DICOM医学影像数据脱敏规范

DICOM医学影像数据脱敏规范范围本文件规定了DICOM医学影像数据脱敏技术的术语和定义、必要脱敏项、脱敏方法、脱敏流程以及标准脱敏程序。本文件适用于具有医学影像数据使用需求的各级各类医疗机构。规范性引用文件下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。ISO12052DICOM医学数字成像和通信标准WS/T548-2017 医学数字影像通信（DICOM）中文标准符合性测试规范GB/T40421-2021 健康信息学消息与通信DICOM持久对象的网络访问DB3301/T0363—2022 公共数据脱敏管理规范术语和定义下列术语和定义适用于本文件。DICOMDigitalImagingandCommunicationsinMedicine，即医学数字成像和通信，是医学图像和相关信息的国际标准，定义了质量能满足临床需要的可用于数据交换的医学图像格式。医学影像指为了医疗或医学研究，对人体或人体某部分，以非侵入方式取得内部组织影像的技术与处理过程。数据脱敏指对某些敏感信息通过脱敏规则进行数据的变形，实现敏感隐私数据的可靠保护。必要脱敏数据项医学影像脱敏过程中必须加密或隐去的数据项。数据校验数据校验是为了保证数据的完整性进行的一种验证操作，通常用一种指定的算法对原始数据计算出的一个校验值，再对脱敏后数据计算一次校验值，如果两次计算得到的校验值相同，则说明数据是完整的。强口令强口令是指一种应包含大小写字母、数字和特殊字符，长度通常不少于8个字符的复杂密码。Hash校验Hash校验方法是一种用于验证数据完整性的技术。它通过将任意长度的数据转换为固定长度的字符串,称为Hash值或者摘要,以实现数据的校验和和完整性验证。缩略语下列缩略语适用于本文件。GUI图形用户界面（GraphicalUserInterface）总体要求合规安全应遵守相关法规和规定，建立合规性管理措施，包括数据隐私保护、数据审计追踪等，以确保医学影像数据的合规性和安全性。真实有效数据脱敏后应具备真实和有效性。脱敏后的数据应真实地体现原始数据的特征，并且原始信息中包含的敏感信息应已被消除，无法通过处理后的数据得到敏感信息。软硬件要求软件要求通用于国内外主流操作系统等。硬件要求应配备显示设备的计算机和具有存储功能的移动硬盘或U盘。其他要求外接存储设备应经过杀毒或格式化处理方可进行脱敏数据的保存。脱敏操作应在数据副本上进行，不可在源数据上进行，保证原始数据的完整性。未经过脱敏的数据不得被拷贝到外接存储设备。脱敏流程数据备份在进行任何脱敏步骤之前，应首先确保对原始数据进行备份，以防止意外数据丢失或在脱敏过程中将源数据破坏。指定脱敏策略制定DICOM数据的读取方式可使用通用数据编程语言，对数据信息进行读取。确定必要脱敏的数据项确定必要脱敏的数据项分别为患者姓名、检查号和序列号等可以唯一标识患者并可以溯源到患者本人的信息。必要脱敏数据项列表见表1。表1必要脱敏数据项列表GroupElementTagDescription中文解释患者相关标签00100010Patient’sName患者姓名00100020PatientID患者ID00100021IssuerofPatientID发布患者ID的机构00100030Patient’sBirthDate患者出生日期00100032Patient’sBirthTime患者出生时间00101040Patient'sAddress患者地址00102150Patient'sTelephoneNumbers患者联系电话001021B0AdditionalPatientHistory患者病史记录001021C0PregnancyStatus

患者怀孕状态001021D0LastMenstrualDate患者最后一次月经日期001021F0Patient'sReligiousPreference患者宗教信仰001021E0ClinicalTrialParticipationFlag参与临床试验标志00102201DiagnosisDescription诊断描述检查相关标签00080050AccessionNumber访问号00200010StudyID检查ID0020000DStudyInstanceUID检查实例号00080020StudyDate检查日期00080030StudyTime检查时间序列相关标签00200011SeriesNumber序列号0020000ESeriesInstanceUID序列实例号00080021SeriesDate检查日期00080031SeriesTime检查时间确定脱敏方式彻底删除数据项的值域信息方式，将必须删除项和自定义删除项的值域信息全部赋值为NULL，保证数据脱敏的不可逆性。安全存储和共享脱敏后的医学影像数据应以安全的方式存储，并遵循相关隐私保护和数据安全规定。在共享数据时，应只提供必要的信息，并对数据采取强口令文件加密，以防止未经授权的访问和数据泄露。脱敏规范流程见图1。图1脱敏流程图数据归档患者级数据归档将脱敏后的DICOM数据按照患者进行分类和整理，每个患者级的文件夹按照脱敏时间的先后顺序命名。时间级数据归档对每个患者级的数据按照检查的时间先后进行分类。检查类型级数据归档对每个时间级的数据按照检查类型进行分类，如CT、核磁、放射、超声等。存储介质选择应选择适当的存储介质存储归档的脱敏数据。常见的存储介质包括硬盘、光盘、云存储等，根据需求和资源可用性进行选择。存储管理和维护应建立数据管理和维护机制，包括定期检查存储设备的健康状态、数据完整性验证、存储空间管理等，确保数据长期可用性和完整性。数据验证数据完整性验证应确保脱敏后的数据文件完整无损。可采用国内外主流数据校验算法对原始数据和脱敏后的数据进行比对，检查是否存在数据损坏或缺失。数据格式验证验证脱敏后的数据是否符合DICOM格式的规范要求。可使用DICOM工具或解析器来读取和解析脱敏后的数据文件，确保其结构和数据信息正确。数据内容验证验证脱敏后的数据是否仍然保留了图像数据和已保留关键元数据。利用Hash校验来确保DICOM文件的数据内容在脱敏过程中未被非预期修改，保证数据的一致性。在脱敏前，对原始DICOM文件的图像数据和关键元数据生成Hash值。在脱敏处理后，同样对DICOM文件的图像数据和已保留的关键元数据生成新的Hash值。对比脱敏前后的Hash值，检查二者是否一致。Hash值一致表示数据未被非预期修改，不一致则需检查脱敏过程中可能的数据损失或错误。数据隐私保护验证验证脱敏后的数据是否已经有效地保护了患者的隐私信息。可检查脱敏后的数据文件中是否还存在明文的身份识别信息，以及是否存在可能导致个人信息泄露的其他敏感信息。数据访问控制验证验证脱敏后的数据是否已经设置了适当的访问控制措施，以防止未经授权的访问。可以模拟不同的用户角色或权限，尝试访问脱敏后的数据，验证访问控制机制的有效性。

参考文献[1]李连焕.基于DICOM3.0标准的PACS教学系统的建设与应用[J].科技传播,2015,7(10):77+89.DOI:10.16607/ki.1674-6708.2015.10.048.[2]师为礼,宋野,颜雁.基于DICOM3.0标准的医学图像传输的研究与实现[J].长春理工大学学报(自然科学版),2008(01):121-123.[3]姜璐,朱斌,舒华忠等.基于DICOM3.0标准的细胞病理图像文件格式及传输设计[J].中国生物医学工程学报,2004(06):490-497.[4]欧晓光.医学数字影像和通信标准DICOM3