哮喘远程监测中的患者隐私保护策略

哮喘远程监测中的患者隐私保护策略演讲人01哮喘远程监测中的患者隐私保护策略02哮喘远程监测中的隐私风险识别与分析03技术层面的隐私保护策略：构建“全流程防护网”04管理与流程层面的隐私保护策略：构建“制度保障体系”05法规与标准层面的遵循：筑牢“合规底线”06伦理与人文关怀层面的考量：平衡“效率与隐私”07未来挑战与趋势：迈向“智能+隐私”的新范式目录01哮喘远程监测中的患者隐私保护策略哮喘远程监测中的患者隐私保护策略引言哮喘作为一种慢性呼吸系统疾病，其管理需要长期、连续的监测与干预。近年来，随着物联网（IoT）、可穿戴设备和移动医疗技术的发展，哮喘远程监测系统通过实时采集患者的生理指标（如呼气峰流速、PEFR）、症状变化、用药情况及环境暴露数据，为个性化治疗提供了有力支撑。然而，这些数据往往包含患者的敏感信息——从日常活动轨迹到夜间发作频率，从用药依从性到居住环境中的过敏原暴露，一旦泄露或滥用，不仅可能侵犯患者隐私，更可能对其就业、保险、社会关系等造成潜在威胁。在参与某三甲医院哮喘远程监测项目的实践中，我曾遇到一位老年患者因担心“被陌生人知道晚上总咳嗽”而拒绝佩戴监测设备；也曾目睹某初创企业因未对云端存储数据进行加密，导致500余名患者的监测记录在数据库攻击中泄露。哮喘远程监测中的患者隐私保护策略这些经历让我深刻认识到：隐私保护不是远程监测的“附加项”，而是决定技术能否真正落地、能否赢得患者信任的“生命线”。本文将从隐私风险识别、技术防护、管理机制、法规遵循、伦理人文及未来趋势六个维度，系统阐述哮喘远程监测中的患者隐私保护策略，旨在构建“安全可及、隐私优先”的监测生态，让技术真正服务于患者的健康需求。02哮喘远程监测中的隐私风险识别与分析哮喘远程监测中的隐私风险识别与分析隐私保护的前提是精准识别风险。哮喘远程监测涉及数据采集、传输、存储、使用、共享及销毁的全生命周期，每个环节均存在潜在的隐私泄露风险，需结合技术特性与场景特点进行深度剖析。数据采集环节：设备与终端的安全漏洞设备本身的脆弱性哮喘监测设备（如智能峰流速仪、穿戴式血氧仪、环境传感器）往往具备数据采集与无线传输功能，但其硬件设计与软件系统可能存在安全漏洞。例如，部分设备为降低成本，采用默认或弱密码（如“123456”），易被攻击者破解并远程控制，从而窃取实时监测数据；设备固件若未及时更新，可能被植入恶意代码，成为“僵尸节点”，持续向外部泄露患者信息。数据采集环节：设备与终端的安全漏洞用户操作的不确定性患者多为非技术专业人士，可能因操作不当导致隐私泄露。例如，在连接公共Wi-Fi时使用监测设备，数据传输过程易被中间人截获；将设备借给他人使用时，未及时清除历史数据，导致个人健康信息被无关人员获取。此外，部分设备需与手机APP绑定，若手机本身感染恶意软件，监测数据将同步面临泄露风险。数据传输环节：网络通信的中间人攻击哮喘监测数据通常通过蓝牙、Wi-Fi、蜂窝网络（4G/5G）等方式传输至云端或医疗机构。这些通信信道若未采用加密技术，攻击者可通过“中间人攻击”（MITM）拦截数据包，窃取患者的呼吸频率、用药时间、地理位置等敏感信息。例如，某品牌哮喘监测APP曾因未对蓝牙传输数据加密，导致攻击者在设备与手机10米范围内即可截取患者的夜间发作记录。数据存储环节：云端与终端的安全威胁云端存储的集中化风险远程监测数据多存储于云服务器，其集中化特性成为攻击者的“高价值目标”。若云服务商未采取足够的安全措施（如访问控制、数据备份、入侵检测），易发生数据泄露事件。例如，2022年某哮喘管理平台的云数据库因配置错误，暴露了超过10万患者的姓名、身份证号、监测数据及联系方式，导致部分患者接到精准诈骗电话。数据存储环节：云端与终端的安全威胁终端存储的物理泄露患者手机、平板等终端设备中存储的监测数据（如历史曲线、预警记录），若设备丢失或被盗，且未设置锁屏密码、加密保护，数据可能被直接读取。此外，二手设备未彻底清除数据时，患者的健康信息也可能被后续使用者获取。数据使用环节：内部滥用与算法歧视内部人员的越权访问医疗机构、设备厂商、第三方平台的工作人员可能因工作需要接触监测数据，但若缺乏严格的权限管理，存在“越权访问”风险。例如，某医院护士为“完成科研任务”，私自调取200余名哮喘患者的夜间监测数据用于论文撰写，侵犯了患者的隐私权与知情权。数据使用环节：内部滥用与算法歧视算法分析的隐私泄露部分远程监测系统通过AI算法分析患者数据，以预测哮喘发作风险或优化治疗方案。但若算法模型未经过匿名化处理，可能通过“数据画像”反推出患者的身份信息（如结合年龄、性别、发作时间推断特定患者）。此外，算法若基于敏感特征（如种族、职业）进行歧视性分析，可能对患者造成二次伤害。数据共享环节：第三方合作的风险扩散哮喘远程监测常涉及多方协作——医疗机构、设备厂商、药企、保险公司等。数据在共享过程中，若未签订严格的隐私协议、未对第三方进行安全审计，可能导致数据失控。例如，某药企与监测平台合作研究药物疗效，但未限制数据的二次使用，导致患者数据被转售给广告公司，用于精准推送哮喘药品广告。数据销毁环节：生命周期管理的缺失根据法规要求，数据在达到保存期限后需彻底销毁，但部分系统仅进行“逻辑删除”（即标记为“已删除”但数据仍可恢复），或未明确销毁流程，导致患者数据长期留存，存在泄露隐患。03技术层面的隐私保护策略：构建“全流程防护网”技术层面的隐私保护策略：构建“全流程防护网”针对上述风险，需从技术层面构建“采集-传输-存储-使用-共享-销毁”全流程的隐私保护体系，通过加密、访问控制、匿名化等技术手段，确保数据“可用不可见、可用不可泄”。数据采集：强化设备与终端的安全能力设备安全加固-身份认证与访问控制：监测设备需启用强密码策略（如至少8位包含大小写字母、数字、符号的组合密码），并支持密码定期修改；采用双因素认证（如手机验证码+设备指纹），防止未授权设备接入。-固件安全更新：设备厂商需建立固件安全响应机制，定期发布安全补丁，并通过OTA（空中下载）技术推送更新，确保设备漏洞及时修复。-物理防护设计：对于可穿戴设备，可采用“设备绑定”功能（如与患者手机MAC地址绑定），防止设备被他人盗用；支持远程锁定或数据擦除，在设备丢失时保护数据安全。数据采集：强化设备与终端的安全能力用户操作引导在设备说明书中以“图文结合+案例警示”的方式，告知患者隐私风险（如“勿在公共Wi-Fi下同步数据”）；开发“一键隐私保护”功能，如快速断开网络连接、清除历史缓存；对于老年患者，可提供远程客服指导，降低操作失误风险。数据传输：建立加密通信与通道保护传输加密技术-链路层加密：采用TLS1.3（传输层安全协议）对数据传输过程加密，确保数据在传输过程中即使被截获也无法被解读。例如，监测设备与手机APP之间的蓝牙通信，可使用BLE（低功耗蓝牙）加密协议；设备与云端之间的数据传输，需通过HTTPS（安全超文本传输协议）实现端到端加密。-应用层加密：对敏感数据（如患者身份信息、监测数值）在应用层进行二次加密，如采用AES-256（高级加密标准）算法，即使传输协议被破解，数据仍保持加密状态。数据传输：建立加密通信与通道保护防中间人攻击机制通信双方需进行“证书验证”，确保数据接收方为合法设备（如监测设备仅与绑定的手机APP通信）；定期更新数字证书，防止过期证书被利用；对于关键数据（如哮喘发作预警信息），可采用“数字签名”技术，确保数据未被篡改。数据存储：实现云端与终端的双重保护云端存储安全-数据分类分级：根据数据敏感度将监测数据分为“公开信息”（如设备型号）、“低敏感信息”（如监测时间戳）、“高敏感信息”（如患者身份标识、生理指标），对不同级别数据采取差异化存储策略。01-访问控制与审计：实施“最小权限原则”，仅授权相关人员访问必要数据（如医生仅可查看就诊患者的数据）；建立操作日志，记录数据访问的时间、人员、操作内容，并定期审计，发现异常行为及时预警。03-加密存储：高敏感数据需采用“静态加密”技术（如AES-256），即使数据库被物理窃取，数据也无法被读取；采用“加密密钥管理”（如KMS，密钥管理系统），实现密钥与数据分离，防止密钥泄露导致数据解密。02数据存储：实现云端与终端的双重保护终端存储安全-设备加密：要求患者手机/平板启用全盘加密（如iOS的“文件数据保护”、Android的“BitLocker”），监测数据存储在加密分区中；支持“应用锁”功能，为监测APP设置独立密码，防止他人随意查看。-数据隔离：监测数据与其他应用数据（如社交软件、照片）物理隔离，避免因手机感染恶意软件导致数据交叉泄露；支持“隐私模式”，在设备锁定时自动隐藏监测数据。数据使用：保障算法安全与权限管控隐私保护算法-匿名化与假名化：在数据用于科研或分析前，采用“k-匿名”技术（如将患者年龄、性别、居住地等属性泛化为“k个不可区分的个体”），或“假名化”处理（用唯一标识符替代患者姓名、身份证号，仅授权机构掌握标识符与真实身份的映射关系），防止数据反向识别。01-差分隐私：在数据集中添加经过精确计算的“噪声”，使得查询结果无法反映单个患者的信息，同时保证整体数据的统计准确性。例如，在分析“某地区哮喘患者夜间发作率”时，差分隐私可确保“某患者是否发作”无法从结果中推断出来。02-联邦学习：若需多方联合训练AI模型（如医院、药企合作研究药物效果），可采用联邦学习技术——数据保留在本地，仅上传模型参数至云端进行聚合，不共享原始数据，实现“数据可用不可见”。03数据使用：保障算法安全与权限管控权限精细化管理建立“基于角色的访问控制（RBAC）”体系，根据用户角色（如医生、护士、研究人员、患者）分配不同权限：医生可查看患者的实时监测数据与历史记录，但无权导出原始数据；研究人员仅可访问匿名化后的统计数据；患者可查看自身数据，并授权医生访问特定时间段的数据。同时，支持“动态权限调整”，如患者可随时撤销对医生的访问授权。数据共享：建立可控的共享机制第三方安全评估在与医疗机构、药企等第三方共享数据前，需对其安全资质进行严格审核（如是否通过ISO27001信息安全认证、是否有完善的隐私保护制度）；签订数据共享协议，明确数据用途、范围、安全责任及违约处罚，并要求第三方签署“保密承诺书”。数据共享：建立可控的共享机制安全数据传输与使用共享数据需通过“安全通道”（如VPN、加密邮件）传输，并采用“数据水印”技术，在数据中嵌入接收方标识，一旦数据被泄露，可追溯来源；限制数据的二次使用，如禁止第三方将数据转售给其他机构或用于与哮喘管理无关的用途。数据销毁：确保彻底与可追溯销毁流程标准化制定数据销毁管理制度，明确不同类型数据的保存期限（如根据《医疗质量管理条例》，患者监测数据保存期限不少于15年）；销毁前需进行“脱敏处理”（如彻底删除加密密钥、覆盖存储介质），确保数据无法被恢复。数据销毁：确保彻底与可追溯销毁记录与审计记录数据销毁的时间、操作人员、销毁方式（如逻辑删除、物理销毁），并生成不可篡改的审计日志；定期对销毁流程进行抽查，确保制度落实到位。04管理与流程层面的隐私保护策略：构建“制度保障体系”管理与流程层面的隐私保护策略：构建“制度保障体系”技术是隐私保护的“硬防线”，而管理流程则是“软约束”。需通过组织架构、制度规范、人员培训、患者赋权等管理手段，确保技术措施落地生根，形成“技术+管理”的双重保障。组织架构：明确责任主体与分工设立数据保护官（DPO）根据《个人信息保护法》要求，医疗机构或设备厂商应设立数据保护官（DPO），负责统筹隐私保护工作，包括制定隐私政策、监督技术实施、处理隐私投诉、对接监管机构等。DPO需具备医学、信息技术、法律等复合背景，直接向高层管理者汇报，确保其独立性与权威性。组织架构：明确责任主体与分工跨部门协作机制建立“技术部-法务部-临床部-隐私办”的跨部门协作小组：技术部负责隐私保护技术的研发与实施；法务部负责审查隐私协议、确保法规合规；临床部负责将隐私保护需求融入监测流程（如知情同意书设计）；隐私办负责日常监督与审计，形成“责任共担”的协作模式。制度规范：构建全流程管理制度隐私保护政策制定《哮喘远程监测隐私保护政策》，以“通俗易懂+详细具体”的方式，向患者说明：数据采集的内容（如呼吸频率、用药记录）、数据的使用目的（如治疗指导、科研分析）、数据共享的范围（如仅与主治医生共享）、数据存储的期限（如数据保存15年）及患者的权利（如查询、更正、删除数据）。政策需通过官方网站、APP、纸质手册等渠道公开，并在患者注册时强制阅读确认。制度规范：构建全流程管理制度数据生命周期管理制度针对数据的采集、传输、存储、使用、共享、销毁各环节，制定详细的操作规范。例如，数据采集环节需“最小化采集”，仅收集与哮喘管理直接相关的数据；数据传输环节需“全程加密”，禁止使用明文传输；数据存储环节需“分类分级”，高敏感数据需加密存储并异地备份。制度规范：构建全流程管理制度应急响应预案制定《隐私泄露应急预案》，明确泄露事件的分级标准（如一般泄露、严重泄露、特别严重泄露）、响应流程（如发现泄露→立即止损→评估影响→通知患者→上报监管→整改修复）、责任分工（如技术部负责技术止损，法务部负责法律应对，临床部负责患者安抚）及演练机制（每半年组织一次应急演练，提升响应能力）。人员培训：提升全员隐私保护意识分类培训与考核-技术人员：重点培训数据加密、安全审计、漏洞修复等技术技能，要求掌握常见攻击手段的防范措施（如SQL注入、XSS攻击）；-临床人员：重点培训隐私政策解读、患者沟通技巧、数据访问规范，强调“不越权查看、不随意泄露、不违规使用”的职业操守；-管理人员：重点培训法规要求（如GDPR、HIPAA、个保法）、风险管理方法，提升隐私保护的决策能力。培训后需进行考核，不合格者不得上岗，并定期组织复训，确保知识更新。人员培训：提升全员隐私保护意识案例警示教育收集国内外哮喘远程监测隐私泄露案例（如前文提及的数据库泄露事件），通过“案例还原+后果分析”的方式，让员工深刻认识隐私泄露的危害性（如患者信任危机、机构声誉受损、法律处罚），强化“隐私无小事”的责任意识。患者赋权：保障患者的数据权利隐私保护的核心是“以患者为中心”，需通过知情同意、数据访问、可携权、删除权等机制，让患者成为自身数据的主导者。患者赋权：保障患者的数据权利知情同意：从“被动告知”到“主动选择”-分层知情同意：将知情同意内容分为“基础层”（数据采集、传输、存储的基本目的）和“扩展层”（数据用于科研、共享给第三方等），患者可根据意愿选择同意或拒绝，不得“一揽子同意”。01-动态同意管理：在监测过程中，若数据用途发生变化（如新增与药企的数据共享），需重新获取患者同意；支持“随时撤回同意”，患者撤回后，相关数据使用需立即停止。02-通俗化表达：避免使用“个人信息处理者、数据主体”等专业术语，采用“您的健康数据会如何被使用”“谁会看到您的数据”等通俗语言，配合图表、视频等形式，确保患者理解同意的内容。03患者赋权：保障患者的数据权利数据访问权：让患者“看得见”自己的数据开发患者专属的“隐私管理平台”，支持患者在线查看自身监测数据的采集记录、访问日志、共享范围；提供数据导出功能（如生成PDF、CSV格式），方便患者携带数据至其他医疗机构就诊；对于数据中的错误信息（如监测时间戳错误），支持患者在线申请更正。患者赋权：保障患者的数据权利数据可携权与删除权：让患者“带得走、删得掉”根据《个人信息保护法》要求，需支持患者将监测数据以“结构化、通用化”的格式导出，方便迁移至其他监测平台；在患者要求删除数据时（如停止使用监测服务），需在30日内彻底删除（包括备份数据），并出具“数据删除证明”，消除患者的后顾之忧。05法规与标准层面的遵循：筑牢“合规底线”法规与标准层面的遵循：筑牢“合规底线”隐私保护不仅是技术与管理问题，更是法律合规问题。需严格遵循国内外相关法规与行业标准，确保远程监测活动在合法框架内运行，避免法律风险。国内外核心法规解析欧盟《通用数据保护条例》（GDPR）GDPR对医疗健康数据（作为“特殊类别个人数据”）提出了严格要求：数据处理需有“明确同意”或“特定法律基础”；数据主体享有被遗忘权、数据可携权；数据泄露需在72小时内通知监管机构，否则可能面临全球年营收4%的罚款。对于面向欧盟患者的哮喘远程监测系统，需确保数据处理流程符合GDPR要求，如获得患者的“明确同意”（需勾选“我同意”并填写时间戳），而非“默认勾选”。国内外核心法规解析美国《健康保险可携性与责任法案》（HIPAA）HIPAA将哮喘监测数据视为“受保护的健康信息（PHI）”，要求医疗机构、其商业伙伴（如设备厂商）采取必要措施保障PHI安全，包括实施物理safeguards（如服务器访问控制）、technicalsafeguards（如数据加密）、administrativesafeguards（如员工培训）；若发生PHI泄露，需通知患者和卫生与公众服务部（HHS），可能面临高额罚款（单个违规事件最高可达5万美元）。3.中国《个人信息保护法》《数据安全法》《医疗健康数据安全管理规范》-《个人信息保护法》：明确“健康数据”为敏感个人信息，处理需取得个人“单独同意”；要求个人信息处理者定期进行合规审计；对违法处理敏感信息的，可处5000万元以下或上一年度营业额5%的罚款。国内外核心法规解析美国《健康保险可携性与责任法案》（HIPAA）-《数据安全法》：要求数据处理者建立健全数据安全管理制度，开展数据风险评估，对重要数据实行“全生命周期管理”；医疗健康数据属于“重要数据”，需进行重点保护。-《医疗健康数据安全管理规范》（GB/T42430-2023）：规定了医疗健康数据在采集、存储、传输、使用、共享等环节的安全管理要求，如“医疗健康数据应采用加密方式存储”“共享医疗健康数据前应进行安全评估”。行业标准的实践应用1.ISO27799:2016《健康信息安全国际标准》该标准提供了健康信息管理的框架，包括风险评估、访问控制、员工意识、物理安全等内容。哮喘远程监测系统可依据ISO27799建立信息安全管理体系（ISMS），如通过“风险评估”识别数据泄露风险，制定“风险处置计划”；实施“访问控制”策略，确保仅授权人员访问数据。2.HL7FHIR（FastHealthcareInteroperabilityResources）FHIR是医疗数据交换的开放标准，支持“以患者为中心”的数据交互，同时内置隐私保护机制（如“资源授权”“患者隐私标签”）。采用FHIR标准构建哮喘远程监测系统，可实现不同医疗机构间的数据安全共享，同时支持患者通过“患者授权”功能控制数据访问范围。合规审计与持续改进建立“内部审计+外部评估”的合规机制：内部审计由隐私办或第三方机构定期开展，检查法规遵循情况（如是否获得患者单独同意、数据是否加密存储）；外部评估可邀请监管机构或权威认证机构（如ISO27001认证机构）进行，确保合规工作的有效性。对审计中发现的问题，需制定整改计划，明确责任人与完成时限，形成“审计-整改-再审计”的闭环管理。06伦理与人文关怀层面的考量：平衡“效率与隐私”伦理与人文关怀层面的考量：平衡“效率与隐私”隐私保护不仅是技术、管理、法规的叠加，更需融入伦理与人文关怀——在追求监测效率的同时，尊重患者的尊严、意愿与情感，避免“技术至上”导致的人文缺失。数据使用的伦理边界：拒绝“过度采集”与“滥用”最小必要原则数据采集应遵循“最小必要”原则，即仅采集与哮喘管理直接相关的数据，避免“过度采集”。例如，监测患者日常活动轨迹时，仅需采集“是否暴露于过敏原环境”（如进入花粉浓度高的区域），而非精确的GPS定位；记录用药情况时，仅需“药物名称、剂量、使用时间”，无需患者的购买记录。数据使用的伦理边界：拒绝“过度采集”与“滥用”禁止歧视性使用监测数据不得用于歧视性目的，如保险公司不得因患者哮喘发作频率高而拒绝承保或提高保费；用人单位不得因患者有哮喘病史而拒绝录用。算法分析中需避免使用敏感特征（如种族、职业），确保公平性。弱势群体的特殊保护：儿童、老年人与残障人士儿童患者哮喘好发于儿童，其隐私保护需由监护人代为行使。监测系统应支持“家长控制模式”，监护人可查看孩子的监测数据，但需限制数据的共享范围（如仅与学校、共享）；对于14岁以上的青少年，需尊重其隐私意愿，允许其部分参与数据授权决策。弱势群体的特殊保护：儿童、老年人与残障人士老年患者老年患者对隐私风险的认知较弱，操作能力有限。监测设备应简化操作流程（如“一键同步数据”），避免复杂设置；隐私政策应采用大字体、高对比度显示，并提供语音朗读功能；客服团队需提供耐心指导，帮助老年患者理解数据用途，消除其“被窥探”的顾虑。弱势群体的特殊保护：儿童、老年人与残障人士残障人士对于视障、听障等残障患者，监测系统需支持“无障碍访问”，如为视障患者提供语音播报功能（实时提醒监测数据异常）、为听障患者提供文字预警；隐私协议需提供手语视频解读，确保其充分知情。透明度与信任：构建“开放”的隐私生态隐私保护报告公开定期发布《隐私保护年度报告》，向患者公开数据采集量、泄露事件（若有）、安全投入、合规审计结果等信息，接受社会监督。例如，某哮喘监测平台通过报告披露“2023年未发生数据泄露事件，投入安全研发费用超千万”，显著提升了患者信任度。透明度与信任：构建“开放”的隐私生态患者参与隐私设计邀请患者代表参与监测系统的隐私设计，如通过“焦点小组访谈”了解患者对数据共享的顾虑、对隐私保护功能的需求（如“一键隐藏监测数据”）。例如，某项目通过患者反馈，增加了“夜间监测数据自动模糊化”功能，避免患者与他人共用手机时数据被窥探。心理支持：缓解隐私泄露带来的焦虑若发生数据泄露事件，除采取技术补救措施外，还需为患者提供心理支持。例如，开通“隐私泄露心理疏导热线”，由专业心理咨询师帮助患者缓解焦虑情绪；组织“患者隐私保护座谈会”，让患者了解事件处理进展，重建信任。07未来挑战与趋势：迈向“智能+隐私”的新范式未来挑战与趋势：迈向“智能+隐私”的新范式随着人工智能、5G、边缘计算等技术的发展，哮喘远程监测将呈现“设备更智能、数据更庞大、场景更复杂”的特点，隐私保护也将面临新的挑战，需提前布局应对策略。未来挑战：新技术带来的隐私风险AI算法的隐私泄露风险大语言模型（LLM）在分析哮喘监测数据时，可能通过“提示词攻击”（如输入特定提示词诱导模型泄露训练数据中的患者信息）或“模型逆向攻击”（从模型输出中反推原始数据）导致隐私泄露。此外，AI若基于敏感数据（如患者基因信息）进行个性化治疗，可能引发“基因隐私”问题。未来挑战：新技术带来的隐私风险边缘计算的本地安全挑战为降低延迟，部分监测数据将在边缘设备（如智能手表、家用监测仪）本地处理，而非上传云端。边缘设备的计算能力有限，难以部署复杂的安全算法，且易因物理丢失、被盗导致数据泄露。未来挑战：新技术带来的隐私风险跨平台数据整合的隐私风险未来，哮喘监测数据可能与电子病历、可穿戴设备数据、环境监测数据等多源数据整合，形成“患者数字画像”。数据整合虽能提升管理效果，但也增加了数据关联泄露的风险——通过多源数据交叉比对，可能识别出患者的真实身份。未来趋势：隐私增强技术（PETs）的应用联邦学习的深化应用联邦学习将在哮喘远程监测中得到更广泛应用，如多家医院通过联邦学习联合训练哮喘发作预测模型，患者数据无需离开本地