移动医疗服务情境下的隐私问责研究
——基于演化博弈的视角

朱 光 刘 虎 陈 婧 杜欣蒙

(1.南京信息工程大学管理工程学院，江苏 南京 210044；2.南京信息工程大学中国制造业发展研究院，江苏 南京 210044)

随着移动互联网技术的快速发展和智能终端设备的普遍应用，各行各业纷纷利用移动通信技术推动产业的互联网化和泛在化。在移动服务广泛应用的众多领域中，移动医疗(Mobile Health)服务借助智能手机、平板电脑等终端设备，利用各类APP，通过在线问诊、专家答疑、实时监测等手段降低成本，提高诊治效率和质量[1]。据中国产业信息网统计数据显示，2015年移动医疗服务市场规模达42.3亿元，2016年市场规模达71.8亿元，2017年市场规模突破百亿元，达125.3亿元，年增长率超过50%[2]。移动医疗服务有效缓解了医疗资源分配不均、就诊效率低、医疗管理水平不足等问题，有效推动了我国医疗卫生事业的发展。

然而，移动医疗服务通过智能终端和便携式穿戴设备采集患者健康和行为数据，并上传至云端进行分析处理，增大了数据管理和隐私控制的难度。个人健康记录中的过敏药品、家族病史、影像报告等数据如果泄露，会给患者带来严重的隐私侵害和人身安全问题。2016年，Verity医疗基金网站遭到黑客攻击，1万余名病人信息遭到泄露[3]。2017年，亚马逊云服务器(Amazon Cloud)泄露47GB医疗数据，15万病人信息面临曝光[4]。与此同时，国内小米、华为、Jawbone等医疗穿戴设备也被爆出存在侵犯个人隐私的问题[5]。因此，如何在移动医疗服务情境下加强对医疗隐私的保护，已成为亟待解决的问题。

近年来，各国政府、研究机构和相关学者从法律法规、技术模型、行为策略等多个角度对移动医疗隐私展开深入研究，然而，现有研究大多针对隐私保护过程中的某一个环节，如数据共享和隐私使用，并没有考虑到隐私泄露后的损失赔偿和溯源问责问题；同时，针对移动医疗服务情境下隐私主体的信息不对称性和有限理性，现有隐私研究未深入分析行为策略的演化特性。

基于此，本文围绕移动医疗服务情境下的隐私溯源问题，引入演化博弈理论，定义患者和移动医疗APP服务商为博弈主体，构建演化博弈模型求解隐私主体的博弈均衡策略。在此基础上，探寻收益、成本、损失、信任、监管等不同因素对隐私溯源和赔偿行为的影响，为移动医疗服务领域的良性发展提出针对性的建议。

1 国内外研究现状

云计算、大数据、无线通信以及智能感知等新兴信息技术在医疗领域的广泛应用，促使不同类型的医疗数据在移动网络中传播、存储和共享，移动医疗隐私的保护、控制和使用，越发引起研究机构和专家学者的关注。本文从隐私概念和框架、隐私保护技术、隐私行为决策等视角对国内外相关研究文献进行梳理。

1.1 隐私概念和框架研究

隐私是一种与公共、群体利益无关，隐私主体不愿他人知晓或不便知晓的隐秘空间或个人信息[6-7]。移动医疗隐私可以定义为“在移动医疗服务情境下，个体或其他网络实体限制第三方使用的隐秘信息，以及控制他人访问的信息空间”[8]。从隐私风险角度，Ameen等[9]对移动医疗系统中的信息安全和隐私保护问题进行了总结，分析可能存在的隐私泄露风险，并深入分析移动医疗的全过程，提出一个隐私管理框架和隐私规则；针对移动医疗隐私的保护需求，Avancha等[10]设计了一个隐私概念框架，该框架详细描述了移动医疗系统可能涉及隐私属性和规则，以及保障移动医疗隐私的技术方法；Rahman等[11]分析了RFID医疗系统中存在的两个隐私问题：访问控制和授权协议，提出了一个能够在医疗系统扩展性和隐私保护之间取得平衡的隐私管理框架；曹靖等[12]探讨了构建e-患者模式过程中遇到的隐私泄露问题，提出打造专业平台读取数据、完善相关法律法规等针对性对策建议。

1.2 隐私保护技术研究

目前隐私保护技术的研究主要集中于数据加密和访问权限控制领域，Lai等[13]针对智能服务系统的隐私访问控制需求，提出了一种分级广播加密的访问控制模型，相对于传统的集中授权策略，可以更好地防止泄露和窃取用户隐私。Xiao等[14]提出一种医疗系统的多层隐私访问控制模型，利用安全标签和主体信任度来计算隐私数据的访问风险，根据用户风险区间，确定其访问权限；Poon等[15]构建移动医疗系统的模糊推理访问控制模型，引入模糊隶属度函数，定义主体访问规则以实现基于隐私风险的访问控制；孟大程等[16]针对移动医疗急救流程，提出基于机会计算的隐私保护模型，该模型可以实现以用户为中心的隐私访问控制，减少在移动医疗急救过程中的隐私泄露；杨召唤等[17]提出了一个匹配度量函数计算协议，并在该协议的基础上设计了一个基于多病症匹配的密钥协商协议，以确保患者可以根据需要隐秘地选择病症匹配对象，并满足对象间通信时的私密性需求。罗恩韬等[18]利用跨域多授权中心共享密钥，实现跨域用户数据的互相访问与共享。运用用户隐私密文文件与密钥分离技术，增强了用户数据的隐私性。

1.3 隐私行为决策研究

Bansal等[19]基于归因理论(Attribution Theory)和组织公平理论(Organizational Justice Theory)研究隐私侵害后的信任修复过程和范围，研究结果表明隐私侵害类型(黑客攻击和未经授权分享)对信任修复有显著的影响；Adjerid等[20]运用固定效应模型(Fixed Effects Model)和横截面分析模型(Cross-Sectional Model)，研究隐私立法和技术激励对医疗信息共享的影响；Guo等[21]阐述了移动医疗服务中的隐私悖论现象，分析了不同年龄区间对隐私忧虑程度和移动医疗采纳意愿的影响；Atienza等[22]从年龄、性别、教育程度等5个维度对256位用户进行了访谈和调查，研究结果表明用户对移动医疗服务的采纳意愿与服务情境紧密相关；Eikey等[23]采用半结构化问卷对病患和医疗机构的工作人员进行调研分析，研究结果表明工作人员和病患在隐私概念界定、隐私风险评估以及移动医疗收益感知等方面具有差异性；Li等[24]对荷兰164位病患进行了在线访谈和调查，以了解隐私忧虑对电子病历共享的影响。研究结果表明，医疗系统的易操作性和病人可控制性正向影响电子病历共享意愿，数据处理和访问的透明性可以降低病人的隐私忧虑；Schnall等[25]以50位艾滋病人和30位艾滋病医疗服务人员为访谈和调查对象，研究结果表明移动医疗系统的易用性、可用性、信任程度以及隐私感知风险直接影响病人对移动医疗服务的采纳意愿。

上文提到的隐私行为往往与行为决策者的自身收益密切相关。博弈论作为一种描述和解决博弈问题的研究工具，能从经济学视角分析各类隐私行为的收益、成本和损失，因此，已被相关学者运用到各类隐私行为决策问题的研究中。Gordon等[26]提出一个基于博弈论的信息安全最优投入模型，研究结果表明信息系统脆弱性和数据泄露风险决定了信息安全的投入决策；Cavusoglu等[27]运用贝叶斯博弈分析信息系统安全的最佳投入策略，并分析了投入收益、投入成本以及系统脆弱性等因素对最优策略的影响；针对具体攻防情境，运用攻防博弈树描述攻击者和防御者的相应策略，并提出攻击回报(Return on Attack,ROA)和投入回报(Return on Investment,ROI)两个概念；Fielder等[28]运用贝叶斯博弈，模拟中小型企业与黑客之间的信息安全多阶段决策过程，以分析信息安全的投入预算；Gao等[29]运用差分博弈研究了信息安全投入决策与信息共享之间的关系，研究结果表明最优信息安全投入策略与市场合作存在紧密关联；Liu等[30]研究了相似企业信息安全策略与市场竞争的关系，研究结果表明，两家相似企业的信息安全投入决策无法同时达到最优，只能获得次优(Sub-optimal)策略；顾建强等[31]研究了非合作博弈下信息系统安全投入的最优策略选择，在此基础上分析了投入效率参数、黑客学习能力、传染风险对信息系统脆弱性及信息系统安全投入的影响；朱光等[32]构建由社交网络平台与用户隐私保护投入的演化博弈模型，从成本和收益角度，分析得到隐私保护投入的演化稳定策略。

1.4 研究述评

通过对国内外隐私研究的梳理和归纳可以发现，隐私保护技术主要是隐私使用者(如社交平台、电商平台和医疗机构)为保障用户(隐私拥有者)隐私，采取的技术方法和手段，属于“被动式”防护，缺乏对不同主体隐私行为的分析。基于博弈论的信息安全和隐私行为研究已有不少成果，然而绝大多数工作基于贝叶斯博弈、斯塔克伯格博弈和差分博弈模型，假设隐私主体是完全理性，与实际情境不相符。与此同时，少有研究关注隐私主体在隐私泄露后的问责和索赔行为。

基于此，本文从移动医疗服务的全生命周期视角出发，针对隐私泄露后的问责和索赔问题，运用演化博弈理论，构建不同主体隐私问责行为的博弈模型，并对其演化稳定策略进行详细阐述。

2 模型构建与求解

本文运用演化博弈理论研究隐私问责的原因在于其认为博弈主体都是有限理性的，更符合博弈主体在移动医疗服务情境下的隐私行为规律。由于移动医疗服务情境的动态性和信息不对称性，隐私行为的差异性和有限理性，博弈主体在单次博弈过程中难以选择最优策略，需要不断试错和模仿，才能达到较高收益的稳定状态[33]。演化博弈基本思想是：假设存在一个数量较大的行为群体M，选择某一行为策略A，同时存在一个数量较小的行为群体N，选择不同策略B。当群体M和群体N的行为策略相互影响，形成一个混合群体时，若N在混合群体中获得的收益大于M的原有收益，则小群体N会影响到大群体M的策略选择；反之，小群体N会选择与大群体M相同的策略。如果一个群体的行为策略能够不被另一个群体影响，则认为该群体达到了演化稳定状态，该群体策略即为演化稳定策略[34]。

2.1 问题描述与模型假设

为保证本文构建模型的现实性和有效性，在构建模型前对丁香医生、好大夫、春雨医生等移动医疗APP进行深入分析，了解其隐私保护机制。与此同时，走访南京中医药大学、江苏省中医院、南京鼓楼医院等多家医疗机构，对医疗隐私保护的现状和需求进行深入了解。

在患者使用移动医疗APP的同时，也可能由于移动医疗APP服务商(以下简称“APP服务商”)保护措施不足、管理疏忽、隐私保护意识薄弱等原因导致个人医疗隐私信息的泄露，造成骚扰电话和邮件，以及个人敏感信息的非法传播等后果。从移动医疗服务的生命周期视角考虑，当隐私泄露发生时，患者和APP服务商之间不再是“使用”与“保护”的博弈关系，转而进入了隐私问责阶段。为完善移动医疗服务情境下的隐私保护机制，本文针对患者的隐私问责和APP服务商的隐私赔偿问题，构建隐私问责的演化博弈模型，并就不同参数条件下的演化稳定策略进行详细阐述。

为便于模型求解，特作以下假设：

1)博弈主体。患者，使用移动医疗APP后个人信息遭到泄露的受害者；APP服务商，由于自身保护疏忽或黑客恶意攻击等造成患者隐私泄露。

2)“经济人”假设。博弈主体的行为目的都是为了实现自身利益最大化。患者问责是为了弥补隐私泄露所带来的损失，将负面影响最小化。APP服务商提供赔偿是为了提高信誉、平台损失最小化和长期发展。

3)有限理性假设。在隐私问责阶段，由于问责行为的复杂性，以及博弈双方认知的差异性，博弈主体需要通过不断试错、学习、模仿，逐渐找到最优策略。因此，需要对有限理性的博弈主体进行具体分析，使其更好地符合移动医疗服务的实际情境。

4)博弈策略。在隐私问责阶段，患者有两种策略：“问责”和“不问责”。“问责”指患者追究APP服务商的责任，要求对其损失进行赔偿，是对个人隐私权益的积极捍卫。“不问责”指患者不愿投入精力或隐私保护意识薄弱而没有追究APP服务商的责任。APP服务商针对隐私的泄露也可采取两种策略，即“主动赔偿”和“被动支付”。“主动赔偿”指医疗APP服务商主动对患者提供补偿，弥补其隐私泄露损失。“被动支付”指APP服务商在隐私泄露后对患者不采取任何补偿措施，只有当患者问责导致政府介入进行强制管控时，才被动支付一定的赔偿金额。

2.2 模型参数

在上述假设的基础上，考虑患者和APP服务商行为策略的主要影响因素，对模型参数进行定义，各参数符号及其含义如表1所示。

表1 博弈双方的参数设定及含义

根据上述模型参数，可计算出“患者—APP服务商”演化博弈的收益矩阵，如表2所示。

表2 收益矩阵

2.3 模型求解

P11=y(-L1-CU+A2)+(1-y)(-L1-CU+θA2)=-L1-CU+θA2+yA2(1-θ)

(1)

P12=y(-L1-A1)+(1-y)(-L1)

(2)

(3)

患者的复制动态方程为：

(4)

2011年，水利部正式确定深圳成为加快实施最严格水资源管理制度试点，深圳的水资源管理工作也从之前的国家水资源综合管理试点建设转为最严格水资源管理制度试点建设。以最严格水资源管理制度试点城市建设为契机，深圳市依托水务一体化发展的优势，秉承特区先行先试的创新品格，不断创新工作理念，完善制度配套，破解城市发展“水”难题，为全国最严格水资源管理探路求解,进一步推动深圳水资源管理从供水管理向需水管理转变，从偏重水量管理向水量水质并重转变，从开发建设为主向建设保护并举转变，从单一水源向多水源互补转变，从低效利用向节约高效转变，从注重行政管理向综合管理转变。

P21=x(-L2-A2)+(1-x)(-L2-A1)=-L2-A1+x(-A2+A1)

(5)

P22=x(-L2-θA2-T)+(1-x)(-L2)=-L2+x(-θA2-T)

(6)

(7)

医疗APP服务商的复制动态方程为：

(8)

根据上述复制动态方程,可以得到患者和APP服务商演化博弈的二维动力系统：

(9)

2.4 均衡点的稳定性分析

演化均衡点的稳定性可以利用雅克比矩阵的局部稳定分析得出[35]，定义雅克比矩阵为：

(10)

式中a11、a12、a21、a22分别为：

a11=(1-2x)[-CU+θA2+yA2(1-θ)-yA1]

a12=x(1-x)[A2(1-θ)-A1]

a21=y(1-y)[-A2+A1+θA1+T]

a22=(1-2y)[-A1+x(-A2+A1+θA2+T)]

若矩阵元素满足以下两个条件，则复制动态方程的均衡点为演化稳定策略。

1)trJ=a11+a22<0；

根据上述条件，可以得到5个局部均衡点(0,0)、(0,1)、(1,0)、(1,1)、(A,B)的具体取值，如表3所示。

表3 局部均衡点处a11、a12、a21、a22的具体取值

显然，在均衡点(A,B)处有，不满足条件1)，因此均衡点(A,B)肯定不是演化稳定策略。同理，在局部均衡点(0,1)处，由于大于0，无法满足演化稳定条件1)、2)，因此均衡点(0,1)，即(不问责，主动赔偿)不是演化稳定策略。当个人医疗隐私泄露后，患者出于成本、时间等角度考虑，选择“不问责”策略，此时APP服务商为了收益最大化，不会选择“主动赔偿”策略，该分析结果符合移动医疗服务的实际应用情境。因此，只需分析其余3个均衡点的稳定性。

1)若-CU+θA2<0，即在政府介入下，APP服务商选择“被动支付”策略，其支付的赔偿金小于患者选择“问责”策略所付出的成本。此时，博弈双方的演化稳定策略为(0,0)，患者倾向于选择“不问责”策略，APP服务商倾向于选择“被动支付”策略。该演化稳定策略的出现主要是因为患者获得的赔偿金额过低，甚至无法覆盖隐私问责的成本。

2)若-CU+θA2>0&-A2+θA2+T<0，即在政府介入下，APP服务商选择“被动支付”策略，其支付的赔偿金大于患者选择“问责”策略所付出的成本，并且APP服务商选择“主动赔偿”与“被动支付”的差值大于信任损失。此时，系统的演化稳定策略为(1,0)，患者选择倾向于选择“问责”策略，APP服务商倾向于选择“被动支付”策略。该演化稳定策略的出现是因为患者获得赔偿金额高于其问责成本，而APP服务商选择“被动支付”策略时的信任损失较小。

3)若-CU+θA2>0&-A2+θA2+T>0，即在政府介入下，APP服务商选择“被动支付”策略，其支付的赔偿金额大于患者选择“问责”策略所付出的成本，并且APP服务商选择“主动赔偿”与“被动支付”的差值小于信任损失。此时，系统的演化稳定策略为(1,1)，患者选择倾向于选择“问责”策略，APP服务商倾向于选择“主动赔偿”策略。该演化稳定策略的出现是因为患者获得赔偿金额高于其问责成本，而APP服务商选择“被动支付”策略时的信任损失较大。

3 仿真分析

为了更直观的展示患者与APP服务商在隐私问责与赔偿过程中博弈策略的演化趋势，验证构建模型的正确性，本文运用Matlab对不同的模型参数进行数值仿真，分析博弈双方的演化稳定策略。

3.1 均衡点(0,0)的仿真分析

假设CU=2，A2=5，A1=3，T=2，θ=0.2，参数满足-CU+θA2<0。设定患者选择“问责”策略和APP服务商采取“主动赔偿”策略的初始比例区间为[10%，90%]，在此参数条件下的演化曲线如图1所示。

从图1可以看出，x和y均逐渐向0趋近并达到稳定，系统最终收敛到点(0,0)。该演化稳定策略的现实意义是：在政府介入的情况下，APP服务商“被动支付”的赔偿金额小于患者隐私问责的成本。因此，患者都会倾向于选择“不问责”，APP服务商都会倾向于不主动赔偿(即“被动支付”)。若该演化稳定策略长期存在，则APP服务商对于隐私泄露事件的发生不采取积极补救措施，患者对发生的隐私泄露不积极维权，导致隐私问责形同虚设，患者隐私权得不到保障，一旦遭受隐私泄露，患者损失无法获得赔偿，不利于构建移动医疗服务全生命周期的隐私保护机制。

图1 稳定点(0,0)的仿真结果

3.2 均衡点(1,0)的仿真分析

假设CU=2，AA2=5，A1=3，T=1，θ=0.6，参数满足-CU+θA2>0&-A2+θA2+T<0。设定患者选择“问责”策略和APP服务商采取“主动赔偿”策略的初始比例区间为[10%，90%]，在此参数条件下的演化曲线如图2所示。

图2 稳定点(1,0)的仿真结果

从图2可以看出，x逐渐向1趋近并达到稳定；y逐渐向0趋近并达到稳定，系统最终收敛到点(1,0)。该演化稳定策略的现实意义是：在政府介入的情况下，APP服务商“被动支付”的赔偿金额大于患者隐私问责的成本，且APP服务商“主动赔偿”与“被动支付”策略的赔偿差值大于信誉损失时，患者会选择主动追究APP服务商的责任，但APP服务商不愿主动赔偿患者的隐私泄露损失。该演化稳定策略长期存在的结果是但凡发生患者隐私泄露，就需要政府相关部门介入，对双方问责和赔偿协议的达成进行协调管控。患者无法建立对医疗APP服务商的长期信任，完全依靠政府的管控支持，是一种消极被动的隐私保护方式。

3.3 均衡点(1,1)的仿真分析

假设CU=1，A2=5，A1=1.5，T=3，θ=0.6，参数满足-CU+θA2>0&-A2+θA2+T>0。设定患者选择“问责”策略和APP服务商采取“主动赔偿”策略的初始比例区间为[10%，90%]，在此参数条件下的演化曲线如图3所示。

由图3可以看出，x和y都逐渐向1趋近并达到稳定，系统最终收敛到点(1,1)。该演化稳定策略的现实意义是：在政府介入的情况下，APP服务商“被动支付”的赔偿金额大于患者隐私问责的成本，且APP服务商“主动赔偿”与“被动支付”策略的赔偿差值小于信誉损失时，患者会选择主动追究APP服务商的责任，APP服务商也愿意主动赔偿患者的隐私泄露损失。该演化稳定策略长期存在的结果是一旦患者隐私遭到泄露，患者会追究APP服务商的责任，APP服务商也会积极配合，主动提供赔偿，是一种积极主动的隐私保护方式。

图3 稳定点(1,1)的仿真结果

4 结 论

本文针对移动医疗隐私泄露后的患者问责和APP服务商赔偿问题，运用演化博弈模型，以患者和APP服务商为博弈主体，研究博弈双方在不同参数条件下的演化稳定策略，并利用Matlab进行数值仿真和模型验证。研究结果表明：博弈主体关于隐私问责与赔偿的策略选择与隐私损失、问责成本、信誉损失、监管力度等因素密切相关，当上述影响因素发生变化时，会出现3种演化稳定策略：(不问责，被动支付)、(问责，被动支付)和(问责，主动赔偿)。根据上述研究结论，本文对移动医疗服务情境下的隐私保护提出以下几点建议和对策：

1)降低隐私问责成本。简化隐私问责流程，最大限度精简问责程序，减少无谓、繁琐的证明和手续；多种方式提供咨询服务，解答隐私问责相关的疑问，指导、协助隐私泄露患者维权，畅通患者问责渠道。

2)加强政府对隐私问责的管控。制定完善的隐私问责法律，列出详细明确的管控规定，使政府管控有法可依、有章可循，更具可操作性。对相关执法人员进行管控的能力培训，提高其管控意识和水平。加强对管控的监督反馈，确保管控过程可考核、受监督。患者可对管控结果进行满意度评价并提出建议，发挥舆论监督作用，以便政府及时发现管控过程中的敷衍现象，并对不足之处进行改进。

3)提高患者自我隐私保护的意识。加强数据安全与隐私保护知识的宣传开展和教育培训，可通过文字、视频、交流会等形式对个人医疗数据中所包含的隐私信息，以及其无形价值和泄露带来的危害进行科普，使患者对医疗隐私有更全面、深入的了解。进行隐私保护相关法律法规的细节解读，对隐私权内涵和隐私泄露者应承担的法律责任予以说明，引导患者通过法律途径维护自身正当权益免受侵害，提高隐私保护的警觉性和自觉性。

4)提高隐私管理水平。重视对隐私保护的技术投入，同步技术发展速度，及时进行软件升级、硬件维护等。APP服务商定期开展对平台隐私管理的从业人员的专业知识培训，学习最新的隐私保护法律政策和技术方法，提升专业能力。在数据遭到泄露或破坏时，快速定位责任主体(内部人员疏忽或外部恶意攻击)，修复隐私保护漏洞，遏制隐私信息进一步的非法传播。

5)提升隐私保护投入的效益。运营商加强协调平台内各部门间隐私保护的合作，优化隐私保护管理流程。研究机构和专家学者结合实际需求从理论技术层面深入研究创新，降低技术投入成本的同时提高隐私保护的有效性。