CSA GCR：保護云中醫療健康數據隱私（2022）（23頁）.pdf

1、 2022 云安全聯盟大中華區版權所有1保護云中醫療健康數據隱私保護云中醫療健康數據隱私 2022 云安全聯盟大中華區版權所有3序序言言數字經濟時代， 醫療健康數據的開發利用有利于廣大民眾的健康生活， 但同時作為一類特殊的隱私數據，患者、醫生包括醫療機構等全產業鏈的數據安全面臨著巨大的泄漏風險。隨著云計算技術在醫療行業的廣泛普及， 網絡和平臺安全受到云服務商的有效保護， 但是數據的交換與傳輸不僅需要云服務商技術層面的保護，還需要企業從數據治理，合規層面做出相應的安全管控。如何保證云端的醫療健康數據尤其是敏感的隱私數據的安全， 需要數據控制者和數據處理者從數據的全生命周期考慮安全， 數據安全是數

2、據治理的重要組成部分， 在企業數字化轉型中需要重點考慮。本白皮書結合業內最佳實踐從隱私工程、風險評估、隱私監管幾個方面闡述了云端醫療健康數據的保護策略，對企業和從業者有非常好的借鑒作用，可作為云安全治理，隱私安全評估工作的參考。李雨航 Yale LiCSA 大中華區主席兼研究院院長 2022 云安全聯盟大中華區版權所有4致致謝謝保護云中醫療健康數據隱私(Protecting the Privacy of Healthcare Data in the Cloud)一文由CSA 健康信息管理工作組專家編寫，CSA 大中華區秘書處組織翻譯并審校。中中文文版版翻翻譯譯專專家家組組（排名不分先后）：中文

3、版翻譯專家組（排名不分先后）：組長：童磊翻譯組：黃瑞侯漢書李嬌嬌羅春羅曉蘭馬嘉魏東薛琨周星宇審校組：史宇航王巖趙晨明張亮姚凱郭鵬程感謝以下單位對本文檔的支持與貢獻：北京奇虎科技有限公司北京威聯科技有限公司北京北森云計算股份有限公司北京谷安天下科技有限公司浙江大華技術股份有限公司杭州世平信息科技有限公司杭州虎符網絡有限公司啟明星辰信息技術集團股份有限公司上海物盾信息科技有限公司興業數字金融服務（上海）股份有限公司英英文文版版本本編編寫寫專專家家主要作者: Dr. James Angle合作者: Michael RozaCSA 全球工作人員: Vince CampitelliAlex Kaluza

4、Claire Lehnert (Design)AnnMarie Ulskey (Cover)在此感謝以上專家。如譯文有不妥當之處，敬請讀者聯系CSA GCR秘書處給與雅正!聯系郵箱：researchc-；云安全聯盟CSA公眾號。 2022 云安全聯盟大中華區版權所有5目目錄錄序言.3致謝.4摘要.6介紹.61 隱私工程.72 風險評估.93 隱私法規.113.1 創建.123.2 存儲.133.3 使用.133.4 共享.143.5 存檔.153.6 銷毀.154 討論.165 結論.17參考.18附錄 A- 隱私影響評估樣本格式.19附錄 B 數據保護影響評估(DPIA)模板示例.21 20

5、22 云安全聯盟大中華區版權所有6摘摘要要隱私安全取決于合法訪問、使用和更改信息的決策。隱私安全搭建了一個框架，用于決定合法獲得訪問和更改信息權力的主體（Bamauer,2013）?？萍纪苿恿饲八从械膭撔?、經濟發展以及社會服務的改善。特別是在醫療領域，科技賦予的價值與個人健康信息的收集息息相關。理想情況下，科技在最大化個人利益的同時保護個人隱私安全?？紤]到醫療數據遷移上云的趨勢，且由于云上存儲的大量受保護的健康數據，加劇了對于隱私安全的擔憂。介介紹紹盡管已經有很多關于云安全和云隱私安全的文章和論文， 但以云隱私為主題的文章卻少之又少。我們從如何看待和保護這兩個角度將隱私安全和安全區分開來，并

6、賦予全新的意義。安全與隱私安全理應視為具有差異但又緊密相關的話題。傳統意義上以機密性、完整性和可用性（縮寫為CIA）為基本原則的數據安全廣為人知，而本文所指的隱私安全則是在預定義和批準的前提下（如同意），充分處理和利用個人信息的一種數據保護形式。隱私安全可以通過不同方法和工具實現，通常是依據法律、地方政策或個人（如患者）對醫療信息使用的意愿。隱私安全討論包含合法訪問、使用以及更改信息等很多具有爭議的決策（Bamauer,2013）。在醫療領域，由于出現了針對于云信息系統的高級持久性威脅和針對性攻擊，侵犯患者隱私問題的關注度日益增加.將隱私安全從安全中獨立分離具有重要的實際意義。 隱私安全搭建了

7、一個框架， 用于決定合法獲得訪問和更改信息權力的主體。 在醫療領域， 由于出現了針對于信息系統的高級持久性威脅和針對性攻擊，侵犯患者隱私問題的關注度日益增加。在新冠狀病毒（COVID-19）和民權辦公室（OCR）規則變革的推動下，遠程醫療的采用量和大數據的使用量呈顯著增長（美國衛生與人力資源服務部，2020）。這種增長需要提高對隱私安全問題的意識?？萍纪苿恿饲八从械膭撔?、經濟發展以及社會服務的改善。特別是在醫療領域，科技賦予的價值與個人健康信息的收集息息相關。 理想情況下， 科技在最大化個人利益的同時保護個人隱私安全?？紤]到醫療數據遷移上云的趨勢，且由于云上存儲的大量PHI數據，加劇了對于隱

8、私安全的擔憂。目前，許多網絡安全控制框架適用于醫療領域，如美國國家標準技術研究所（NIST），國際 2022 云安全聯盟大中華區版權所有7標準化組織（ISO）以及健康信息信任聯盟（HITRUST）。雖然這些框架為隱私安全風險提供了緩解措施，但遠遠不夠，因為隱私安全風險并不全都是由網絡安全事件引起的（NIST,2020）。醫療健康服務組織 （HDO）需要了解隱私安全和安全之間的關聯，特別是兩者之間的差異。這種理解共識將使HDO能夠實施隱私安全風險管理計劃解決隱私安全顧慮。 HDO須同時關注受保護的隱私健康信息（PHI）和個人可識別信息（PII），并為這兩類數據提供緩解控制措施。本文中， 作者將解

9、決討論隱私安全工程和風險管理、 多種隱私安全法律法規以及整個云信息生命周期的合規問題。隱私安全工程師、隱私安全官以及信息安全專家都能從本文中獲益。1 隱隱私私工工程程什么是隱私工程？為什么有必要？其實安全專家早就知道， 建設時同步考慮安全比事后增補安全性價比更高1。安全工程專家作為開發團隊的一部分，可以在開發過程中確定安全需求并實施安全實踐。安全工程能夠指導開發人員了解系統設計的漏洞，并嘗試消除或緩解這些漏洞。隱私工程師為系統設計的隱私方面提供同樣的功能。隱私工程師確定隱私要求并采用隱私設計（PbD）構建隱私。將信息安全等同于隱私是大家最容易犯的常識性錯誤。 雖然安全肯定能夠在隱私方面發揮作用

10、，但有一個重要的區別：安全是保護和控制信息，而隱私則是認識到信息的支配權不再屬于醫療服務機構。 雖然醫療服務機構保留了對數據的物理控制， 但有關個人信息的決定則受法律或法規的約束。安全部門執行這些決策，但不做出決策（Cavoukian、Shapiro和Cronk，2014）。在過去十年中，醫療服務機構對隱私健康信息和個人識別信息的收集、使用和披露，以及隱私健康信息和個人可識別信息的價值和管理需求， 都有了顯著的增長。 醫療服務機構處理數據的信心取決于其對核心隱私的承諾和能力。 隱私工程和隱私設計旨在通過促進問責制和用戶信任來增強對隱私的保護（Cavoukian等人，2014年）。隱私工程中一種

11、有用的方法是LINDDUN方法。LINDDUN是一種隱私威脅建模方法，可幫助分析員識別隱私威脅。這是一種基于模型的方法，因為該方法需要將數據流圖（DFD）作為系統的代表性模型進行分析。1CSA, DevSecOps-Automation-SafeCode的六大支柱，圖1，第10頁 2022 云安全聯盟大中華區版權所有8信任邊界患者數據流處理過的數據流HTT瀏覽器數據存儲HTT患者數據輸出流系統處理系統處理輸入患者數據流圖1 數據流圖圖1中所示的數據流圖將作為分析的基礎，它的每個元素都會被仔細檢查，以防隱私威脅。該方法的原理主要是提供了與一組隱私威脅相關的最常見攻擊路徑。首字母縮略詞LINDDU

12、N代表：1)可鏈接性(Linkability)，指即使不知道可鏈接興趣項目主體的實際身份，也能充分區分兩個興趣項目是否有鏈接的能力?？涉溄有赃^程假設，在數據遷移到云存儲/處理環境（數據庫存儲）之前或遷移過程中，執行了所有相關隱私措施以合并患者私有和敏感數據。因此，可鏈接性提供了即使在屏蔽、匿名或加密時也能關聯數據的能力；2)可識別性(Identifiability)，在一組主體中充分識別主體的能力；3)不可抵賴性(Non-repudiation)，無法拒絕索賠；4)可檢測性(Detectability)，充分區分感興趣項目是否存在的能力；5)信息披露(Disclosure of informa

13、tion)，信息披露樹不是LINDDUN的一部分，而是微軟STRIDE的一部分。由于隱私依賴于安全，LINDDUN包括了微軟STRIDE的信息披露威脅；6)無意識(Unawareness)、缺乏了解共享信息的后果，用戶通常不知道共享數據的影響；7)不合規(Non-compliance)、不配合遵從法律、法規和公司政策。攻擊路徑表示為威脅樹，詳細說明了與主要威脅類別相關且特定于DFD元素類型的威脅的可能原因（Wuyts、Scandariato和Joosen，2014）。 2022 云安全聯盟大中華區版權所有9隱私專業人士需要了解隱私存在于個人和他人之間的邊界。 技術對這一邊界施加壓力 （NIST

14、，2017）。遠程醫療、醫療設備和大數據分析方面的技術進步使個人受益；然而，這項技術可能會對隱私產生不利影響。保護隱私需要多學科方法，包括法律、社會學、信息安全、倫理和經濟學（NIST，2017）。隱私工程是隱私專業的技術表述。隱私工程師確保隱私方面的考慮通過設計集成到產品中。隱私工程師現在作為產品團隊、設計團隊、IT團隊和安全團隊的一部分工作。隱私工程可能包括法律和安全合規性，并為數據所有者提供自由裁量權和同意權。隱私工程是第一步。 一旦發現威脅并想進一步減輕影響， 那么下一步就必須執行隱私風險評估。風險評估有助于確定醫療服務機構需要額外強調控制措施的地方。2 風風險險評評估估醫療服務機構在

15、制定隱私計劃時應采取的第一步是確保他們充分了解個人數據處理的不同階段，即如何創建、存儲、使用、共享、歸檔和銷毀數據。此外，根據醫療服務機構業務模型或醫療健康信息的特定處理，個人數據生命周期的某些階段甚至可能不存在于特定情況下（例如，不涉及存儲或歸檔個人數據的處理）。這意味著醫療服務機構必須執行隱私風險評估，了解數據生命周期每個階段的隱私風險。從安全分析員的角度看，“威脅”和“脆弱性”這兩個詞有非常具體的含義；然而，在隱私方面，這些術語并不能充分反映隱私問題。例如醫療記錄窺探問題。本案中的威脅是一名內幕人士正在查看他們不應該查看的記錄。例如，如果一個非常重要的人（VIP）來到醫療機構接受治療，則

16、不參與治療的員工可能會想知道為什么VIP會在那里。如果他們訪問VIP的醫療記錄，則不會違反安全規定，因為員工已批準訪問。雖然不是安全違規，但這是隱私違規，因為員工沒有了解該信息的有效需求。盡管未授權訪問被保護的醫療信息是信息安全的一個子集， 也是隱私的一個重要方面， 但對于如何識別和解決超出授權訪問被保護的醫療信息范圍這樣的個人隱私風險， 人們的理解還遠遠不夠。風險管理是一個過程，使醫療健康服務組織 (HDO)能夠實現其目標，同時最大限度地減少不利后果。雖然隱私風險的概念并不新鮮，但直到最近，美國聯邦政府還沒有關于如何評估這種風險的指導。隨著NIST隱私框架的發布，情況發生了變化。 2022

17、云安全聯盟大中華區版權所有10網網絡絡安安全全風風險險網網絡絡安安全全關關聯聯隱隱私私事事件件隱隱私私風風險險識別保護識別保護檢測治理檢測響應控制響應恢復溝通恢復使用功能管理網絡安全和隱私風險，NIST 2020完整過程見隱私框架附錄D（NIST，2020）。一旦醫療服務機構了解了其數據的收集、使用和共享，下一步就是進行隱私風險評估。隱私風險評估的目的是向醫療服務機構提供實施檢測和預防控制措施所需的信息，并促進知情決策。為了區分隱私威脅和安全威脅， 隱私風險評估引入了一些更適合系統隱私性質的新術語。 如上例所述，潛在情況或關注事件是個人作為授權處理被保護的醫療信息的副產品所經歷的問題。因此，隱

18、私風險模型的一個信息更豐富的因素不是在“威脅”一詞中添加更多的概念，而是識別系統在被保護的醫療信息上執行的操作，該操作可能會對個人造成不利影響或問題，簡言之，即有問題的數據操作?！坝袉栴}的數據操作是指對個人造成不利影響或問題的數據操作” (NIST,2017 p. 21)就向在安全風險評估中一樣， 醫療服務機構關注可能性和影響。 醫療服務機構可以使用隱私風險模型考慮系統和流程易受問題數據行為影響的程度， 以及問題數據行為的可能性及發生時的影響?？紤]到一個組織的有限資源， 隱私風險評估的一個重要功能是確定風險的優先級并確定適當的響應。與安全風險一樣，隱私風險可以管理，但無法消除。雖然隱私風險評估

19、是醫療服務機構隱私風險管理的總括，但還需要完成另外兩個流程：隱私影響評估（PIA）和數據保護影響評估（DPIA）。 2022 云安全聯盟大中華區版權所有11在隱私風險評估中，這兩個術語經?；Q使用；但是，它們有不同的功能。1）PIA旨在分析HDO如何收集、使用、共享和維護PII和PHI。PIA樣本見附錄A。2）DPIA用于識別和最小化處理PII和PHI時的風險。DPIA的樣本見附錄B。PIA和DPIA都是整體隱私風險管理框架（RMF）的一部分。當為新程序或流程獲取PHI和PII時，執行PIA。DPIA納入歐盟（EU）通用數據保護條例（GDPR），作為識別和降低隱私風險的持續流程。一旦醫療服務機

20、構完成了對有問題數據操作可能性的評估， 就可以評估影響。 這種影響發生在隱私和組織風險的交叉點（NIST，2020年）。醫療服務機構在組織風險管理這種級別上管理這些類型的影響。通過承認隱私風險是一種組織風險，領導層可以利用知情決策加強隱私計劃。3 隱隱私私法法規規隱私涉及關于合法訪問、 使用和更改信息的決定。 隱私框架規定了誰應該合法地擁有訪問和更改信息的資格（Bamauer，2013年）。在醫療健康領域，隨著信息系統面臨各種高級持續性威脅和針對性攻擊，侵犯患者隱私成為一個日益嚴重的問題。大多數國家都制定了管理健康數據處理的數據保護法。在國家法律(適用于一般個人數據)和行業法律(適用于特定領域

21、，如醫療健康領域)或特定法律(適用于特殊情況，如新冠疫情)中都可能會提出健康數據管理的相關要求。 每一部法律都有自己的要求， 這些要求可以是另一部法律的補充，也可以作為另一部法律的例外。 此外，由于國與國之間的數據保護制度存在差異，大多數國家都禁止將個人數據（包括健康數據）跨境傳輸到其他國家，除非滿足某些特定條件。本文提到了兩部法規要求， 健康保險攜帶與責任法案 (HIPAA) 和 通用數據保護條例 (GDPR) 。我們不僅要關注HIPAA和GDPR兩部法規，還應該了解管轄區域內數據收集、處理和存儲相關的所有法律，包括國家法律和地方法律。HIPAA 隱私規則的主要目標是，在允許為了提供和促進高

22、質量醫療健康服務而傳播健康數據的同時，妥善保護受保護的健康信息(PHI)。在披露 PHI 之前，必須獲得患者的書面授權。 若披露PHI數據并非為了治療、支付和醫療健康服務，HDO必須獲得患者的書面授權。所有授權都必須使用通俗易懂的語言，并包含詳細的待披露信息，包括PHI數據的接收者、數據的有效期、 2022 云安全聯盟大中華區版權所有12以及撤銷披露的權利。美國衛生與公眾服務部的相關規定如下：“HIPAA 隱私規則建立了美國保護個人醫療記錄和其他個人健康信息的國家標準，并適用于醫療計劃、醫療健康數據處理機構、以及某些電子醫療健康交易的醫療服務提供商。規則要求采取適當的安全措施保護個人健康信息的

23、隱私，并對未經患者授權而使用和披露個人健康信息設定了限制和條件。規則還賦予患者對其健康信息的權利，包括檢查和獲取其健康檔案副本，以及要求更正的權利?！保绹l生與公共服務部，2003 ）醫療健康信息激發了前所未有的創新， 推動了經濟價值和服務水平的提升。 在醫療健康領域，數據價值通常與個人信息的收集有關。 個人可能并不了解個人信息收集的后果和影響。 我們面臨的挑戰是，如何在保護個人隱私的同時，從健康信息中獲益。隱私保護提供有效的風險緩解措施時，必須允許個人的選擇（NIST，2020）。此外， 根據數據收集對象、 數據收集地點和數據存儲位置， 歐盟 通用數據保護條例(GDPR) 可能會適用。GD

24、PR 的主要目的是確保歐盟數據主體的個人數據受到保護，并賦予歐盟數據主體對其個人數據的權利。 無論企業位于何處，只要向歐盟數據主體提供服務并收集、處理或存儲歐盟數據主體數據，都必須遵循 GDPR條例。在歐盟存儲或處理的任何數據都受GDPR的約束，并在整個數據生命周期中都將被檢查，以確保遵循GDPR相關條款。3.1 創創建建“創建”是指生成、采集新數據或修改現有數據。 PHI/PII 指包含可用于識別特定個人或個人群體的“身份標識”的任何信息。對于PHI，它是健康信息也是身份標識。 在收集個人數據時， 被收集數據的個人有權知道收集數據的具體內容、 數據的用途、 以及這些數據是否會被共享，注注：近

25、代歷史上最重要的國際隱私案件之一是奧地利隱私倡導者馬克斯施雷姆斯向愛爾蘭數據保護委員會提出的針對 Facebook 的投訴。在訴狀中，施雷姆斯先生對Facebook 愛爾蘭分公司將他的數據（以及歐盟公民的數據）傳輸到美國提出質疑。該案件（“施雷姆斯第一案”）促使歐盟法院于 2015 年 10月 6 日宣布安全港協議無效，該協議管控歐盟和美國之間的數據傳輸。 安全港協議被隱私盾取代。 2020 年 7 月 16 日，歐盟法院作出裁決，宣布歐盟委員會(EU) 2016/1250號決定無效，該決定于 2016 年 7 月 12 日頒布，為歐盟-美國隱私盾提供保護效力”。受該決定的影響，當個人數據從歐

26、盟傳輸到美國時，歐盟-美國隱私盾框架不再是遵守歐盟數據保護要求的有效機制。截至目前，雙方依然沒有達成新的協議 。 2022 云安全聯盟大中華區版權所有13這一點非常重要。收集者必須獲得同意，即必須征得用戶的許可才能處理他們的數據。HDO 必須用通俗易懂的語言說明他們的數據收集行為， 且用戶必須明確地同意他們的做法。 此外， HDO必須明確誰可以收集 PHI/PII 數據， 并將數據映射到訪問權限， 確保具有訪問權限的人才能訪問。這也是根據敏感性和價值對數據進行分類的最佳時機。3.2 存存儲儲“存儲”指將數據提交到存儲倉庫。 在隱私保護方面，數據存儲意味著個人信息的存儲和管理。 “存儲”包括電子

27、存儲和硬拷貝存儲。醫療健康服務組織 （HDO） 負責確保數據存儲的機密性。在存儲數據時，醫療健康服務組織（HDO）必須確保實施基于數據分類的控制措施。數據存儲后，數據主體保留對其個人數據訪問、糾正錯誤和要求刪除的權利。 此外，必須明確說明數據存儲方式，包括是否有多種存儲策略？如何交叉引用數據？ 每類數據保留多長時間？3.3 使使用用“使用”指的是查看或處理數據（數據的修改屬于創建）。當個人數據被使用時，隱私條例賦予了個人特定的權利。 以下列舉了其中一些權利：個人有權知情數據收集和使用的方式，包括明確聲明數據使用目的和醫療健康數據的生命周期。個人有權詢問被收集數據的具體內容。如果數據有誤，個人有

28、權要求更正。個人有權要求從記錄中刪除他們的數據（個人可以提出要求，但醫療組織/醫生不需要批準該請求）。個人有限制數據處理權，例如拒絕將數據用于市場營銷活動。所有的HDO都需要制定隱私政策說明他們如何處理用戶的信息。 隱私政策必須：包括公司及其代表的詳細聯系方式說明公司收集數據的原因說明數據存檔期限說明用戶擁有的權利使用簡單易懂的語言指定個人數據的接收者（如果公司與其他組織共享數據） 2022 云安全聯盟大中華區版權所有14公眾/政府生產商個人供應商或服務提供商民間團體業務合作伙伴研究所/教育單位開發者商業產品/服務3.4 共共享享“共享”描述了他人（無論組織內部和組織外部）可以訪問數據的行為。

29、NIST 提到用數據處理生態系統描述不同組織之間如何共享數據。醫療健康服務組織 （HDO）必須確保部署數據防泄漏系來檢測未經授權的敏感數據共享或復制行為。數據處理生態系統包括多個實體和角色，這些實體和角色彼此之間可能具有復雜的、多向關系。在數據共享方面（包括云服務提供商CSP之間的數據交換），互聯互通問題可能會引發人們更多的擔憂。在其他地方聯合和復制本地醫療機構的安全策略可能會比較困難和麻煩。數據處理生態系統關系圖（NIST, 2020年）這樣做還可能需要改變或調整健康信息系統 (HIS) 中已實施的現有訪問控制模型， 以便患者數據的安全管理可以由患者(明確同意)和系統管理員共同操作（http

30、s：/ 實體在數據處理生態系統中的角色是隱私風險管理的一個關鍵因素，這會影響其法律義務。 在醫療健康生態系統中， 醫療健康服務組織（HDO) 和云服務提供商( CSP )之間需要簽署正式的協議/合同。 2022 云安全聯盟大中華區版權所有15數據處理生態系統中風險管理的功能和類別表明，組織的優先級、約束、風險承受能力和假設已建立并用于支持與管理數據處理生態系統內和第三方相關的隱私風險決策。 該組織已經建立并實施了識別、評估和管理數據處理生態系統內隱私風險的流程。了解 隱私健康信息（PHI）/個人識別信息（PII） 可以共享給誰、在什么情況下共享、以及以何種方式共享是非常重要的。3.5 存存檔檔

31、根據各個國家的相關法律法規， 醫療健康信息可能需要長期存儲。 數據存檔可以作為糾正醫療操作和決策、患者歷史醫療健康服務以及電子健康記錄 (EHR)完整可視的證據。但是，一般而言，除 PHI 外，所有個人信息不再使用時可能需要刪除。個人信息存儲最小化原則。個人數據不能被無限期地存儲。 如果將來可能需要基礎數據， 可以在存檔之前將個人信息與基礎數據分離。數據分離指在不關聯超出操作要求的個人或設備情況下， 依然能夠處理數據或事件的流程 （NIST，2020）。有法律要求PHI要保存一段時間，其中一些甚至允許數據離線存儲。3.6 銷銷毀毀不再需要的數據將安全地銷毀。 在未確保所有受保護數據已被安全刪除

32、之前， 不應處置包含隱私數據的可移動介質。 所有包含受保護數據的存儲介質在處置前確保數據已完全刪除。 在云端，可以通過數據加密、銷毀密鑰或匿名化方式達到數據銷毀目的。盡管最初聲明了數據生命周期、目的和患者授權，但醫療健康數據的銷毀可能會受到患者請求的約束。HDO應該記錄PHI/PII的銷毀時間、法律依據，以及銷毀責任人。此外，可以實施多種措施保護數據。桌面清理要求：所有員工離開工位之前，應確保桌面上沒有任何包含隱私數據的材料，并且電腦要鎖屏?？诹畎踩航箤⒖诹顣鴮懹涗?。 應該盡可能設置較長且復雜的口令。安全存儲：任何包含個人隱私數據的材料都必須安全存儲，隱私數據必須加密存儲。移動設備安全：移

33、動設備應充分安全，并設置密碼保護。數據的安全傳輸：隱私數據應通過安全的方式發送。數據的安全處置：在未確保所有受保護數據已被安全刪除之前，不應處置包含隱私數據的可移動介質。違規報告：在大多數情況下，如果發生違規行為，組織要在72 小時之內報告。 2022 云安全聯盟大中華區版權所有16培訓所有員工， 讓員工了解各種隱私規則下的責任， 并嚴格遵守政策和程序將風險降到最低，這是至關重要的。4 討討論論云計算在醫療健康領域中的應用未來將繼續增加， 隨著這一點， 存儲在云中的隱私健康信息（PHI）數量也將持續增加。此外，物聯網(IoT)設備的使用增加將加速云計算的應用。與醫療健康相關的云服務是非常復雜的

34、， 幾乎涵蓋了醫療健康服務的各個方面。 醫療健康云服務可以向醫療健康服務組織(HDO)提供應用程序，否則無法使用。雖然醫療信息的隱私性是醫療健康服務組織關注的一個主要問題，但是云計算并非沒有風險，為此，云安全聯盟(Cloud Security Alliance)等組織已經做出了顯著努力， 確保這些風險得到解決和減輕。 醫療健康服務組織按照提供的指導做盡職調查，可以將云計算所帶來的風險降至最低，并從云計算中獲益。最近有關隱私的法律法規的激增， 大大增加了保護個人隱私的復雜性和挑戰。 除了關注保密性的信息安全觀點外， 還涉及到確保隱私健康信息 （PHI） 的完整性及可用性。 (NIST SP 80

35、0-53 r5, 2020)在與云提供商簽訂云服務協議時，醫療健康服務組織（HDO）應確保以下問題得到回答:1)云服務提供商(CSP)是否在隱私通知中描述了PHI被收集、使用、維護和共享的目的?2)云服務提供商(CSP)是否擁有、傳播和和實施操作隱私政策和程序，以管理涉及PHI的程序、信息系統或技術的適當隱私和安全控制措施？這些文件是否包括如何聯系云服務提供商（CSP）的數據隱私官(DPO)，以及患者或權威機構如何請求對個人的醫療健康數據采取行動？3)云服務提供商(CSP)是否有進行私隱影響評估?他們是否愿意分享4)云服務提供商(CSP)是否對在歐盟或歐盟數據主體上存儲、處理或傳輸的數據進行了

36、數據保護影響評估?5)醫療健康服務組織 是否對承包商和服務供應商有隱私角色、責任、訪問的準入要求?6)云服務提供商(CSP)是否監控和審計隱私控制和內部隱私政策，以確保其有效的實施?7)云服務提供商(CSP)設計信息系統是否通過自動實現隱私控制來支持隱私?8)云服務提供商(CSP)是否對其控制下的每個記錄系統中所保存的信息進行了準確的披露，包括a)每次披露紀錄的日期、性質及目的?b)被披露的個人或組織的姓名和地址?9)云服務提供商(CSP)是否通過現有的安全控制來記錄其流程，以確保受保護的隱私健康 2022 云安全聯盟大中華區版權所有17信息（PHI）的完整性？10)云服務提供商(CSP)是否

37、確認實現合法授權收集目的所需的最小必要原則PHI？11)在收集受保護的健康信息之前， 云服務提供商(CSP)是否為個人提供了授權收集、 使用、12)維護和共享受保護的健康信息的方式？13)云服務提供商(CSP)是否有接收和響應來自個人關于組織隱私實踐的法律請求、投訴、關注或問題的流程?對檢查隱私和醫療健康信息管理的審計，是否僅限于特定人員/角色，或受已聲明的法規/合同的約束？14)云服務提供商(CSP)是否就其影響隱私的活動向公眾和個人發出有效通知，包括收集、使用、共享、保護、維護和處置PHI？15)云服務提供商(CSP)是否對外共享受保護的健康信息(PHI)?16)如果需要， 云服務提供商(

38、CSP)是否具有聚合和關聯存儲/處理在其他地方的醫療信息的能力?這些問題將確保云服務提供商（CSP）擁有一套結構化的隱私控制系統，有助于遵守所有適用的法律。此外，對云服務提供商（CSP）的隱私控制措施與安全控制措施一起查看，證明了隱私與安全之間的關系。5 結結論論雖然這篇文章的重點是關于健康保險流通與責任法案（HIPAA）中隱私條款和通用數據保護條例（GDPR）中的隱私安全，但醫療健康服務組織 （HDO）還須關注除此之外的法律法規。紐約修訂了紐約盾牌法案，擴大了對違規行為的定義以及隱私信息的構成。這改變了違約通知要求（Ashkenazi,2020）。加利福尼亞州通過并實施了加州消費者隱私法（C

39、CPA） ，加強了隱私安全法。2020年11月， 加州隱私權益法案（CRPA）對加州消費者隱私法（CCPA） 進行了修訂，新增的額外的保護條款將于2023年1月1日生效。受其影響的各醫療健康服務組織（HDO）將需要重新審查以確保遵守這些新修訂內容。此外，各醫療健康服務組織（HDO）還需重新審查其數據所存儲、處理或傳輸的所有司法管轄區域的法律法規。 2022 云安全聯盟大中華區版權所有18參參考考Ashkenazi, Asaf, 2020. NY Shield Act Sets in Motion Sweeping Privacy Regulations, Information Systems

40、 Security AssociationJournal, Vol.18 No 7 Retrieved from www.issa.orgBambauer, Derek E., 2013. Privacy Versus Security, The Journal of Criminal Law & Criminology Vol. 103, No. 3Cavoukian, Ann, Shapiro, Stuart, and Cronk, Jason R., 2014. Privacy Engineering: Proactively Embedding Privacy, by Design,I

41、nformation and Privacy Commissioner, Ontario, Canada Retrieved fromhttps:/www.ipc.on.ca/wp-content/uploads/resources/pbd-priv-engineering.pdfDepartment of Health & Human Services, 2020. OCR Announces Notification of Enforcement Discretion for Telehealth RemoteCommunications During the COVID-19 Natio

42、nwide Public Health Emergency, Retrieved fromhttps:/www.hhs.gov/about/news/2020/03/17/ocr-announces-notificationof-enforcement-discretion-for-telehealth-remote-communications-during-the-covid-19.htmlDepartment of Health and Human Services, 2013. Summary of the HIPAA Privacy Rule, Retrieved fromhttps

43、:/www.hhs.gov/hipaa/for-professionals/privacy/laws-regulations/index.html.Fennessy, Caitlin, 2019. Privacy engineering: The what, why and how, The International Association of Privacy Professionals,Retrieved from https:/iapp.org/news/a/privacy-engineering-the-what- why-and-how/National Institute of

44、Standards and Technology, 2020. NIST Privacy Framework: A Tool for Improving Privacy ThroughEnterprise Risk Management, National Institute of Standards and Technology, Gaithersburg, MD Retrieved fromhttps:/www.nist.gov/privacy-framework/privacy-frameworkNational Institute of Standards and Technology

45、, 2017. NISTIR 8062 An Introduction to Privacy Engineering and RiskManagement in Federal Systems, National Institute of Standards and Technology, Gaithersburg, MD Retrieved fromhttps:/doi.org/10.6028/NIST.IR.8062National Institute of Standards and Technology, 2020. Security and Privacy Controls for

46、Federal Information Systems andOrganizations, Gaithersburg, MD. Retrieved from https:/doi.org/10.6028/ NIST.SP.800-53r5United Kingdom Information Commissioners Office, 2018. Data Protection Impact Assessment Template, Retrieved fromhttps:/ico.org.uk/for-organisations/guide-to-data-protection/guide-t

47、o-the-general-data-protection-regulation-gdpr/accountability-and-governance/data-protection- impact-assessments/Wuyts, Kim, Scandariato, Riccardo and Joosen, Wouter, 2014. LIND(D)UN Privacy Threat Tree Catalog, Retrieved fromhttps:/www.nist.gov/privacy-framework/linddun-privacy-threat- modeling-fram

48、ework 2022 云安全聯盟大中華區版權所有19附附錄錄A- 隱隱私私影影響響評評估估樣樣本本格格式式1.簽署日期：2.系統所有者：誰對系統負責？3.名稱：系統名稱是什么？4.PIA唯一標識符：HDO的系統唯一FQDN5.該PIA的主題是以下哪一項：主要應用、次要應用、一般支持系統，6.確定系統的企業性能生命周期階段：7.該系統是否包括可供公眾使用的網站或在線應用程序？是/否8.確定操作員：生產線（例如：財務、人力資源、供應鏈）9.這是新系統還是現有系統？新的/現有的10.系統是否具有安全授權（SA）？是/否按照以下兩點明確更新此PIA的原因：描述系統的用途；描述系統將要創建、存儲、使用、

49、共享或歸檔的信息類型。11.提供系統概述，并描述系統將要創建、存儲、使用、共享或歸檔的信息。12.系統是否收集、維護、使用或共享PHI/PII？是/否13.指出系統將創建、存儲、使用、共享或存檔的PHI/PII類型，例如：社會保險號、出生日期、姓名、郵寄地址、電話號碼、醫療記錄、就業狀況、納稅人ID14.指出創建、存儲、使用、共享或歸檔PHI/PII的用戶類別。雇員及公眾人士；供應商/供應商/承包商15.系統中個人PHI/PII數量是多少？16.PHI/PII的主要用途是什么？17.描述使用PHI/PII的其他用途。18.確定系統和程序法律機構所允許的最大信息使用和披露的權利。19.系統上的記

50、錄是否可以通過一個或多個PHI/PII數據元素檢索？是/否如果是，列出所有使用PHI/PII數據的系統20.確定系統中PHI/PII的來源。21.PII是否可以與其他組織共享？是/否22.確定可共享或披露PII的對象并闡明目的。23.描述授權信息共享或披露的協議。24.描述授權披露的會計程序。 2022 云安全聯盟大中華區版權所有2025.描述通知個人將收集個人信息的過程。如果沒有事先通知，請解釋原因。26.個人提交PHI/PII信息是自愿的還是強制性的？27.描述個人選擇不想被收集和使用他們PHI/PII信息的原因。如果信息收集是強制性的，請說明原因。28.當系統發生重大變化時，通知系統中存