ISO 25237:2017 健康信息假名化——原理与实施指南

ISO 25237:2017 定义了健康数据假名化的原则、方法和程序。随着医疗行业越来越依赖数字记录，保护患者隐私同时保持数据可用性已成为关键挑战。假名化技术用人工标识符（假名）替换身份属性，使得临床研究、流行病学和公共卫生监测等二次用途的数据处理成为可能，而无需直接暴露患者身份。

假名化不同于匿名化——假名化数据通过秘密映射仍可与原始身份关联，是一种可逆的去标识化技术，适用于受控研究环境。

核心概念与术语体系

该标准建立了医疗场景下假名化的完整框架。假名是替代直接标识符（如姓名或身份证号）的标识符，可跨多个数据记录使用。过程涉及假名化函数（密码学或算法变换）和假名化服务（管理映射表、访问控制和策略执行）。

关键实体包括数据主体（患者）、数据控制者（医疗机构或研究者）和假名化授权机构（受信任第三方或内部服务）。标准区分了内部假名化（同一组织内管理）和外部假名化（涉及独立可信实体），两者具有不同的安全性和信任要求。

即使经过假名化，重识别风险仍然存在——必须结合数据最小化、访问日志记录和定期风险评估等额外控制措施，以满足 GDPR 和 HIPAA 等隐私法规的合规要求。

ISO 25237 描述了适用于不同场景的多种假名化技术。带盐值的密码学哈希适用于单向假名化，使用 SHA-256 和密钥盐值对原始标识符进行哈希处理。基于加密的假名化使用对称加密（如 AES-256）创建可逆假名，在必要时允许授权的重识别操作，例如患者安全事件或监管审计。

标准强调了假名化服务的安全要求，包括物理隔离、映射表加密、基于角色的访问控制和全面审计日志记录。对于跨域数据共享，标准推荐使用域特定假名——同一患者在不同研究数据库中使用不同的假名——以防止交叉关联攻击。

实施建议：将假名化部署为专用微服务，具有完善的 API 接口。这可以隔离映射逻辑、简化审计合规性，并允许独立的安全验证而不影响临床应用。

临床研究网络使用假名化技术汇集多家医院的数据，同时保护患者隐私。参与两项医院三项研究的患者在每个域内获得一致的假名，实现纵向随访而不暴露身份。药物警戒系统对不良事件报告应用假名化，在保持患者机密性的同时实现信号检测。

标准提供了使用 k-匿名性（每条记录与至少 k-1 条其他记录不可区分）和群体唯一性等指标评估重识别风险的指南。它还涉及基因数据、影像数据和自由文本临床笔记等特殊挑战，这些数据可能包含需要专门去标识化管线的嵌入式标识符。

切勿仅依赖假名化处理基因数据——基因信息本质上是可识别的。对于基因组数据集，必须将假名化与访问控制、数据使用协议和伦理审查委员会监督相结合。

问：假名化是否足以满足 GDPR 合规要求？
答：GDPR（第 4 条、序言第 26 条）明确鼓励假名化作为隐私增强技术，但它不能免除组织的其他合规义务。假名化数据在 GDPR 下仍被视为个人数据，因为重识别是可能的。完全匿名化（不可逆）才使数据脱离 GDPR 范围。

问：同一假名化系统能否服务多个研究项目？
答：可以，但需要谨慎治理。ISO 25237 建议使用域特定假名，并为独立项目维护单独的映射表，以限制单个泄露事件的影响范围。

问：推荐的假名长度是多少？
答：标准未规定具体长度，但实际实施通常使用至少 128 位（例如 32 个十六进制字符）以确保抗碰撞性并防止暴力猜测假名。

问：假名化应如何测试和验证？
答：测试应包括重识别攻击模拟、假名分布均匀性的统计分析、负载下的性能基准测试，以及对假名化服务 API 和存储的渗透测试。