这是一篇开放获取的文章,根据创作共用署名许可(http://creativecommons.org/licenses/by/2.0/)的条款发布,允许在任何媒介上无限制地使用、分发和复制,前提是正确引用最初发表在《医学互联网研究杂志》上的原创作品。必须包括完整的书目信息,//www.mybigtv.com/上的原始出版物的链接,以及此版权和许可信息。
无处不在的计算技术、传感器网络、无线通信和互联网的最新发展使一个新概念——无处不在的健康——得以兴起,这是在一个开放、不安全和高度动态的环境(即信息空间)中发生的。要取得成功,普及健康需要隐私和可信度方面的可实施原则。
这项研究有两个相互关联的目标。首先是将普及健康定义为一个系统,并了解其信任和隐私挑战。第二个目标是为普及健康建立一个概念模型,并利用它来制定原则和政策,使普及健康值得信赖。
本研究采用五步系统分析方法。普遍健康是用数字泡沫的比喻来定义的。然后,为普遍健康开发了一个专注于可信度和隐私的概念框架模型。在该模型的基础上,定义了普及卫生中可信信息管理的原则和规则。
在这项研究的第一阶段,建立了普遍健康的新定义。使用这个模型,普遍健康和卫生保健之间的差异被陈述。经审查的出版物表明,广泛使用的预定义和静态信任原则不能保证普遍健康中的可信度和隐私。相反,这样的环境需要个人动态和上下文感知的策略、意识和透明度。一个概念性框架模型集中在普遍健康信息处理发展。利用普遍健康的特征和框架模型中的关系,制定了可信普遍健康的新原则。该原则建议,个人健康数据应由数据主体控制。个人有权核实收集或处理其健康信息的任何系统的信任程度。原则要求收集或处理健康数据的任何利益相关者或系统必须支持透明度,并应公布其信任和隐私属性,甚至其领域特定的策略。
制定的原则使普遍健康的可信度和隐私得到保障。原则的实施需要新的基础设施服务,如信任核查和政策冲突解决。实现后,应分析原理的准确性和可用性。
健康是一个比没有疾病或功能不良更广泛的概念。广泛地说,健康包括一个人的身体和精神,以及经济和社会福祉。因此,健康不仅是一种由卫生保健专业人员和相关当局决定的状态,而且是一种个体经历的状态,具有许多决定因素,如生活方式、环境、社会和文化方面。
传统上,医疗保健是在受控环境中发生的制度化和监管系统。信息和通信技术(ICT)、无处不在的计算、环境智能、尘埃、传感器和传感器网络的可用性正在改变医疗保健。正在发展新的服务模式,如个性化医疗保健和个人医疗系统[
普适计算技术、传感器网络和环境智能开启了普适健康的诞生。普及保健和卫生保健是两个不同的概念,有许多重叠的目标(即向所有人提供服务)。它们不以所使用的信息技术或信息来区分。两者都可以收集和部署任何类型的个人健康数据和环境信息(例如,基因组、现象、表观遗传和地理空间信息)。
信任是一个相对的、复杂的、动态的概念。从信息处理的角度来看,信任定义了个人在收集、处理、交流和使用个人信息时的期望[
就健康信息而言,信任定义了数据主体(DS)对其个人健康信息以隐私和安全得到保障且数据处理遵循法规、道德规则、公平信息实践和DS个人偏好的方式进行处理和交流的信心。
隐私是一个多方面的、相对的、与环境相关的概念[
信息隐私和信任都与收集、处理、交流和使用个人信息时所要求或期望的条件有关。隐私政策,如患者的同意声明,明确表达了DS的隐私要求,而信任则隐含地处理这些要求。隐私和信任都与信息主体有关,包括对相关实体的知识或假设。数据披露意味着隐私的丧失,但可信度的提高降低了对隐私的需求。DS的目的是在可接受的信任水平上将隐私损失最小化。
在医疗保健领域,国际上采用的原则和良好实践规则,如联合国《世界人权宣言》、经济合作与发展组织《信息系统和网络安全指南》、被称为数据保护指令(DPD)的欧洲指令95/46/EC,世界医学协会和国际医学信息协会(IMIA)出版的道德准则和守则,共同批准了道德和隐私保护的高级框架[
研究人员已经认识到当前隐私解决方案的弱点和挑战。Coiera和Clark宣称传统的访问控制系统效率低下,因为它们不能感知内容和上下文[
人们提出了新的方法。鲍尔和戈尔德建议,个人应能控制自己的个人健康记录,并应能知道是谁把哪些资料输入记录[
还提出了新的原理和模型。Solove指出,在信息时代保护隐私需要社会设计和架构解决方案[
不仅是研究人员,国际组织和各国政府也已经解决了对新规则的需求。在2010年提交给美国总统和国会的一份报告中,专家们指出,现行政策,如《健康保险可携带和责任法案》(HIPAA),在许多细节上模糊不清。他们还指出,需要工具和技术使个人能够管理自己的健康,并且有必要定义正式的隐私模型[
虽然没有一个提案是直接针对普及健康的,但它们涉及了诸如可信度、意识和患者/个人控制的EHR/PHR使用等共同方面。
到目前为止,全民健康缺乏一个共同的定义,也不存在使之可信的原则。本文将全民健康定义为一个系统。提出了同时保证DS的隐私和信息自主权并使普遍健康可信的原则、规则和政策。
系统分析的重点是理解拟议的系统,识别问题,并提出改进建议。在本文中,“系统”被理解为一组独立的元素,它们共同努力实现一个目标。全民健康可被视为一种软系统,因为它涉及社会和文化因素。在这项研究中,使用了一个五步系统分析方法(类似的步骤可以在软系统方法学中找到)来将普遍健康定义为一个系统,并制定本文中提出的隐私原则。执行以下步骤:
1.定义有问题的系统(即普及健康)
2.识别特征和表达感兴趣的问题(如隐私和可信度)
3.发现隐私风险和可信度挑战
4.建立普及健康的概念模型
5.不断改进(即可信普遍健康的原则)
普遍健康是使用关联数字气泡的模型(隐喻)来定义的。数字泡泡的想法最初是为普遍的环境和个人空间而开发的。
普遍健康的概念模型是使用电气和电子工程师协会(IEEE)创建的软件密集型系统架构描述推荐实践开发的。这个标准的简称是IEEE 1471 [
在系统分析的最后一步中,通过结合以前定义的普遍健康特征、已识别的风险、选定的高级隐私原则以及概念框架模型中描述的它们之间的关系来开发可信的普遍健康原则。
普遍健康被定义为为人们提供健康服务的动态气泡网络。在信息空间中,人(DS)动态地创建个人健康网络,并选择属于该网络的系统和使用的服务。DS还定义了气泡及其系统之间共享的信息。这意味着普及健康是信息空间中一个受控的(控制论的)元系统。
目前的医疗保健系统可以理解为公共和私人服务提供者提供医疗保健服务的泡沫。原则上,在受控制的卫生保健环境之外使用的卫生保健服务可以成为卫生保健普及健康的一部分。即便如此,除法律要求外,DS仍控制着这些服务的使用和相关数据处理。
尽管使用了技术和可用的信息,但卫生保健服务仍然是由针对患者的卫生专业人员定义、提供和控制的[
在医疗保健领域,安全和隐私规则是由特定领域的法律和规范规范的,而在普及医疗领域则不是这样。此外,正如我们随后将讨论的那样,在普遍健康中,个人健康数据并没有存储在制度化的电子病历中。
在信息空间中还有其他系统,它们不是DS普及健康网络的成员,但对使用DS的健康信息感兴趣(
信息空间中的普遍健康。
在信息空间和普及医疗领域,自主程序和计算机系统可以收集和处理政府看不到的个人信息。
在普及保健领域,这些规则不适用,专门针对保健的立法也不会规定如何处理保健数据。在普遍健康中,涵盖个人一生的任何类型的个人信息(包括行为和社会活动)都被收集和处理。健康数据的使用不限于病人护理、治疗、公共卫生或临床研究。普及健康系统可以使用自己的规则处理和交换个人健康信息。来自多个来源的数据内容超过了当前医疗保健中使用的数据内容(以及电子病历所包含的内容)。作者使用术语“终身个人健康记录”(LPWR)来描述这一信息。个人健康记录(PHR)是另一个术语。不幸的是,人们对PHR的概念没有达成共识,一些作者将其视为受监管的EHR的延伸[
信息空间和无处不在的计算产生了许多隐私威胁。以下是文献所述的典型情况[
多个系统和机构可以收集、处理和共享个人信息。它们的数量事先是未知的,并且有规律地变化[
系统之间没有预定义的信任关系。
可以以DS无法感知的方式收集、处理和共享信息。
丰富的上下文元数据被收集和使用,两者都侵犯了DS的隐私利益。
如果授权时没有上下文信息,隐私可能会被侵犯。
很难(甚至不可能)破坏存储在信息空间中的数据。
普遍健康带来了额外的可信度和隐私挑战:
应用的业务目标、信任特征和法规系统可能是未知的。
不可能事先知道二级用户的特征、规则和规章。
LPWR的处理在各种情况下进行。
LPWR的对象可以具有不同的、取决于情况的灵敏度。
显然,在普遍健康状况下,应保护DS免受前面讨论的风险和威胁。
所开发的概念框架模型见
模型中的关键概念是信息空间、普遍健康、信任、系统、利益相关者的兴趣/关注点、环境和隐私。模型中的环境特征包括监管问题。信息空间及其系统的特征会影响现有的信任水平。为了让大众接受和有效,普及医疗网络要求DS所需的信任水平以及系统和利益相关者所提供的信任水平得到平衡。
普及保健概念框架。
普遍健康领域的典型利益相关者(或行动者)是DS、健康服务提供商和数据处理组织。涉众有不同的关注点、兴趣和观点(例如,希望满足他们的业务目标、信息可用性和可用性)。DS的主要利益是服务的好处、可信度、隐私和信息自主权。此外,利益冲突也会发生。例如,信息空间中不属于普遍健康阵列的其他系统可能对DS的健康信息感兴趣[
健康数据的典型主要和次要用途。
主要用途 | 二次使用 |
直接护理和治疗 | 监测和持续监测 |
疾病管理 | 研究及统计 |
药物管理 | 药物开发 |
管理身体和社会功能,以延缓其衰弱 | 公共卫生管理 |
主动预测患者健康问题,预防疾病 | 业务应用程序开发 |
病人健康状况的管理 | 妨碍控制者(或当局)或社会普遍不接受的行为 |
这些二级用户是第三方,如公共当局、私人组织、社区护理提供者、公共卫生规划者、通信供应商、雇主、保险机构、研究人员,甚至是国土安全组织。
普遍健康的可信度意味着整个系统网络都是可信的;局长的私隐已得到保障;数据处理符合道德,合法,并符合DS制定的规则。由此产生的原则必须提供对无处不在的技术风险的保护,促进可信度,并支持DS的信息自治。如前所述,还应考虑到普遍健康领域没有预定义的隐私和可信度共同规则这一事实。Becker指出,在现实生活中,规范文档是不清楚的、模糊的和不完整的[
从这些隐私原则中,作者选择了可信使用和受控传播、保留、透明度、意识和数据处理者的责任,以及上下文感知的个人隐私原则,作为新原则和规则的基础。这意味着DS扮演数据控制者的角色,并决定在何处、由谁、为什么、如何、在什么情况下以及在何种程度上使用和交流他或她的个人健康信息(即,DS可以定义个人偏好和策略)。
从框架模型中的关系推导出以下需求(
所有系统都应该完成任务(即,可信赖性和隐私性),因此,它们应该接受通用规则。
普及健康需要信任。这意味着需要信任验证。
信任需要隐私规则。
概念模型还意味着环境会影响规则,并且系统可以使用不同的规则。根据信息空间的动态性质,无法预先通知DS哪些次要用户正在使用LPWR。
制定的原则(在本文中称为可信电子健康和电子福利空间原则,即THEWS原则)是通过结合选定的原则和确定的需求得出的。《THEWS》原则订明部门主管有权[
动态验证她创建的普及健康网络的可信度。
验证信息空间中需要或将DS的个人健康数据用于次要目的的任何系统的可信度。
控制系统内部和系统之间个人健康信息的处理。
了解收集、处理、存储和披露DS运行状况数据的所有事件、情况和上下文。
定义特定于情况的、上下文感知的、细粒度的个人隐私和信任策略,以规范如何收集、处理、披露、共享、存储或销毁他或她的健康数据。
系统和利益相关者有责任确保:
通过发布他们的隐私政策、环境和上下文特性来进行信任验证。
它们的兴趣、业务需求和策略以及它们在信息空间中与其他系统的关系的开放性。
数据处理的透明度。
THEWS原则意味着,在普遍健康中,实体DS是一个没有作为患者或护理对象的先天指定角色的人。DS不仅应该知道他或她的个人健康数据的使用情况,而且还必须能够验证信任并控制如何收集、使用、处理和共享数据。
预先验证信任是一个先决条件,它应被视为强制性要求,如
信任验证原则。
隐私和信任风险一个 | 筋力原则 | 高级隐私原则 |
未知的涉众的业务需求、兴趣、目的和策略 | 使用信任验证的权利 | |
没有对任何系统的预定义信任 | 强制发布系统的信任参数和策略 | 数据的可信使用 |
未知辅助用户 | 信任等级计算 | |
无形的无处不在的基础设施 | 不受信任的系统和用户不能参与DS的健康网络 |
一个在信息空间和普及健康领域
更确切地说,任何收集或处理健康数据的系统应公布以下信息:
有关规章制度和道德规范;
识别参与数据处理的所有利益相关者;
可处理低压水堆的电脑系统及应用程序的保安及私隐功能;而且
系统涉众与其他系统之间的协议。
上下文感知的个人策略原则意味着DS有权为所有系统和利益相关者定义关于收集、处理和披露其健康数据的动态个人隐私和安全策略(从而设置自己的特权和义务),如所示
在普遍健康中,DS定义了有关情况的可接受理由。因此,理由是政策的一部分。DS的策略定义了可以处理数据的上下文和情况;没有必要使用一个单独的关系概念(即医患关系)。此外,不需要在医疗保健中使用的“需要知道”原则,因为个人政策中定义了使用数据的权限。提出的个人政策模型还支持以下被广泛接受的隐私特征:访问的限制、保密、对个人信息的控制、人格和亲密性。策略可用于触发依赖于情况的行为,如数据的匿名化和访问控制的联合。受控数据创建、处理和公开的原则是古老的。新特性是DS的控件是动态的、上下文感知的,并链接到感知和验证服务。
在普遍卫生领域,对透明度的需求不仅限于低压水堆的处理,如
感知涵盖了粒度级的浏览、挖掘和钻孔、链接和合并数据等活动。最后,DS应该了解他或她的个人政策与涉众政策之间存在冲突的所有事件。
THEWS原则是从传统的静态保护和基于风险的思维到信任和隐私的动态管理的范式转变。这些原则为部门提供了新的权利和权力,从而赋予了部门的信息自主权。这些原则还为信息空间的系统规定了新的责任。
个人政策原则。
隐私和信任风险一个 | 筋力原则 | 高级隐私原则 |
DS无法控制由谁收集哪些运行状况数据 | 个人动态上下文感知策略规则数据的收集、处理、存储、共享和销毁 | 控制数据使用的权利 |
DS无法控制LPWR及其元数据的使用 | 控制LPWR及其元数据的任何二次使用的可能性 | |
对数据链接没有控制,数据的二次使用未知,信息空间有无限的内存 | 策略定义了数据链接和销毁的规则,以及LPWR可以被处理的情况 | 扣缴 |
一个在信息空间和普及健康领域
觉知原则。
隐私和信任风险一个 | 筋力原则 | 高级隐私原则 |
无形的数据收集、处理、保存和共享 | 意识和透明度是由DS的政策定义的 | |
不需要通知DS系统之间的信任级别和关系 | 涉众和系统应公布其信任参数和与其他系统的关系 | 透明度 |
不需要通知DS策略冲突 | 利益和政策冲突的通知 |
一个在信息空间和普及健康领域
本文将全民健康定义为一个参与信息空间的系统。分析了普及健康的可信度和隐私挑战。建立了一个概念模型,并提出了实现全民健康可信任的原则和规则。原则赋予DS使用个人策略的权利和验证信任的权利。完全的透明度和意识赋予了DS目前不存在的权力。THEWS原则保护DS的健康信息不受快速发展的新技术(如数据挖掘、钻取和浏览)以及多维剖析和重新识别的影响。动态策略的使用使得平衡动态访问请求者的目的和DS的个人偏好和策略成为可能。作者的解决方案符合为无所不在的数据处理而开发的现代策略和上下文支持的安全和隐私保护模型[
个人策略模型意味着每个人都可以拥有自己动态的、依赖于上下文的策略。这使得管理策略和自动解决策略冲突变得困难。这个问题的解决方案是使用通用的隐私本体和术语。在此基础上,可以开发一组策略概要,DS可以从中选择最合适的概要。还可以允许DS预先模拟不同的策略及其影响。通过协商和冲突解决服务,可以解决个人策略和本地策略之间的策略冲突。一个挑战是DS如何做出明智的决定,以平衡个人利益与隐私和信任需求。这个问题的一个解决方案是在DS和访问请求者或健康服务提供者之间使用软件中介[
一个政治挑战是如何让公司、政府和卫生保健组织接受THEWS原则。在所有情况下,整个低压水堆都在DS的个人控制下的想法可能不会被所有利益相关者和系统自动接受。原因包括,它将使ICT系统昂贵、复杂和难以开发;它会给主动预防带来问题,并使公共卫生监测变得困难;它限制了政府和官僚们监控和控制人们的生活方式和不想要的行为的能力。
目前尚不清楚是否所有数据主体都有合理的兴趣或能力积极管理他们的个人安全和隐私政策,或者是否有些人需要一个个人信任助理来代表他们工作。从监管的角度来看,有必要平衡个人隐私和信息自主权与其他利益和价值观之间的关系,例如公共和商业利益以及健康数据的二次使用。新的隐私法规对可信信息空间也至关重要[
实现THEWS原则需要目前不存在的服务。低压水堆需要新的基础设施隐私服务和新的数据模型。所开发的原则应在实施后进行验证,并应分析其准确性和可用性。
美国医学信息学协会
保障资料指引
数据对象
电子健康记录
健康保险携带与责任法案
信息和通信技术
终身个人健康记录
经济合作与发展组织
个人健康记录
个人卫生系统
值得信赖的电子健康和电子福利空间
联合国
世界卫生组织
本文提出的结果基于THEWS项目(可信的电子健康和电子福利空间)的发现。该项目在2009-2012年期间由芬兰科学院通过MOTIVE研究计划支持。
没有宣布