Privacy Preservation of Electronic Health Records in the Modern Era: A Systematic Survey
電子健康紀錄在現代時代的隱私保護-系統性調查論文深度分析總結

作者：Raza Nowrozy、Khandakar Ahmed、A. S. M. Kayes、Hua Wang、Timothy R. McIntosh
期刊：ACM Computing Surveys，Volume 56, Issue 8, Article 204（2024 年 4 月出版）
研究範圍：系統性回顧 2012–2022 年共 130 篇相關論文

核心問題與動機

電子健康紀錄（Electronic Health Records, EHR）將傳統紙本醫療檔案轉為數位形式，帶來成本降低、照護品質提升、跨機構協作便利等優勢，但也暴露嚴重隱私風險。論文指出，EHR 包含高度敏感的個人醫療歷史、身分識別資料與治療紀錄，一旦遭竊或洩露，可能導致身分盜用、歧視、經濟損失，甚至影響患者就醫意願。
現代時代的特殊挑戰包括： 

• 數位化與行動化：行動裝置、多雲端儲存、IoT 醫療設備增加攻擊面，傳統紙本時代的物理安全已不適用。 
• 法規與標準不一致：HIPAA（美國）、GDPR（歐盟）、澳洲 My Health Record 等法規雖要求隱私保護，但未明確規範具體實作方式，導致各地實務差異大。 
• 術語混淆：文獻中「Privacy（隱私）」「Confidentiality（保密）」「Security（安全）」三詞常被互換使用，造成開發者與研究者對「保護什麼」認知模糊，進而影響解決方案的有效性。 
• 真實世界案例：論文舉例澳洲 My Health Record 多次外洩、英國 NHS 暴露 15 萬筆個人資料，以及全球累計超過 1.12 億筆健康資料外洩事件，證明健康資料外洩是成本最高的安全事故之一。
  動機在於：現有 EHR 系統雖已導入加密等技術，但仍無法全面滿足「患者中心」（patient-centric）需求，也缺乏跨利害關係人（醫師、研究機構、藥師、保險公司）的安全共享機制。論文希望透過系統性調查，釐清 PCS（Privacy, Confidentiality, Security）定義差異，並為未來融合式解決方案奠基。這不只是技術問題，更是信任建立、醫療公平性與公共衛生安全的根本課題。

結果／成果

作者採用 Kitchenham 系統性回顧方法，經資料庫搜尋（Google Scholar、ACM DL、IEEE Xplore 等）與 snowballing 後，篩選出 2012–2022 年 130 篇核心論文（期刊論文占比約 60%）。研究聚焦四類主流隱私保護技術，並以表格形式整理每類技術的優缺點、適用情境與代表性工具。
主要成果分類如下： 

• 存取控制（Access Control）：RBAC（角色基礎）、ABAC（屬性基礎）、ACL 等。優點：精細權限管理、降低管理負擔；缺點：需人工維護、易發生「角色爆炸」漏洞。 
• 區塊鏈（Blockchain）：如 Ancile（6 個智慧合約框架）、Medicalchain、MedRec、Healthchain。優點：不可竄改性、資料來源追蹤（provenance）、去中心化共享；代表性應用包括以太坊 PoS 儲存元資料、Hyperledger Fabric 實現患者主導存取。 
• 雲端基礎（Cloud-based）：結合 ABE（屬性基礎加密）與知識圖譜，提供大規模儲存、快速恢復與跨裝置同步。優點：可擴展性高、部署迅速；缺點：平台相依性、停機風險與成本波動。 
• 密碼學（Cryptography）：CP-ABE、KP-ABE、Proxy Re-Encryption、可搜尋加密（Searchable Encryption）、全同態加密（FHE）。優點：實現精細授權與資料保密；缺點：金鑰管理複雜、計算開銷大、易受物理攻擊。
  趨勢觀察：2018 年後區塊鏈與混合式架構論文大幅增加；多數工具採「聯盟鏈 + 雲端 + 加密」混合模式。論文另整理 Table 5–8，詳細比對 35 種技術在 PCS 三面向的覆蓋程度，並提出「融合技術」建議（如區塊鏈 + ABE），以同時滿足所有 PCS 需求。

分析與洞見

多面向比較：單一技術皆有局限 - - 存取控制基礎但依賴人工；區塊鏈提供信任但面臨可擴展性、能源消耗與智慧合約漏洞（re-entrancy、unchecked send）；雲端高效卻有單點故障風險；密碼學安全卻在金鑰分發與即時查詢上吃力。論文洞見：無單一最佳解，融合是必然趨勢。例如 Ancile 框架同時使用 6 個合約處理不同存取情境，即是實務融合典範。
脈絡與實際影響： 

• 患者端：傳統系統常讓患者喪失資料控制權，區塊鏈可實現「患者擁有並授權」模式，提升信任與參與度。 
• 機構端：研究機構與保險公司需共享資料進行 AI 訓練，匿名化 + 可搜尋加密可平衡效用與隱私（utility-privacy trade-off）。 
• 邊緣案例：緊急醫療情境下，傳統加密可能延遲救援；論文暗示需設計「可中斷隱私」機制（break-glass access）。另在低資源環境（如發展中國家），計算密集型技術（如 FHE）可能不切實際，需考慮輕量級替代方案。 
• 法規與倫理：GDPR 要求「被遺忘權」，但區塊鏈不可竄改特性形成衝突，需額外設計「可撤銷」層。
  深層洞見： 
• 技術外，人文與組織因素同樣關鍵 - - 醫護人員訓練不足、政策未跟上技術，皆會放大風險。 
• 未來研究缺口：真實 EHR 資料集測試不足、跨國互操作性、對惡意伺服器／用戶的懲罰機制、AI 時代下差分隱私與聯邦學習的整合。論文特別強調，未來應將 PCS 三者明確區分，並納入標準制定流程。

結論

論文總結：EHR 隱私保護已是醫療數位轉型的關鍵瓶頸，過去十年技術雖快速演進，但因 PCS 定義混亂與單一技術侷限，尚未達到理想的「安全、共享、患者中心」平衡。130 篇文獻顯示，存取控制、區塊鏈、雲端與密碼學四類技術已成主流，融合應用則是最佳實務方向。
主要建議： 

1. 開發者應在設計初期即明確區分 PCS 三概念，避免術語混淆。 
2. 優先採用混合架構（如區塊鏈 + 屬性加密），同時滿足不可竄改性、細粒度控制與可擴展性。 
3. 政策制定者需推動跨國標準，確保合規同時兼顧創新。 
4. 後續研究應聚焦真實世界部署、邊緣案例測試，以及與新興技術（如量子安全加密、聯邦學習）的整合。
   總體而言，這篇系統性調查不僅提供全面技術地圖，更為研究者與實務工作者勾勒出清晰的未來藍圖：唯有技術、法律與人文三者並重，才能真正實現「在保護隱私的前提下，最大化健康資料的社會價值」。
   文章連結： 

• 官方頁面：https://dl.acm.org/doi/10.1145/3653297 
• PDF下載：https://dl.acm.org/doi/pdf/10.1145/3653297