面有所关注。国外则较侧重隐私保护意识和能力提升的解决方案以及隐私保护框架、范式及模型的构建，并且对法律、伦理问题以及传感器、技术应用和其他外界因素都有所关注。综合来看，国外研究问题相对较为具体，多从微观角度出发，提出了较为详细的解决方案，如注重信息离散显示、增加生物特征识别和远程自动删除技术。同时，欧美等发达国家已经制定了一定的隐私保护法律和伦理规范，而国内的基础相对较为薄弱。

4 总结与讨论

数据安全与隐私保护的核心问题就是数据，如保护隐私数据是解决健康医疗可穿戴设备发展瓶颈的关键之一。虽然可穿戴设备数据安全与隐私问题的相关研究已有一定的数量，却大多针对一般性可穿戴设备，很少将健康医疗可穿戴设备作为重点分析对象，也没有将采集的数据与数据整个流动的过程作为隐私问题研究的主要内容。此外，可穿戴设备数据安全与隐私保护问题的研究大多集中在某一层面，特别是技术层面的算法及网络安全等，对管理、伦理等方面隐私问题讨论较少，欠缺整体性和综合性。

健康医疗可穿戴设备数据安全与隐私保护的研究应该建立一套系统性、多维度的体系框架，针对数据特点及流动的环节设计不同层面的具体保护措施，建立不同类型数据的隐私保护标准，并结合参与的国家政府、行业生产商、医院、第三方参与机构以及个人等不同角色主体应承担的责任义务，去保障健康医疗可穿戴设备数据安全与隐私内容。

健康医疗可穿戴设备发展迅速，其领域特殊性涉及的数据安全与隐私问题更为复杂，而且直接关乎到个人生命安全甚至国家安全。因而解决这一问题变得更为迫切，需要多方共同参与努力，建立合理且有效的隐私保护机制。