世界正变得越来越数字化。几乎所有行业,包括医疗保健行业,都越来越多地使用大量个人信息数据集来指导决策。在这种情况下,临床数据集改善了临床试验设计,并最终改善了患者的治疗效果。然而,临床试验数据的透明度绝不能以牺牲患者隐私为代价。去身份化流程旨在删除可能导致患者身份识别的信息。同样重要的是,要确保有足够的数据来指导决策。去标识化是一个具有挑战性的过程,失败可能导致隐私泄露、法律后果、公众信任缺失以及试验设计不理想。数据集的快速扩展和多样化意味着即使是用心良苦、经验丰富的研究人员也有可能出错。
像Instem 的Blur 这样的专用工具可以帮助研究人员克服在去识别化过程中遇到的挑战,并避免带来风险的常见陷阱。在此,我们将讨论研究人员在处理去标识化时常犯的五个错误,以及如何克服这些错误。
1: 假设移除直接标识符就足够了
缺乏经验的研究人员可能会认为,去掉患者姓名就足以去除身份标识。然而,病人的地址、出生日期、性别或疾病等准标识符(尤其是在罕见的情况下)可以帮助识别病人身份1。在对手已经知道患者的情况下,这种情况尤其危险。当外部数据集包含身份识别信息时,就会发生链接攻击。再加上重叠的准标识符,对手就能将去标识化数据集中的信息与患者身份相匹配2。
要确保充分去除身份标识,需要屏蔽或删除的数据比许多研究人员想象的要多。因此,团队必须了解直接和间接(准)标识符之间的区别。同样重要的是,要意识到数据集中残留准标识符的风险。识别和移除准标识符的工具可以主动降低风险,而在数据处理后进行风险评估的工具则可以帮助研究人员确定他们当前的方法是否足够。
2: 过度去识别数据
随着研究人员越来越意识到重新识别身份的风险,他们往往会过度使用去身份识别技术。这可能会导致一些不太可能导致身份识别但对研究数据可用性至关重要的关键信息丢失3。例如,研究传染病传播的研究人员需要邮政编码数据来识别地理模式。为保护隐私而删除这些信息可能会降低数据的可用性,从而无法获得可能挽救生命的见解。
另一个因过度去标识化而失去数据效用的例子是在文件中编辑 AGE。这会删除本可用于其他目的的宝贵数据。处理 AGE 等标识符的最佳方法是将其改为一个年龄范围,而不是完全删除它
要解决这一问题,研究人员需要使用先进的统计工具,并对数据使用情况有细致的了解。克服这一问题的不同方法包括4:
- 概括化:概括和扩大数据,以保护拥有共同数据点(如邮政编码、罕见疾病类型)的少数人的身份。
- 差异隐私:又称数据扰动,是一种在数据集中添加统计噪音的数学方法,既能描述多个个体的模式,又能降低个体识别的风险。
- 假名化:一种去标识化方法,用假标识符或假名代替私人标识符
3: 忽视背景风险
研究人员可能会陷入一个陷阱,即假定临床数据集是孤立存在的,不会与更容易访问的数据集重叠。例如,坏人可能会将临床试验数据集的基因组测序数据与公共基因组数据库或商业基因检测平台联系起来。这通常包括地理信息,甚至是直接标识符。当特定标识符在数据集中比较罕见时,如属于少数民族或罕见疾病群体,被识别的风险就会更高。
这些风险要求研究人员更好地了解数据集环境、接收者和使用案例。根据最坏情况(即坏人拥有最大的数据访问权限和计算能力)开发对手模型,有助于预测和降低风险。Instem 公司的Blur 使用自然语言处理技术帮助研究人员评估数据集中可用数据的范围,并相应地确定上下文风险。
4: 依靠静态去识别
数据的可用性不是一成不变的,使对手能够查询数据库的技术也不是一成不变的。一般来说,随着从就医、购物、旅行、教育记录和社交媒体活动中收集数据的时间推移,有关个人的可用信息量会不断增加。随着这些数据的积累,与临床数据集建立联系的风险也随之增加。
去身份识别策略必须是动态的,并不断进行评估,以保持其有效性。对数据集环境的持续监控对于识别患者个人面临的新风险至关重要。研究人员还应密切跟踪数据库版本,以维护隐私。例如,邮政编码可能存在于版本 A 中,但在版本 B 中却被遮盖了。
5:不测试或验证去识别技术
研究人员往往过于信任去标识化技术,认为这些技术是可靠的,适用于不同的情况和数据集。但是,他们必须评估其策略在不同情况下的适用性,而不是依赖于一刀切的方法。在实施前,对去标识化方法进行彻底测试至关重要,而对新数据集或更新数据集进行持续的风险评估对于确保持续的隐私保护也至关重要。其中最重要的是生成并维护日志和审计跟踪,以提供有关去标识化程序的详细信息。详尽的文档记录可降低患者身份识别和合规风险。1.
Blur 技术如何帮助研究人员避免识别错误
Instem 公司的Blur 软件包通过三个核心模块,让研究人员轻松避免这些常见错误:
- Blur 数据: 实现高效、全面的患者数据去标识化,确保符合 HIPAA、GDPR 和全球监管机构的要求。
- Blur 风险: 基于模拟的评分系统,使研究人员能够评估和选择最适合当前任务的去标识化策略。
- Blur CSR: 利用自然语言处理技术对临床试验报告进行匿名处理,确保文本、表格和嵌入图片中的所有潜在标识符都得到处理。
结论
患者信息的去标识化是一个复杂且劳动密集型的过程,需要了解数据库环境和不断变化的趋势,同时在隐私和透明度之间取得平衡。错误会导致患者隐私泄露、监管失灵、公众信任度下降以及研究可信度降低。Instem 的Blur 等工具为研究人员提供了高效、智能的方法来克服常见的陷阱,并显著降低去标识化过程中的风险。强大的风险模拟和自然语言处理功能让研究人员高枕无忧,使他们能够满怀信心地处理临床试验申报,同时最大限度地提高数据的可用性。
立即联系Instem 团队成员,了解Blur 如何加强您的去标识化策略,消除临床报告中的风险。
在 LinkedIn 上关注我们,了解最新动态和行业趋势。
参考资料
1.关于根据《健康保险可携性和责任法案》(HIPAA)隐私规则消除受保护健康信息身份标识的方法的指导意见。2012 年 9 月 7 日。https://www.hhs.gov/hipaa/for-professionals/special-topics/de-identification/index.html
2.Borrero-Foncubierta A, Rodriguez-Garcia M, Muñoz A, Dodero JM.大数据时代的隐私保护:探索准标识符选择的数据链接方法。Int J Inf Secur.2025;24(1). doi:10.1007/s10207-024-00944-7
3.食品及药物管理局局长 O。临床试验透明度和 FDA 监督的重要性。FDA。2023 年 4 月 12 日在线发表。https://www.fda.gov/news-events/fda-voices/importance-clinical-trial-transparency-and-fda-oversight
4.Dyda A, Purcell M, Curtis S, et al:在保护数据机密性的同时优化信息共享的创新工具。Patterns (N Y).2021;2(12):100366. doi:10.1016/j.patter.2021.100366
