Mainzelliste：十年伪匿名化、记录链接与知情同意管理的开源解决方案

《Patterns》：Mainzelliste: Ten years of pseudonymization, record linkage, and informed consent management

【字体： 大 中 小 】 时间：2025年12月17日 来源：Patterns 7.4

　　

在当今医学研究领域，患者数据往往分散存储于不同医疗机构的信息系统中。这种数据碎片化现象给跨机构研究带来三重挑战：首先，包含姓名、出生日期等直接标识符的个人身份信息（PII）需要与医疗数据（MDAT）分离存储，以防止未经授权的再识别风险；其次，缺乏统一患者标识符时，如何准确链接同一患者在不同机构的数据成为技术难题；最后，欧盟《通用数据保护条例》（GDPR）要求对患者知情同意进行全生命周期管理。这些挑战严重制约了罕见病研究和个性化医疗等领域的科研进展。

针对上述问题，德国癌症研究中心等机构联合开发了开源软件Mainzelliste。该软件历经十年发展，已成为集成伪匿名化、记录链接和知情同意管理的综合解决方案。其创新性体现在三个方面：支持多种伪匿名生成策略（包括基于Faldum-Pommerening算法的可读短伪匿名和加密生成的CryptoID）；实现从明文匹配到安全多方计算（SMPC）的多级隐私保护记录链接（PPRL）方法；以及基于HL7 FHIR标准的数字化同意管理模块。这些功能通过灵活的REST应用程序编程接口（API）与电子数据采集（EDC）系统等研究工具无缝集成。

关键技术方法包括：1）采用EpiLink算法进行容错记录链接，通过双阈值判定实现匹配/暂定匹配/不匹配的分类；2）基于Soundex算法和局部敏感哈希（LSH）的阻塞技术提升大数据集链接效率；3）通过多租户角色权限控制（RBAC）实现跨项目数据隔离；4）遵循OWASP SAMM安全开发生命周期规范，包括持续集成/持续交付（CI/CD）管道和自动安全扫描。

伪匿名化机制

Mainzelliste支持内部/外部生成、持久/非持久以及单/多伪匿名三类生成方式。特别值得注意的是，其生成的伪匿名均为"非语义化"标识符，即不能从中推断任何患者个人信息。对于需要人工处理的场景，软件可生成符合Faldum-Pommerening算法的自校验短伪匿名；而对于程序化交互，则推荐使用加密生成的CryptoID。这种设计既满足了不同场景下的可用性需求，又确保了隐私保护强度。

记录链接技术

系统通过可配置的相似度阈值实现误差容忍链接。当两条记录相似度处于黄色暂定匹配区间时，可启动冲突解决流程，由授权人员手动判定是否属于同一患者。为处理患者信息变更（如婚嫁、住址变动），软件创新性地引入别名身份概念，允许为同一患者存储多个历史身份记录，同时仅向用户显示主身份信息。这种设计有效解决了因信息更新导致的链接断裂问题。

隐私保护记录链接

针对不同安全需求，系统提供三级PPRL方案：明文匹配适用于本地或DPC覆盖的场景；Bloom过滤器编码方式可在不暴露原始数据的前提下计算相似度；最高安全级别采用SMPC加密协议，通过Mainzelliste安全EpiLinker（MainSEL）扩展实现。在CORD_MI项目中，MainSEL成功完成了8所大学医院的集合基数计算，证明了该技术在多中心研究中的可行性。

同意管理创新

基于HL7 FHIR标准的同意资源模型，系统支持模块化知情同意的数字化管理。通过可复用同意模板功能，研究机构可快速部署符合德国全国统一Broad Consent规范的同意表单。每个复选框都与数据使用指令数字化关联，确保同意执行的精确性和可追溯性。扫描版同意书可通过Base64编码嵌入FHIR DocumentReference资源，并与数字化同意建立Provenance资源关联。

系统集成方案

通过会话令牌机制，Mainzelliste可实现与宿主应用的深度集成。如图4所示，当用户在EDC系统中注册新患者时，系统通过创建addPatient令牌和回调URL，实现PII与伪匿名的分离传输。这种设计确保EDC系统不接触PII，用户浏览器不获取内部伪匿名，完美践行了数据最小化原则。目前该API已成功集成于REDCap、STARKIT EDC系统等多个主流研究平台。

管理界面优化

图形用户界面（GUI）提供患者列表实时过滤、CSV批量操作和同意状态追踪等功能。如图5所示，管理员可通过直观界面执行所有核心操作，同时系统会基于预设权限自动过滤跨租户数据。界面设计严格遵循最小权限原则，不同角色用户仅能看到授权范围内的数据和功能。

安全架构设计

系统采用纵深防御策略，结合API密钥/OAuth认证、多租户RBAC和操作审计日志三重保障。在LeMeDaRT项目的白盒渗透测试中，Mainzelliste展现出良好的安全韧性。开发流程严格遵循安全开源原则，所有代码变更均经过社区审查，并采用SonarQube等工具进行持续漏洞扫描。

研究表明，Mainzelliste的成功不仅体现在技术创新，更在于其开创了"研究者共建"的开源发展模式。通过社区协作，相继集成了Soundex/LSH阻塞、审计轨迹、德国医保标识符支持等特性。与EUPID、MOSAIC套件等同类工具相比，其独特优势在于深度解耦的API设计和SMPC级安全链接能力。在OnkoFDZ等大型项目中，Mainzelliste已成为支撑跨机构数据链接的关键基础设施，为符合GDPR规范的医学研究树立了技术标杆。

该研究的核心价值在于证明：即使涉及高度敏感的患者数据管理，通过开源社区协作同样可开发出企业级解决方案。Mainzelliste的十年发展历程，为学术型开源软件的可持续发展提供了重要范本。未来，随着SMPC等隐私增强技术的成熟，Mainzelliste有望在联邦学习、真实世界研究等新兴领域发挥更大价值。