6月/ 7月2018

去鉴别化做得好
作者:Sandra Nunn, MA, RHIA, CHP
郑重声明
第三十卷第六页

HIM专业人员必须平衡使用和共享PHI与保护隐私的矛盾目标，这一任务因人工智能的出现而变得复杂。

医疗保健最初是一个家庭手工业，通常是为穷人提供护理。许多医院是宗教机构的分支机构，希望为病人和垂死的人提供护理。其他实体是由雇主为照顾某些职业的雇员而建立的，例如铁路医院。

那些日子已经过去了。如今，卫生保健组织往往是庞大系统的一部分，或者是财团中的一个小齿轮。药店等其他实体是全国性连锁企业的一部分。

所有这些组织都以去识别内容为幌子，参与了患者数据的共享甚至销售。医疗保健企业和患者双方都有一种高兴的自满情绪，认为一切都很好，隐私和安全墙牢固地矗立在那里。然而，公众盲目分享信息的意愿和对现行安全措施(如HIPAA和Common Rule)的信任正在显现裂缝。

Facebook首席执行官马克·扎克伯格最近在国会的证词可能让公众看到了将个人数据暴露在互联网上所涉及的风险。在一个纽约时报哈佛大学伯克曼·克莱因互联网与社会中心项目ProjectVRM的创始人大卫·“博士”·塞尔斯，作者内莉·鲍尔斯指出，“多年来，公众对他们对Facebook等公司所做的事情的警告基本上置之不理——即收集大量用户信息，并在几乎没有监督的情况下将其提供给第三方——突然间，公众似乎开始关心他们在说什么。”

随着对患者信息隐私的威胁上升，将保护患者数据作为职业的HIM专业人员应该对他们的长期前景充满希望。在最近由Albuquerque Business First主办的一次会议上，当地公司就如何满足欧盟即将颁布的通用数据保护条例提出了建议。这些法规的各个方面影响着从事各种国际业务的美国组织，其中包括AHIMA。

这些规定反映出欧洲人对数据隐私的重视程度。现在，美国公民似乎也对更严格的监管感兴趣。

新墨西哥州圣达菲CHRISTUS St. Vincent地区医疗中心HIM主任、MSHA博士Michelle Bean说:“让患者更加意识到他们的患者数据的使用和披露并不太早。”比恩博士的研究方向是隐私和安全，她指出，患者“在签署同意治疗表格时，不知道他们的信息可能会被如何使用，这些表格允许交换患者数据进行治疗、支付或医疗保健操作。”

她承认，与新墨西哥州的其他医院一样，圣文森特医院为了基准测试和数据分析等目的，与外部组织共享未识别的患者信息。

去识别规定和方法
在网络研讨会“数据使用- HIPAA下PHI去标识化的方法”中，Impact Advisors隐私、安全和灾难恢复服务部门负责人Shefali Mookencherry, MPH, MSMIS, RHIA, CHPS, HCISPP，解释了创建去标识化信息的一般过程。此外，她还提供了一种方法来确定可接受的患者识别风险水平，包括为研究、基准测试和商业就业发布的数据中重新识别的可能性。

Mookencherry详细介绍了18个受hipaa保护的个人标识符，为了识别患者数据，必须删除这些标识符，并强调了第18条，该法律将其描述为“任何其他唯一的标识号、特征或代码”。她指出了邮政编码的重要性，它经常被用来重新识别病人。HIPAA有17个限制邮政编码，这些邮政编码位于人口少于2万的物理区域。Mookencherry说，这些代码必须通过在代码中使用三个前导零来屏蔽(例如00017)，从理论上讲，这可以防止有犯罪倾向的数据分析人员瞄准这些小社区内的患者和/或他们的疾病。

Mookencherry列出了以下作为唯一标识数字、代码或特征的其他示例:

•临床试验记录编号;

•电子病历和电子处方系统嵌入到患者记录及其药物中的条形码;和

•患者职业。

根据Mookencherry的说法，去标识化给HIM专业人员带来了两难境地，他们必须平衡“使用和共享PHI(受保护的健康信息)与保护隐私的矛盾目标”。她说，答案是多层次的，并指出没有“单一的技术，而是一系列方法、算法和工具的集合，这些方法、算法和工具可以应用于不同类型的数据，并具有不同程度的有效性。”

通常，受HIPAA法规约束的实体在共享患者数据之前采用两种策略中的一种来识别患者数据。如果医院、医生办公室、健康保险系统和连锁药店能够聘请到卫生与公众服务部所描述的“具有适当知识和经验的人，这些人具有普遍接受的统计和科学原理以及处理非个人身份信息的方法”，那么他们就可以选择专家鉴定方法。

然而，这种方法需要相关领域的专家，可能会很昂贵。参与此类项目的医疗信息系统专业人员必须对专家的审查进行仔细的记录，并将他们的后续知识应用于任何可供重用的患者数据。

结合HIPAA和通用规则的法律要求方面的HIM专业知识，专家可以评估变量，包括数据库大小、数据敏感性、数据的潜在用途(例如，艾滋病研究)、请求实体的跟踪记录(它是否对先前的数据泄露或重新识别的数据负责?)，以及消除数据识别所涉及的工作量。

可复制性的概念在这个过程中起着关键作用。例如，如果在一段时间内反复分享患有不寻常诊断的患者的数据，则更有可能重新识别患者。还必须考虑患者数据与许多其他接受者共享的可能性。例如，在IBM的沃森(Watson)等系统中合并的放射学图像有更好的机会重新识别患者。

另一个因素是可分辨性。在她的网络研讨会上，Mookencherry描述了三个数据元素的组合——出生日期、性别和邮政编码——能够为超过50%的美国人口提供唯一的ID。因此，在发布包含这些元素和其他类似元素的患者数据时必须谨慎。

与组织的HIPAA团队合作，主题专家可以提供风险评估并调整可以安全地发布的数据，以消除风险，但保留接收方所需的数据实用程序。

安全港方法要求删除所有18个标识符，同时要理解没有可以识别个人的残留信息，如雇主姓名和家庭成员名单，这是防止患者重新识别的最常用策略。

请记住，HIPAA规则是基于结构化数据(即可计算的数据，通常驻留在关系数据库字段中)的，him专业人员必须考虑牺牲可能驻留在更容易被搜索和识别的非结构化文本中的数据。因此，接受过隐私和安全原则培训的卫生信息系统工作人员必须考虑到有多少健康信息可以或不能被潜在接收者重新识别。如果风险被认为太大——不应该超过“非常小”——就必须采取措施减轻潜在的威胁。

展望未来
人工智能(AI)的到来让一些行业专家质疑HIPAA的相关性。“鉴于技术变革，特别是人工智能，HIPAA需要更新。自1996年开始实施以来，HIPAA就没有进行过重大的更新。”她为人工智能开发人员等人工智能专业人士提出了新的角色，他们将考虑如何将人工智能用作对抗隐私和安全风险的工具。Mookencherry表示，人工智能专业人员可以适应人工智能自主思考和改变的能力，并强调人工智能顾问可以提供必要的道德、法律和患者安全框架，以管理未来人工智能进入医疗保健领域的步骤。

Mookencherry认为HIPAA可以应用于人工智能，他说商业伙伴或数据使用协议可能会适应未来的隐私和安全挑战。她指出，美国国家标准与技术研究院(National Institute of Standards and Technology)和民权办公室(Office for Civil Rights)等监管机构正开始组建有关人工智能的工作组和联盟。Mookencherry说，“将继续有大量的数据共享”这一事实意味着删除最初的18个标识符可能是不够的，肯定需要其他的删除或修改。

作为AHIMA的前远程学习项目协调员，Mookencherry说，在保护患者信息方面，“他需要采取下一步行动”。她相信，对隐私和安全领域感兴趣的HIM学生的未来是光明的，并指出“可以实现大幅增长”。

生物标识符
HIPAA没有规定所涵盖实体可以采用哪些方法或方法组合来识别PHI。历史方法包括缩写一些数据元素，使它们不可能与另一个数据库中的相同数据元素相关联。另一种方法是对诸如患者年龄之类的标识符使用近似值，这仍然可能产生符合接受者要求的数据。

然而，HIPAA专家(HIM专业人员和法律人员)、主题专家和IT人员可能无法在人工智能面前处理去识别患者信息的挑战。随着技术的进步，医疗信息系统、法律专业和信息技术专家将需要再教育和合作，以继续履行他们保护患者数据的使命。

在加州大学洛杉矶分校法律评论Paul Ohm教授，法学博士，创造了“稳健匿名化假设”这个术语来描述对匿名化力量的广泛信念。HIPAA的主要目的是平衡个人隐私和必要的医疗保健数据流。

HIPAA使用术语“去识别”而不是“匿名化”，对“去识别”的定义是:“不能识别个人的健康信息，并且没有合理的依据相信该信息可用于识别个人的信息，不属于可识别个人的健康信息。”

欧姆指出，安全港法列举的静态标识符列表存在一个问题，该列表假定“健康记录中的其他信息不构成重新识别的基础”，并指出该列表自2000年以来就没有更新过。安全港对生物识别信息的覆盖范围并未明确包括基因数据。欧姆指出，“在隐私规则颁布之时，高通量基因测序还不存在。”在这期间，这些数据越来越容易获得，而且随着遗传信息参考数据库的建立，这些数据也可能越来越容易识别。

在文章“计算机安全、隐私和DNA测序:用合成DNA破坏计算机、隐私泄露等”中，作者Peter Ney、Karl Koscher、Lee Organik、Luis Ceze和Tadayoshi Kohno解决了这些问题。他们写道:“我们认为，在大规模采用DNA测序管道之前，了解当前的安全挑战是明智的。”

在对“普通DNA处理程序的一般安全卫生”的评估中，作者发现了“整个领域使用的不良安全措施的具体证据”。他们建议制定一个“广泛的框架和指导方针，以保护DNA合成、测序和处理的安全和隐私”。

这是那些在HIM中专门从事隐私和安全的人必须面对的挑战。

艾，阿，阿
HIPAA、通用规则和其他旨在保护隐私的法律的不足，随着对AI、ANI(人工狭义智能)和AGI(人工广义智能)的研究变得显而易见。

我们今天在人工智能方面所经历的实际上是ANI或人工智能的狭隘应用，通过自然语言处理等技术来扩展人类的能力，自然语言处理被用来捕捉医生的声音并将其存档到电子病历中。然而，人工智能的目标更加激进，对隐私和安全构成严重威胁。例如，埃隆·马斯克(Elon Musk)最近宣布，他正在大力投资一家名为Neuralink的新公司，目标是有朝一日在计算机和人脑之间创造一个直接的皮质接口。这标志着从使用人工智能作为人类扩展器到使用AGI或有感知的机器的转变。

阿米尔·侯赛因，《有感知的机器:即将到来的人工智能时代这表明，人工智能是唯一能够解决医疗行业日益严重的网络安全问题的工具。“人工智能和自然语言处理越来越接近人类安全研究人员的思维推理。但由于机器学习处理信息的速度要快得多，它几乎可以立即从大量数据中识别出复杂的模式，”他写道。

这对于隐私和安全专业人员取得成功所需要的能力意味着什么?当然，HIPAA法规和共同规则条款方面的专家不能坐享其成。

本着这种精神，西雅图的华盛顿大学创建了安全与隐私研究实验室，它是保罗·g·艾伦计算机科学与工程学院的一部分。在此背景下，研究生将探索诸如随机访问大规模DNA数据存储等主题。华盛顿大学iSchool(包括信息学)和HIM部门的相关学生应该做好充分的准备，以了解未来可能的数据存储选项。

随着卫生专业人员和机器继续以越来越快的速度合作，卫生管理人员的能力必须反映这一发展。事实上，人工智能对隐私和安全的影响本身就是一个完整的职业领域。

Sandra Nunn, MA, RHIA, CHP，特约编辑郑重声明也是新墨西哥州阿尔伯克基KAMC咨询公司的负责人。