考虑隐私保护的医疗数据共享意愿研究

韩普 张嘉明

收稿日期：2020-06-24

基金项目：国家社会科学基金项目“大数据环境下健康领域实体语义挖掘研究”（项目编号：17CTQ022）。

作者简介：韩普（1983-），男，副教授，博士，硕士生导师，研究方向：隐私保护。张嘉明（1997-），男，软件开发工程师，研究方向：演化博弈。

摘 要：[目的/意义]为了进一步推进医疗数据共享进程，在考虑隐私保护的前提下，研究患者和医疗服务机构对医疗数据共享的参与意愿。[方法/过程]基于演化博弈论，构建由患者和医疗服务机构两博弈主体组成的演化博弈模型，求解两者的复制动态方程，分析双方在医疗数据共享中的演化稳定策略，并使用MATLAB对模型进行数值仿真模拟。[结果/结论]患者和医疗服务机构的演化稳定策略受多种因素影响，包括双方从医疗数据共享中获得的收益、双方在该过程承担的隐私泄露风险、医疗服务机构需要付出的建设成本、积极保护和消极保护条件下的隐私泄露概率。[局限]未能考虑医疗数据共享过程中政府管理部门、平台服务商等利益方对双方参与意愿影响。

关键词：隐私保护;医疗数据共享;患者;医疗服务机构;演化博弈

DOI：10.3969/j.issn.1008-0821.2021.01.013

〔中图分类号〕TP311;G203 〔文献标识码〕A 〔文章编号〕1008-0821（2021）01-0111-10

Research on the Willingness of Medical Data

Sharing Considering Privacy Protection

——From the Perspective of Evolutionary Games

Han Pu1，2 Zhang Jiaming1

（1.School of Management，Nanjing University of Posts & Telecommunications，Nanjing 210003，China;

2.Jiangsu Provincial Key Laboratory of Data Engineering and Knowledge Service，Nanjing 210023，China）

Abstract：[Purpose/Significance]In order to further promote the process of medical data sharing，considering the protection of privacy，the willingness of patients and medical services to participate in medical data sharing is analyzed.[Method/Process]Based on evolutionary game theory，an evolutionary game model consisting of two game agents of patients and medical services was constructed.Moreover，the models evolutionary stability strategies via solving the replication dynamic equations were analyzed.Finally，MATLAB was used for numerically simulation.[Result/Conclusion]The evolutionary stability strategy of patients and medical services was affected by a variety of factors，including the benefits that both parties received from medical data sharing，the risks of privacy breaches，and the construction costs that medical services needed to pay as well as the probabilities of privacy leaks under active protection and negative protection.[Limitation]The influences of the government management department，platform service provider on the willingness of both parties to participate in the process of medical data sharing were not considered.

Key words：privacy protection;medical data sharing;patients;medical service body;evolutionary game

在大數据浪潮背景下，推动医疗数据开放共享已经成为社会各界的共识。国务院在2016年6月下发的《关于促进和规范健康医疗大数据应用发展的指导意见》中明确指出，规范和推动健康医疗大数据融合共享、开放应用，稳步推动健康医疗大数据开放。只有实现真正的数据共享，才能推动医疗大数据各类应用。对于患者来说，推动医疗数据共享可以减少在不必要的重复检查等环节上的花费，可以让医生全面了解其临床记录，更准确地诊断病情，提出更合理的治疗方案，也可以全面了解自身的医疗健康状况，更好地做好个人预防。对医疗服务机构来说，推进医疗数据共享，一方面可以促进临床协同和临床科研，进一步提升医疗水平和医学研究水平;另一方面可以优化医疗服务模式，提高就诊环节效率，改善用户体验，提升患者满意度，同时也可以降低运营成本。

尽管不少国家和地方政府机构已经通过多种措施推动医疗数据开放共享，但在实际情况下，医疗数据共享仍然面临着一系列亟需解决的复杂问题。对数据拥有方（一般是医疗服务机构）来说，不仅需要一套复杂的数据共享流程，还要考虑到后续的各种问题，一旦开放共享医疗数据，不仅会带来患者隐私泄露的风险，而且还要承担相应的法律责任。所以对于医疗服务机构而言，并没有足够的动力和意愿参与医疗数据共享。对于患者来说，个人就诊纪录、检查结果、家族病史、遗传疾病等数据一旦泄露，会出现严重的隐私安全等问题，因此患者对医疗数据共享也存在很大顾虑。

基于上述分析，从考虑隐私保护视角，针对医疗数据共享意愿问题，引入演化博弈理论，将患者和医疗服务机构定义为博弈主体。在此基础上，探寻投入、收益、成本等因素对隐私保护和医疗数据共享意愿的影响，为推动医疗大数据开放共享提供有针对性的建议。

1 国内外研究现状

1.1 医疗数据共享

医疗数据共享是推进智慧医疗和精准医疗的前提，关乎每个人的医疗健康，近些年受到了学界的极大关注。据研究机构预测，医疗数据的有效利用每年可为美国医疗健康体系带来3 000多亿元的潜在价值，贡献0.7%的年度生产力增长;可为加拿大医疗健康体系节省100多亿美元的卫生费用，约占加拿大2012年医疗总费用的5%[1]。虽然数据是临床医疗和医学研究的必要条件，但一直没有有效的激励机制，Rowhani-Farid A等[2]通过实证发现，利用开放数据徽章的激励措施，可以提高医疗数据共享率。针对电子健康档案共享的复杂性，从商业视角，Stevovic J等[4]提出了医疗健康数据共享的商业管理模式。也有学者在癌症基因组数据共享研究中，提出应该要发扬数据共享的责任文化。刘嘉庆等[6]提出构建肺癌数据共享平台，掌控肺癌发病情况，推动肺癌研究水平的同时也可提高肺癌的诊疗水平。可以发现，推动医疗数据已经是政府管理层面和社会各界达成的共识，但如何构建合理、有效、各利益相关方平衡机制是医疗数据共享的难点。

1.2 医疗数据隐私保护

数据共享和隐私保护之间存在矛盾关系，只有将医疗数据开放共享，才能真正发挥医疗数据的价值。Price W N等[8]指出，在医疗大数据应用中所面临的最大挑战就是患者隐私问题。多数电子病历均包含患者的敏感信息，没有病人愿意将电子病历中的所有信息共享给所有潜在接收者，也不会无条件共享自己的所有数据[8]。病人希望自己的电子病历数据能够得到更精确的控制，例如研究人员需要征得他们的同意后才能获得部分电子病历，而不是共享所有的数据[8]。在个人控制的健康记录中，Weitzman E R等[10]通过调研发现，有91%的用户愿意共享医学信息用来进行健康研究，共享的意愿取决于匿名性、研究用途以及可信赖中介机构。马诗诗等[11]对456名患者是否将其匿名化健康医疗数据共享的意愿进行了调查，发现患者将数据共享给本院医护人员和政府部门的意愿较高，而对共享给其他医院的医护人员的意愿度较低。针对电子病历数据共享难、隐私易泄露的问题，有不少学者尝试利用新兴技术，如区块链来构建电子病历的数据共享模型[11-12]。佘维等[14]结合区块链和全同态加密算法，在患者、医疗机构和数据中心3个完全信任的结点构成去中心化网络中实现密文传输和密文计算，确保医疗数据的信息安全。也有文献从法律法规层面提出应当通过立法加强健康医疗隐私信息的保护[6]。

已有研究工作主要侧重于医疗数据共享的意愿、技术实现和法律法规方面的制定，然而医疗数据共享还涉及多方利益博弈，如患者隐私权和医疗機构信息收集权是其中比较直接的利益冲突[14]。对于当前多方利益冲突的现状，可以应用博弈论构建多方博弈模型，分析系统的最优策略。演化博弈论是种群动力学方法在博弈论中的应用[15]，该理论依赖于博弈过程的动态性和具有有限理性特质的博弈者。为寻求最优策略，博弈者需要在博弈过程中不断地模仿和学习[16]。演化博弈在多元意见的策略选择中得到广泛的应用。Li Y等[18]在共享单车行业中，基于演化博弈理论构建了用户与企业的博弈模型来分析双方策略选择的优劣。朱光等[19]运用演化博弈理论研究了企业与图书馆对信息安全管理的投入意愿，以提升图书馆的信息安全管理水平。胡小飞等[20]应用演化博弈论探究了快递物流行业中个人隐私对双方交易行为的影响。

演化博弈论在医疗领域和隐私保护研究中也有广泛应用。朱光等[21]应用演化博弈分析了移动医疗软件商、患者与政府组成的三方博弈模型。顾秋阳等[22]利用演化博弈分析，发现提高隐私披露成本和加大对泄露隐私的惩罚等措施对缓解社交网络中隐私泄露具有正面影响。朱光等[23]运用演化博弈论研究了患者与医疗软件服务商在隐私问责博弈模型中的演化稳定策略。

可以发现，演化博弈论通常用来分析两方、三方或多方行为的策略选择，在博弈模型构建与仿真分析中得到具有非常针对性的结果和建议。基于此，本文将隐私保护作为博弈策略选择的影响因素之一，构建患者与医疗服务机构的演化博弈模型，探讨患者对医疗数据共享的参与意愿与医疗服务机构对医疗数据共享的投入意愿，并使用MATLAB对该模型进行仿真分析双方的演化稳定策略。

2 利益相关者分析与基本条件假设

2.1 应用场景

对患者而言，医疗数据共享意愿指是否愿意将与本人相关医疗数据共享给医院、政府和科研机构等部门;对医疗服务机构来说，医疗数据共享指医疗机构接收患者的医疗健康数据，遵照患者意愿来决定可否在不同医疗机构共享数据以及应用于医学研究[23-24]。医疗数据共享过程包含众多参与者，如为数据传递提供网络服务的通信运营商，为保证数据安全性的监管机构以及基于医疗数据驱动的研究机构等。在考虑隐私保护的前提下，本文主要研究对患者和医疗服务机构参与医疗数据共享意愿的影响因素，并将博弈过程中的主体定义为患者和医疗服务机构，两主体之间的关系如图1所示。

2.2 基本条件假设

本文假设患者的博弈策略为“参与”和“不参与”，参与数据共享的患者承担着隐私泄露风险，同时享有医疗服务质量的提升;不参与数据共享的患者放弃医疗质量的提升从而避免承受隐私信息泄露的风险。医疗服务机构的博弈策略为“积极保护”和“消极保护”隐私信息，积极保护隐私的医疗服务机构将为该策略付出更多的成本，同时也提供更严格的患者隐私保护;消极保护隐私的医疗服务机构付出较低的患者隐私保护成本。影响患者决策因素包括医疗服务质量提升的程度以及隐私泄露风险，影响医疗服务机构决策的因素包括提供隐私信息保护的成本和因发生隐私泄露而造成损失的风险。

虽然患者普遍担心个人医疗隐私信息的泄漏问题[25]，但不同患者对隐私的关注程度和对隐私泄露的敏感程度并不相同，医疗服务机构选择不同的隐私保护水平与其预期获得的收益也没有确切的推导关系。因此，该应用场景下，两博弈主体并不能通过一次策略选择就抉择出最优策略。为了找到最优策略，双方需要在博弈中不断地根据当前条件调整自身的策略选择。每次策略选择，双方都会根据最大收益原则来审视自身的成本与收益[20]。患者可能选择放弃参与医疗数据共享所带来的收益以规避较高的隐私泄露风险，也可能选择承担较小隐私泄露风险换取更高质量的医疗服务。医疗服务机构可能选择积极保护患者隐私策略以提高患者参与医疗数据共享的意愿，也可能采取消极保护患者隐私策略以降低建设医疗数据共享的成本。

2.3 参数定义

基于上述假设，为方便模型构建，表1列出了博弈模型需要的参数及其含义。

3 演化博弈模型构建和分析

3.1 模型构建

基于上述假设和参数，表2给出了两博弈主体在不同决策下的收益矩阵。

1）当患者选择“参与数据共享”策略且医疗服务机构选择“积极保护隐私信息”策略时，患者获得医疗服务质量提升的同时承担积极隐私保护条件下隐私泄露的风险。患者的收益如式（1）。

Patient1，1=B1-a*D1（1）

医疗服务机构在此策略组合下获得由共享数据带来的收益，付出较高建设成本且承担着较低隐私泄露风险。医疗服务机构收益如式（2）。

Hospital1，1=B2-A-a*D2（2）

同理可求出其余策略组合下两博弈主体的收益。

2）当患者选择“参与数据共享”策略且医疗服务机构选择“消极保护隐私信息”策略时，患者收益如式（3），醫疗服务机构收益如式（4）。

Patient1，0=B1-b*D1（3）

Hospital1，0=B2-C2-b*D2（4）

3）当患者选择“不参与数据共享”策略且医疗服务机构选择“积极保护隐私信息”策略时，患者收益如式（5），医疗服务机构收益如式（6）。

Patient0，1=0（5）

Hospital0，1=-C1（6）

4）当患者选择“不参与数据共享”策略且医疗服务机构选择“消极保护隐私信息”策略时，患者收益如式（7），医疗服务机构收益如式（8）。

Patient0，0=0（7）

Hospital0，0=-C2（8）

基于上述多种博弈策略组合下患者和医疗服务机构的收益情况，可得到两方博弈的收益矩阵，结果如表2所示。

表2 两方博弈的收益矩阵

患者/医疗服务机构积极保护隐私信息消极保护隐私信息

参与数据共享B1-a*D1，B2-C1-a*D2B1-b*D1，B2-C2-b*D2

不参与数据共享0，-C10，-C2

3.2 演化博弈模型复制动态方程

3.2.1 患者的复制动态方程

定义患者选择“参与数据共享”策略的期望收益为P1，选择“不参与数据共享”策略的期望收益为P2，平均期望收益为，公式为：

P1=y*（B1-a*D1）+（1-y）*（B1-b*D1）（9）

P2=y*0+（1-y）*0=0（10）

=x*P1+（1-x）*P2=x*（B1-b*D1+y*D1*（b-a））（11）

患者博弈策略的复制动态方程为：

F（x）=dxdt=x*（P1-）=x*（1-x）*（B1-b*D1+y*D1*（b-a））（12）

dF（x）dx=（1-2*x）*（B1-b*D1+y*D1*（b-a））（13）

患者群体的复制动态相位图如图2所示。

图2 患者群体的复制动态相位图

3.2.2 医疗服务机构的复制动态方程

定义医疗服务机构选择“积极保护隐私信息”策略的期望收益为H1，选择“消极保护隐私信息”策略的期望收益为H2，平均期望收益为，公式为：

H1=x*（B2-C1-a*D2）+（1-x）*（-C1）（14）

H2=x*（B2-C2-b*D2）+（1-x）*（-C2）（15）

=y*H1+（1-y）*H2（16）

医疗服务机构博弈策略的复制动态方程如式（17）所示。

F（y）=dydt=y*（H1-）=y*（1-y）*（x*D2*（b-a）+C2-C1）（17）

dF（y）dy=（1-2*y）*（x*D2*（b-a）+C2-C1）（18）

医疗服务机构的复制动态相位图如图3所示。

3.3 演化稳定策略

2）V1≤0且V2>1

取B1=10、D1=10、a=0.2、b=0.7，此时V1=-0.6，V1≤0，取D2=10、C1=15、C2=5，此时V2=2，V2>1，（“参与医疗数据共享”“消极保护隐私信息”）是此时的演化稳定策略，结果如图11所示。

3）0

取B1=5、D1=10、a=0.2、b=0.7，此时V1=0.4，0

4）01

取B1=5、D1=10、a=0.2、b=0.7，此时V1=0.4，01，（“不参与医疗数据共享”“消极保护隐私信息”）是此时的演化稳定策略，结果如图13所示。

5）V1>1且0

取B1=1、D1=10、a=0.2、b=0.7，此时V1=1.2，V1>1，取D2=10、C1=8、C2=5，此时V2=0.6，0

6）V1>1且V2>1

取B1=1、D1=10、a=0.2、b=0.7，此时V1=1.2（V1>1），取D2=10、C1=15、C2=5，此时V2=2（V2>1），（“不参与医疗数据共享”“消极保护隐私信息”）是此时的演化稳定策略，结果如图15所示。

5 结论与建议

本文基于演化博弈论，在考虑隐私保护的情况下，分析了患者和医疗服务机构之间关于医疗数据共享参与意愿的博弈行为，求解出多种条件下的演化稳定策略，并且使用MATLAB对该博弈模型进行数值仿真分析。研究发现：①从医疗数据共享中可获取利益的多少是患者博弈策略选择的重要影响因素。若存在足够的利益则可使患者忽略医疗服务机构的博弈策略而始终选择参与医疗数据共享，即使因此会承担较高的隐私泄露风险;②积极和消极保护隐私策略的建设成本、隐私泄露风险的差异对医疗服务机构博弈策略选择有着较大影响。当建设成本或隐私泄露风险在两种策略下存在极大差距时，医疗服务机构倾向于选择付出较低建设成本或者带来较小隐私泄露风险的策略。基于此，本文提出以下对策建议：

1）大力发展医疗数据的各类大数据应用，包括利用共享大数据定期发布个人健康监测报告、患病风险预测、重大疾病数据防控以及基于基因组大数据预警发病风险等，这有利于扩大医患双方从医疗数据共享中获取利益。患者因参与医疗数据共享而享有更便捷的医疗服务模式、更高质量的医疗水平、更全面的康复指导以及更低的就医费用等收益。对于医疗服务机构，医疗数据共享的发展不仅可以推进精准医疗，还可以促成跨医院数据共享，达成有效合理的分级诊疗，实现对医疗资源的充分利用，最终提升医疗水平和研究水平。当医患双方从医疗数据共享中获得的收益持续扩大，继续采取消极保护患者隐私的策略将会导致医疗服务机构的机会成本增大，因此医疗机构将会愿意耗费更多的建设成本来为患者提供积极的隐私保护，双方此时的策略选择均对对方的策略选择产生积极影响。

2）降低医疗服务机构实施积极隐私保护的成本。隐私保护的建设成本是医疗服务机构选择博弈策略的重要影响因素之一，若积极隐私保护的建设成本过高，则会导致医疗服务机构趋向于选择消极保护策略，这将会影响患者参与数据共享的意愿，造成患者不愿意参与、医疗服务机构不愿意投入的双输局面。具体而言，可采取缩小消极保护和积极保护之间建设成本差距的方法，通过制定法律法规提高或限制消极隐私保护的下限，若消极保护与积极保护之间的成本相差极小，医疗服务机构更愿意采用积极保护，提高患者的参与意愿，从而让自身获得更多的利益。

3）加大对医疗服务机构在泄露隐私信息后的处罚力度。隐私泄露发生后的处罚力度同样影响着医疗服务机构的博弈策略选择，选择积极隐私保护策略意味着可在很大程度上避免处罚，而选择消极保护则会导致因发生隐私泄露被处罚的几率增加，医疗服务机构不得不考虑承担处罚的风险。较高的追责和处罚力度将使更多的医疗服务机构倾向于选择积极保护策略，这对于患者、醫疗服务机构和整个医疗数据共享过程来说都是有利的。

参考文献

[1]李姣，郭海红，郭珉江，等.美英政府开放健康医疗数据的主题分布与开放程度量化研究[J].图书情报工作，2015，59（20）：132-137.

[2]Rowhani-Farid A，Allen M，Barnett A G.What Incentives Increase Data Sharing in Health and Medical Research？A Systematic Review[J].Research Integrity and Peer Review，2017，2（1）：4.

[3]Rowhani-Farid A，Allen M，Barnett A G.What Incentives Increase Data Sharing in Health and Medical Research？A Systematic Review[J].Research Integrity and Peer Review，2017，2（1）：1-10.

[4]Stevovic J，Li J，Motahari-Nezhad H R，et al.Business Process Management Enabled Compliance-aware Medical Record Sharing[J].International Journal of Business Process Integration and Management，2013，6（3）：201-223.

[5]Siu L L，Lawler M，Haussler D，et al.Facilitating a Culture of Responsible and Effective Sharing of Cancer Genome Data[J].Nature Medicine，2016，22（5）：464-471.

[6]刘嘉庆，李光.基于医疗大数据的省市级肺癌专病平台的建设[J].中国免疫学杂志，2019，35（21）：2687-2689.

[7]粟丹.論健康医疗大数据中的隐私信息立法保护[J].首都师范大学学报：社会科学版，2019，（6）：63-73.

[8]Price W N，Cohen I G.Privacy in the Age of Medical Big Data[J].Nature Medicine，2019，25（1）：37-43.

[9]Caine K，Hanania R.Patients Want Granular Privacy Control Over Health Information in Electronic Medical Records[J].Journal of the American Medical Informatics Association，2013，20（1）：7-15.

[10]Weitzman E R，Kaci L，Mandl K D.Sharing Medical Data for Health Research：The Early Personal Health Record Experience[J].Journal of Medical Internet Research，2010，12（2）：e14.

[11]马诗诗，于广军，陈敏，等.患者医疗健康数据开放与隐私保护的问卷调查研究[J].中国卫生信息管理杂志，2019，16（2）：226-231.

[12]Patel V.A Framework for Secure and Decentralized Sharing of Medical Imaging Data Via Blockchain Consensus[J].Health Informatics Journal，2019，25（4）：1398-1411.

[13]薛腾飞，傅群超，王枞，等.基于区块链的医疗数据共享模型研究[J].自动化学报，2017，43（9）：1555-1562.

[14]佘维，陈建森，刘琦，等.一种面向医疗大数据安全共享的新型区块链技术[J].小型微型计算机系统，2019，40（7）：1449-1454.

[15]滕长利.医疗大数据信息采集权与患者隐私权的冲突研究[J].卫生经济研究，2019，36（5）：21-23.

[16]Hofbauer J，Sigmund K.Evolutionary Game Dynamics[J].Bulletin of the American Mathematical Society，2003，40（4）：479-519.

[17]Arora S，Singh P，Gupta A J，et al.Adaptive Selection of Cryptographic Protocols in Wireless Sensor Networks Using Evolutionary Game Theory[J].Procedia Computer Science，2016：358-366.

[18]Li Y，Ma G.Evolutionary Game Analysis on the Strategy Selection of Sharing Bicycle Enterprises and Users[J].Journal of Mathematics and Informatics，2018，14（5）：35-44.

[19]朱光，丰米宁，张薇薇.激励机制下图书馆信息安全管理的投入意愿研究——基于演化博弈的视角[J].数据分析与知识发现，2018，2（6）：13-24.

[20]胡小飞，曾聪，郭宇雯.快递物流业个人信息隐私保护的演化博弈分析[J].现代情报，2019，39（6）：142-148.

[21]朱光，刘虎，杜欣蒙.隐私忧虑背景下的移动医疗APP使用意愿研究——基于三方博弈的视角[J].数据分析与知识发现，2019，3（5）.

[22]顾秋阳，琚春华，鲍福光.融入隐私关注的社交网络服务与用户间关系的演化博弈模型研究[J].情报科学，2019，37（9）：29-36.

[23]朱光，刘虎，陈婧，等.移动医疗服务情境下的隐私问责研究——基于演化博弈的视角[J].现代情报，2018，38（12）：32-39.

[24]Li T，Slee T.The Effects of Information Privacy Concerns on Digitizing Personal Health Records[J].Journal of the Association for Information Science & Technology，2014，65（8）：1541-1554.

[25]王慧君，杜永洪，白晋，等.“互联网+医疗”的热实践与冷思考[J].医学争鸣，2019，10（4）：71-74.

[26]王天屹，刘爱萍.大数据环境下医疗数据隐私保护对策研究[J].信息技术与网络安全，2019，38（8）：28-32.

[27]Ding F，Liu Y，Shen B，et al.An Evolutionary Game Theory Model of Binary Opinion Formation[J].Physica A-statistical Mechanics and Its Applications，2010，389（8）：1745-1752.

（责任编辑：郭沫含）