T-SCGS 313008-2024 隱私增強的醫(yī)學影像數(shù)據(jù)管理規(guī)范

ICS01.100.01CCSJ04團體標準T/SCGS313008—2024隱私增強的醫(yī)學影像數(shù)據(jù)管理規(guī)范Datamanagementspecificationsofmedicalimagingforprivacy-enhanced2024-04-16發(fā)布2024-04-17實施ⅠT/SCGS313008—2024前言 Ⅲ1范圍 12規(guī)范性引用文件 13術(shù)語和定義 14縮略語 35隱私增強的醫(yī)學影像數(shù)據(jù)管理規(guī)范 3附錄A(規(guī)范性)數(shù)據(jù)管理規(guī)范的解釋說明 7參考文獻 9ⅢT/SCGS313008—2024本文件按照GB/T1.1—2020《標準化工作導則第1部分:標準化文件的結(jié)構(gòu)和起草規(guī)則》的規(guī)定起草。請注意本文件的某些內(nèi)容可能涉及專利。本文件的發(fā)布機構(gòu)不承擔識別專利的責任。本文件由中國圖學學會提出并歸口。本文件起草單位:中國科學院自動化研究所、澳門城市大學、北京航空航天大學、廣東省人民醫(yī)院、珠海市人民醫(yī)院、河南省人民醫(yī)院、北京大學人民醫(yī)院、北京大學第三醫(yī)院。1T/SCGS313008—2024隱私增強的醫(yī)學影像數(shù)據(jù)管理規(guī)范1范圍本文件規(guī)定了醫(yī)學影像數(shù)據(jù)的隱私管理、醫(yī)學影像數(shù)據(jù)的聯(lián)合建模流程要求。本文件適用于醫(yī)學影像數(shù)據(jù)聯(lián)合建模過程中的數(shù)據(jù)管理,包括采集、脫敏、傳輸?shù)冗^程。2規(guī)范性引用文件本文件沒有規(guī)范性引用文件。3術(shù)語和定義下列術(shù)語和定義適用于本文件。3.1數(shù)據(jù)管理領(lǐng)域保護敏感信息隱私或機密性的技術(shù)方法。包括在隱私信息采集、存儲,以及在執(zhí)行搜索或分析過程中對于保護和增強隱私安全性的數(shù)據(jù)安全技術(shù)。注:旨在遵守隱私和數(shù)據(jù)保護原則,同時保持從用戶提供的數(shù)據(jù)中提取價值的能力。[ISO/IEC20889:2018,3.3,有修改]數(shù)據(jù)采集dataacquisition從傳感器和其他待測設(shè)備等模擬和數(shù)字被測單元中自動采集非電量或者電量信號,送到計算機中[T/CESA1049—2018,6.2,有修改]3.1.3數(shù)據(jù)泄露databreach將機密信息、私人信息或其他敏感信息發(fā)布到不安全的環(huán)境中。注:數(shù)據(jù)泄露可能由意外引起,也可能是蓄意攻擊的結(jié)果。[T/CESA1049—2018,6.5,有修改]3.1.4數(shù)據(jù)傳輸datatransmission按照一定的規(guī)程,通過一條或者多條數(shù)據(jù)鏈路,將數(shù)據(jù)從數(shù)據(jù)源傳輸?shù)綌?shù)據(jù)終端。注:它的主要作用是實現(xiàn)點與點之間的信息傳輸與交換。3.1.5數(shù)據(jù)加密dataencryption將一個信息經(jīng)過加密鑰匙及加密函數(shù)轉(zhuǎn)換,變成無意義的密文,而接收方則將此密文經(jīng)過解密函2T/SCGS313008—2024數(shù)、解密鑰匙還原成明文的手段。[T/CESA1049—2018,6.4,有修改]3.1.6數(shù)據(jù)存儲datastorage使用計算機或其他設(shè)備通過記錄介質(zhì)來保存數(shù)據(jù),它是一種采用專門開發(fā)技術(shù)的信息保留方式,能夠保存相應數(shù)據(jù)并確?？稍谛枰獣r對其進行訪問。注:最常用的數(shù)據(jù)存儲方式有文件存儲、塊存儲和對象存儲,每種存儲方式都有不同的用途。[T/CESA1049—2018,6.3,有修改]3.1.7數(shù)據(jù)分類dataclassification根據(jù)組織數(shù)據(jù)的屬性或特征,將其按照一定的原則和方法進行區(qū)分和歸類,并建立起一定的分類體系和排列順序,以便更好地管理和使用組織數(shù)據(jù)的過程。數(shù)據(jù)歸檔dataarchiving將不再經(jīng)常使用的數(shù)據(jù)移到一個單獨的存儲設(shè)備來進行長期保存的過程。3.1.9數(shù)據(jù)銷毀datadestruction計算機或設(shè)備在棄置、轉(zhuǎn)售或捐贈前必須將其所有數(shù)據(jù)徹底刪除,并無法復原,以免造成信息泄露,尤其是國家級的涉密數(shù)據(jù)。3.2醫(yī)學領(lǐng)域3.2.1醫(yī)學影像medicalimaging利用醫(yī)學成像設(shè)備及技術(shù)所得到的圖像。[T/NAHIEM47—2022,3.1]3.2.2磁共振成像magneticresonanceimaging一種醫(yī)學成像技術(shù),利用磁場和計算機生成的無線電波來創(chuàng)建人體器官和組織的詳細圖像。3.2.3計算機斷層掃描組合了一系列從身體周圍不同角度拍攝的X光圖像,并運用計算機進行處理,以創(chuàng)建體內(nèi)骨骼、血管和軟組織的橫截面圖像(切片)。[T/CESA1109—2020,7.4,有修改]3.2.4X光X-ray一種波長范圍在0.01nm~10nm之間的電磁輻射。3.2.5超聲成像ultrasoundimaging利用超聲聲束掃描人體,通過對反射信號的接收、處理,以獲得體內(nèi)器官的圖像。[T/CESA1109—2020,7.1,有修改]3T/SCGS313008—20243.2.6核醫(yī)學nuclearmedicine分子影像學的組成部分,因為其產(chǎn)生的是那些反應性細胞和亞細胞水平上所發(fā)生的生物學過程的圖像。[T/CESA1109—2020,7.6,有修改]3.2.7功能性磁共振成像functionalmagneticresonanceimaging一種神經(jīng)影像學技術(shù)。注:原理是利用磁振造影來測量神經(jīng)元活動所引發(fā)的血液動力改變。3.2.8微波成像microwaveimaging以微波作為信息載體的一種成像手段,實質(zhì)屬于電磁逆散射問題。注:既用它的幅度信息,也用它的相位信息。4縮略語下列縮略語適用于本文件。CT:計算機斷層掃描(computedtomography)DU:多普勒成像(duplexultrasound)EIT:阻抗成像(electricalimpedancetomography)FMRI:功能性磁共振成像(functionalmagneticresonanceimaging)MI:微波成像(microwaveimaging)MRI:磁共振成像(magneticresonanceimaging)NM:核醫(yī)學(nuclearmedicine)UI:超聲成像(ultrasoundimaging)X-ray:X光(roentgenray)5隱私增強的醫(yī)學影像數(shù)據(jù)管理規(guī)范5.1數(shù)據(jù)采集5.1.1通用要求應按照最小必要等原則采集外部醫(yī)學影像數(shù)據(jù),明確醫(yī)學影像數(shù)據(jù)目的和用途的真實有效,保證醫(yī)學影像數(shù)據(jù)采集的合法性、合規(guī)性、正當性。5.1.2數(shù)據(jù)采集數(shù)據(jù)采集要求如下:a)應明確醫(yī)學影像數(shù)據(jù)采集安全管理要求,包括組織采集醫(yī)學影像數(shù)據(jù)時的原則,醫(yī)學影像數(shù)據(jù)的直接或間接采集流程和方法;b)應明確醫(yī)學影像數(shù)據(jù)已獲得患者個人信息處理的授權(quán)同意范圍,包括使用目的、采集范圍、患者是否授權(quán)同意共享等;c)應根據(jù)患者個人的診斷情況,有選擇地采取數(shù)張不同類型的醫(yī)學影像數(shù)據(jù);4T/SCGS313008—2024d)應規(guī)定醫(yī)學影像數(shù)據(jù)采集的渠道,并對采集來源方式、數(shù)據(jù)范圍和類型進行記錄,確保不收集、不提供與服務無關(guān)的個人信息;e)應采取相應的技術(shù)手段,確保采集過程中的患者個人信息不被泄露,尤其是個人敏感信息數(shù)據(jù),個人敏感信息包括但不限于標識個人身份的醫(yī)學影像數(shù)據(jù)、特殊病種的詳細影像資料。5.1.3數(shù)據(jù)分類應按照屬性或特征對數(shù)據(jù)進行歸集分類,以滿足數(shù)據(jù)建模及應用管理中對數(shù)據(jù)進行查詢、識別、管理、保護和使用需求。醫(yī)學影像數(shù)據(jù)分類見表1。表1醫(yī)學影像數(shù)據(jù)分類表數(shù)據(jù)類別范圍個人生物識別影像數(shù)據(jù)臨床影像數(shù)據(jù)結(jié)構(gòu)圖像:描述人體的生理解剖結(jié)構(gòu)X光(X-ray)、計算機斷層掃描(CT)、超聲成像(UI)、磁共振成像(MRI)功能圖像:描述人體在不同狀態(tài)下組織器官的功能活動狀況核醫(yī)學(NM)成像、功能性磁共振成像(FMRI)、多普勒成像(DU)其他類型成像阻抗成像(EIT)、微波成像(MI)、光學成像5.2數(shù)據(jù)脫敏各醫(yī)療機構(gòu)在設(shè)定具體場景下數(shù)據(jù)脫敏策略時,應充分考慮數(shù)據(jù)脫敏后數(shù)據(jù)可用性及數(shù)據(jù)保密性,尋求兩者間的平衡。選擇數(shù)據(jù)脫敏策略見表2。表2數(shù)據(jù)脫敏策略表數(shù)據(jù)可用性數(shù)據(jù)保密性高低高宜使用:同態(tài)加密不宜使用:遮擋、替代不宜使用:數(shù)值變換、空值插入低宜使用:對稱加密算法(AES、SM1、SM4)、替不宜使用:遮擋不宜使用:加密技術(shù)注:數(shù)據(jù)可用性“高”即脫敏后數(shù)據(jù)滿足應用要求且數(shù)據(jù)失真程度較低;數(shù)據(jù)可用性“低”即脫敏后數(shù)據(jù)滿足應用要求且數(shù)據(jù)失真程度較高。數(shù)據(jù)保密性定級為“低”指醫(yī)學影像數(shù)據(jù)泄露無法對特定的主體的個人隱私與人格尊嚴造成實際損害或威脅;數(shù)據(jù)保密性定級為“高”指醫(yī)學影像數(shù)據(jù)泄露造成事情(事故)的影響結(jié)果為“情節(jié)嚴重”或“情節(jié)特別嚴重”。有關(guān)具體數(shù)據(jù)類型與脫敏關(guān)系的策略當具體問題具體分析。5.3數(shù)據(jù)傳輸5.3.1通用要求根據(jù)數(shù)據(jù)傳輸?shù)牟煌枨?應建立不同的數(shù)據(jù)加密保護策略和安全防護措施,防止傳輸過程中的數(shù)5T/SCGS313008—2024據(jù)泄露。5.3.2數(shù)據(jù)傳輸要求數(shù)據(jù)傳輸要求如下:a)明確數(shù)據(jù)傳輸前的安全管理要求,數(shù)據(jù)管理員與數(shù)據(jù)研究者簽署數(shù)據(jù)使用協(xié)議,約定雙方權(quán)案等;b)在數(shù)據(jù)分類分級定義的基礎(chǔ)上制定數(shù)據(jù)傳輸安全管理要求,明確不同場景下的數(shù)據(jù)傳輸安全要求,如:傳輸通道加密、數(shù)據(jù)內(nèi)容加密、簽名驗證、身份鑒別等;c)建立數(shù)據(jù)傳輸接口安全管理工作要求,包括安全域內(nèi)、安全域間等數(shù)據(jù)傳輸接口要求。5.4數(shù)據(jù)存儲5.4.1通用要求根據(jù)數(shù)據(jù)存儲介質(zhì)的訪問和使用場景,以及業(yè)務特性和數(shù)據(jù)存儲安全要求,應采取有效的技術(shù)和管理手段,實現(xiàn)對數(shù)據(jù)邏輯存儲、存儲容器的有效安全控制,按附錄A。5.4.2數(shù)據(jù)存儲要求數(shù)據(jù)存儲要求如下:a)建立管理存儲介質(zhì)和邏輯存儲所需要遵循的安全管理制度體系,包括安全管理政策、實施細則及指導方案;b)通過密碼技術(shù)等方式實施完整性控制,確保醫(yī)學影像數(shù)據(jù)是準確的、完整的,并為其提供應對非法修改的保護機制;c)制定數(shù)據(jù)備份及恢復策略,定期進行數(shù)據(jù)備份,建立介質(zhì)存取、驗證和轉(zhuǎn)儲管理制度;d)建立基于主體角色授權(quán)的訪問控制,并在此基礎(chǔ)上建立基于客體屬性授權(quán)的訪問控制。針對個人信息、敏感數(shù)據(jù)、重要數(shù)據(jù)的訪問建立零信任保護機制,實現(xiàn)權(quán)限的動態(tài)訪問控制。5.5數(shù)據(jù)分類根據(jù)數(shù)據(jù)重要程度、風險級別以及對醫(yī)學影像數(shù)據(jù)主體可能造成的損害和影響的級別進行分類,應將醫(yī)學影像數(shù)據(jù)劃分為以下5級。第1級:可完全公開使用的數(shù)據(jù)。包括可以通過公開途徑獲取的數(shù)據(jù),可直接在互聯(lián)網(wǎng)上面向公眾公開。第2級:可在較大范圍內(nèi)供訪問者使用的數(shù)據(jù),涉及千級別數(shù)據(jù)處理,包括不能標識個人身份的數(shù)據(jù),各科室醫(yī)生經(jīng)過申請審批可以用于研究分析。第3級:可在中等范圍內(nèi)供訪問使用的數(shù)據(jù),涉及萬級別數(shù)據(jù)處理。如果未經(jīng)授權(quán)披露,可能對醫(yī)學影像數(shù)據(jù)主體造成中等程度的損害,包括經(jīng)過部分去標識化處理,但仍可能重新標識的數(shù)據(jù),僅限于獲得授權(quán)的項目組范圍內(nèi)使用。第4級:在較小范圍內(nèi)供訪問使用的數(shù)據(jù),涉及百萬級別數(shù)據(jù)處理。如果未經(jīng)授權(quán)披露,可能對醫(yī)學影像數(shù)據(jù)主體造成較高程度的損害,包括可以直接標識個人身份的數(shù)據(jù),僅限于參與診療活動的醫(yī)護人員訪問使用。第5級:僅在極小范圍內(nèi)且在嚴格限制條件下供訪問使用的數(shù)據(jù),涉及千萬級別數(shù)據(jù)處理。如果未經(jīng)授權(quán)披露,可能對醫(yī)學影像數(shù)據(jù)主體造成嚴重程度的損害,包括特殊病種的詳細影像資料,僅限于主治醫(yī)護人員訪問且需要進行嚴格管控。6T/SCGS313008—20245.6數(shù)據(jù)使用5.6.1通用要求根據(jù)醫(yī)學影像數(shù)據(jù)分析,數(shù)據(jù)挖掘過程面臨的安全風險,建立有效的安全管控措施,防止數(shù)據(jù)泄露。5.6.2數(shù)據(jù)使用要求數(shù)據(jù)使用要求如下:a)建立數(shù)據(jù)權(quán)限申請審核流程,對數(shù)據(jù)源、數(shù)據(jù)使用場景、數(shù)據(jù)使用范圍、數(shù)據(jù)使用邏輯、個人信息安全影響情況進行審核,以確保數(shù)據(jù)使用的真實性、必要性、合規(guī)性;b)制定數(shù)據(jù)使用要求,明確數(shù)據(jù)的使用范圍和權(quán)限、合規(guī)要求、數(shù)據(jù)使用限制、使用安全防護要求,包括但不限于數(shù)據(jù)脫敏、訪問控制;c)建立數(shù)據(jù)訪問和授權(quán)機制。建立完善的身份認證以及基于角色的權(quán)限控制,嚴格區(qū)分不同用戶角色對數(shù)據(jù)訪問的權(quán)限。合理、精細地定義角色權(quán)限,避免不必要的,超過角色合法職責之外的授權(quán);d)對數(shù)據(jù)的使用活動進行審計,重點對醫(yī)學影像數(shù)據(jù)的訪問以及操作的合規(guī)性進行審計,確定必要的審計控制范圍和需要審計的數(shù)據(jù)。5.7數(shù)據(jù)歸檔數(shù)據(jù)歸檔的要求包括但不限于:a)根據(jù)不同階段的醫(yī)學影像數(shù)據(jù),建立數(shù)據(jù)歸檔過程中不同的安全策略和管控措施,防止數(shù)據(jù)泄露;b)根據(jù)醫(yī)學影像數(shù)據(jù)生命周期和業(yè)務要求,建立不同階段醫(yī)學影像數(shù)據(jù)歸檔存儲相關(guān)的操作規(guī)程;c)建立歸檔醫(yī)學影像數(shù)據(jù)的安全策略和管控措施,確保非授權(quán)用戶不能訪問歸檔醫(yī)學影像數(shù)據(jù);d)建立歸檔醫(yī)學影像數(shù)據(jù)的壓縮或加密策略,確保歸檔醫(yī)學影像數(shù)據(jù)存儲空間的有效利用和安全訪問。5.8數(shù)據(jù)銷毀數(shù)據(jù)銷毀的要求包括但不限于:a)通過制定數(shù)據(jù)銷毀機制,實現(xiàn)有效的數(shù)據(jù)刪除管理。防止因?qū)Υ鎯橘|(zhì)中的數(shù)據(jù)進行恢復而導致的數(shù)據(jù)泄露風險;b)建立醫(yī)學影像數(shù)據(jù)銷毀策略、管理制度和審批制度,明確銷毀對象和流程;c)依照醫(yī)學影像數(shù)據(jù)分級分類,建立相應的數(shù)據(jù)銷毀機制,明確銷毀方式和銷毀要求;d)針對網(wǎng)絡存儲醫(yī)學影像數(shù)據(jù),采取硬銷毀和軟銷毀的數(shù)據(jù)銷毀方法和技術(shù)。如:基于安全策略、基于分布式雜湊算法等網(wǎng)絡數(shù)據(jù)分布式存儲的銷毀策略與機制;e)針對閃存、硬盤、磁帶、光盤等存儲數(shù)據(jù),采取硬銷毀和軟銷毀的數(shù)據(jù)銷毀方法和技術(shù);f)配置必要的醫(yī)學影像數(shù)據(jù)銷毀工具,確保以不可逆方式銷毀醫(yī)學影像數(shù)據(jù)及其副本內(nèi)容。7T/SCGS313008—2024附錄A(規(guī)范性)數(shù)據(jù)管理規(guī)范的解釋說明A.1被訪問的病人數(shù)據(jù)的隱私保護A.1.1醫(yī)生分級分類醫(yī)生為病人提供醫(yī)療服務過程中會查閱病人的醫(yī)學數(shù)據(jù)。此時,數(shù)據(jù)可分為默認級數(shù)據(jù)、告知級數(shù)據(jù)、授權(quán)級數(shù)據(jù)。具體要求如下:a)默認級數(shù)據(jù)包括檢驗檢查名稱、就診醫(yī)院、就診科室等;b)告知級數(shù)據(jù)包括檢驗檢查報告、手術(shù)記錄、出院小結(jié)等;c)授權(quán)級數(shù)據(jù)包括住院詳細病歷、患病詳細信息等。A.1.2醫(yī)生角色定義不同角色的醫(yī)生的調(diào)閱權(quán)限不同,角色定義清晰,方可進行下一步的權(quán)限分配。原則上,宜按所在科室、職稱、診療組來定義角色類型:a)科室即不同診療科室,按照醫(yī)院科室劃分,包括消化科、心臟外科等;b)職稱表示醫(yī)生的專業(yè)性,包括但不限于主任醫(yī)師、主治醫(yī)師、住院醫(yī)師;c)診療組即按診療組劃分,按照醫(yī)院科室的具體劃分而定,不同診療組之間的患者管轄相對獨立,包括普外科內(nèi)部分為胃腸診療組、肝膽診療組等,若科室內(nèi)部未劃分則無須定義。A.1.3醫(yī)生權(quán)限分配將醫(yī)生的科室、職稱、診療組與數(shù)據(jù)分級、顆粒度匹配。每個醫(yī)生僅可調(diào)閱自身管轄范圍內(nèi)患者的數(shù)據(jù),上級醫(yī)師可查看下級醫(yī)師管轄范圍內(nèi)的患者數(shù)據(jù)。權(quán)限具體要求:a)對于普通病種的資料,權(quán)限范圍內(nèi)醫(yī)生均可調(diào)閱。對于特殊病種的資料,不同職稱醫(yī)生的權(quán)限不同;b)對于傳染性疾病,考慮保護醫(yī)務人員原則,默認向接診醫(yī)護人員披露。A.2患者本人查詢數(shù)據(jù)的隱私保護A.2.1身份識別病人進行身份識別的具體方式,以及擁有的查詢權(quán)限如下:a)患者通過在線系統(tǒng)查詢其健康醫(yī)學數(shù)據(jù),首次注冊應通過實名認證的手機號碼和手機驗證碼登錄。賬號可綁定子女手機(上傳身份證或戶口本掃描件即可或由系統(tǒng)后臺認證)由監(jiān)護人或授權(quán)