[作者單位]河北北方學院附屬第一醫(yī)院信息管理處，河北 張家口 075000

電子健康檔案是居民健康管理過程中有關(guān)信息的規(guī)范、科學記錄，以居民個人健康為核心，貫穿整個生命過程，涵蓋各種健康相關(guān)因素，實現(xiàn)多渠道的信息動態(tài)收集，滿足居民自我保健和健康管理、健康決策需求的信息資源[1]。國家衛(wèi)計委“十三五”規(guī)劃中明確提出將電子健康檔案建設(shè)作為國家衛(wèi)生信息化建設(shè)的重點工作之一，逐步實現(xiàn)全國統(tǒng)一的居民電子健康檔案并實施規(guī)范管理[2]。隨著互聯(lián)網(wǎng)、云計算、物聯(lián)網(wǎng)技術(shù)的快速發(fā)展，數(shù)據(jù)規(guī)模急劇增大，大數(shù)據(jù)應(yīng)運而生，醫(yī)療健康大數(shù)據(jù)也隨之而來，為電子健康檔案建設(shè)帶來了新的問題和挑戰(zhàn)。在大數(shù)據(jù)背景下，如何構(gòu)建以用戶需求為導(dǎo)向，更好地保護數(shù)據(jù)安全和患者隱私的電子健康檔案平臺，改善醫(yī)療健康信息不對稱等問題，成為新的研究課題。

1 電子健康檔案的信息安全和隱私保護

依據(jù)HIPAA條例[3]及相關(guān)報道文獻[4]，將電子健康檔案建設(shè)過程中的信息安全與隱私保護所指范圍規(guī)定如下：信息安全是指在物理和網(wǎng)絡(luò)環(huán)境、系統(tǒng)自身及系統(tǒng)內(nèi)數(shù)據(jù)、管理機制上確保電子健康檔案信息的保密性、一致性、可用性；隱私保護是指按照患者的意愿在同意、可拒絕、不允許3種類型下使用，并在法律和技術(shù)上提供保護。

1.1 信息安全問題

在中心化的醫(yī)療機構(gòu)中，信息安全建設(shè)包括機房環(huán)境能否達到安全標準，服務(wù)器是否采用雙核心配備，是否安裝UPS等容災(zāi)建設(shè)；網(wǎng)絡(luò)是否安裝防火墻、IDS、IPS等安全設(shè)備并設(shè)置安全策略；操作系統(tǒng)有無安全日志和還原機制；網(wǎng)絡(luò)終端是否打補丁和殺病毒防木馬；信息系統(tǒng)訪問控制管理是否嚴密，權(quán)限劃分是否明確；軟件是否采用加密技術(shù)；數(shù)據(jù)庫是否定期備份，數(shù)據(jù)是否加密存儲；安全教育管理是否開展以保證操作人員的安全防范意識等內(nèi)容。為保障信息安全，減少信息安全的發(fā)生，國內(nèi)學者也進行了大量的研究，在法規(guī)政策上出臺了信息安全等級保護制度和《全國醫(yī)療衛(wèi)生服務(wù)體系規(guī)劃綱要2015-2020年》等文件；在系統(tǒng)平臺建設(shè)上圍繞云安全、安全架構(gòu)、系統(tǒng)等保等方面進行了深入研究；在訪問權(quán)限模型上，霍成義提出了面向患者的POPPAC模型[5]，劉逸敏研究了基于視圖和數(shù)據(jù)標簽的數(shù)據(jù)庫細粒度訪問控制模型等[6]；在安全技術(shù)上采用口令保護、數(shù)據(jù)加密、存取控制、數(shù)字簽名、接入控制、跟蹤審計等。但是這些技術(shù)均是對信息末端的安全控制，無法進行從頂層設(shè)計到末端的全面保護。

1.2 隱私保護問題

現(xiàn)階段電子健康檔案建設(shè)中的隱私保護問題有：沒有健全完善的醫(yī)療隱私保護相關(guān)法律制度規(guī)范；患者未參與到電子健康檔案的訪問控制策略中，不能實現(xiàn)個性化隱私保護；醫(yī)療健康數(shù)據(jù)去隱私化面臨廣泛多樣攻擊，無法對數(shù)字簽名電子健康檔案實現(xiàn)數(shù)據(jù)溯源；大數(shù)據(jù)知識挖掘存在預(yù)測和泄漏潛在隱私信息的風險。國內(nèi)外學者通過策略研究、整體架構(gòu)和模型的設(shè)計，提出了電子健康檔案隱私保護方案。如國外德國弗萊堡大學的Sebastian Haas 研究了基于數(shù)據(jù)服務(wù)和患者服務(wù)模型的隱私保護系統(tǒng)方案[7]；國內(nèi)的黃中睿利用Airavat強制訪問控制和差分隱私保護技術(shù)設(shè)計了醫(yī)療信息的隱私保護方案[8]，童云海等提出了保持身份標識屬性的匿名方法[9]，史漢發(fā)等提出了一種新的醫(yī)療數(shù)據(jù)發(fā)布中多敏感屬性隱私保護(AHPK匿名)算法，對準標識符(QI)加權(quán)處理使用[10]。各種匿名算法為電子健康檔案隱私保護提供了技術(shù)支持，也為技術(shù)革新奠定了良好的基礎(chǔ)。

隨著電子健康檔案、可穿戴健康監(jiān)測設(shè)備、轉(zhuǎn)化醫(yī)學和基因測序的興起和流行，越來越多的個人健康信息連入網(wǎng)絡(luò)，其利益影響之重大，面臨威脅之嚴峻，已經(jīng)超出傳統(tǒng)的信息安全和隱私保護研究范疇。雖然國內(nèi)外學者提出了一系列新的觀點、模型和方法，但還是不能完全滿足電子健康檔案全民建設(shè)與深化應(yīng)用的要求，如去隱私化在大數(shù)據(jù)背景下很難真正實現(xiàn)。大數(shù)據(jù)應(yīng)用和大數(shù)據(jù)安全防護在信息化快速發(fā)展的進程中對抗激烈，是未來個人健康隱私保護在實際應(yīng)用中新的突破所必須重視和權(quán)衡的關(guān)鍵因素。

2 區(qū)塊鏈技術(shù)

區(qū)塊鏈是一種利用去中心化和去信任的方式集體維護一本數(shù)據(jù)簿具有可靠性的數(shù)據(jù)庫技術(shù)方案。其概念由自稱為“中本聰”的作者首次在論文《比特幣：一種點對點的電子現(xiàn)金系統(tǒng)(Bitcoin:A Peer-to-Peer Elecronic cash system)》中提出。該方案能讓介入?yún)^(qū)塊鏈中的任何節(jié)點通過一串使用密碼學方法相關(guān)聯(lián)產(chǎn)生的數(shù)據(jù)塊(block)的數(shù)據(jù)(包含一定時間的系統(tǒng)中信息交流的數(shù)據(jù))，并生成數(shù)據(jù)指紋，用于驗證其信息的有效性和鏈接下一個數(shù)據(jù)塊[11]。

區(qū)塊鏈技術(shù)是比特幣等新型加密數(shù)字貨幣的技術(shù)核心。加密數(shù)字貨幣網(wǎng)絡(luò)中不存在中心化的節(jié)點、服務(wù)器和數(shù)據(jù)庫，系統(tǒng)的運行維護也不依賴管理人員，各網(wǎng)絡(luò)節(jié)點通過工作量證明[12]等數(shù)學算法將特定時間內(nèi)交易信息的數(shù)字指紋封裝為區(qū)塊，并快速向全網(wǎng)廣播，使用散列技術(shù)在區(qū)塊之間形成緊密連接的鏈狀結(jié)構(gòu)，組成安全性極高的公開賬本，即區(qū)塊鏈。通過區(qū)塊鏈技術(shù)，加密數(shù)字貨幣系統(tǒng)巧妙地解決了著名的“拜占庭將軍”問題，如實地記錄了所有交易數(shù)據(jù)，保障各項記錄的真實性、可追溯性。同時所有交易的痕跡也極難被銷毀，即便動用全球排名前500的超級計算機共同發(fā)起算力攻擊，也無法對系統(tǒng)的整體安全性形成有效的挑戰(zhàn)。

隨著互聯(lián)網(wǎng)技術(shù)變革的不斷加快，互聯(lián)網(wǎng)將更緊密地連接全球的互動行為，隨之而來的是信任問題。但是基于當前私密化和中心化技術(shù)架構(gòu)的主流關(guān)系型數(shù)據(jù)庫，無法解決價值轉(zhuǎn)移和互信問題。而基于區(qū)塊鏈技術(shù)的非關(guān)系型數(shù)據(jù)庫NoSQL，為去除大數(shù)據(jù)因匯集多種數(shù)據(jù)種類帶來的數(shù)據(jù)應(yīng)用問題提供了可能：區(qū)塊鏈利用去中心化理論，將解決大數(shù)據(jù)據(jù)的“全球互信”這個巨大的難題。

3 基于區(qū)塊鏈技術(shù)的電子健康檔案建設(shè)模式

3.1 基于區(qū)塊鏈的健康數(shù)據(jù)存儲

患者電子健康檔案數(shù)據(jù)涵蓋了診療、體檢、康復(fù)等整個生命過程的信息資源。以往患者健康數(shù)據(jù)多由醫(yī)院保存，患者獲取信息需到醫(yī)院復(fù)印相關(guān)病歷。隨著移動互聯(lián)網(wǎng)和云計算的發(fā)展，出現(xiàn)了基于云平臺的區(qū)域級電子健康平臺建設(shè)，但在安全性上存在很大缺陷。區(qū)塊鏈技術(shù)的出現(xiàn)將電子健康檔案建設(shè)模式延伸到更廣闊的范圍，如全國電子健康檔案平臺，醫(yī)護人員通過基于區(qū)塊鏈公開的接口程序開發(fā)院內(nèi)的應(yīng)用系統(tǒng)，可完成院內(nèi)電子健康數(shù)據(jù)的錄入和上傳功能?；趨^(qū)塊鏈支撐的智能手環(huán)、智能手機應(yīng)用程序，可以實現(xiàn)患者隨時隨地的上傳與下載信息，區(qū)塊鏈系統(tǒng)將通過分布式數(shù)據(jù)庫的形式存儲電子健康檔案信息。所有對區(qū)塊鏈的訪問均通過公鑰和私鑰完成，其中公鑰是有權(quán)限的用戶如醫(yī)院、衛(wèi)生部門等對健康數(shù)據(jù)的訪問權(quán)，私鑰是個人用戶對自己健康數(shù)據(jù)的訪問權(quán)。基于區(qū)塊鏈的電子健康檔案數(shù)據(jù)，使個人可以通過私鑰隨時獲取信息。另外，由于中心化機構(gòu)遭受攻擊或權(quán)限管理不當，大規(guī)模數(shù)據(jù)丟失和泄露事件屢屢發(fā)生。區(qū)塊鏈的高冗余存儲、去中心化、高安全性和隱私保護等特點，能夠讓數(shù)據(jù)更加安全可靠。

3.2 電子健康檔案的去中心化

目前患者的電子健康信息多數(shù)由醫(yī)生書寫，由具有中心化特點的醫(yī)院保存，患者很難獲取所需的醫(yī)療記錄和病史情況，影響就醫(yī)。我們可以將健康信息保存在區(qū)塊鏈上，為患者提供一個QR二維碼，作為其公開密鑰或用戶身份標識符，醫(yī)生或其他機構(gòu)也可利用這個二維碼訪問患者的醫(yī)療行為?；颊呃脗€人私鑰密碼能夠?qū)崟r獲得自己的健康信息，為就醫(yī)或健康規(guī)劃提供數(shù)據(jù)參考。而且區(qū)塊鏈在存儲患者的醫(yī)療記錄時，可以授權(quán)其他單位訪問網(wǎng)絡(luò)而無需擔心數(shù)據(jù)安全和完整性。電子健康數(shù)據(jù)能夠被多方授權(quán)建立、追加、分享，將會重新塑造整個醫(yī)療行業(yè)的效率和透明度。這類應(yīng)用擁有去中心化的特征，更具有開放性，患者也具有自主性。這是一種全新的信息組織形態(tài)，信息被個人所掌握而不需把信息托管給某一個機構(gòu)來保管。

3.3 電子健康檔案的隱私保護

長期以來，身份特征、疾病病史、治療計劃及費用支付情況等是個人最應(yīng)該受到隱私保護的信息，但事與愿違，這些相關(guān)數(shù)據(jù)信息一次又一次地被泄露，導(dǎo)致個人健康信息經(jīng)常流傳到公眾平臺上。信息泄露往往是由于網(wǎng)絡(luò)操作問題引起，使所有數(shù)據(jù)暴露在黑客的面前，往往一個偶然性單點事故就可以讓所有人的健康信息受到威脅，電子健康數(shù)據(jù)通過醫(yī)療機構(gòu)的中心化存儲方式經(jīng)常導(dǎo)致大規(guī)模的信息泄露。隨著互聯(lián)網(wǎng)和物聯(lián)網(wǎng)技術(shù)的普及，指紋數(shù)據(jù)及基因數(shù)據(jù)將被保存。

基于區(qū)塊鏈技術(shù)的數(shù)據(jù)將無法被非法篡改，而且成本低，并能設(shè)置多電子簽名授權(quán)機制權(quán)限的管理，為人類安全保管健康數(shù)據(jù)提供了新的最佳方案，區(qū)塊鏈技術(shù)在醫(yī)療健康領(lǐng)域的應(yīng)用場景能夠極大地提高健康信息安全和隱私保護。數(shù)據(jù)信息可以采用多次簽名數(shù)據(jù)鏈私鑰合并數(shù)據(jù)加密技術(shù)預(yù)防上述現(xiàn)象：當數(shù)據(jù)信息被哈希算法運算后存儲在區(qū)塊鏈上，可使用多簽名技術(shù)，使數(shù)據(jù)被授權(quán)定義，讓擁有授權(quán)的用戶得到正常的訪問權(quán)限。此外，區(qū)塊鏈還可以進行單私鑰或多私鑰的設(shè)置，也可以設(shè)置復(fù)雜時間和空間的單人授權(quán)或多人授權(quán)。醫(yī)療適合多權(quán)限的保管，病人、護士、醫(yī)生的權(quán)限都不同，而且最好是讀取權(quán)限還有時間上的限制，如某個治療時間段只有某個治療醫(yī)生才能讀取。雖然區(qū)塊鏈具有開放的系統(tǒng)，但其驗證、傳輸?shù)刃畔⒔粨Q的中間環(huán)節(jié)都采用了先進的加密技術(shù)。這種技術(shù)不僅確保了數(shù)據(jù)的來源正確，也確保了數(shù)據(jù)中間過程中不被人攔截、更正。隨著區(qū)塊鏈技術(shù)的使用越來越多，其面臨黑客侵入的概率也會減少。區(qū)塊鏈系統(tǒng)之所以能降低傳統(tǒng)網(wǎng)絡(luò)安全風險就是因為它解除了對中間人的需求，而省去中間人的方式不但可以減少被黑客攻擊的潛在風險，也可大大減少腐敗滋生的可能。

4 總結(jié)與展望

區(qū)塊鏈技術(shù)是隨著比特幣的應(yīng)用而出現(xiàn)的新的概念和理論，各種理論研究都還處于初步階段，但不可否認區(qū)塊鏈將能改變互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施結(jié)構(gòu)，應(yīng)用前景廣闊。區(qū)塊鏈技術(shù)首次以純技術(shù)方式使信息由數(shù)據(jù)轉(zhuǎn)移向價值轉(zhuǎn)移成為可能，并延續(xù)了互聯(lián)網(wǎng)去中心化和去中介化的趨勢。未來可能應(yīng)用于醫(yī)療、金融、交通等眾多領(lǐng)域。

但要想替代當前的醫(yī)療信息系統(tǒng)還需要國內(nèi)外區(qū)塊鏈相關(guān)專家學者、衛(wèi)生行業(yè)相關(guān)專家以及信息技術(shù)專家等多方協(xié)作來推動區(qū)塊鏈市場，促進該技術(shù)在衛(wèi)生行業(yè)的發(fā)展及運用。