丁佩佩 王博 邢美玲 武先奎
在互联网技术推动医疗健康产业大发展和新变革的同时,因缺乏网络信任与完善的身份管理体系而引发的信息泄露问题为医疗信息安全、医疗健康数据的互通共享以及互联网诊疗带来了挑战。
《关于促进“互联网+医疗健康”发展的意见》(国办发〔2018〕26号)(以下简称《意见》)、《“互联网+护理服务”试点工作方案》(以下简称《工作方案》)、《关于深入推进“互联网+医疗健康”“五个一”服务行动的通知》(国卫规划发〔2020〕22号)等文件明确提出:加快建设全国统一标识的医疗卫生人员和医疗卫生机构可信医学数字身份,“互联网+医疗健康”服务产生的数据应当全程留痕,可查询、可追溯[1];互联网信息技术平台可以购买/共享公安系统个人身份信息或通过人脸识别等人体特征识别技术进行比对核验[2];加快推进网络可信身份认证体系建设,逐步实现患者身份在线核验及医疗机构、医师、护士等信息公众查询[3]。这些政策的出台,说明互联网需要权威的身份信息隐私保护机构,医护人员需要权威可靠的数字身份。
网络电子身份标识(electronic identity, eID)技术具有网上实名认证和电子签名等功能,满足《意见》及《工作方案》相关要求[4]。卫生健康主管部门和公民网络身份管理部门跨部门合作,将eID赋能给“互联网+医疗健康”领域,可以进行相应的顶层设计,从医疗健康数据产业的源头,解决政府和社会共同关注的数据信息安全、医疗质量安全等重大问题,有效规范互联网诊疗行为,强化医疗质量监管,防控和应对服务风险。
目前,我国网络远程身份验证普遍采用的是“姓名+身份证号”关联对比的方式,存在用户信息被泄露与盗用风险。建设以公民身份证号码为根,既能保护个人信息安全又能适应网络社会数据开放和流通需求的统一数字身份管理体系势在必行。eID作为“公安部公民网络身份识别系统”统一签发给公民的网络电子身份标识,能够在不泄露身份信息的前提下在线远程识别身份[5]。
eID由一对非对称密钥(公钥和私钥)及相关电子信息文件组成,该密钥对中的私钥由智能安全芯片内部产生,无法被读取、复制、篡改或非法使用[4]。eID的唯一标识是由用户证件号码、姓名和128字节随机数的字串进行运算得出的二进制编码,与公民身份一一对应。因此,在线上应用时,eID是一个代表用户身份的编码,不同的线上应用中使用不同的标识编码,可以避免行为数据被汇聚、分析和追踪,达到网络身份管理和隐私保护的双重目的[5-6]。
随着eID技术的日益成熟,针对数据流通共享中存在的数据安全和隐私保护问题,公安部第三研究所在eID个人身份信息保护技术的基础上,与上海数据交易中心共同研发了公安部公民网络身份xID (x Identity)标记技术[7]。xID属于eID技术体系范畴,是eID技术的功能扩展,它组合了数据分类规则、不可逆标记生成、传输控制等多项技术[8],在数据存储与流通中对身份信息和个人其他相关信息均能实现去标识化,保障医疗数据的开放、流通和安全交易等。
为防止信息被篡改、泄露,许多机构在人员身份验证上使用CA (Certification Authority)证书,它有身份识别、电子签名及文件内容防篡改、保密等作用[9]。其中,电子签名及文件内容防篡改、保密是eID和CA证书的共有功能,而在身份识别方面,eID相较CA证书更有优势。eID能够在不泄露身份信息的前提下在线远程识别身份,除了保护个人隐私以外,它还能有效确认远程操作者即为eID数字身份本人。而CA证书,因为是明文比对,它能判断身份信息正确与否,却无法远程确认识别操作者是否为其本人,存在信息冒用、信息滥用或信息他用等风险。
采用基于密码技术的eID保护公民信息进行网上身份认证是国际上通用的做法。欧盟2003年开始启用eID应用标准,目前,多数欧盟成员国已使用eID卡代替传统身份证,兼具身份证和远程识别身份双重功能[10]。2011年,美国发布了《网络空间可信身份国家战略》(National Strategy for Trusted Identities in Cyberspace, NSTIC),试点建立电子身份认证系统,同年发展了移动身份认证[11]。2006年英国推行国家电子身份证,将其作为国内推行各种身份策略的基础。2017年8月,新加坡宣布建立国家数字身份系统(National Digital Identity, NDI),解决公民使用政府网上公共服务的隐私保护和身份认证问题[12]。
患者在网上就诊时,需要姓名、身份证号等个人信息识别身份,同时带有患者诊疗、银行账户、保险等信息的海量数据在互联网上流通,汇聚成了医疗大数据,这些数据在医疗、科研、商业等领域都有巨大价值。因此,互联网诊疗行为面临着比传统线下诊疗更大的信息泄露和滥用风险[13]。
为患者建立eID数字身份,将患者隐私数据转化成去身份化和碎片化的个人标记,防止数据通过某些环节和渠道泄露,可有效保障患者隐私安全。即使相关数据泄露,也无法对个人精准画像。而且,患者也可通过eID授权,只有在患者知情且授权的情况下,数据才能合规、合法地使用,并将授权过程进行存档,从而提升数据的安全性及用户的安全感。具体应用流程:患者线下申领eID数字身份,公安部门对申领人进行面对面的身份审核,确保eID与持卡人真实身份的唯一对应,审核通过后,签发eID卡,eID加载在银行金融IC卡、手机安全芯片、SIM卡等相关卡片上,或者系统生成相应的eID数字身份二维码,患者在就诊时,出示加载eID数字身份的相关卡片、二维码或者通过手机NFC贴卡方式,输入密码,即可在线远程识别身份,实现网上就医。互联网诊疗过程中,如需调用患者体检或者诊疗数据时,患者本人可通过eID进行授权使用。
2.2.1 核验医护人员身份及资质
医护人员及医疗机构的身份认证和资质核验直接影响医疗质量和安全。全国已经建立统一的医师电子注册信息库,任何人登录该库都可以查询医疗机构、医生和护士的信息[14]。这种明文信息在网络上传播的做法,存在身份被冒用、互联网行医诈骗等风险。因此,医护人员在网络远程身份验证时,需要既能保证其身份真实性和有效性又不会泄露身份信息的认证方式。
利用eID技术,为医护人员建设具有全国统一标识的eID医学数字身份,能够在减少明文信息在网上传播的同时,快速有效地进行在线远程身份识别。因为eID经公安部门审核签发,可以确认个人身份的真实性和eID载体的唯一性。当使用eID进行网上实名认证时,基于eID卡内芯片密码运算及个人输入的校验码实现具有较高安全性的个人身份验证,可以有效防止个人身份信息被盗用进行实名注册等情况的发生。即使用户发生网络账号被盗情况,用户可立即重置密码。而且由于eID采用先进密码技术,信息在密钥中物理上就无法被读取,无法被破解。
具体应用流程:一方面,以eID编码为ID,构建医师电子注册信息数据库,放在互联网外网上,用于医师、护士信息核验,可防止明文信息在网络上的传播。另一方面,利用eID技术为医疗机构及医护人员建立eID数字身份,eID数字身份加载在上岗证件上,可以软硬件同步实行,在互联网诊疗过程中,扫描证件上的数字身份二维码,然后发出身份和资质核验请求,可与eID编码的医疗机构和医护人员内网数据库进行信息比对,从而进行医护人员身份核实和资质核验工作,可确保给患者提供服务的医师和在网站备案的医师是同一人,以保障医疗质量安全。
2.2.2 监管互联网诊疗行为
利用电子签名可以保证门诊住院电子处方的真实性及合法性,有效监管医生的诊疗行为。但是这种做法无法判断电子签名是否完全出于本人意愿,也无法完全消除电子签名被伪造、冒用、盗用的风险。
基于eID的签名验签+人脸识别技术可以对服务内容进行监管,认定服务的责任主体,具有对抗抵赖的优势,实现电子证据的客观性、合法性及可追溯性。
具体应用流程:医护人员在线诊断时,可以使用自己的eID私钥对信息进行电子签名后发送给其他人,其他人可以使用用户的eID公钥对签名信息进行验签。此外,再采取人脸识别辅助技术与用户身份证内置照片进行对比,可确保使用eID完成的电子签名是本人行为,并将过程进行存证,具备不可抵赖性。
目前,部分医疗机构依靠身份证号实现个人诊疗信息共享,但存在安全隐患,一是个人信息比对正确并不能代表本人真实意愿,无法防范个人身份被冒用或盗用的风险;二是采集个人信息的网络应用服务机构安全水平不一,个人信息滥用与隐私信息泄露风险较高。因此,在数据共享互通过程中,数据安全问题值得重视[15]。《意见》虽指出,要研究制定健康医疗大数据确权、开放、流通等方面的法规,但是,促进信息共享互通,不仅要让数据的使用有法可依,也要从技术上加强安全防护。
利用eID技术体系范畴的xID技术,可以对数据进行去标识化处理,使数据具备安全存储和共享互通的能力,能够保证数据需方向外请求时,信息合规输出;保证个人数据有效确权及授权;保证多家机构在不泄露个人信息的前提下,数据进行去身份化地确权、开放、流通和交易等。因此,xID技术能应用于数据合规存储与流通的各类应用场景。对此,一是可基于xID开展居民电子健康档案在线查询和规范使用。二是可开展统一、权威、互联互通的全民健康信息平台建设,基于xID授权,逐步实现与国家数据共享交换平台的对接联通,强化人口、公共卫生、药品供应等数据共享,畅通部门、区域、行业之间的数据共享通道,促进全民健康信息共享应用。三是可健全基于互联网、大数据技术的分级诊疗信息系统,推动各级各类医院逐步实现电子健康档案、电子病历、检验检查结果的共享,以及在不同层级医疗卫生机构间的授权使用。
具体应用方式:数据需求方/数据供应方利用xID标记技术对信息和数据进行去身份化处理,可生成用于数据请求、数据存储和发布的2种形式的标记数据,形成xID安全索引通道,再使用xID的转换服务实现数据流通过程中的标记转换,实现医疗数据的合规流通。
目前,eID技术在移动支付、智慧物流、电子商务、电子政务、社交网络等领域开展的实名认证服务和安全登录服务取得了良好效果[16]。但是,eID技术还未深入应用到“互联网+医疗健康”领域,迫切需要出台相关政策法规,制定行业标准,加强技术研发与宣传引导[17],以充分挖掘eID技术在保障数据安全、促进数据共享流通中的应用价值。
《意见》和《互联网诊疗管理办法(试行)》虽已明确提出建立数字身份要求,但仍需通过立法保障eID数字身份的管理和应用。一方面,要加强顶层设计,自上而下地“系统谋划”;另一方面,要加强与相关法律法规的协调和衔接,构建相互配套、较为完善的政策法规体系,同时注重法规的可操作性。总之,要坚持一手抓制度建设,一手抓应用发展,为eID技术在“互联网+医疗健康”领域应用提供坚实的制度保障。
当前,eID已初步形成基础标准、管理标准、服务标准、应用标准4个层次的eID标准体系。但是,eID在卫生健康领域还未建立行业标准,因此,可以组建专门的工作小组,研究制定eID技术在卫生健康领域应用的行业标准,使其应用到医护人员和患者数字身份的建立与资质核验,医疗健康信息安全存储及使用权限控制,信息合法、合规流通等方面,达到认证方式高效、权威,数据交易流通合法、合规。
目前,与欧盟、美国等国家领先的电子签名和网络身份管理技术相比,我国还有一定差距,处于探索阶段。因此,应加强对关键技术和前沿技术的创新研究,对接全民健康信息平台、互联网医院信息平台、互联网医疗服务监管平台等,为互联网诊疗服务提供商开发功能多、易用性强的应用程序,完善网络身份管理的相关产品,并探索研究保障用户隐私、数据共享互通的新技术。此外,电子认证服务CA已被应用到卫生行业的电子认证服务中[18],可以探索eID和CA的合作模式,完善隐私保护和信息安全方面的功能,共同致力于构建网络互信体系。
目前,医疗卫生机构可以结合行业标准的设定、医院的信息安全建设、互联网医院业务的开展、健康体检机构的信息安全等,联合各方建立联合实验室或者开始试点工作,逐步开展宣传应用合作,共同研究相关应用场景,积极推进网络信任与身份管理体系的构建,切实提升民众的获得感、幸福感和安全感。