保护艾滋病信息保密性和安全性的指南:一次研讨会的进展2006年5月15—17日,瑞士,日内瓦过度时期指南2007年5月15日摘要2006年5月15日—17日,在瑞士日内瓦召开了一个为期三天的研讨会,与会者包括各个领域的健康专家和社群成员,以及艾滋病感染者。研讨会的目的是起草保护艾滋病信息的保密性和安全性的指南草案,以及制定在不同国家检验指南的计划。会议既有全体会议,也有小组或者大组讨论。会议的主要结论、建议和下一步的计划如下。E.1对于保护数据,制定和实施保护敏感数据的措施受到三个相互关联的概念的影响。隐私既是一个法律的概念,也是一个伦理的概念。法律的概念指的是对一个人获得和使用个人信息的权利的法律保护,以便给保密性和安全性的实施提供总体框架。保密性指的是个人在存储、传输和使用时保护他们的数据的权利,以便防止在未授权的情况下信息被泄露给第三方。安全性是指通过一系列的技术手段解决物理的、电子的及程序的方面的问题来保护不断扩大的艾滋病服务中收集的各种信息。E.2公共卫生的目的是通过健康数据的收集、分析和发布来确保社群的健康,这就必须要谨慎考虑个人隐私权和保密性。指南必须考虑到相关文化因素,这些因素会影响政策,但是伦理原则应该指导有关如何且当使用和发布数据的决策。总的来说,指导原则应该基于人权原则。(第5.1部分)E.3定义健康信息的保密性和安全性原则的目的在于确保健康数据的获取和使用是为了促进全民健康,减少伤害而服务。为了实现这个目的,就需要在使得受益昀大化和防止伤害之间取得平衡,因为受益会来源于数据的妥善和充分的使用,而伤害会来源于有意或者无意的不恰当的泄露可辨认个人身份的数据。恰当的政策、程序和技术手段必须在保护个人权利和保护公众权利取得平衡。E.4因为破坏保密性而导致的受伤害的风险程度取决于一个国家或者一个地方的偏见的程度,缺乏综合公共卫生安全网的程度,法律传统对于隐私的尊重程度,宗教因素和其他当地情况。E.5各国都应该有隐私和保密法律,如果没有的话,应该制定,而且隐私和保密法律的相关内容应该被所有管理数据的人的审查和知晓。E.6国家以及卫生保健系统的各个级别的组织应该制定有关如何收集、存储、传输和发布数据的安全性程序的书面政策。这样的政策需要在所有相关级别中被执行,员工必须必须懂得政策,并且签订同意他们将在工作中执行这些政策的同意书。还需要对新员工进行培训,已经让所有员工了解相关程序的变更。E.7国家卫生保健系统中各个级别的组织以及国际组织必须指定一名保密和安全官员,该官员昀终负责组织内部的所有艾滋病信息的保密性和安全性的事务。E.8保密性和安全性法律和程序的制定和审查应该有所有利益相关方的积极参与,包括艾滋病感染者,受到艾滋病影响的社群的成员,卫生保健专家,信息技术专家以及法律伦理专家。E.9资助组织应该遵循这些标准,并且有义务给予充足的资金执行这些政策,确保数据的收集和使用得到保护。资助组织还必须把维护这些标准作为资助执行伙伴或者执行机构的一个条件。E.10需要保护的不同类型的艾滋病信息——可辨认个人身份的,去除可以辨认个人身份的信息的,匿名的,累计数据,非个人数据。如何保护每种不同类型的信息的程序都必须要说明。E.11需要遵循一些组织程序以确保可辨认个人身份的数据和其他信息被安全地收集、传输、存储、使用、发放和处理(第6.2-6.7部分)。制定的政策和程序必须同时考虑纸质数据和电子系统。E.12对于电子信息系统的昀大威胁往往不是来自于外部攻击,而是来自于在系统设计和执行中出现的内部问题。这些威胁归结为两类:因为系统错误,以及因为使用者错误而导致的数据无法使用。E.13完成这个指南的下一步计划包括:E.13.1完成抽样威胁分析E.13.2制定机构政策和程序范例E.13.3制定和实验自我评估计划E.13.4在联合国艾滋病规划署和美国总统AIDS救助紧急计划(PEPFAR)重点国家和PEPFAR执行伙伴中设计和开展调查,以确定这个指南的效用和适用性。E.13.5从联合国规划署和美国总统AIDS救助紧急计划(PEPFAR)重点国家和PEPFAR执行伙伴那里得到反馈,将反馈意见加入昀终的指南。E.13.6通过在各国的实地试点使得指南生效。E.13.7将指南翻译成不同语言。E.13.8制定能力建设策略来支持各国保密性和安全性活动的执行。1.0目的研讨会的目的是对于确保艾滋病相关信息保密性和安全性的一系列指南草案达成共识,这些信息被收集用于病人管理和监督,项目和艾滋病服务监督和评估,作为扩大在中低收入国家扩大艾滋病服务的一部分。研讨会还讨论了在这些国家可能的实施这些指南的方法。2.0背景作为扩大在中低收入国家扩大艾滋病服务的一部分,收集各种信息,以促进病人管理和监督以及用于各种项目或服务的监督和评估已经日益受到重视。这样的数据可以持续地在不同地点跟踪个人,能够为临床管理提供纵向病人级别的信息。病人级别的信息对于监督和评估项目或者服务至关重要。这就需要建立信息系统,不论是书面存档还是电子存档,不但要确保病人保密性,并且要相对容易地获取在个体级别和集体级别的信息。实施体系必须解决系统实用性问题。比如,程序必须明确每天,每周或者每月昀低的运作时间。他们还应该明确和管理数据系统可预见的风险,比如电子中断,人员缺乏或者自然灾害。当病人级别数据被用于项目监督和评估时,指南需要解决哪类数据可以被使用,以什么形式被使用;这些数据在社会各个级别如何存储、使用和发布。在这次研讨会,5中不同级别的数据受到特别关注。第一个级别是由非政府组织和社群小组提供的预防和治疗服务。第二个级别是在公共部门和私营部门收集的艾滋病相关信息的健康和其他机关。第三个级别是收集、存储和分析信息的国家级或次级(地区、地域、省级或州级)管理机构。第四个级别是特别指数据存储库,来自各种社会部门的信息可以得到存储和分析。第五个级别是传输给国际机构(双边或多边,资助者,基金会,研究机构)的信息。在开发保护数据的方法的时候,既需要考虑避免各种环境威胁对于数据的物理保护,也需要考虑避免对于敏感信息的有意的或者无意地不当使用的保护。影响对于敏感数据的保护措施的制定和实施的主要有三个相关概念,就是隐私,保密和安全。虽然相关,但是每个概念不同,所以需要制定和实施不同的措施。隐私既是一个法律的概念,也是一个伦理的概念。法律的概念指的是对一个人获得和使用个人信息的权利的法律保护,以便给保密性和安全性的实施提供总体框架。隐私保护的权限取决于不同的法律法规。隐私保护给保密性和安全性的实施提供了总体框架。保密性指的是个人在存储、传输和使用时保护他们的数据的权利,以便防止在未获准的情况下信息被泄露给第三方。这一点会对在病人级别信息被用于项目监督和评估之前是否要求病人知情同意有影响,或者是否假设任何使用公共服务的人同意他们的信息可以被用于监督和评估这些项目,以便促进这些项目为全民的服务。如果是后一种情况的话,需要决定在何种情况下,可以收集、存储和使用有名字的,匿名的,去除个人信息的数据。因此,保密性政策和程序的制定应该讨论如何适当地使用和发布健康信息,应该系统考虑隐私法律和规定所定义的伦理和法律问题。安全性是指通过一系列的技术手段解决物理的、电子的及程序的方面的问题来保护不断扩大的艾滋病服务中收集的各种信息。虽然在不同级别的卫生保健提供中在确保保密性和安全性时有一些共同的要求,但是不同级别也会有一些特定的安全性要求。在每个级别,对于安全性的讨论应该包括确认对于系统和数据的潜在威胁,各种对于安全性的威胁造成伤害的可能性,制定策略以管理每种威胁,成本和风险平衡分析以在消除安全性风险造成的伤害和管理风险所需的资源之间达到平衡。安全性必须既解决保护数据免于有意的或者无意地被不恰当地泄露,以及因为系统失误和使用者错误使得数据不能被使用。2.1物理安全被用于临床管理而收集的暂时的和纵向的书面或者电子格式的生物医学信息,需要保证物理安全,比如数据应该存储在锁着的文件柜,锁着的屋子以及有安全系统的大楼里面。书面数据信息的传输应该用有锁的文件箱,通过传真发送(有一些另外的程序保护)或者使用组织内部(内部邮件)或者组织间(外部邮件)的邮件服务。散步在各地的电子数据系统也需要物理保护,比如广域网(WAN)需要通过购买的或者公共的域名保密和设置密码服务来获得保护。2.2电子安全性2.2.1静止数据:决定于数据在哪里存储,例如在健康设施级别,数据可能是有名字的或者是减弱可辨认身份的格式。后者可以是从完全匿名(即所有可辨认个人身份或者其他可辨认身份的信息都被去除,通过数据不再可能追溯到信息昀初的来源)到去除部分信息的匿名(即去除了可辨认身份的信息,但是根据一个密码可以追溯到昀初的来源。这个密码也许在数据存储的地方,或者在数据产生的地方,甚至是在一个可移动设备上,比如病人携带的智能卡。访问个人电脑、笔记本电脑或者服务器都需要有密码、密钥卡(Keyfob是产生一次性密码的便携式信息终端),智能卡或者其他读取存储信息的安全措施来保障安全。数据会被存储为某种编码格式,并且包含读取限制,比如密码或者用户身份认证。存储在有很多计算机或者广泛网络连接的本地局域网和广域网上的数据需要使用安全技术,比如防火墙和路由器,对于访问数据进行限制。要根据数据的不同使用目的来确定其不同的可访问性,这就是所谓的“基于角色”的访问。2.2.2数据传输:对于电子数据,包括使用磁盘、CD-ROM、记忆棒、智能卡、PDA、电话交谈、编码电子邮件、加密的FTP,加密的网络服务。这些情况下的安全手段包括编码以及运用Public-PrivateKeyPair,虚拟专用网络(VPN)以及其他手段。2.3程序的安全作为安全性要求的一部分,一个书面的安全性程序需要被制定,来确定收集、存储、传输和发布数据的方式。这些政策需要让接触数据的各个级别的人都了解。政策需要在相关级别得到执行,并且工作人员需要签署他们已经了解了这些政策,并且会在他们的工作中执行这些政策。这需要给新员工提供相关的培训,以及让所有的员工都了解相关程序的更新。数据发布政策应该对不同用途的数据发布做出规定,从向健康专家、亲属和朋友发布临床信息,到为了项目监督和评估,或者为了报告或研究发布医学记录或电子数据中的信息。2.4法律和伦理方面的因素数据安全和发布政策在决定如何恰当第使用和发布信息的时候还必须考虑法律和伦理问题。这就必须回顾现有的隐私或保密法律中的相关规定,并且让所有管理数据的各级别都了解这些规定。这样的规定包括授权公共卫生权力的法律规定;对可辨认个人信息的数据的获取、使用、存储和发布做出规定的隐私法律;关于以人为研究对象的研究的法律等。虽然高收入国家的模式可以为加强法律保护提供有用的框架,指南的制定必须考虑在中低收入地区的不同情况或者没有法律适用。公共卫生通过收集和发布健康数据确保社群健康的目的必须谨慎与保护个人隐私权相权衡。指南必须考虑到可能影响这些政策实施的相关文化因素。伦理原则应该指导有关数据恰当被使用和发布的决定。虽然对于可接受的恰当的数据使用会有不同的观点,但是在相关伦理原则的范围内考虑问题会有助于讨论。2.5已经发布的指南许多国家已经发布的关于保密性和安全性的材料,比如法律和规定。研讨会与会者参考了一些背景材料,比如美国CDC的《艾滋病监测项目的技术指南》(TechnicalGuidanceofHIV/AIDSSurveillancePrograms)和美国国立标准技术研究所的有关保护信息的800系列;国际标准组织(InternationalStandardOrganization);在卫生保健领域的非政府组织,比如北美中央癌症注册协会(NorthAmericanAssociationofCentralCancerRegistries);同类杂志文章;信息技术提供商的文件,学术出版物,以及独立安全专家的出版物等。已经发布的指南从法律、伦理、程序、电子、物理和数据发布等各方面对于保密性和安全性做出了阐释,也谈到了很多话题,比如防火墙设置,如何设置密码,怎样保护可移动电子设备,比如笔记本电