数据匿名性的限制:缺乏公众意识会危及对卫生系统活动的信任

公众信任对于数据驱动的卫生保健活动(如数字卫生干预、接触者追踪或电子健康记录的建立)的良好运作至关重要。由于个人数据的使用是这些医疗保健活动的共同点，因此医疗保健参与者有兴趣确保他们所依赖的个人数据的隐私和匿名性。维护个人数据的隐私和匿名性有助于这些医疗保健活动的可信度，并与公众愿意将其个人数据信任这些活动有关。在线新闻读者对失败护理的评论分析。英国的数据计划显示，部分公众对用于医疗保健管理和医学研究的个人数据隐私保护中的匿名性有错误的理解。其中一些评论要求他们的数据完全匿名，以便愿意信任数据收集和分析的过程。由于这一需求是不可能满足的，而信任是建立在对匿名的错误理解之上的，无法满足这一需求可能会破坏公众的信任。由于公众对匿名和个人数据隐私的关注似乎越来越多，迫切需要开展大规模的宣传运动，说明匿名在个人健康数据的各种用途方面的限制和可能性，以帮助公众在提供个人数据方面做出更明智的选择。

公众和专业人士普遍认为，高水平的信任对于卫生系统内数据驱动活动的良好运作至关重要(Lawler等。2018)．Sztompka将信任定义为“对他人未来偶然行为的打赌”(Sztompka199925)。在数据驱动的活动中，信任是一种关系结构，其中数据捐赠者将其数据信任卫生系统，期望为卫生系统、捐赠者和社会带来净收益(Gille等。2020)．这种信任关系的例子是建立电子健康记录，以改善健康管理和护理质量(Hays和Daker-White2015)，收集数据以遏制2019年冠状病毒大流行(Ienca和Vayena2020)，个人数据和生物标本捐赠给生物银行设施，用于个性化健康研究(Brall et al.)。2021)，或普遍接受数字卫生干预(Brall et al.)。2019)．由于使用个人数据是这些卫生系统活动的共同点，所有这些活动都有利益来确保其所依赖的个人数据的隐私和匿名性。认识到这两者都是有争议的概念，我们将匿名性理解为“……当其他人无法将某人的某个特定特征与其他特征联系起来时，一个人具有匿名性或匿名性”(Wallace199924)。华莱士对匿名的定义非常符合文章中讨论的问题，因为华莱士对匿名的研究围绕着公众认知、社会互动和信息系统。Ostherr及其同事将隐私描述为“健康数据隐私不是一个稳定的自然对象，无论制定它的主体是谁，它都具有价值;相反，健康数据隐私是一个多方面的文化产物，在一个联盟和断开的复杂生态中组装和维护。Ostherr等。2017， 6)与隐私的固定定义相反，人们可以遵循Nissenabum，将隐私理解为上下文完整性，其中隐私是由给定上下文中适当的信息流定义的。适当性是由上下文的规范和价值观决定的。上下文由一组参数描述:数据主体;数据发送方;数据接收方;信息类型;和传输原理(尼森鲍姆)2010)．此外，隐私是由现有的监督系统、法律和法规控制的，而不是由个人控制的2020)．因此，许多人认为信任数据用户和机构保持匿名和隐私是一个关键问题。

研究表明，对隐私的担忧正在影响患者分享其病史的意愿(Walker et al。2017)．捐助者要能够准确地决定是否愿意分享医疗数据，并对使用这些数据的卫生行为体建立信任，就必须准确理解数据匿名的含义。否则，共享数据的决定以及随后捐赠者的信任都是基于错误的假设。

不幸的是，我们在之前关于英国卫生系统公众信任的研究中观察到，数据匿名性的限制和部分公众的严格期望之间存在紧张关系，他们的数据在用于卫生服务绩效分析和医学研究的整个过程中都必须完全匿名(Gille等人)。2020)．虽然普遍的理解是，在所有情况下都应保证完全匿名，但研究领域的理解是，完全匿名是不可行的。从研究的角度来看，需要能够将不同的数据集联系起来，因为为公共利益，即为科学发现，相互联系的个人健康数据的最大价值是发挥出来的。与数据关联相关的价值有很多，例如，在长期研究中提高准确性;在一个数据集中有一个治疗组和对照组的可能性;在环境数据与健康数据相联系的情况下，能够研究环境对健康的影响;或者在大型数据集中研究罕见疾病(维康信托基金会)2015)．所观察到的紧张关系威胁到公众对卫生系统的信任，因为公众明白，保持数据匿名性是公众对卫生系统信任的一个重要因素。在本文中，我们旨在强调我们的观察并讨论可能的补救措施。

公众要求完全匿名，但科学认识到匿名在健康数据关联时代的局限性

作为公众对卫生系统信任研究项目的一部分，对英国国家在线新闻文章(2013年至2015年间发表)及其读者对NHS护理的评论进行了二次分析。数据计划(文章:英国广播公司n = 2;英国《每日邮报》n = 16;《卫报》n = 14;独立的n = 15;电报n = 11。读者评论总数：n = 1625)确定了数据匿名性对卫生系统公众信任的重要性(Gille et al。2020)．护理。数据旨在连接和共享全科医生和医院关于个人护理的数据，以提高所有人的护理质量。然而，由于公众对保持敏感信息安全的能力以及从患者个人数据中获得商业利益的可能性的担忧，该计划失败了(Carter et al.)。2015；国民健康保险制度2014)．简而言之，“该计划旨在确保最低限度的信任，同时最大化潜在的投资回报。因此，它很快就将隐私和尊重个人自主视为反对更广泛繁荣的个人主义权利，而不是将其视为社会信任和公众参与的原则”(Vezyridis和Timmons)2019选择新闻媒体的理由是为了实现全国性的报道。报道护理的新闻文章。数据通过Google.com或者2015年新闻网页上的搜索引擎。根据NVIVO 9的主题分析方法下载读者评论并进行归纳分析。

从广泛的读者评论中，以下直接引用了来自在线新闻读者评论部分的内容，显示了部分公众是如何理解匿名在护理中的信任作用的。数据方案和更广泛的卫生系统。毫无疑问，其他读者的评论表明，公众的其他部分理解匿名的局限性。当时，英国的新闻文章讨论了引入这种护理的可能性。数据计划以及它对英国国民医疗服务体系的影响。反映了许多专业协会和公众的批评声音，大多数文章都是用批评的口吻写的，如果不是消极的语气。数据计划。

摧毁我们的信念和信任，就会一去不返。做到这一点的唯一方法要么是绝对的、牢不可破的匿名，要么根本就不……

评论:(查普曼和多兰2014）

我可能会相信这些信息得到了很好的保护，完全匿名，需要同意，但如果有一个失败(不一定是我的信息)，对系统的信任就会消失。

评论:(诺顿2014）

我希望我的数据能被共享，而且完全匿名。

评论:(Goldacre2014）

上述引文表明，部分公众对匿名性的潜在恐惧是，匿名数据将被去匿名化，并被滥用于重新识别。评论显示，这种违反保密性的行为是预料之中的，并指出这将导致对卫生系统的信任水平下降。对数据滥用的恐惧是旨在共享健康数据的个人的主要担忧，这也在各种调查中得到了证实(Middleton et al。2019；米尔恩等人。2019；Melas等人。2010)．此外，一项关于公众对商业获取健康数据的态度的研究证实了上述引述，因为研究表明，公众对数据汇总和匿名化的目的理解不足(IpsosMORI)2016)．此外，一些研究发现，公众通常不知道研究过程和个人数据在实践中的使用(Hill et al。2013；艾特肯等人。2016；威康信托基金会2013；益普索2016)．相反，那些已经参与了涉及共享遗传健康数据的研究的人表示，他们的一个相关动机是可能收到研究的个人结果(Goodman等。2018；克莱顿等人。2018；Brall等人。2021)．很明显，只有在数据没有完全匿名的情况下才能提供个人结果，但可以重新联系个人。这些来自美国和瑞士背景的发现转化为我们的观点，如果持怀疑态度的公众更好地理解数据是如何使用的，以及不同程度匿名的好处是什么，他们可能会权衡个人结果的效用与完全匿名的需要。

与上述呼吁完全匿名的言论相反，科学界一段时间以来在各个研究领域强调，在卫生系统中保持完全匿名将变得越来越困难。早在2008年，Lunshof et al.就明确指出，在基因研究数据的背景下，捐赠者“需要意识到他们是潜在的可识别的，他们的隐私不能得到保证”(Lunshof et al.)。2008, 409)。a)科学辩论和对匿名限制的了解，b)部分公众希望完全匿名，这两者之间的分歧在科学和公众之间开辟了一条鸿沟，需要弥合这条鸿沟，以保护公众对数据使用的信任。

在匿名的限制下发起公众参与活动

由于科学界讨论匿名的限制有一段时间(Kaye2012；丹卡尔等人。2019)，令人担忧的是，部分公众仍然没有充分了解匿名的限制，以及在国家数据方案和卫生研究的背景下匿名意味着什么。怀有错误期望的人会因为不必要的知识鸿沟而有被背叛的风险。考虑到当前卫生研究的发展特别依赖于关联数据的使用，例如在基因组学研究或疾病控制方面，这种知识差距将变得越来越危险。由于社会越来越多地在生活的各个领域披露和使用个人数据，合理理解匿名意味着什么是有利的。此外，如果公众充分了解研究的匿名性和数据关联，公众更有可能支持使用关联数据集的研究，并建立对研究机构的信任(Aitken et al.)。2016)．野蛮人(2016)认为，匿名并不是隐私问题的解决方案，因为完全匿名是不可能的，因此在同意过程中，甚至在公众密切接触研究之前，公开讨论和解释关于身份识别的好处和风险是明智的。因此，有充分的理由开展大规模的信息运动，与公众讨论匿名在卫生研究中的意义。在策划这样一场信息运动时，需要考虑几个问题，最重要的是:什么样的形式才能有效地解决公众关注的问题?谁应该领导这样的努力?什么是有效的论点?

弥合这一知识差距的前进道路很可能是一种混合方法，包括就匿名性和公众参与卫生数据治理过程的问题进行公开公开辩论，通过这种辩论，公众参与者不仅获得了权力，而且他们的卫生数据素养水平也得到了提高(Fischer2012)．了解患者数据等举措有助于以一种有意义的方式支持公共辩论(了解患者数据2020)．最近关于英国国民医疗服务体系内公平伙伴关系的研究和使用国民医疗服务体系患者数据的研究证实，公众参与数据治理过程，赋予公民权力，有利于增加信任(了解患者数据和Ada Lovelace研究所2020)．允许公众参与的方法是公民陪审团或替代健康数据治理模型，如健康数据合作社，其中合作社成员控制合作社内的健康数据处理(Blasimme等。2018)．除了这些积极让公众参与的可能性之外，卫生系统代表还需要证明，尽管无法提供完全匿名，但仍然有可能保护隐私。在这里，健康数据使用者有责任告知公众。这些信息应直接解决公众对匿名和隐私的关切。此外，这些信息应该解释在不匿名使用数据的情况下如何保护隐私。如何保证数据的安全?“了解患者数据倡议”建议删除识别信息、独立审查流程、法律合同和安全标准2021)．为了产生信任，理想情况下传达的信息与a)比较经验有关，以产生对预期数据使用的熟悉感;B)提供数据用户的能力，以证明他/她在没有完全匿名化数据的情况下仍有能力保护隐私;以及c)解释未来如何维护隐私(Gille和Brall)2021；Gille等人。2020)．信息的基本细节仍将根据具体国家和背景而定。一般而言，向公众通报匿名性，从而有助于建立信任的努力应分配给所有参与健康数据使用的行为体(Gille等人)。2017)．每个参与者都有责任改善健康数据的使用，因为“一个利益相关者的行动和情况也会影响网络中的各种其他利益相关者”(Brall2018, 129)。根据我们自己的研究，如图所示，这样的参与者网络。1，由健康数据使用网络的几个参与者组成。公众是这幅图的中心，提供健康数据。灰色阴影的行为者是健康数据用户，媒体(包括社交媒体)可能初步不被视为健康数据用户，但却是影响公众对匿名性理解的重要行为者和传播渠道。

可以左右匿名性讨论的行为体是学术界，学术界使用健康数据进行研究，并可以提供专家意见，政府则塑造了使用健康数据的监管格局。其他参与者包括公共机构(包括研究和医疗服务机构)、营利性组织(如制药或卫生技术公司)和非营利组织(如慈善机构或专业协会)。为了在更大范围内支持这项工作，媒体应该参与其中，因为它们是一个主要的外联工具，从上面的读者评论中可以看出，公众成员参与了这种类型的公共论坛。此外，之前关于健康运动传播策略的研究表明，要让媒体参与进来(韦克菲尔德等人)。2010)．例如，在全国拥有大量读者的报纸可能每周通过健康数据系列来讨论这些主题，读者可以提出问题，专家或健康数据用户提供答案。不仅在一般的公共卫生领域，而且在具体的卫生数据使用方面，重新思考网络及其相互依赖性以实现可持续结构是关键。仅在知情同意过程(如适用)中告知人们匿名性是不够的，因为就整个招募过程而言已经太迟了。由于对匿名性的错误理解，一些人在参与知情同意过程之前就被推迟参与。也就是说，对于参与同意过程的参与者来说，同意过程仍然是传达匿名性限制的有效而重要的过程，并对数据匿名化的实际限制提供清晰的描述。

简而言之，持份者必须携手合作，让公众参与:

• 公开讨论和解释有关识别的好处和风险。

• 让公民参与有关健康数据使用的决策，从而增强公民的权能。

• 演示如何在无法提供完全匿名的情况下保护隐私。

如果整个公众都充分了解匿名的局限性，人们就可以调整他们对匿名的期望，并做出更明智的选择。这不仅有利于研究，也会支持公众对更广泛的卫生系统的信任。

在这项研究中产生或分析的所有数据都包含在这篇发表的文章中。

我们要感谢伦敦卫生和热带医学学院的Nicholas Mays教授和Sarah Smith博士，感谢他们在Felix博士期间作为导师的宝贵指导和鼓励，以及马斯特里赫特大学的Peter博士Schröder-Bäck，感谢他们在Caroline博士期间富有成效的交流和指导。这些合作的结果构成了本文的基础。

没有收到任何资金。

作者及隶属关系

1. 瑞士联邦理工学院卫生科学与技术系伦理与政策实验室Zürich, Zürich

   Felix Gille和Caroline Brall

贡献

本文基于早期独立完成的FG和CB博士论文的一部分。两位作者都对本文的概念工作和写作做出了同样的贡献。所有作者均已阅读并批准稿件。

相应的作者

对应到Felix Gille．

相互竞争的利益

作者宣称他们之间没有利益冲突。

出版商的注意

伟德体育在线施普林格自然对出版的地图和机构从属关系中的管辖权主张保持中立。

开放获取本文遵循知识共享署名4.0国际许可协议，允许以任何媒介或格式使用、分享、改编、分发和复制，只要您对原作者和来源给予适当的署名，提供知识共享许可协议的链接，并注明是否有更改。本文中的图像或其他第三方材料包含在文章的创作共用许可协议中，除非在材料的信用额度中另有说明。如果材料未包含在文章的创作共用许可协议中，并且您的预期使用不被法定法规所允许或超出了允许的使用范围，您将需要直接获得版权所有者的许可。如欲查看本牌照的副本，请浏览http://creativecommons.org/licenses/by/4.0/．创作共用公共领域奉献弃权书(http://creativecommons.org/publicdomain/zero/1.0/)适用于本条所提供的资料，除非在资料的信用额度中另有说明。

转载及权限