DICOM醫(yī)學(xué)影像數(shù)據(jù)脫敏規(guī)范

DICOM醫(yī)學(xué)影像數(shù)據(jù)脫敏規(guī)范范圍本文件規(guī)定了DICOM醫(yī)學(xué)影像數(shù)據(jù)脫敏技術(shù)的術(shù)語和定義、必要脫敏項(xiàng)、脫敏方法、脫敏流程以及標(biāo)準(zhǔn)脫敏程序。本文件適用于具有醫(yī)學(xué)影像數(shù)據(jù)使用需求的各級(jí)各類醫(yī)療機(jī)構(gòu)。規(guī)范性引用文件下列文件中的內(nèi)容通過文中的規(guī)范性引用而構(gòu)成本文件必不可少的條款。其中，注日期的引用文件，僅該日期對(duì)應(yīng)的版本適用于本文件；不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。ISO12052DICOM醫(yī)學(xué)數(shù)字成像和通信標(biāo)準(zhǔn)WS/T548-2017?醫(yī)學(xué)數(shù)字影像通信（DICOM）中文標(biāo)準(zhǔn)符合性測(cè)試規(guī)范GB/T40421-2021?健康信息學(xué)消息與通信DICOM持久對(duì)象的網(wǎng)絡(luò)訪問DB3301/T0363—2022?公共數(shù)據(jù)脫敏管理規(guī)范術(shù)語和定義下列術(shù)語和定義適用于本文件。DICOMDigitalImagingandCommunicationsinMedicine，即醫(yī)學(xué)數(shù)字成像和通信，是醫(yī)學(xué)圖像和相關(guān)信息的國(guó)際標(biāo)準(zhǔn)，定義了質(zhì)量能滿足臨床需要的可用于數(shù)據(jù)交換的醫(yī)學(xué)圖像格式。醫(yī)學(xué)影像指為了醫(yī)療或醫(yī)學(xué)研究，對(duì)人體或人體某部分，以非侵入方式取得內(nèi)部組織影像的技術(shù)與處理過程。數(shù)據(jù)脫敏指對(duì)某些敏感信息通過脫敏規(guī)則進(jìn)行數(shù)據(jù)的變形，實(shí)現(xiàn)敏感隱私數(shù)據(jù)的可靠保護(hù)。必要脫敏數(shù)據(jù)項(xiàng)醫(yī)學(xué)影像脫敏過程中必須加密或隱去的數(shù)據(jù)項(xiàng)。數(shù)據(jù)校驗(yàn)數(shù)據(jù)校驗(yàn)是為了保證數(shù)據(jù)的完整性進(jìn)行的一種驗(yàn)證操作，通常用一種指定的算法對(duì)原始數(shù)據(jù)計(jì)算出的一個(gè)校驗(yàn)值，再對(duì)脫敏后數(shù)據(jù)計(jì)算一次校驗(yàn)值，如果兩次計(jì)算得到的校驗(yàn)值相同，則說明數(shù)據(jù)是完整的。強(qiáng)口令強(qiáng)口令是指一種應(yīng)包含大小寫字母、數(shù)字和特殊字符，長(zhǎng)度通常不少于8個(gè)字符的復(fù)雜密碼。Hash校驗(yàn)Hash校驗(yàn)方法是一種用于驗(yàn)證數(shù)據(jù)完整性的技術(shù)。它通過將任意長(zhǎng)度的數(shù)據(jù)轉(zhuǎn)換為固定長(zhǎng)度的字符串,稱為Hash值或者摘要,以實(shí)現(xiàn)數(shù)據(jù)的校驗(yàn)和和完整性驗(yàn)證。縮略語下列縮略語適用于本文件。GUI圖形用戶界面（GraphicalUserInterface）總體要求合規(guī)安全應(yīng)遵守相關(guān)法規(guī)和規(guī)定，建立合規(guī)性管理措施，包括數(shù)據(jù)隱私保護(hù)、數(shù)據(jù)審計(jì)追蹤等，以確保醫(yī)學(xué)影像數(shù)據(jù)的合規(guī)性和安全性。真實(shí)有效數(shù)據(jù)脫敏后應(yīng)具備真實(shí)和有效性。脫敏后的數(shù)據(jù)應(yīng)真實(shí)地體現(xiàn)原始數(shù)據(jù)的特征，并且原始信息中包含的敏感信息應(yīng)已被消除，無法通過處理后的數(shù)據(jù)得到敏感信息。軟硬件要求軟件要求通用于國(guó)內(nèi)外主流操作系統(tǒng)等。硬件要求應(yīng)配備顯示設(shè)備的計(jì)算機(jī)和具有存儲(chǔ)功能的移動(dòng)硬盤或U盤。其他要求外接存儲(chǔ)設(shè)備應(yīng)經(jīng)過殺毒或格式化處理方可進(jìn)行脫敏數(shù)據(jù)的保存。脫敏操作應(yīng)在數(shù)據(jù)副本上進(jìn)行，不可在源數(shù)據(jù)上進(jìn)行，保證原始數(shù)據(jù)的完整性。未經(jīng)過脫敏的數(shù)據(jù)不得被拷貝到外接存儲(chǔ)設(shè)備。脫敏流程數(shù)據(jù)備份在進(jìn)行任何脫敏步驟之前，應(yīng)首先確保對(duì)原始數(shù)據(jù)進(jìn)行備份，以防止意外數(shù)據(jù)丟失或在脫敏過程中將源數(shù)據(jù)破壞。指定脫敏策略制定DICOM數(shù)據(jù)的讀取方式可使用通用數(shù)據(jù)編程語言，對(duì)數(shù)據(jù)信息進(jìn)行讀取。確定必要脫敏的數(shù)據(jù)項(xiàng)確定必要脫敏的數(shù)據(jù)項(xiàng)分別為患者姓名、檢查號(hào)和序列號(hào)等可以唯一標(biāo)識(shí)患者并可以溯源到患者本人的信息。必要脫敏數(shù)據(jù)項(xiàng)列表見表1。表1必要脫敏數(shù)據(jù)項(xiàng)列表GroupElementTagDescription中文解釋患者相關(guān)標(biāo)簽00100010Patient’sName患者姓名00100020PatientID患者ID00100021IssuerofPatientID發(fā)布患者ID的機(jī)構(gòu)00100030Patient’sBirthDate患者出生日期00100032Patient’sBirthTime患者出生時(shí)間00101040Patient'sAddress患者地址00102150Patient'sTelephoneNumbers患者聯(lián)系電話001021B0AdditionalPatientHistory患者病史記錄001021C0PregnancyStatus

患者懷孕狀態(tài)001021D0LastMenstrualDate患者最后一次月經(jīng)日期001021F0Patient'sReligiousPreference患者宗教信仰001021E0ClinicalTrialParticipationFlag參與臨床試驗(yàn)標(biāo)志00102201DiagnosisDescription診斷描述檢查相關(guān)標(biāo)簽00080050AccessionNumber訪問號(hào)00200010StudyID檢查ID0020000DStudyInstanceUID檢查實(shí)例號(hào)00080020StudyDate檢查日期00080030StudyTime檢查時(shí)間序列相關(guān)標(biāo)簽00200011SeriesNumber序列號(hào)0020000ESeriesInstanceUID序列實(shí)例號(hào)00080021SeriesDate檢查日期00080031SeriesTime檢查時(shí)間確定脫敏方式徹底刪除數(shù)據(jù)項(xiàng)的值域信息方式，將必須刪除項(xiàng)和自定義刪除項(xiàng)的值域信息全部賦值為NULL，保證數(shù)據(jù)脫敏的不可逆性。安全存儲(chǔ)和共享脫敏后的醫(yī)學(xué)影像數(shù)據(jù)應(yīng)以安全的方式存儲(chǔ)，并遵循相關(guān)隱私保護(hù)和數(shù)據(jù)安全規(guī)定。在共享數(shù)據(jù)時(shí)，應(yīng)只提供必要的信息，并對(duì)數(shù)據(jù)采取強(qiáng)口令文件加密，以防止未經(jīng)授權(quán)的訪問和數(shù)據(jù)泄露。脫敏規(guī)范流程見圖1。圖1脫敏流程圖數(shù)據(jù)歸檔患者級(jí)數(shù)據(jù)歸檔將脫敏后的DICOM數(shù)據(jù)按照患者進(jìn)行分類和整理，每個(gè)患者級(jí)的文件夾按照脫敏時(shí)間的先后順序命名。時(shí)間級(jí)數(shù)據(jù)歸檔對(duì)每個(gè)患者級(jí)的數(shù)據(jù)按照檢查的時(shí)間先后進(jìn)行分類。檢查類型級(jí)數(shù)據(jù)歸檔對(duì)每個(gè)時(shí)間級(jí)的數(shù)據(jù)按照檢查類型進(jìn)行分類，如CT、核磁、放射、超聲等。存儲(chǔ)介質(zhì)選擇應(yīng)選擇適當(dāng)?shù)拇鎯?chǔ)介質(zhì)存儲(chǔ)歸檔的脫敏數(shù)據(jù)。常見的存儲(chǔ)介質(zhì)包括硬盤、光盤、云存儲(chǔ)等，根據(jù)需求和資源可用性進(jìn)行選擇。存儲(chǔ)管理和維護(hù)應(yīng)建立數(shù)據(jù)管理和維護(hù)機(jī)制，包括定期檢查存儲(chǔ)設(shè)備的健康狀態(tài)、數(shù)據(jù)完整性驗(yàn)證、存儲(chǔ)空間管理等，確保數(shù)據(jù)長(zhǎng)期可用性和完整性。數(shù)據(jù)驗(yàn)證數(shù)據(jù)完整性驗(yàn)證應(yīng)確保脫敏后的數(shù)據(jù)文件完整無損?？刹捎脟?guó)內(nèi)外主流數(shù)據(jù)校驗(yàn)算法對(duì)原始數(shù)據(jù)和脫敏后的數(shù)據(jù)進(jìn)行比對(duì)，檢查是否存在數(shù)據(jù)損壞或缺失。數(shù)據(jù)格式驗(yàn)證驗(yàn)證脫敏后的數(shù)據(jù)是否符合DICOM格式的規(guī)范要求。可使用DICOM工具或解析器來讀取和解析脫敏后的數(shù)據(jù)文件，確保其結(jié)構(gòu)和數(shù)據(jù)信息正確。數(shù)據(jù)內(nèi)容驗(yàn)證驗(yàn)證脫敏后的數(shù)據(jù)是否仍然保留了圖像數(shù)據(jù)和已保留關(guān)鍵元數(shù)據(jù)。利用Hash校驗(yàn)來確保DICOM文件的數(shù)據(jù)內(nèi)容在脫敏過程中未被非預(yù)期修改，保證數(shù)據(jù)的一致性。在脫敏前，對(duì)原始DICOM文件的圖像數(shù)據(jù)和關(guān)鍵元數(shù)據(jù)生成Hash值。在脫敏處理后，同樣對(duì)DICOM文件的圖像數(shù)據(jù)和已保留的關(guān)鍵元數(shù)據(jù)生成新的Hash值。對(duì)比脫敏前后的Hash值，檢查二者是否一致。Hash值一致表示數(shù)據(jù)未被非預(yù)期修改，不一致則需檢查脫敏過程中可能的數(shù)據(jù)損失或錯(cuò)誤。數(shù)據(jù)隱私保護(hù)驗(yàn)證驗(yàn)證脫敏后的數(shù)據(jù)是否已經(jīng)有效地保護(hù)了患者的隱私信息?？蓹z查脫敏后的數(shù)據(jù)文件中是否還存在明文的身份識(shí)別信息，以及是否存在可能導(dǎo)致個(gè)人信息泄露的其他敏感信息。數(shù)據(jù)訪問控制驗(yàn)證驗(yàn)證脫敏后的數(shù)據(jù)是否已經(jīng)設(shè)置了適當(dāng)?shù)脑L問控制措施，以防止未經(jīng)授權(quán)的訪問?？梢阅M不同的用戶角色或權(quán)限，嘗試訪問脫敏后的數(shù)據(jù)，驗(yàn)證訪問控制機(jī)制的有效性。

參考文獻(xiàn)[1]李連煥.基于DICOM3.0標(biāo)準(zhǔn)的PACS教學(xué)系統(tǒng)的建設(shè)與應(yīng)用[J].科技傳播,2015,7(10):77+89.DOI:10.16607/ki.1674-6708.2015.10.048.[2]師為禮,宋野,顏雁.基于DICOM3.0標(biāo)準(zhǔn)的醫(yī)學(xué)圖像傳輸?shù)难芯颗c實(shí)現(xiàn)[J].長(zhǎng)春理工大學(xué)學(xué)報(bào)(自然科學(xué)版),2008(01):121-123.[3]姜璐,朱斌,舒華忠等.基于DICOM3.0標(biāo)準(zhǔn)的細(xì)胞病理圖像文件格式及傳輸設(shè)計(jì)[J].中國(guó)生物醫(yī)學(xué)工程學(xué)報(bào),2004(06):490-497.[4]歐曉光.醫(yī)學(xué)數(shù)字影像和通信標(biāo)準(zhǔn)DICOM3