0 引言
大数据在医疗健康领域的广泛应用,不仅为用户提供了优质便捷的服务,同时也为医疗健康领域的科技发展注入了活力。越来越多的个人数据被匿名化处理后公开,应用于精准医学、未来医学等研究。然而,健康医疗数据的开放共享也带来了一系列的隐私安全问题。由世界卫生组织(WHO)发布的2024年《世界卫生统计报告》显示:2009—2023年间,全球数千个在线医疗服务系统发生了5 887起超过500条或更多记录的健康医疗数据泄露事件,这些行为导致超过5.1亿份医疗数据被公开,其中包含着详细的个人信息:姓名、出生年月、就诊日期、诊断项目、检查结果的图像信息等。从最基本的生活困扰(保险歧视、就业限制等)到对生命安全的威胁(医疗诈骗、恶意篡改病历等),患者隐私一旦被非法获取和利用,将对个体和社会造成不可估量的负面影响。
因此,2018年9月,国家卫生健康委员会发布《国家健康医疗大数据标准、安全和服务管理办法(试行)》,明确由国家卫生健康委负责建立健康医疗大数据开放共享机制,并确保数据安全的能力,建立安全管理、隐私保护等管理制度。《“健康中国2030”规划纲要》亦提出要强化健康医疗大数据应用体系建设,消除数据壁垒,建立跨部门跨领域密切配合、统一归口的健康医疗数据共享机制,加强健康医疗数据安全保障和患者隐私保护。因此,在对健康医疗大数据的监管治理的前提下,需要探寻一条鼓励数据共享和保护个人隐私的允中之道。
1 文献综述
随着大数据技术高速迭代与“健康中国”战略的持续推进,健康医疗信息化快速发展,健康医疗数据的内在价值正加快得到重塑和彰显,健康医疗数据共享成为时代趋势
[1]。健康医疗数据在医院和诊疗机构的决策中扮演着非常关键的角色,在保证安全性的前提下开放与共享健康医疗数据,可以提高医疗质量和安全性,控制医疗成本,提升健康医疗科研水平
[2]。目前中国健康医疗数据共享存在共享效率较低、隐私泄露问题严重、法律规制缺乏、技术手段落后等问题
[3-6]。其中,个人隐私泄露问题尤为突出。有学者
[7-8]指出个人健康医疗数据具有高度敏感性,包含大量个人隐私,健康医疗数据共享的有效进行首先要依赖的就是个人隐私的合理保护。Price等
[9]认为健康医疗数据共享的发展给个人隐私保护带来了前所未有的挑战,没有患者愿意无条件地共享自己的健康医疗信息。
综上所述,健康医疗数据的共享与个人隐私保护存在明显的矛盾关系。通过梳理现有文献,健康医疗数据共享情景下隐私保护研究聚集于技术手段和法律监管两个方面。第一,在法律监管层面,陈怡
[10]认为核心是要建立健全的健康医疗数据共享法律规制和监管机制,以此规范相关主体在共享过程中的行为。粟丹
[11]进一步探析了健康医疗数据共享中的隐私数据立法形式,认为健康医疗隐私立法应涵盖法律、政策、伦理三个层面,并采取“公私并进,私法为主”的保护形式。第二,在技术层面,多数学者关注到了健康医疗数据得以安全共享的技术手段,区块链和云存储技术的运用有助于实现健康医疗数据的安全共享
[12-13]。Chen等
[14]利用Cloudlet的灵活性构建了一个新型医疗保健系统:首先,在数据收集阶段利用数论研究单元(number theory research unit,NTRU)方法对用户身体数据进行加密;其次,提出了一种新的信任模型,帮助用户选择想要共享云存储数据的可信合作伙伴;最后,开发了一种基于cloudlet mesh的协作入侵检测系统(intrusion detection system,IDS)方法,可以有效防止远程医疗保健大数据云受到攻击。杨晓晖等
[15]结合区块链和密钥交换技术创新性地提出一种以用户为中心的健康医疗数据安全共享方案,以确保健康医疗数据共享的安全可信。
然而,健康医疗数据共享的隐私保护不仅需要技术手段的加持和法律法规的约束,也有学者关注不同主体之间最优策略选择问题。由此,演化博弈理论在医学信息领域逐渐得到了应用。苏强等
[16]考虑医疗机构、技术企业和政府三方参与,构建成本分摊和利益分配的随机演化博弈模型,指出构建健康医疗数据共享协调机制是提升健康医疗数据共享水平的关键。韩普等
[17]基于隐私保护视角,构建由患者和医疗服务机构双方参与的演化博弈模型,阐述了影响患者自身医疗信息共享意愿的相关因素。Xu等
[18]构建了以患者和在线健康社区为主要参与者的隐私泄露行为演化博弈模型并进行仿真模拟,提出了促进患者隐私披露行为的相关建议。
有效的隐私保护是实现健康医疗数据共享的关键。借鉴国内外相关研究,从系统和组织演化的视角入手,本文以协调整体共享与个人隐私保护之间的冲突为切入点,探索健康医疗数据共享隐私保护系统的构成及其演变,尝试解决多方利益背景下不同主体策略选择问题。基于此,通过引入演化博弈理论,构建患者、收集健康医疗数据的平台双方参与的演化博弈模型,考察博弈主体的行为演化规律,分析其行为策略演变的影响因素,以期为实现安全有效的健康医疗数据共享提供有效的建议。
2 演化博弈模型
2.1 问题提出
健康医疗数据,是指人们在疾病预防、健康管理、医疗问诊等活动过程中产生的与健康、医疗相关的个人数据,其共享可以理解为拥有者在不丧失所有权的前提下,将其持有的健康医疗信息进行开放共享。然而从个人隐私保护角度来看,健康医疗数据共享进程的进行必然伴随着患者个人信息被不当收集、过度利用,甚至非法泄露等行为的发生,个人隐私保护问题与健康医疗数据共享在某种程度上是存在冲突的。因此,处理好整体共享与个人隐私保护之间的冲突关系成为当前亟待解决的难题。
从主体来看,健康医疗数据共享涉及主体主要包含个人、医疗机构、健康医疗企业、在线健康社区等。医疗机构包含医院、诊所、医疗科研机构等,通常会收集患者的就诊信息、检测数据、实验数据等;在线健康社区指以交流健康医疗状况、寻求医疗信息帮助的在线虚拟平台,通常会了解到患者的身体状况、健康数据等;健康医疗企业指生产可穿戴健康医疗设备的企业,其所收集的患者数据与在线健康社区类似。三者和患者的具体博弈关系见
图1,如图所示,三者之间存在相似的利益博弈关系,由此,本文将博弈过程中的主体定义为患者和收集健康医疗数据的平台(包含医疗机构、在线健康社区、健康医疗企业等)。
2.2 基本条件假设
本文在构建演化博弈模型过程中,以患者、收集健康医疗数据的平台作为演化博弈的双方,两者均为有限理性个体。患者的博弈策略分别为“共享”和“拒绝共享”个人健康医疗数据,平台的博弈策略分别为“积极保护”和“消极保护”隐私数据。基于此,作出以下假设。
假设一:由于个人隐私保护法对利用个人数据时明确规定个人拥有拒绝选项,这里假设患者在享受平台服务时可以选择共享或拒绝共享自身健康医疗数据,其中选择共享的患者比例为,选择拒绝共享的患者比例为;平台选择积极保护患者隐私数据的比例为,平台选择消极保护患者隐私数据的比例为,且∈{0,1}。
假设二:愿意数据共享的患者承担着隐私泄露风险,但同时会得到额外的优质医疗服务,如个性化推送、发病响应机制、信息支持等。拒绝共享的患者只能获得基础的医疗支持,但可以避免隐私数据泄露的风险。针对患者个人隐私数据,平台博弈策略为“积极保护”或“消极保护”,消极保护隐私数据的平台付出患者隐私保护成本。当平台实施“积极保护”策略时,平台会强化信息系统网络安全建设、采取有效的隐私保护技术、提高技术人员隐私保护意识等保护机制来加大患者个人隐私的保护力度,降低患者隐私泄露的概率,同时投入更多的成本。除医疗服务质量提升的程度外,影响患者决策的因素还有隐私泄露所遭受的损失,影响平台决策的因素包括加强隐私保护力度所付出的成本,还有隐私泄露所遭受的损失,包含信誉损失、流量损失、经济损失等。
假设三:患者普遍担心自身隐私数据泄露的问题,但对隐私的关注程度和敏感程度不尽相同,例如有家族遗传病史、高危病、高龄的人群更注重个人健康医疗数据共享的收益,而年轻、身体健康的人群则更关注个人隐私的保护。此外,平台在收集患者个人隐私数据时,选择隐私保护力度的大小与其预期获得的收益也没有明确的导向关系。在这种情况下,两个主体均为有限理性的“经济人”,无法通过一次决策就确定其最优策略。为寻求最优策略,在博弈过程中,双方都会根据实际境况不断调整自身策略。而每次策略选择,双方都会以收益最大化原则来权衡利弊。
基于上述假设,模型使用的参数符号及说明如
表1所示。同时,结合研究假设与参数设定,可以得到患者、平台之间的收益矩阵,见
表2。
2.3 博弈复制动态方程
根据演化博弈理论以及
表2支付收益矩阵,计算患者以及平台的复制动态方程:
假设患者采取“共享”策略和“拒绝共享”策略的期望收益分别为、,平均收益为。
则患者的复制动态方程为:
同理,平台对于患者健康医疗数据采取“积极保护”和“消极保护”策略的期望收益分别为,,平均收益为。
则平台的复制动态方程为:
2.4 演化博弈模型稳定性分析
由于博弈主体双方都具备有限理性,最佳的策略选择不会在一次决策中完成。由此,为进行稳定性分析,借鉴Friedman
[19]复制动态方程组Jacobian矩阵局部稳定分析方法,联立两个复制动态方程形成一个复制动态系统,联立方程组的解,即为该演化博弈模型的均衡解。患者、平台的复制动态方程组如下:
令可解出该演化博弈系统的5个局部均衡点,分别为(0,0)、(0,1)、(1,0)、(1,1)、(),其中,。演化均衡点的稳定性可以利用Jacobian矩阵的局部稳定性分析得出。Jacobian矩阵通过求解公式(9)得到,如下所示:
公式(10)中,分别为:
若矩阵元素满足
即
,
,则复制动态方程的均衡点为演化稳定策略。由此,将5个潜在均衡点代入Jacobian矩阵,结果如
表3所示。
显然,在均衡点()处,不满足演化稳定策略的条件,均衡点()肯定不是演化稳定策略。因此,只需考虑其余四个均衡点的情况即可。根据演化博弈理论以及该Jacobian矩阵的行列式和迹,分为以下六种情况讨论。
情形1:
,
,代表患者选择“共享”策略所获得的额外优质医疗服务收益
小于平台“积极保护”策略时患者所承受的隐私泄露损失
,同时,平台选择“积极保护”和“消极保护”两种策略的成本差
小于两种策略下因隐私泄露所造成的损失差
。计算此情形下Jacobian矩阵在各均衡点处的行列式和迹,并进行系统的稳定性分析,结果如
表4所示。
情形2:
,
,与情形1不同,此时,平台选择“积极保护”和“消极保护”两种策略的成本差
大于两种策略下因隐私泄露所造成的损失差
。计算此情形下Jacobian矩阵在各均衡点处的行列式和迹,并进行系统的稳定性分析,结果如
表5所示。
情形3:
,
,此时,患者选择“共享”策略获得的额外优质医疗服务收益
大于平台“积极保护”策略下患者所承受的隐私泄露风险
,但小于平台“消极保护”所承受的隐私泄露风险
。同时,平台选择“积极保护”和“消极保护”两种策略的成本差
大于两种策略下因隐私泄露所造成的损失差
。计算此情形下Jacobian矩阵在各均衡点处的行列式和迹,并进行系统的稳定性分析,结果如
表6所示。
情形4:
,
,与情形3不同,此时,平台选择“积极保护”和“消极保护”两种策略的成本差
小于两种策略下因隐私泄露所造成的损失差
。计算此情形下Jacobian矩阵在各均衡点处的行列式和迹,并进行系统的稳定性分析,结果如
表7所示。
情形5:
,
,代表患者选择“共享”策略获得的额外优质医疗服务收益
大于平台“消极保护”策略下患者所承受的隐私泄露风险
,同时,不同程度隐私保护措施下所付出的成本差
比“积极保护”和“消极保护”两种策略下因隐私泄露所造成的损失差
更加影响平台的策略选择。计算此情形下Jacobian矩阵在各均衡点处的行列式和迹,并进行系统的稳定性分析,结果如
表8所示。
情形6:
,
,与情形5不同的是平台选择“积极保护”和“消极保护”两种策略的成本差
小于两种策略下因隐私泄露所造成的损失差
。计算此情形下Jacobian矩阵在各均衡点处的行列式和迹,并进行系统的稳定性分析,结果如
表9所示。
2.5 结果分析
根据上述演化稳定性分析,发现博弈系统的演化稳定状态可能是(拒绝共享,消极保护);(共享,消极保护);(共享,积极保护),演化结果不同是由不同参数大小变化导致的。根据情形1、2,当患者选择数据共享可获得的额外优质医疗服务收益比平台采取“积极保护”策略下所承受的隐私泄露损失低的时候,患者普遍会选择拒绝共享自身健康医疗数据。而由于患者策略的影响,平台即使付出较高的隐私保护成本,患者依旧会选择“拒绝共享”。因此,在这两种情形下,(0,0)为系统的演化稳定点,策略组合为(拒绝共享,消极保护)。
在情形3、4中,患者选择数据共享可获得的额外优质医疗服务收益介于平台采取“积极保护”和“消极保护”策略下所承受的隐私泄露风险之间。此时双方策略选择均受到相关参数大小关系以及群体比例的影响,当平台选择“积极保护”和“消极保护”两种策略的成本差大于两种策略下因隐私泄露所造成损失的差额,即平台需付出高成本才能减少隐私泄露造成的损失时,平台会选择“消极保护”策略,进而造成患者拒绝共享健康医疗数据,系统演化稳定点为(0,0),策略组合为(拒绝共享,消极保护);而当平台选择“积极保护”和“消极保护”两种策略的成本差额小于该两种策略下因隐私泄露所造成损失的差额时,系统平衡点由唯一的(0,0)变成了(0,0)和(1,1)。对于平衡点(1,1),平台只需付出低成本就能减少隐私泄露造成的损失,平台选择“积极保护”策略,促使患者愿意共享健康医疗数据。对于平衡点(0,0),即使平台隐私保护成本较低,仍会存在个别平台选择消极保护患者隐私数据,患者拒绝共享自身数据的个例现象。
在情形5、6中,即使平台选择“消极保护”策略,患者选择数据共享可获得的额外优质医疗服务收益依旧大于该策略下隐私泄露损失,在这种情况下,患者通常会愿意共享自身健康医疗数据。而当平台实施隐私保护措施需要付出较高成本,即平台选择“积极保护”和“消极保护”两种策略的成本差大于两种策略下因隐私泄露所造成的损失差时,平台会选择“消极保护”策略,系统演化均衡点为(1,0),策略组合为(共享,消极保护);反之,系统演化均衡点为(1,1),策略组合为(共享,积极保护)。
3 仿真模拟
上文分析了演化博弈模型的构建,得出演化博弈过程中存在6种不同情景,并通过计算分别得出各情景下的均衡点。现通过MATLAB(2022)进行仿真模拟,通过模拟实验来确认各情景下演化博弈过程的最终结果与我们的分析结果是否一致,从而验证模型的准确性并得出博弈过程的关键影响因素。鉴于参与主体往往无法准确估计自己的成本、收益、损失,采用量化的方法来进行参数赋值,并充分参考相关
[16-17, 20]研究。各情形下参数赋值见
表10。为保证仿真模拟的有效性,设定患者选择共享、平台选择积极保护的初始比例在[10%,90%]。
根据
表10各参数赋值进行仿真模拟,情形1、情形2、情形3患者与平台演化趋势见
图2。显而易见,此时双方演化博弈稳定点都趋向于(0,0),策略组合为(拒绝共享,消极保护),与上文计算结果一致。与
图2(b)不同,
图2(a)中平台在初始博弈时有趋向于“积极保护”策略的趋势,这是由于此时选择共享个人健康数据的患者比例较高且平台采取积极保护策略所付出成本较低,随着共享个人健康数据的患者比例下降,平台在博弈过程中逐渐趋向于“消极保护”策略。与
图2(b)不同,
图2(c)在博弈初期患者群体有趋于“共享”策略的趋势,这是由于患者选择数据共享可获得的额外优质医疗服务
的提高,且此时采取积极保护的平台比例较高,但随着演化博弈进行,双方演化稳定状态并未改变。
根据
表10各参数赋值进行仿真模拟,情形4患者与平台演化趋势见
图3,此时双方演化博弈稳定点不唯一,分别为(0,0)、(1,1),与上文计算结果一致。如
图3所示,该结果与患者和平台的初始比例有关。在该情形下,当选择“共享”策略的患者和选择“积极保护”策略的平台初始比例都大于60%时,平台和患者随着博弈过程进行,其策略选择会趋向于(共享,积极保护),反之,则趋向于(拒绝共享,消极保护)。额外的医疗服务、平台隐私保护成本和隐私泄露风险损失之间的差异不再是决定博弈结果的因素。
根据
表10各参数赋值进行仿真模拟,情形5、6患者与平台演化趋势见
图4。双方演化稳定点分别(1,0)、(1,1),符合上文分析结果,证明患者可获得的额外优质医疗服务是影响患者策略决策的关键因素。如
图4(b)所示,该情形下平台在初始博弈时有显著下降趋势,这是由于此时愿意共享健康医疗数据的患者比例较小,即使发生隐私泄露问题,平台所需承担的损失不高,在这种境况下,采取隐私保护机制所需付出的成本就会着重影响平台决策。随着患者比例的增加,平台为避免隐私泄露风险损失,逐渐愿意投入较高成本采用积极保护机制,最终双方博弈状态稳定在(1,1)。
4 结论与建议
从健康医疗数据共享隐私保护问题的实际出发,建立患者、收集健康医疗数据的平台双方参与的演化博弈模型。利用复制动态方程分析了各主体稳定策略以及演化趋势,并通过MATLAB(2022)进行了数值模拟仿真。结果表明:①对患者而言,参与共享所能获得的额外医疗服务收益是影响其策略选择的关键,当额外医疗服务收益够高时,即使平台“消极保护”,患者依旧会选择共享自身健康医疗数据。②对于平台而言,选择“积极保护”的额外成本和两种策略下因隐私泄露所造成损失的差额是影响其策略选择的关键。这两者对平台策略选择影响力的大小受共享患者比例的影响,当患者共享比例较大时,平台策略选择更加受额外成本的影响。如果选择“积极保护”的额外成本较高,平台会倾向于“消极保护”策略。由此,提出以下对策建议:
第一,提高患者的显性收益。对于患者来说,共享个人健康医疗数据所获得的显性收益,即更高质量的医疗服务,有利于他们共享自身健康医疗信息。因此,平台管理者应重点关注用户显性收益的提高。具体来说,首先是医疗机构,对于愿意共享个人健康医疗信息的患者,可以开通快捷就医通道,便于患者的健康问询、线下就诊,提升患者的医疗服务质量。如上海瑞金医院,采用基于患者健康信息共享的“快捷就医通道”。对于愿意共享医疗信息的患者,医院可以通过患者事先建立的电子健康档案,快速匹配相关的专家资源,进行线上远程门诊。甚至患者可通过智能化问诊和预约系统,预约线下就诊,从而提升就医效率和服务质量;其次是在线健康社区,社区管理者应深化与医疗机构、医学院、健康医疗企业等机构的合作,整合多方资源,尽可能提高在线医疗服务质量,如“好大夫在线”在线健康社区与银川市政府合作,建立了“银川好大夫互联网医院”,实现了“远程专家门诊”。同时,对于愿意共享个人健康医疗信息的患者,设置便捷在线问询渠道,并给予一定奖励,例如代金券或“优秀用户认证”等,提高患者的额外医疗服务收益;最后是健康医疗企业,对于愿意共享个人健康医疗信息的患者,企业可在智能可穿戴医疗设备中加入快速发病响应机制,实时监控用户健康状况,保证用户的健康,提高其显性收益。如Fitbit智能手环的实时健康监控功能,能够持续监测用户的心率、睡眠质量、体温变化等生理数据,能够在检测到异常健康状况时提供警报,帮助用户尽早发现潜在健康问题,减少突发疾病的风险。
第二,减少“积极保护”策略的额外成本。对于平台来说,因隐私泄露所造成的损失是难以直接衡量的,而成本却是可控的。平台实施消极的隐私保护策略只需满足国家法律或地方性法规规定的最低要求,但实施积极的隐私保护策略则需要付出一定的额外成本,而且成本可能高得令人望而却步。因此,平台应采取手段降低“积极保护”策略下的额外成本。首先是实现信息系统和网络设备的“互联网+”采购。信息系统和网络设备的购买是平台实施积极的隐私保护策略的关键,其采购成本也是平台采取积极保护策略下的主要成本之一。如上海市卫生健康委员会推出了“互联网+医疗”采购平台,该平台通过线上集采的方式,推动医院信息系统和网络设备的集中采购。其次是开展隐私安全培训。人员培训成本是平台实施积极保护隐私策略需要支付的额外成本之一。传统培训课程价格昂贵且无法重复使用。因此,平台可以寻求专业的隐私安全培训课程,如在线安全培训。也可以结合自身业务特点为员工提供定制化的在线隐私保护培训课程,为相关技术人员和工作人员开发在线课程和题库,只有达到规定的学习时间并通过考试后,才能成为平台的隐私保护技术人员。
第三,发挥相关部门统筹监管职能。首先,加大隐私泄露行为的处罚力度。尽管《中华人民共和国个人信息保护法》已明确规定泄露患者或用户的个人健康信息的相关处罚标准,但企业的违法成本仍然相当较低。因此,针对泄露患者隐私的行为,应加大处罚力度,推动平台采取积极的隐私保护策略。其次,提供补贴以激励平台进行隐私保护投入。平台“积极保护”策略的额外成本是影响双方策略的关键,政府适当对平台进行补贴有助于平台采取积极的隐私保护策略,如浙江省温州市政府对首次通过信息安全管理体系ISO27001/BS7799认证的企业给予不超过15万元的奖励。此外,相关部门还可以与地方高校、科研机构合作,定期举办免费的隐私保护技术培训班、实施隐私设备购置补贴计划、派遣技术人员免费传授平台工作人员隐私保护技术等。
5 结语
健康医疗数据的开放共享已是时代所趋,但同时也带来了一系列的隐私安全问题。在健康医疗数据开放共享进程中保护患者个人隐私不仅是法律义务,也是医学伦理与社会信任的底线。要实现数据共享与隐私保护的双赢,需要多方协同:平台通过技术和管理降低保护成本,政府通过政策和监管提供激励与约束,患者在显性收益和知情权保障下积极参与。只有这样,才能在促进健康医疗数据安全高效共享与数据要素价值释放的同时,确保每一位个体的合法权益得到应有的尊重与保护。
2023年度国家社会科学基金后期资助项目“数据交易‘柠檬市场’治理机制与制度创新研究”(23FGLB055)
河南省科技厅软科学研究“河南省科学数据开放共享激励机制与政策选择研究”(242400411250)