说到隐私计算在医疗上的应用,由于医疗建模的需求,大多数学者倾向于使用联邦学习搭建顶层架构,再嵌入密码技术进行安全性的保障。今天,我们主要基于以下两篇论文,对于同态加密技术在国际医疗领域的隐私保护应用进行探讨。首先,国际医疗场景下,使用同态加密技术的核心原因是对云计算和云存储的需求提升。为了加强医疗资源的可用性和可访问性,以及科研项目的联合研究,部分医疗数据会上传至云端进行外包计算与应用。这样的流程可以极大减轻医院本地的计算量,并且基于多方的联合计算得出更优质的数据模型也可以使用户收益。在医疗行业,患者的医疗健康记录由医院或地方的医疗保健所保存,根据需求场景在数据中心进行相应的计算处理。而在数据进行计算之前,传统的加密技术会以原始形式对数据进行解密。因此,在对医疗记录获取、存储和计算这三个步骤中,前两步较为容易实现安全防护,但第三个条件,即计算,如何对其进行全面的隐私保护呢?除此之外,当患者需要在另一家医疗机构就医时,如何在免去重复检查的同时,又确保自己以往的病情变化、检查情况、治疗过程等不被事无巨细地共享出来呢?这种场景下,患者需要有一种使用简单、可靠、高效和安全的机制,使相关的医疗附属机构可以在访问自己医疗信息时,仅对于特定的医疗历史进行查询,或是基于密文记录数据进行疾病预测。同时,该机制可以提供患者快速授权给多个医疗附属机构,以访问其全部或部分敏感信息的功能。▲ 同态加密的普遍医疗应用场景
首先,我们从行业需求来看。
医疗服务信息会从不同来源收集并存储在一些医疗机构的私有云上,例如,数字医疗设施、治疗历史、穿戴式设备等等。而由于近几年,物联网设备的普及,聚合的医疗信息量变得十分庞大,因此,对于云医疗服务的持续可用性的需求在近年来急速提升。
而出于对安全和隐私保护问题的担忧,大多数拥有敏感患者信息的医疗服务供应商不愿共享这些数据。随着医疗服务供应商从私有云慢慢转移到本地和基于公有云的管理部门,对不同医疗云之间数据的安全共享的要求越来越高。
那么,对于医疗数据的隐私保护,大家通常都会有哪些疑问呢?Kundan等人在论文中做出了以下回答:
1. 采用哪种技术手段?2. 原有医疗系统的效率和准确性是否会有影响?3. 隐私化的医疗数据是否可以用于疾病预测、数据查询
4. 如何对隐私化数据处理后的正确性进行验证?
在部分国家的医疗行业中,主要的数据资源是患者健康记录,也称为电子健康记录 (EHR)。作为电子化的个人健康记录,EHR是由医院或医疗保健服务的提供者所存储的患者病史的数字记录,其中涉及到临床数据、人口统计数据、病史和医疗报告等等。为了提高护理质量和有效性,并降低患者重复医疗的成本,EHR可以有效减少医疗保健服务提供者之间的沟通成本,实现更好的治疗质量。然而, EHR中的大量敏感数据不仅可供医生访问,有时候还会提供给保险公司和工作人员等多个不同来源访问,因此高效且安全地管理EHR至关重要。共享 EHR 涉及了复杂且具有挑战性的敏感数据管理,其中包括患者的病史信息、心电图、X 射线和 CT 等记录。此时,一个符合法律和监管机构条款的安全模型就显得相当重要,该模型需要确保数据处理者的访问仅限于:获取到患者授权的,并且有正当需求原因的数据部分。本系列中,我们对同态加密技术如何安全识别 LQTS、癌症、平均心率、心血管等问题陆续进行相关研究的解读。在LQTS(我们也称为长QT综合征)研究中,一般通过QT和RR数值计算得出校正QT间期,即QTc间期并判断其是否存在延长,从而得到LQTS的诊断。下图我们给出了一个有规律的心电图波形,也称为P-QRS-T波。在P-QRS-T波中,心电活动始于窦房结,并从此发出冲动,循此特殊传导系统的通道下传,先后兴奋心房和心室,使心脏收缩,执行泵血功能。这种先后有序的电兴奋的传播,将引起一系列的电位改变,形成心电图上相应的波形。
其中,P波对应心房收缩,QRS波对应心室收缩,T波对应心室舒张。而QT间隔则是一次心脏收缩到舒张所需的时间长度;RR间隔指两个相邻QRS波之间的距离,即两次心跳的间距,主要用于帮助医生判断患者是否存在早搏或心率不齐的状况。可穿戴式设备将电极连接到身体,可以通过人体皮肤表面贴上的电极,侦测到心脏的电位传动。由起搏点、心房、心室相继收缩舒张,产生上图中的心肌细胞动作电位变化,并将捕捉到的生物电信号经过数字化处理,转化为准确、详细的心脏健康信息。大多数的智能穿戴设备所配备的传感器会通过测量心肌收缩的电信号来判断使用者的心率情况。▲ 图片来源:药监局官网
据国家药品监督管理局网站显示,2021年6月底医疗器械批准证明文件(进口)待领取信息,其中第一项是苹果公司(AAPL.US)的移动心电图房颤提示软件,也就意味着苹果可以在国行 Apple Watch 中推出相应的 ECG 功能,相对应的iPhone 上的“健康”App 会通过Apple Watch的数码表冠记录心跳,监测佩戴者是否出现房颤,心律不齐等症状。
而在国内市场,华为、OPPO也同样拥有获得国家药品监督管理局二类医疗器械注册认证的ECG版智能穿戴设备。
为了去更好地拓宽医疗大数据维度、避免因不完整性而造成的医疗数据冗余,在个性化诊疗方面,医疗大数据技术往往会与移动互联网技术相结合,通过“健康“App等应用程序和配套的可穿戴移动设备,帮助医生实时获取患者的各项体征数据和指标,以此达到及时就医诊疗的目的,尤其是针对偶发或者隐匿性心律失常,这些难以在患者终端进行监测。另外,在慢病管理方面,患者也需要对各项指标长时间且专业地监测,从而达到辅助治疗的效果。
因此,为了保障患者的隐私性,在设备智能化的同时,人类需要一把在能够高效控制这些智能设备的钥匙,在隐私安全的前提下,帮助患者与医疗机构、监护人形成救助联系的闭环。
以LQTS为例,当患者通过可穿戴式心电设备进行心电图数据捕捉后,在本地经过同态加密后可以将密文数据从患者端上传到云端。此时云端将收到两个心电图相关的数值,加密状态下的QT和RR。基于两个数值可以经过同态运算得出密文下的校正QT间期值,即反映心脏去极化和复极作用的指标QTc。而医生端经过解密后得出所需指标,来确认患者是否存在心电异常,实现对门诊病人进行远程 QTc 监测的全密态医疗远程监控。请注意,在某些用例(例如私有云、公司环境)中,用户与其附近的边缘数据中心之间存在信任关系。在这种情况下,患者可以通过部署智能设备例如手机或其他能够连接互联网的设备,控制服务提供商或其他远程实体接收的个人医疗数据的质量和粒度。同时,边缘基础设施中进行加密,确保其上层处理和存储的所有信息流没有泄露风险。
▲ 参考文献:Page A, Kocabas O, Ames S, et al. Cloud-based secure health monitoring: Optimizing fully-homomorphic encryption for streaming algorithms[C]//2014 IEEE Globecom Workshops (GC Wkshps). IEEE, 2014: 48-52.
同时,由于同态加密后的数据数量级较大,在上层会同时将原始医疗数据使用 AES 加密发送给医疗机构,实现同态加密的密文结果可定期删除,而 AES 加密的数据将作为医疗数据永久存储。
对于密文计算而言,由于计算成本随着计算深度的增加而呈指数增长,因此新提出的算法会在该场景下比某同态加密库(HElib)提速20倍。
不过在该场景中,Alex等人并没有考虑数据传输与共享时的成本,实验设定的假设前提是并行机器可以即时访问加密数据或运算结果。因此,在实际应用中,还需要考虑到传输带来的时间与存储成本。
文中未体现的另一项是其网络带宽量。虽然该算法在患者端进行的通信量没有增减,但对于医生端,下载的通信量会比原先的加密方式增大。在上述场景中,下载动作只会在每天(或几个小时内)进行一次,所以论文中并未将其作为重要问题处理。
作为人体生命体征的基础信号,心电数据中包含大量生理信息,并且由于电信号的采集和记录相对便利,可穿戴心电图设备成为了收集大范围人群生命体征的传感器之一。进一步来看,将监测的心电数据和采集的生活场景标签融合,可能形成具有一定商业价值的基于生理信号的行为数据。但是,针对智能可穿戴健康设备,尚无单独监管文件可循,亦无国家与行业层面技术标准。虽然,HIPAA和HITECH强制实施的安全指南对医疗信息技术框架进行了繁琐的承诺保护和安全指南,但是可穿戴设备标准规范体系中,仅有通用和少量团体标准可作为监管依据,有关用户生命体征隐私数据的网络安全和数据交互技术标准亟待提出。总结
小型、低功耗传感器和嵌入式微处理器的出现,为医疗远程监控扫清了许多障碍。但是,严重的隐私问题仍然存在,而传统技术无法解决。从理论上讲,同态加密是一个解决方案,科研人员正不断提升同态加密在应用中的计算效率和可扩展性。
然而,比起研究领域,医疗的实际落地场景会更加复杂,对于医疗的数据共享与保护任重道远,需要有多方的共同努力,扎实推进健康医疗大数据在安全共享的前提下进行应用发展。