2022年3月24日，歐盟網絡安全局（European Union Agency for Cybersecurity，簡稱“ENISA”）發布《假名化技術部署報告》（Deploying Pseudonymisation Techniques）。

報告強調了假名化技術在醫療行業的附加價值，并通過簡單具體的案例證明了該技術在醫療行業的適用性。報告展示了假名化技術如何提高醫療行業患者個人數據保護的水平，并提高了對假名化技術措施可用性的認識以及如何在實踐中部署假名化技術，從而進一步保護健康數據。

近幾十年來，技術的快速變革影響到了正在進行數字化轉型的醫療行業，醫療行業新技術的整合帶來了數據保護和網絡安全方面的新挑戰。由于在不同利益相關者之間交換和共享個人健康數據的需求越來越大，處理個人數據的實體必須基于治療等目的收集和處理所需的患者數據，并采用適當的技術措施保護患者的個人數據。

假名化技術日益成為一種關鍵的安全技術，為保護個人數據提供強有力的保障，從而保障個人的權利和自由。在《通用數據保護條例》（GDPR）中也明確提到假名化作為一種技術，既可以通過設計促進數據保護（GDPR第25條），也可以促進個人數據處理的安全（GDPR第32條）。

GDPR第4條（5）項規定，假名化是一種處理個人信息的方式，即不使用額外信息便不能將個人數據歸屬于某一特定信息主體，該處理方式需將額外信息分開存儲，并對其施加技術和組織層面措施，確保個人數據不關聯到已識別或可識別的自然人。

廣義上講，假名化的目的是通過隱藏數據集中個人（數據主體）的身份來保護個人數據。例如，用所謂的假名取代個人數據標識符，并適當地保護假名和初始標識符之間的關聯，如有必要，可以通過假名和原始數據的關聯來重新識別個人。

示例：

假名化技術屬于“去識別”技術（如聚合、混淆、掩蔽等），旨在消除一組識別數據與數據主體之間的關聯。如果發生個人數據泄露，假名化增加了惡意分子使用被泄露數據識別個人的困難程度。

值得注意的是，假名化和匿名化并不相同：

假名化數據是個人數據，而匿名化數據不是；

假名化數據具有再識別的可能性，而匿名化數據不能。

假名化技術根據假名的生成方式而各不相同。下表對最常見的假名化技術進行了全面總結：

常見假名化技術概述

其中，哈希函數可以大大促進數據的完整性，但通常被認為是較弱的假名化技術，因為其極易受到暴力破解攻擊和字典攻擊。更為有效的假名化技術則包括使用鍵控哈希函數的方式，其輸出不僅取決于輸入而且取決于密鑰的哈希函數。

常見假名化技術應用示例：

計數器技術的應用（在兩個不同數據庫中出現了三次相同的個人數據）

數據控制者和處理者可以共同使用假名化技術和相關政策（相同的標準），也可以分開使用。第一種情況通常由數據控制者推動，要求數據處理者采用相同的標準。除了使用相同標準外，最重要的是共享相應技術信息。如果不共享技術信息，則接收假名數據的實體在正確實施所有機制的情況下將無法檢索原始個人數據。

數據控制者可以要求數據處理者對個人數據進行假名化，甚至要求其如何進行假名化，特別是在假名化數據要在雙方之間進行交換的情況下。

假名化的規范應基于事前的風險或影響評估結果，包括以下內容：

目標個人數據（例如一組標識符）；

所使用的假名化技術；

適用于該技術的參數（所采用的算法、密鑰長度等）；

所使用的假名化政策。

在醫療健康領域，假名化技術具備應用價值。

醫療實踐中，各組織間出于診斷和治療目的進行數據交換是一種常見策略。如：同一實體內不同部門之間的交換（如醫院）或個人之間的交換（如醫療專業人士、實驗室等）。在交換患者健康數據的過程中，運用假名化技術使傳輸的數據不包含患者的個人識別信息，只包含假名和醫學測試結果。具體過程如下圖：

交換患者的健康數據：從Mlab傳輸給主治醫生的數據不包含Anne的個人識別信息，只包含假名和醫學測試結果

同一醫療中心（如醫院）的醫生之間對醫療數據的訪問應基于認證和相關用戶權限。醫生可以訪問假名化密鑰，從而直接識別患者，或者只訪問患者的假名標識符而不直接識別患者。例如，患者在醫院的不同部門進行檢查時，各治療醫生可將分配給患者的PatientID與患者關聯，使用PatientID來處理患者的個人數據，如下圖所示：

該案例不適用于已經部署了電子健康記錄（EHR）系統或可互操作的電子健康記錄的情況，因為在該情況下數據的交換和個人信息的識別可能已經被定義。但可以在早期設計階段考慮使用假名化技術來提高保護水平，支持合規性，促進電子健康記錄的廣泛采用。

臨床試驗

假名化的臨床試驗數據允許在試驗期間檢測相關性，并在認為必要時重新識別特定個體。

臨床試驗一個典型的情況是雙盲研究，即把具有相似特征的一組人（如患有相同疾病的患者）分成兩個分組。一組患者使用試驗專用的藥物進行治療，另一組患者則接受安慰劑藥物進行治療。在研究中，參與者和研究人員都不知道被分配到哪一組，兩個組群的醫療數據是相同的。一旦獲得所有數據，研究人員就可以比較每組的結果，確定新的醫療干預（自變量）是否對治療（因變量）有影響。

在臨床試驗中，參與者個人數據諸如年齡、性別、職業、居住地等信息可能與研究有關，從而導致參與者的身份被識別。使用假名化技術可以在不暴露各數據項真實價值的情況下執行檢測相關性和統計模式的任務。在某些試驗中，這甚至可以擴展到癥狀和藥物的相關性和統計模式。由于在臨床試驗中通常會收集幾種不同類型的個人數據，所以必須謹慎地應用假名化，以避免使患者面臨未經授權的重新識別?？梢酝ㄟ^結合兩種方法來實現：

1）對每個參與者的主要識別數據采用假名化。

2）對不同臨床參數的每個識別數據使用一個以上的假名。

參數與假名的關聯性

患者提供健康數據監測信息

如今，智能穿戴設備能夠監測生命體征，如心率、氧飽和度和血壓水平等。定期監測生命體征是患者護理中常見的干預措施，患者能夠查看測量結果，并在觀察到異常值時聯系醫生。本示例設想提供一個健康監測系統（HMS），在該系統中，醫生可以訪問患者的醫療信息并監測其生命體征，接收異常值通知。

患者提供健康數據監測信息期間的假名化

例如，約翰被診斷出患有心血管疾?。–VD）和心律失常。約翰的可穿戴設備定期監測其心率，當其靜息心率低于低閾值或高于高閾值時，可穿戴設備會提醒約翰并向其主治醫生發送通知?？纱┐髟O備不直接發送約翰的心率值等個人數據，而是進行假名化處理，減少了數據在運輸過程中被破壞的風險。如下圖：

可穿戴設備受到醫療設備網絡安全指南的約束。在個人醫療數據的使用和存儲過程中，部署假名化技術符合數據安全和數據保護的設計原則，同時也可以加強數據傳輸時的保密性。

關于如何以及何時應用假名化技術沒有一個單一的解決方案；但不同的解決方案在特定場景下都有好的結果，這具體取決于保護、實用性、可擴展性等方面的要求。

無論是在技術層面還是在組織層面，假名化可以是一個“簡單”的選擇，也可以由一個非常復雜的過程組成。因此，在每個特定案例和處理操作中定義假名化的目標和目的非常重要。為此，GDPR中的相關良好實踐和假名化示例對醫療保健提供者和醫療保健應用程序的開發者具有重要參考價值。

國家和歐洲層面的開發者和監管者應促進良好實踐的交流，并提供關于在實踐中部署假名化技術的實用指導。當然，技術的進步和所提供的健康服務類型可能會影響已經部署的假名化技術的有效性和適用性。這不僅與技術本身的選擇有關，也與假名化過程的整體設計有關。假名化技術高度依賴于先進的技術，研究界應繼續致力于數據保護和安全研究，包括最先進的假名化技術及其實施過程。