電子病歷檔案安全管理探析

周耀林 黃靈波

(武漢大學(xué)信息管理學(xué)院，湖北武漢，430072)

電子病歷(ElectronicMedical Record，簡(jiǎn)稱(chēng)EMR)是指醫(yī)務(wù)人員在醫(yī)療活動(dòng)過(guò)程中,使用醫(yī)療機(jī)構(gòu)信息系統(tǒng)生成的文字、符號(hào)、圖表、圖形、數(shù)據(jù)、影像等數(shù)字化信息，并能實(shí)現(xiàn)存儲(chǔ)、管理、傳輸和重現(xiàn)的醫(yī)療記錄，是病歷的一種記錄形式。[1]電子病歷符合檔案的原始記錄性特點(diǎn)，是醫(yī)療領(lǐng)域的電子檔案和文件的重要組成部分。

目前，全國(guó)各省市如北京、上海、武漢、廈門(mén)等均開(kāi)始了EMR的建立工作。據(jù)統(tǒng)計(jì)，2012年初，“32.1%的二級(jí)以上公立醫(yī)院建立了較為規(guī)范的電子病歷系統(tǒng)”[2]。電子病歷與傳統(tǒng)的紙質(zhì)病歷不同，后者在大多數(shù)醫(yī)院往往是由病人自行保管，復(fù)診時(shí)帶來(lái)。而電子病歷檔案則由醫(yī)院保管，且多個(gè)終端可以利用，因此容易帶來(lái)信息泄露、電子病歷被不留痕跡地篡改或刪除、系統(tǒng)遭受破壞等問(wèn)題。因此，加強(qiáng)電子病歷安全管理，是一個(gè)值得研究的課題。

表1 電子病歷與傳統(tǒng)病歷對(duì)比分析

1.電子病歷的特點(diǎn)

隨著醫(yī)療信息系統(tǒng)的普及，電子病歷成為重要的電子醫(yī)療檔案。相較于傳統(tǒng)病歷，EMR在信息形成、保管、傳播等有自己的特點(diǎn)，這決定了它與紙質(zhì)病歷的安全管理也存在很大的差異。

由表1可以看出，電子病歷在存儲(chǔ)、共享等方面具有容量大、信息齊全、傳輸容易等優(yōu)點(diǎn)，具有較好的應(yīng)用前景。但電子病歷自身缺陷也很明顯，如環(huán)境敏感度高、技術(shù)依賴(lài)強(qiáng)、信息修改容易、操作痕跡容易被覆蓋等。上述區(qū)別與電子文件和檔案與傳統(tǒng)檔案的差異是一致的，這是因?yàn)殡娮硬v不過(guò)是電子文件在醫(yī)療領(lǐng)域的特殊表現(xiàn)形式。

除了傳統(tǒng)的數(shù)字信息資源的安全隱患，電子病歷由于領(lǐng)域的特殊性，在具體的保存和利用過(guò)程中還應(yīng)該考慮具體領(lǐng)域的特點(diǎn)，如醫(yī)生的專(zhuān)業(yè)操守及計(jì)算機(jī)操作水平等。現(xiàn)實(shí)生活中對(duì)電子病歷安全構(gòu)成威脅的因素復(fù)雜化和多樣化，導(dǎo)致電子病歷的真實(shí)可靠性和保密性很難得到保證，其安全管理任務(wù)更加重要和艱巨。做好電子病歷的安全管理工作，可以保障電子病歷檔案信息資源的長(zhǎng)期保存和利用，可以更好地服務(wù)醫(yī)療事業(yè)。同時(shí)，電子病歷成功的安全管理經(jīng)驗(yàn)也會(huì)對(duì)電子文件和電子檔案的長(zhǎng)期保存和真實(shí)可靠性保護(hù)提供有益的啟示。

2.電子病歷的安全隱患

電子病歷的安全隱患主要表現(xiàn)在以下幾個(gè)方面。

2.1 電子病歷長(zhǎng)久保存遇到難題

電子病歷應(yīng)該得到長(zhǎng)久的保存，電子病歷長(zhǎng)久保存面臨的威脅表現(xiàn)在:(1)電子病歷對(duì)其保管場(chǎng)所的建筑庫(kù)房、溫濕度、光線、電磁、防水、電路等要求都有別于紙質(zhì)病歷并更加嚴(yán)格，而醫(yī)療機(jī)構(gòu)常疏于管理；(2)建立EMR系統(tǒng)需要較多的資金，而后期的長(zhǎng)久保存如系統(tǒng)升級(jí)和信息遷移、備份等更是耗費(fèi)巨資，費(fèi)用過(guò)高是限制電子病歷發(fā)展的另一重要因素；(3)現(xiàn)代醫(yī)療網(wǎng)絡(luò)在線探討和資料傳輸不可避免，但網(wǎng)絡(luò)環(huán)境中的病毒侵害、黑客攻擊等行為容易導(dǎo)致電子病歷系統(tǒng)的崩潰和數(shù)據(jù)的丟失、泄露，CDW的一項(xiàng)對(duì)醫(yī)生的調(diào)查發(fā)現(xiàn)，30%的醫(yī)生電腦缺乏反病毒軟件，34%沒(méi)有良好的網(wǎng)絡(luò)防火墻；[3](4)技術(shù)更新帶來(lái)各種安全問(wèn)題，如新技術(shù)對(duì)舊文件及舊設(shè)備的兼容性、前三代甚至更早的數(shù)據(jù)文件的可讀性和可理解性、信息保存成本上升、醫(yī)療工作人員對(duì)過(guò)于頻繁的技術(shù)更新的適應(yīng)和熟練。

2.2 電子病歷真實(shí)性受到質(zhì)疑

相較于傳統(tǒng)病歷，電子病歷的真實(shí)性受到威脅:(1)信息形成者難以辨別。計(jì)算機(jī)環(huán)境下難以像紙質(zhì)病歷通過(guò)簽名和字跡判斷EMR形成者的身份，EMR系統(tǒng)本身不具備身份識(shí)別功能；(2)EMR質(zhì)量缺乏控制:EMR系統(tǒng)中模板、信息復(fù)制的應(yīng)用造成EMR喪失個(gè)性化并漏洞百出，中國(guó)數(shù)字醫(yī)療網(wǎng)的一項(xiàng)針對(duì)190份電子病歷的調(diào)查顯示，“前后表述矛盾的占40%，時(shí)間填寫(xiě)錯(cuò)誤的占36%，錯(cuò)別字占24%，書(shū)寫(xiě)不規(guī)范的占22%，病情與實(shí)際不符的占10%”；[4](3)電子病歷形成后的操作難以控制。一方面，計(jì)算機(jī)環(huán)境中操作痕跡極易被覆蓋或消除，電子病歷容易被不留痕跡地修改。另一方面，目前缺乏有公信力的第三方對(duì)醫(yī)療機(jī)構(gòu)的服務(wù)器進(jìn)行監(jiān)督和管理，電子病歷的真實(shí)性得不到認(rèn)可常受到質(zhì)疑；(4)EMR的合法性得不到承認(rèn)。衛(wèi)生立法的滯后，EMR的證據(jù)價(jià)值被懷疑，《電子簽名法》雖肯定有電子簽名的EMR的證據(jù)價(jià)值，但國(guó)內(nèi)電子簽名的應(yīng)用缺乏相應(yīng)的加密技術(shù)和認(rèn)證機(jī)構(gòu)，EMR的合法性沒(méi)被廣泛認(rèn)可。

2.3 電子病歷隱私性遭到破壞

患者身體和臨床狀況的記錄，是重要的個(gè)人隱私。隱私性保護(hù)是取得患者及家屬信任和電子病歷發(fā)展的關(guān)鍵。醫(yī)療信息泄露給患者帶來(lái)困擾，如生活中遭受到區(qū)別對(duì)待、商業(yè)信息騷擾、信息詐騙等。2011年的一份千人調(diào)查表明:“49%認(rèn)為EMR系統(tǒng)對(duì)個(gè)人醫(yī)療信息保護(hù)存在不良影響”，這表明人們對(duì)EMR的信息安全信任度低。對(duì)電子病歷隱私性的威脅有:(1)密碼設(shè)置簡(jiǎn)單化或者密碼變“明碼”、科室共用，使認(rèn)證和分權(quán)形同虛設(shè)，使知情權(quán)范圍擴(kuò)大，信息泄露、被篡改或刪除的危險(xiǎn)增加；(2)EMR的信息蘊(yùn)含巨大商業(yè)價(jià)值，有些醫(yī)護(hù)人員出賣(mài)患者信息給商業(yè)機(jī)構(gòu)。美國(guó)“健康檔案系統(tǒng)市場(chǎng)的產(chǎn)值每年高達(dá)80億～100億美元，來(lái)自銷(xiāo)售的數(shù)據(jù)和分析服務(wù)”[5]；(3)患者隱私權(quán)保護(hù)缺乏專(zhuān)門(mén)法律保障；(4)泄露隱私的違法代價(jià)低。在美國(guó)或香港，醫(yī)生會(huì)因故意泄露病患信息或EMR造假遭到巨額的罰款甚至牢獄之災(zāi)，在內(nèi)陸，法律規(guī)定篡改、損毀病歷是違規(guī)行為，但懲處措施不具體，醫(yī)療機(jī)構(gòu)大都根據(jù)衛(wèi)生部的有關(guān)規(guī)定，處以少量的罰款，懲罰力度較低。

2.4 電子病歷系統(tǒng)穩(wěn)定性有待加強(qiáng)

醫(yī)院工作要求EMR系統(tǒng)能夠7*24小時(shí)全天候、無(wú)間斷運(yùn)行，美一研究指出醫(yī)療機(jī)構(gòu)的指揮中心應(yīng)“負(fù)責(zé)EMR的開(kāi)展和實(shí)施過(guò)程中的熱修復(fù)和微調(diào)，保證24小時(shí)無(wú)間斷覆蓋醫(yī)護(hù)人員和患者的基本問(wèn)題應(yīng)用”[6]。這對(duì)設(shè)備的質(zhì)量、系統(tǒng)的檢測(cè)和及時(shí)診斷及維修提出較高要求。但現(xiàn)實(shí)生活中因?yàn)閿嚯?、?shù)據(jù)量突增、系統(tǒng)故障等問(wèn)題引起醫(yī)院EMR系統(tǒng)癱瘓的事情屢屢發(fā)生。EMR系統(tǒng)處在網(wǎng)絡(luò)環(huán)境中，要時(shí)刻防止系統(tǒng)遭受網(wǎng)絡(luò)病毒入侵或黑客攻擊而導(dǎo)致黑屏、系統(tǒng)癱瘓等。目前國(guó)內(nèi)的醫(yī)療機(jī)構(gòu)對(duì)電子病歷系統(tǒng)的研發(fā)公司普遍存在技術(shù)依賴(lài)，若IT公司破產(chǎn)、研發(fā)團(tuán)隊(duì)離職或技術(shù)機(jī)密泄露，將導(dǎo)致系統(tǒng)被迫停止和信息丟失、泄漏等，嚴(yán)重破壞電子病歷安全。

3.電子病歷安全管理完善措施

電子病歷安全管理指采取技術(shù)、管理、法律等措施來(lái)消除自然環(huán)境和社會(huì)環(huán)境中電子病歷的安全隱患，達(dá)到保障電子病歷實(shí)體安全、信息真實(shí)可靠、保密性的目的。電子病歷受到的威脅是多方面的，在實(shí)際應(yīng)用中，鑒于電子病歷與電子文件和電子檔案的共同點(diǎn)，應(yīng)在充分借鑒電子文件和電子檔案的優(yōu)秀管理經(jīng)驗(yàn)如日臻完善的技術(shù)保障措施、容災(zāi)管理的基礎(chǔ)上，結(jié)合電子病歷的主客體及環(huán)境的具體特點(diǎn)，形成比較科學(xué)、完善的保護(hù)體系。

3.1 國(guó)家政府——宏觀規(guī)劃、支持監(jiān)管

3.1.1 完善立法，加強(qiáng)普法執(zhí)法

首先，完善電子病歷及其安全的專(zhuān)門(mén)法律的立法。一方面，借鑒國(guó)外經(jīng)驗(yàn)，加快電子病歷安全的法律保障的建立，美國(guó)在EMR的立法是世界上較完善的。這方面法規(guī)有“《健康保險(xiǎn)攜帶和責(zé)任法案》(HIPAA)、《隱私權(quán)法》《病人權(quán)利典章》”[7]。其中HIPAA是EMR方面的專(zhuān)門(mén)法律。另一方面，完善懲處制度，避免違法卻難以追究或懲處不當(dāng)。其次，注重普法教育，使醫(yī)患雙方明確各自權(quán)利和義務(wù)，減少對(duì)電子病歷的違規(guī)操作和破壞。最后，加強(qiáng)執(zhí)法，做到有法必依、執(zhí)法必嚴(yán)、違法必究，對(duì)破壞電子病歷安全的行為嚴(yán)懲。

3.1.2 轉(zhuǎn)變職能，統(tǒng)籌指導(dǎo)

各級(jí)政府和衛(wèi)生部門(mén)應(yīng)把醫(yī)療信息化提上日程，有計(jì)劃、有步驟的建設(shè)和推進(jìn)。第一，轉(zhuǎn)變職能，加強(qiáng)EMR安全管理的監(jiān)督和引導(dǎo)，形成EMR安全管理問(wèn)題的標(biāo)準(zhǔn)和規(guī)范。第二，為EMR系統(tǒng)安全技術(shù)、設(shè)備、培訓(xùn)及運(yùn)營(yíng)維護(hù)提供資金支持。第三，營(yíng)造良好的社會(huì)環(huán)境，規(guī)范網(wǎng)絡(luò)行為，倡導(dǎo)健康文明的社會(huì)文化和網(wǎng)絡(luò)文化。第四，樹(shù)典型，助推廣。選取措施得當(dāng)、效果明顯的醫(yī)療機(jī)構(gòu)給予表彰，樹(shù)立典范并積極推廣，起示范和鼓勵(lì)雙重作用。

3.1.3 加快建立第三方監(jiān)管制度

電子病歷的產(chǎn)生和保管都是由醫(yī)院進(jìn)行的，所以電子病歷的真實(shí)性和法律證據(jù)性常常受到質(zhì)疑。對(duì)此有兩種解決辦法:其一，如果一個(gè)獨(dú)立于醫(yī)院和患者的第三方機(jī)構(gòu)對(duì)電子病歷系統(tǒng)的服務(wù)器進(jìn)行監(jiān)管，電子病歷的后臺(tái)服務(wù)器對(duì)醫(yī)院而言也是一把無(wú)鑰匙的鎖，那么電子病歷的法律證據(jù)性將得到更大的認(rèn)可和保障；其二，由衛(wèi)生部下令，將轄區(qū)內(nèi)各醫(yī)院的電子病歷每天進(jìn)行數(shù)據(jù)的提交備份，醫(yī)療糾紛中以第三方的數(shù)據(jù)作為參考依據(jù)就可防止醫(yī)療事故后修改電子病歷的嫌疑，如廣東南海區(qū)衛(wèi)生局負(fù)責(zé)管理該區(qū)內(nèi)十幾家醫(yī)院的額備份數(shù)據(jù)，在一起醫(yī)療糾紛中，由衛(wèi)生局呈現(xiàn)的數(shù)據(jù)就得到法院的承認(rèn)，幫助院方贏了官司。[8]

3.2 醫(yī)療機(jī)構(gòu)——科學(xué)管理、切實(shí)執(zhí)行

3.2.1 完善本機(jī)構(gòu)的電子病歷日常管理工作

表2 電子病歷安全管理相關(guān)技術(shù)總表

首先，設(shè)立專(zhuān)門(mén)且具有獨(dú)立性的電子病歷管理部門(mén)和人員，制定日常管理制度，使安全管理有章可循。該部門(mén)應(yīng)負(fù)責(zé)對(duì)EMR從形成、歸檔或銷(xiāo)毀到保管利用的全程管理和監(jiān)控；對(duì)全院的EMR系統(tǒng)和各終端的安全防護(hù)措施進(jìn)行檢查和及時(shí)更新。其次，加強(qiáng)人員安全教育，增強(qiáng)安全意識(shí)。EMR安全意識(shí)教育包括法規(guī)教育、EMR基礎(chǔ)理論教育等；安全技術(shù)教育包括培訓(xùn)病歷系統(tǒng)的操作和安全防護(hù)培訓(xùn)。做好崗前培訓(xùn)，加強(qiáng)在職培訓(xùn)；開(kāi)展集中培訓(xùn)，加強(qiáng)平時(shí)培訓(xùn)。最后，完善評(píng)估和獎(jiǎng)懲制度。人資管理部門(mén)和信息管理部門(mén)應(yīng)加強(qiáng)合作，讓個(gè)人的EMR安全管理行為和效果作為績(jī)效考核和職稱(chēng)評(píng)定工作的內(nèi)容。信息部門(mén)定期對(duì)EMR質(zhì)量安全和終端設(shè)備、信息安全進(jìn)行以人為單位的檢查、統(tǒng)計(jì)和評(píng)估，并將檢查情況報(bào)送給人資，人資將其與獎(jiǎng)金和績(jī)效工資、職稱(chēng)評(píng)定相掛鉤，作為重要的參考依據(jù)。

3.2.2 嚴(yán)把技術(shù)關(guān)

電子病歷及其系統(tǒng)嚴(yán)重依賴(lài)計(jì)算機(jī)環(huán)境，醫(yī)院在推行電子病歷時(shí)，配套的技術(shù)設(shè)施要到位，形成對(duì)電子病歷從實(shí)體環(huán)境到網(wǎng)絡(luò)環(huán)境的全方位的技術(shù)保障體系，如表2。

3.2.3 做好電子病歷容災(zāi)管理工作

EMR的意外事故不可避免且隨時(shí)有可能發(fā)生。因此，醫(yī)院電子病歷的容災(zāi)管理不容忽視，主要有定期的備份工作以及正確處理突發(fā)情況。首先，備份是有效的容災(zāi)措施，可有效保障數(shù)字信息安全，包括本地備份和異地備份。本地備份利于發(fā)生意外時(shí)的數(shù)據(jù)及時(shí)恢復(fù)，異地備份利于發(fā)生自然災(zāi)害或者火災(zāi)等災(zāi)后數(shù)據(jù)恢復(fù)。本地備份宜采用雙機(jī)備份和脫機(jī)備份，異地備份可聯(lián)合其他醫(yī)療機(jī)構(gòu)、檔案部門(mén)等，本地和異地備份是EMR的“雙重保險(xiǎn)”，相輔相成。其次，正確處理突發(fā)情況。制定科學(xué)的應(yīng)急預(yù)案，明確災(zāi)難等級(jí)、數(shù)據(jù)保護(hù)的組織編制、責(zé)任劃分、優(yōu)先等級(jí)；平時(shí)進(jìn)行演練；在災(zāi)難發(fā)生時(shí)，科學(xué)的部署和撤離，利用搶救的“黃金時(shí)間”；災(zāi)后啟動(dòng)本地或異地備份，及時(shí)恢復(fù)數(shù)據(jù)和系統(tǒng)。

數(shù)字化和網(wǎng)絡(luò)化時(shí)代，EMR系統(tǒng)的應(yīng)用對(duì)醫(yī)療機(jī)構(gòu)和患者都是不可回避的趨勢(shì)，而EMR的安全是EMR事業(yè)深入發(fā)展的基礎(chǔ)和保障。EMR的安全管理是一項(xiàng)復(fù)雜而又艱巨的任務(wù)，牽涉人員廣、技術(shù)復(fù)雜、管理經(jīng)驗(yàn)缺乏等，既是技術(shù)問(wèn)題，也是社會(huì)問(wèn)題，應(yīng)該是國(guó)家、醫(yī)院共同參與、共同處理的結(jié)果，需要依靠各方力量來(lái)維護(hù)。

[1]衛(wèi)生部關(guān)于印發(fā)《電子病歷基本規(guī)范(試行)》的通知[EB/OL].(2010-03-04)[2012-05-26].http://www.moh.gov.cn/publicfiles/business/htmlfiles/mohyzs/s3586/201003/46174.htm.

[2]衛(wèi)生部醫(yī)政司召開(kāi)2012年以電子病歷為核心的醫(yī)院信息化建設(shè)工作會(huì)議[EB/OL].(2012-05-11)[2012-05-26].http://www.moh.gov.cn/publicfiles/business/htmlfiles/mohyzs/ptpxw/201205/54688htm.

[3]半數(shù)美國(guó)人懼怕電子病歷聯(lián)網(wǎng)[EB/OL].(2011-03-01)[2012-05-06].http://info.chinabyte.com/289/12339289.html.

[4]電子病歷推廣方式利弊分析[EB/OL].(2011-03-02)[2012-04-07].http://solution.hc3i.cn/art/201103/11857.htm.

[5]電子病歷安全嗎[EB/OL].(2010-04-28)[2012-05-10].http://www.e800.com.cn/articles/2010/0428/462106_3.html.

[6]Wang Yun,Perry William.Lessons from method:A successful Electronic Medical Record(EMR)system implementation[C].Proceedings of 2011 IEEE International Conference on Intelligence and Security Informatics,2011.

[7]李娜.美國(guó)電子病歷隱私保護(hù)研究[D].河南:鄭州大學(xué)，2011。

[8]電子病歷診斷報(bào)告[EB/OL].(2009-03-16)[2012-05-10].http://news.9ask.cn/yljf/sgzs/dzbl/200903/161563.html.