可信普及健康的概念框架和原则

简介

健康是一个比没有疾病或功能不良更广泛的概念。广泛地说，健康包括一个人的身体和精神，以及经济和社会福祉。因此，健康不仅是一种由卫生保健专业人员和相关当局决定的状态，而且是一种个体经历的状态，具有许多决定因素，如生活方式、环境、社会和文化方面。

传统上，医疗保健是在受控环境中发生的制度化和监管系统。信息和通信技术(ICT)、无处不在的计算、环境智能、尘埃、传感器和传感器网络的可用性正在改变医疗保健。正在发展新的服务模式，如个性化医疗保健和个人医疗系统[1-2］．泛在医疗是另一种新范式，它与生物医学工程、健康信息学和泛在计算密切相关[3.］．它使用无所不在的技术，在任何地方持续监测患者，主动预防和早期发现疾病，并无处不在地访问医疗数据[4-6］．

普适计算技术、传感器网络和环境智能开启了普适健康的诞生。普及保健和卫生保健是两个不同的概念，有许多重叠的目标(即向所有人提供服务)。它们不以所使用的信息技术或信息来区分。两者都可以收集和部署任何类型的个人健康数据和环境信息(例如，基因组、现象、表观遗传和地理空间信息)。

信任与资料私隐

信任是一个相对的、复杂的、动态的概念。从信息处理的角度来看，信任定义了个人在收集、处理、交流和使用个人信息时的期望[7］．它允许接受风险，平衡隐私需求和利益。信任可以基于实体对涉及个人数据的参与者和流程的知识和经验，基于为规范参与者的行为和流程而建立的法规，以及基于约束参与者和执行流程(执法)的立法。

就健康信息而言，信任定义了数据主体(DS)对其个人健康信息以隐私和安全得到保障且数据处理遵循法规、道德规则、公平信息实践和DS个人偏好的方式进行处理和交流的信心。

隐私是一个多方面的、相对的、与环境相关的概念[8］．它被韦斯特林定义为“个人、团体和机构要求自己决定何时、如何以及在多大程度上将有关他们的信息传达给他人”[9］．本文主要关注以下隐私维度:信息自决权和包括个人行为隐私、免受监视自由、通信隐私和数据隐私在内的信息隐私[9-12］．信息隐私是指尊重个人在收集、处理和交流个人信息方面的意愿和要求，从而防止因披露而造成损害的自决权。

信息隐私和信任都与收集、处理、交流和使用个人信息时所要求或期望的条件有关。隐私政策，如患者的同意声明，明确表达了DS的隐私要求，而信任则隐含地处理这些要求。隐私和信任都与信息主体有关，包括对相关实体的知识或假设。数据披露意味着隐私的丧失，但可信度的提高降低了对隐私的需求。DS的目的是在可接受的信任水平上将隐私损失最小化。

之前的工作

在医疗保健领域，国际上采用的原则和良好实践规则，如联合国《世界人权宣言》、经济合作与发展组织《信息系统和网络安全指南》、被称为数据保护指令(DPD)的欧洲指令95/46/EC，世界医学协会和国际医学信息协会(IMIA)出版的道德准则和守则，共同批准了道德和隐私保护的高级框架[13-16］．国际标准化组织也正在制定针对安全处理健康信息的标准，例如国际标准化组织(ISO)的健康信息学TC 215标准[17，18］．Wassernaar报道了以下隐私原则被广泛应用:隐私存在原则、保留原则、可信使用原则和受控传播原则[12］．Langheinrich为隐私感知泛在系统提出了以下原则:通知、选择和同意、接近性和局部性、匿名性和匿名性、安全访问和追索权[19］．注意，他的第一个原则，是意识原则的一个子集。这些文件和建议强调，诸如扣留、可信使用、受控传播、处理的合法理由、数据处理者的责任和基于目的的限制等高级政策是可信信息处理的基石。

研究人员已经认识到当前隐私解决方案的弱点和挑战。Coiera和Clark宣称传统的访问控制系统效率低下，因为它们不能感知内容和上下文[20.］．Anciaux等人发现传统的电子健康记录(EHR)在医疗保健服务领域之外没有安全保障[21］．Ruotsalainen曾指出，患者控制电子病历使用的权利有限[22］．Pallapa等人认为，使用普适计算的系统没有机制让人们反映他们的意图[23］．Mitseva等人指出，传感器网络中的隐私保护必须支持日常私人生活[24］．Hu和Weaver称当前的安全和隐私解决方案(基于静态的基于角色的访问控制模型)依赖于应用程序，因为它们没有解决新一代的eHealth需求[25］．根据Joshi等人的说法，基于安全的身份验证和基于角色的方法在开放系统中是不够的[26］．Kim等人指出，在有大量传感器的环境中，知情同意是不可能的[27］．

人们提出了新的方法。鲍尔和戈尔德建议，个人应能控制自己的个人健康记录，并应能知道是谁把哪些资料输入记录[28］．Kendall为信息时代提出了病人控制的电子病历[29］．Kim等人建议数据收集应完全由患者控制[27］．Haas等人提出，电子病历的访问和披露应受隐私政策的控制[30.］．他们还指出，患者必须能够检查原则是如何实施的。Brown和Adams指出，信息的获取应在患者或患者监护人的控制之下[31］．

还提出了新的原理和模型。Solove指出，在信息时代保护隐私需要社会设计和架构解决方案[10］．Shankar等人指出，泛在环境中的系统需要基于动态和上下文的信任[32］．Kim等人建议使用安全策略，其中包括以下规则和原则:数据收集必须完全由患者控制，披露原则，以及限制和必要性原则[27］．Bhatti和Bhatti等人指出，现有的风险以及共同隐私和信任规则、条例和规范的缺乏表明，需要动态隐私规则才能使无处不在的医疗保健受到信任[33，34］．Mandl等人和Huda等人推荐了个人控制的健康记录[35，36］．Shabo开发了基于个人控制原则的“患者持有记录”模型[37］．Coiera和Clarke开发了电子同意书模型。其中一种模式是主动电子同意系统，它可以充当把关人的角色[20.］．匿名化是Huda等人提出的一种隐私工具[36］．Roger-France开发了一种控制电子病历使用的特殊守门人模型[38］．

不仅是研究人员，国际组织和各国政府也已经解决了对新规则的需求。在2010年提交给美国总统和国会的一份报告中，专家们指出，现行政策，如《健康保险可携带和责任法案》(HIPAA)，在许多细节上模糊不清。他们还指出，需要工具和技术使个人能够管理自己的健康，并且有必要定义正式的隐私模型[39］．该报告还认为，当前的隐私政策和法规规定不明确且无效，需要建立新的信任管理机制。美国医学信息学协会(AMIA)要求每个人都有权控制自己的PHR(即，除法律规定外，所有PHR数据的二次使用都必须由个人控制)[40］．

虽然没有一个提案是直接针对普及健康的，但它们涉及了诸如可信度、意识和患者/个人控制的EHR/PHR使用等共同方面。

到目前为止，全民健康缺乏一个共同的定义，也不存在使之可信的原则。本文将全民健康定义为一个系统。提出了同时保证DS的隐私和信息自主权并使普遍健康可信的原则、规则和政策。

方法

系统分析的重点是理解拟议的系统，识别问题，并提出改进建议。在本文中，“系统”被理解为一组独立的元素，它们共同努力实现一个目标。全民健康可被视为一种软系统，因为它涉及社会和文化因素。在这项研究中，使用了一个五步系统分析方法(类似的步骤可以在软系统方法学中找到)来将普遍健康定义为一个系统，并制定本文中提出的隐私原则。执行以下步骤:

1.定义有问题的系统(即普及健康)

2.识别特征和表达感兴趣的问题(如隐私和可信度)

3.发现隐私风险和可信度挑战

4.建立普及健康的概念模型

5.不断改进(即可信普遍健康的原则)

普遍健康是使用关联数字气泡的模型(隐喻)来定义的。数字泡泡的想法最初是为普遍的环境和个人空间而开发的。41］．泡泡是一个数字领域，泡泡之间的信息墙是虚拟的。气泡包括一个或多个系统、它们的涉众和环境。在气泡内部，系统有共同的隐私法规和规则。所创建的高级图形模型说明了信息空间中气泡的关系。普遍健康的特征是由这个模型推导出来的。

普遍健康的概念模型是使用电气和电子工程师协会(IEEE)创建的软件密集型系统架构描述推荐实践开发的。这个标准的简称是IEEE 1471 [42］．在IEEE 1471中，体系结构是系统、组件及其关系的基本组织(如概念和原则)。使用这种方法，开发了一个图形框架模型，描述与信任和隐私相关的概念及其在普遍健康中的关系。

在系统分析的最后一步中，通过结合以前定义的普遍健康特征、已识别的风险、选定的高级隐私原则以及概念框架模型中描述的它们之间的关系来开发可信的普遍健康原则。

结果

普及健康的定义

图1显示已开发的普遍健康状况图形模型。在该模型中，信息空间是一个开放和动态的环境，其特点是使用泛在计算和气泡之间的关系。它的气泡可以动态地连接在一起，信息收集和处理缺乏监管(例如，气泡中的隐私规则通常是未知的)。在一个泡泡包含许多系统的情况下，它们可以有不同的业务目标，但它们应该具有相同的隐私法规和规则。

普遍健康被定义为为人们提供健康服务的动态气泡网络。在信息空间中，人(DS)动态地创建个人健康网络，并选择属于该网络的系统和使用的服务。DS还定义了气泡及其系统之间共享的信息。这意味着普及健康是信息空间中一个受控的(控制论的)元系统。

目前的医疗保健系统可以理解为公共和私人服务提供者提供医疗保健服务的泡沫。原则上，在受控制的卫生保健环境之外使用的卫生保健服务可以成为卫生保健普及健康的一部分。即便如此，除法律要求外，DS仍控制着这些服务的使用和相关数据处理。

尽管使用了技术和可用的信息，但卫生保健服务仍然是由针对患者的卫生专业人员定义、提供和控制的[4］．与此相反，普及健康服务和相关数据处理由DS控制，目标是一个人，他可以在网络智能服务的帮助下自主选择、定制和组合自己的健康服务组合。

在医疗保健领域，安全和隐私规则是由特定领域的法律和规范规范的，而在普及医疗领域则不是这样。此外，正如我们随后将讨论的那样，在普遍健康中，个人健康数据并没有存储在制度化的电子病历中。

在信息空间中还有其他系统，它们不是DS普及健康网络的成员，但对使用DS的健康信息感兴趣(图1)．这些系统称为辅助用户。

‎ 查看此图

普及健康中的信息处理和存储

在信息空间和普及医疗领域，自主程序和计算机系统可以收集和处理政府看不到的个人信息。19］．在普及卫生保健中，信息内容及其收集、处理和存储方式与当前的卫生保健实践都有根本不同。在后者中，患者数据由卫生保健专业人员记录和使用，通常由服务提供者组织以电子病历的形式进行管理[43］．在保健方面，电子病历可由参与护理个人的专业人员使用，也可由各实体为立法规定的目的使用[22］．

在普及保健领域，这些规则不适用，专门针对保健的立法也不会规定如何处理保健数据。在普遍健康中，涵盖个人一生的任何类型的个人信息(包括行为和社会活动)都被收集和处理。健康数据的使用不限于病人护理、治疗、公共卫生或临床研究。普及健康系统可以使用自己的规则处理和交换个人健康信息。来自多个来源的数据内容超过了当前医疗保健中使用的数据内容(以及电子病历所包含的内容)。作者使用术语“终身个人健康记录”(LPWR)来描述这一信息。个人健康记录(PHR)是另一个术语。不幸的是，人们对PHR的概念没有达成共识，一些作者将其视为受监管的EHR的延伸[44］．另一项建议是将健康纪录与电子健康纪录合并[45］．在本文中，LPWR被定义为一个独立的存储库，作者声称合法的EHR不会取代PHR或LPWR [46］．

普适计算和普适健康中的隐私威胁

信息空间和无处不在的计算产生了许多隐私威胁。以下是文献所述的典型情况[10，35，47]：

• 多个系统和机构可以收集、处理和共享个人信息。它们的数量事先是未知的，并且有规律地变化[20.］．
• 系统之间没有预定义的信任关系。
• 可以以DS无法感知的方式收集、处理和共享信息。
• 丰富的上下文元数据被收集和使用，两者都侵犯了DS的隐私利益。
• 如果授权时没有上下文信息，隐私可能会被侵犯。
• 很难(甚至不可能)破坏存储在信息空间中的数据。

普遍健康带来了额外的可信度和隐私挑战:

• 应用的业务目标、信任特征和法规系统可能是未知的。
• 不可能事先知道二级用户的特征、规则和规章。
• LPWR的处理在各种情况下进行。
• LPWR的对象可以具有不同的、取决于情况的灵敏度。

显然，在普遍健康状况下，应保护DS免受前面讨论的风险和威胁。

普及健康的概念模型

所开发的概念框架模型见图2．该模型将作者在数据处理、可信度和信息隐私等研究问题的背景下对普遍健康的方法的关键概念联系起来。

模型中的关键概念是信息空间、普遍健康、信任、系统、利益相关者的兴趣/关注点、环境和隐私。模型中的环境特征包括监管问题。信息空间及其系统的特征会影响现有的信任水平。为了让大众接受和有效，普及医疗网络要求DS所需的信任水平以及系统和利益相关者所提供的信任水平得到平衡。

‎ 查看此图

持份者及利益

普遍健康领域的典型利益相关者(或行动者)是DS、健康服务提供商和数据处理组织。涉众有不同的关注点、兴趣和观点(例如，希望满足他们的业务目标、信息可用性和可用性)。DS的主要利益是服务的好处、可信度、隐私和信息自主权。此外，利益冲突也会发生。例如，信息空间中不属于普遍健康阵列的其他系统可能对DS的健康信息感兴趣[48］．如中所示，它们收集和部署用于不同类型的二次使用的健康信息表1．

这些二级用户是第三方，如公共当局、私人组织、社区护理提供者、公共卫生规划者、通信供应商、雇主、保险机构、研究人员，甚至是国土安全组织。

可信任的普及健康原则

普遍健康的可信度意味着整个系统网络都是可信的;局长的私隐已得到保障;数据处理符合道德，合法，并符合DS制定的规则。由此产生的原则必须提供对无处不在的技术风险的保护，促进可信度，并支持DS的信息自治。如前所述，还应考虑到普遍健康领域没有预定义的隐私和可信度共同规则这一事实。Becker指出，在现实生活中，规范文档是不清楚的、模糊的和不完整的[49］．因此，原则应该比前面讨论的高级原则更加详细和可执行。

从这些隐私原则中，作者选择了可信使用和受控传播、保留、透明度、意识和数据处理者的责任，以及上下文感知的个人隐私原则，作为新原则和规则的基础。这意味着DS扮演数据控制者的角色，并决定在何处、由谁、为什么、如何、在什么情况下以及在何种程度上使用和交流他或她的个人健康信息(即，DS可以定义个人偏好和策略)。

从框架模型中的关系推导出以下需求(图2):

• 所有系统都应该完成任务(即，可信赖性和隐私性)，因此，它们应该接受通用规则。
• 普及健康需要信任。这意味着需要信任验证。
• 信任需要隐私规则。

概念模型还意味着环境会影响规则，并且系统可以使用不同的规则。根据信息空间的动态性质，无法预先通知DS哪些次要用户正在使用LPWR。

制定的原则(在本文中称为可信电子健康和电子福利空间原则，即THEWS原则)是通过结合选定的原则和确定的需求得出的。《THEWS》原则订明部门主管有权[50]：

• 动态验证她创建的普及健康网络的可信度。
• 验证信息空间中需要或将DS的个人健康数据用于次要目的的任何系统的可信度。
• 控制系统内部和系统之间个人健康信息的处理。
• 了解收集、处理、存储和披露DS运行状况数据的所有事件、情况和上下文。
• 定义特定于情况的、上下文感知的、细粒度的个人隐私和信任策略，以规范如何收集、处理、披露、共享、存储或销毁他或她的健康数据。

系统和利益相关者有责任确保:

• 通过发布他们的隐私政策、环境和上下文特性来进行信任验证。
• 它们的兴趣、业务需求和策略以及它们在信息空间中与其他系统的关系的开放性。
• 数据处理的透明度。

THEWS原则意味着，在普遍健康中，实体DS是一个没有作为患者或护理对象的先天指定角色的人。DS不仅应该知道他或她的个人健康数据的使用情况，而且还必须能够验证信任并控制如何收集、使用、处理和共享数据。表2-4演示THEWS原则如何与高级原则相关联，以及它们提供了针对哪些风险的保护。

预先验证信任是一个先决条件，它应被视为强制性要求，如表2．为此，信息空间中的所有系统都必须发布它们的信任和隐私属性，或者更好的是发布它们的策略。

更确切地说，任何收集或处理健康数据的系统应公布以下信息:

• 有关规章制度和道德规范;
• 识别参与数据处理的所有利益相关者;
• 可处理低压水堆的电脑系统及应用程序的保安及私隐功能;而且
• 系统涉众与其他系统之间的协议。

上下文感知的个人策略原则意味着DS有权为所有系统和利益相关者定义关于收集、处理和披露其健康数据的动态个人隐私和安全策略(从而设置自己的特权和义务)，如所示表3．DS还可以定义在何种程度上LPWR的内容可以被第三方访问并部署用于次要用途。这一原则接近于个人偏好理论[49］．扣缴原则是个人政策的一个方面。扣留意味着DS可以在任何时间、任何地点修改、更新和删除LPWR中的任何对象。此外，在保健中使用的"可接受理由原则"是个人政策的一部分。

在普遍健康中，DS定义了有关情况的可接受理由。因此，理由是政策的一部分。DS的策略定义了可以处理数据的上下文和情况;没有必要使用一个单独的关系概念(即医患关系)。此外，不需要在医疗保健中使用的“需要知道”原则，因为个人政策中定义了使用数据的权限。提出的个人政策模型还支持以下被广泛接受的隐私特征:访问的限制、保密、对个人信息的控制、人格和亲密性。策略可用于触发依赖于情况的行为，如数据的匿名化和访问控制的联合。受控数据创建、处理和公开的原则是古老的。新特性是DS的控件是动态的、上下文感知的，并链接到感知和验证服务。

在普遍卫生领域，对透明度的需求不仅限于低压水堆的处理，如表4．它涵盖了收集或使用数据的情况以及所有上下文元数据。此外，透明度意味着一个人应该了解处理、请求、公开、存储或销毁DS健康数据的系统和组织和计算机应用程序的法规、安全特性和政策。

感知涵盖了粒度级的浏览、挖掘和钻孔、链接和合并数据等活动。最后，DS应该了解他或她的个人政策与涉众政策之间存在冲突的所有事件。

THEWS原则是从传统的静态保护和基于风险的思维到信任和隐私的动态管理的范式转变。这些原则为部门提供了新的权利和权力，从而赋予了部门的信息自主权。这些原则还为信息空间的系统规定了新的责任。

讨论

本文将全民健康定义为一个参与信息空间的系统。分析了普及健康的可信度和隐私挑战。建立了一个概念模型，并提出了实现全民健康可信任的原则和规则。原则赋予DS使用个人策略的权利和验证信任的权利。完全的透明度和意识赋予了DS目前不存在的权力。THEWS原则保护DS的健康信息不受快速发展的新技术(如数据挖掘、钻取和浏览)以及多维剖析和重新识别的影响。动态策略的使用使得平衡动态访问请求者的目的和DS的个人偏好和策略成为可能。作者的解决方案符合为无所不在的数据处理而开发的现代策略和上下文支持的安全和隐私保护模型[51］．

个人策略模型意味着每个人都可以拥有自己动态的、依赖于上下文的策略。这使得管理策略和自动解决策略冲突变得困难。这个问题的解决方案是使用通用的隐私本体和术语。在此基础上，可以开发一组策略概要，DS可以从中选择最合适的概要。还可以允许DS预先模拟不同的策略及其影响。通过协商和冲突解决服务，可以解决个人策略和本地策略之间的策略冲突。一个挑战是DS如何做出明智的决定，以平衡个人利益与隐私和信任需求。这个问题的一个解决方案是在DS和访问请求者或健康服务提供者之间使用软件中介[27］．

一个政治挑战是如何让公司、政府和卫生保健组织接受THEWS原则。在所有情况下，整个低压水堆都在DS的个人控制下的想法可能不会被所有利益相关者和系统自动接受。原因包括，它将使ICT系统昂贵、复杂和难以开发;它会给主动预防带来问题，并使公共卫生监测变得困难;它限制了政府和官僚们监控和控制人们的生活方式和不想要的行为的能力。19］．THEWS原则还加强了个人的自主权，削弱了当前卫生保健的普遍家长式作风。因此，一些卫生专业人员会抵制这些原则。

目前尚不清楚是否所有数据主体都有合理的兴趣或能力积极管理他们的个人安全和隐私政策，或者是否有些人需要一个个人信任助理来代表他们工作。从监管的角度来看，有必要平衡个人隐私和信息自主权与其他利益和价值观之间的关系，例如公共和商业利益以及健康数据的二次使用。新的隐私法规对可信信息空间也至关重要[52，53］．

实现THEWS原则需要目前不存在的服务。低压水堆需要新的基础设施隐私服务和新的数据模型。所开发的原则应在实施后进行验证，并应分析其准确性和可用性。