[作者單位]河北北方學(xué)院附屬第一醫(yī)院信息管理處，河北 張家口 075000

電子健康檔案是居民健康管理過(guò)程中有關(guān)信息的規(guī)范、科學(xué)記錄，以居民個(gè)人健康為核心，貫穿整個(gè)生命過(guò)程，涵蓋各種健康相關(guān)因素，實(shí)現(xiàn)多渠道的信息動(dòng)態(tài)收集，滿足居民自我保健和健康管理、健康決策需求的信息資源[1]。國(guó)家衛(wèi)計(jì)委“十三五”規(guī)劃中明確提出將電子健康檔案建設(shè)作為國(guó)家衛(wèi)生信息化建設(shè)的重點(diǎn)工作之一，逐步實(shí)現(xiàn)全國(guó)統(tǒng)一的居民電子健康檔案并實(shí)施規(guī)范管理[2]。隨著互聯(lián)網(wǎng)、云計(jì)算、物聯(lián)網(wǎng)技術(shù)的快速發(fā)展，數(shù)據(jù)規(guī)模急劇增大，大數(shù)據(jù)應(yīng)運(yùn)而生，醫(yī)療健康大數(shù)據(jù)也隨之而來(lái)，為電子健康檔案建設(shè)帶來(lái)了新的問(wèn)題和挑戰(zhàn)。在大數(shù)據(jù)背景下，如何構(gòu)建以用戶需求為導(dǎo)向，更好地保護(hù)數(shù)據(jù)安全和患者隱私的電子健康檔案平臺(tái)，改善醫(yī)療健康信息不對(duì)稱(chēng)等問(wèn)題，成為新的研究課題。

1 電子健康檔案的信息安全和隱私保護(hù)

依據(jù)HIPAA條例[3]及相關(guān)報(bào)道文獻(xiàn)[4]，將電子健康檔案建設(shè)過(guò)程中的信息安全與隱私保護(hù)所指范圍規(guī)定如下：信息安全是指在物理和網(wǎng)絡(luò)環(huán)境、系統(tǒng)自身及系統(tǒng)內(nèi)數(shù)據(jù)、管理機(jī)制上確保電子健康檔案信息的保密性、一致性、可用性；隱私保護(hù)是指按照患者的意愿在同意、可拒絕、不允許3種類(lèi)型下使用，并在法律和技術(shù)上提供保護(hù)。

1.1 信息安全問(wèn)題

在中心化的醫(yī)療機(jī)構(gòu)中，信息安全建設(shè)包括機(jī)房環(huán)境能否達(dá)到安全標(biāo)準(zhǔn)，服務(wù)器是否采用雙核心配備，是否安裝UPS等容災(zāi)建設(shè)；網(wǎng)絡(luò)是否安裝防火墻、IDS、IPS等安全設(shè)備并設(shè)置安全策略；操作系統(tǒng)有無(wú)安全日志和還原機(jī)制；網(wǎng)絡(luò)終端是否打補(bǔ)丁和殺病毒防木馬；信息系統(tǒng)訪問(wèn)控制管理是否嚴(yán)密，權(quán)限劃分是否明確；軟件是否采用加密技術(shù)；數(shù)據(jù)庫(kù)是否定期備份，數(shù)據(jù)是否加密存儲(chǔ)；安全教育管理是否開(kāi)展以保證操作人員的安全防范意識(shí)等內(nèi)容。為保障信息安全，減少信息安全的發(fā)生，國(guó)內(nèi)學(xué)者也進(jìn)行了大量的研究，在法規(guī)政策上出臺(tái)了信息安全等級(jí)保護(hù)制度和《全國(guó)醫(yī)療衛(wèi)生服務(wù)體系規(guī)劃綱要2015-2020年》等文件；在系統(tǒng)平臺(tái)建設(shè)上圍繞云安全、安全架構(gòu)、系統(tǒng)等保等方面進(jìn)行了深入研究；在訪問(wèn)權(quán)限模型上，霍成義提出了面向患者的POPPAC模型[5]，劉逸敏研究了基于視圖和數(shù)據(jù)標(biāo)簽的數(shù)據(jù)庫(kù)細(xì)粒度訪問(wèn)控制模型等[6]；在安全技術(shù)上采用口令保護(hù)、數(shù)據(jù)加密、存取控制、數(shù)字簽名、接入控制、跟蹤審計(jì)等。但是這些技術(shù)均是對(duì)信息末端的安全控制，無(wú)法進(jìn)行從頂層設(shè)計(jì)到末端的全面保護(hù)。

1.2 隱私保護(hù)問(wèn)題

現(xiàn)階段電子健康檔案建設(shè)中的隱私保護(hù)問(wèn)題有：沒(méi)有健全完善的醫(yī)療隱私保護(hù)相關(guān)法律制度規(guī)范；患者未參與到電子健康檔案的訪問(wèn)控制策略中，不能實(shí)現(xiàn)個(gè)性化隱私保護(hù)；醫(yī)療健康數(shù)據(jù)去隱私化面臨廣泛多樣攻擊，無(wú)法對(duì)數(shù)字簽名電子健康檔案實(shí)現(xiàn)數(shù)據(jù)溯源；大數(shù)據(jù)知識(shí)挖掘存在預(yù)測(cè)和泄漏潛在隱私信息的風(fēng)險(xiǎn)。國(guó)內(nèi)外學(xué)者通過(guò)策略研究、整體架構(gòu)和模型的設(shè)計(jì)，提出了電子健康檔案隱私保護(hù)方案。如國(guó)外德國(guó)弗萊堡大學(xué)的Sebastian Haas 研究了基于數(shù)據(jù)服務(wù)和患者服務(wù)模型的隱私保護(hù)系統(tǒng)方案[7]；國(guó)內(nèi)的黃中睿利用Airavat強(qiáng)制訪問(wèn)控制和差分隱私保護(hù)技術(shù)設(shè)計(jì)了醫(yī)療信息的隱私保護(hù)方案[8]，童云海等提出了保持身份標(biāo)識(shí)屬性的匿名方法[9]，史漢發(fā)等提出了一種新的醫(yī)療數(shù)據(jù)發(fā)布中多敏感屬性隱私保護(hù)(AHPK匿名)算法，對(duì)準(zhǔn)標(biāo)識(shí)符(QI)加權(quán)處理使用[10]。各種匿名算法為電子健康檔案隱私保護(hù)提供了技術(shù)支持，也為技術(shù)革新奠定了良好的基礎(chǔ)。

隨著電子健康檔案、可穿戴健康監(jiān)測(cè)設(shè)備、轉(zhuǎn)化醫(yī)學(xué)和基因測(cè)序的興起和流行，越來(lái)越多的個(gè)人健康信息連入網(wǎng)絡(luò)，其利益影響之重大，面臨威脅之嚴(yán)峻，已經(jīng)超出傳統(tǒng)的信息安全和隱私保護(hù)研究范疇。雖然國(guó)內(nèi)外學(xué)者提出了一系列新的觀點(diǎn)、模型和方法，但還是不能完全滿足電子健康檔案全民建設(shè)與深化應(yīng)用的要求，如去隱私化在大數(shù)據(jù)背景下很難真正實(shí)現(xiàn)。大數(shù)據(jù)應(yīng)用和大數(shù)據(jù)安全防護(hù)在信息化快速發(fā)展的進(jìn)程中對(duì)抗激烈，是未來(lái)個(gè)人健康隱私保護(hù)在實(shí)際應(yīng)用中新的突破所必須重視和權(quán)衡的關(guān)鍵因素。

2 區(qū)塊鏈技術(shù)

區(qū)塊鏈?zhǔn)且环N利用去中心化和去信任的方式集體維護(hù)一本數(shù)據(jù)簿具有可靠性的數(shù)據(jù)庫(kù)技術(shù)方案。其概念由自稱(chēng)為“中本聰”的作者首次在論文《比特幣：一種點(diǎn)對(duì)點(diǎn)的電子現(xiàn)金系統(tǒng)(Bitcoin:A Peer-to-Peer Elecronic cash system)》中提出。該方案能讓介入?yún)^(qū)塊鏈中的任何節(jié)點(diǎn)通過(guò)一串使用密碼學(xué)方法相關(guān)聯(lián)產(chǎn)生的數(shù)據(jù)塊(block)的數(shù)據(jù)(包含一定時(shí)間的系統(tǒng)中信息交流的數(shù)據(jù))，并生成數(shù)據(jù)指紋，用于驗(yàn)證其信息的有效性和鏈接下一個(gè)數(shù)據(jù)塊[11]。

區(qū)塊鏈技術(shù)是比特幣等新型加密數(shù)字貨幣的技術(shù)核心。加密數(shù)字貨幣網(wǎng)絡(luò)中不存在中心化的節(jié)點(diǎn)、服務(wù)器和數(shù)據(jù)庫(kù)，系統(tǒng)的運(yùn)行維護(hù)也不依賴(lài)管理人員，各網(wǎng)絡(luò)節(jié)點(diǎn)通過(guò)工作量證明[12]等數(shù)學(xué)算法將特定時(shí)間內(nèi)交易信息的數(shù)字指紋封裝為區(qū)塊，并快速向全網(wǎng)廣播，使用散列技術(shù)在區(qū)塊之間形成緊密連接的鏈狀結(jié)構(gòu)，組成安全性極高的公開(kāi)賬本，即區(qū)塊鏈。通過(guò)區(qū)塊鏈技術(shù)，加密數(shù)字貨幣系統(tǒng)巧妙地解決了著名的“拜占庭將軍”問(wèn)題，如實(shí)地記錄了所有交易數(shù)據(jù)，保障各項(xiàng)記錄的真實(shí)性、可追溯性。同時(shí)所有交易的痕跡也極難被銷(xiāo)毀，即便動(dòng)用全球排名前500的超級(jí)計(jì)算機(jī)共同發(fā)起算力攻擊，也無(wú)法對(duì)系統(tǒng)的整體安全性形成有效的挑戰(zhàn)。

隨著互聯(lián)網(wǎng)技術(shù)變革的不斷加快，互聯(lián)網(wǎng)將更緊密地連接全球的互動(dòng)行為，隨之而來(lái)的是信任問(wèn)題。但是基于當(dāng)前私密化和中心化技術(shù)架構(gòu)的主流關(guān)系型數(shù)據(jù)庫(kù)，無(wú)法解決價(jià)值轉(zhuǎn)移和互信問(wèn)題。而基于區(qū)塊鏈技術(shù)的非關(guān)系型數(shù)據(jù)庫(kù)NoSQL，為去除大數(shù)據(jù)因匯集多種數(shù)據(jù)種類(lèi)帶來(lái)的數(shù)據(jù)應(yīng)用問(wèn)題提供了可能：區(qū)塊鏈利用去中心化理論，將解決大數(shù)據(jù)據(jù)的“全球互信”這個(gè)巨大的難題。

3 基于區(qū)塊鏈技術(shù)的電子健康檔案建設(shè)模式

3.1 基于區(qū)塊鏈的健康數(shù)據(jù)存儲(chǔ)

患者電子健康檔案數(shù)據(jù)涵蓋了診療、體檢、康復(fù)等整個(gè)生命過(guò)程的信息資源。以往患者健康數(shù)據(jù)多由醫(yī)院保存，患者獲取信息需到醫(yī)院復(fù)印相關(guān)病歷。隨著移動(dòng)互聯(lián)網(wǎng)和云計(jì)算的發(fā)展，出現(xiàn)了基于云平臺(tái)的區(qū)域級(jí)電子健康平臺(tái)建設(shè)，但在安全性上存在很大缺陷。區(qū)塊鏈技術(shù)的出現(xiàn)將電子健康檔案建設(shè)模式延伸到更廣闊的范圍，如全國(guó)電子健康檔案平臺(tái)，醫(yī)護(hù)人員通過(guò)基于區(qū)塊鏈公開(kāi)的接口程序開(kāi)發(fā)院內(nèi)的應(yīng)用系統(tǒng)，可完成院內(nèi)電子健康數(shù)據(jù)的錄入和上傳功能?；趨^(qū)塊鏈支撐的智能手環(huán)、智能手機(jī)應(yīng)用程序，可以實(shí)現(xiàn)患者隨時(shí)隨地的上傳與下載信息，區(qū)塊鏈系統(tǒng)將通過(guò)分布式數(shù)據(jù)庫(kù)的形式存儲(chǔ)電子健康檔案信息。所有對(duì)區(qū)塊鏈的訪問(wèn)均通過(guò)公鑰和私鑰完成，其中公鑰是有權(quán)限的用戶如醫(yī)院、衛(wèi)生部門(mén)等對(duì)健康數(shù)據(jù)的訪問(wèn)權(quán)，私鑰是個(gè)人用戶對(duì)自己健康數(shù)據(jù)的訪問(wèn)權(quán)?；趨^(qū)塊鏈的電子健康檔案數(shù)據(jù)，使個(gè)人可以通過(guò)私鑰隨時(shí)獲取信息。另外，由于中心化機(jī)構(gòu)遭受攻擊或權(quán)限管理不當(dāng)，大規(guī)模數(shù)據(jù)丟失和泄露事件屢屢發(fā)生。區(qū)塊鏈的高冗余存儲(chǔ)、去中心化、高安全性和隱私保護(hù)等特點(diǎn)，能夠讓數(shù)據(jù)更加安全可靠。

3.2 電子健康檔案的去中心化

目前患者的電子健康信息多數(shù)由醫(yī)生書(shū)寫(xiě)，由具有中心化特點(diǎn)的醫(yī)院保存，患者很難獲取所需的醫(yī)療記錄和病史情況，影響就醫(yī)。我們可以將健康信息保存在區(qū)塊鏈上，為患者提供一個(gè)QR二維碼，作為其公開(kāi)密鑰或用戶身份標(biāo)識(shí)符，醫(yī)生或其他機(jī)構(gòu)也可利用這個(gè)二維碼訪問(wèn)患者的醫(yī)療行為?；颊呃脗€(gè)人私鑰密碼能夠?qū)崟r(shí)獲得自己的健康信息，為就醫(yī)或健康規(guī)劃提供數(shù)據(jù)參考。而且區(qū)塊鏈在存儲(chǔ)患者的醫(yī)療記錄時(shí)，可以授權(quán)其他單位訪問(wèn)網(wǎng)絡(luò)而無(wú)需擔(dān)心數(shù)據(jù)安全和完整性。電子健康數(shù)據(jù)能夠被多方授權(quán)建立、追加、分享，將會(huì)重新塑造整個(gè)醫(yī)療行業(yè)的效率和透明度。這類(lèi)應(yīng)用擁有去中心化的特征，更具有開(kāi)放性，患者也具有自主性。這是一種全新的信息組織形態(tài)，信息被個(gè)人所掌握而不需把信息托管給某一個(gè)機(jī)構(gòu)來(lái)保管。

3.3 電子健康檔案的隱私保護(hù)

長(zhǎng)期以來(lái)，身份特征、疾病病史、治療計(jì)劃及費(fèi)用支付情況等是個(gè)人最應(yīng)該受到隱私保護(hù)的信息，但事與愿違，這些相關(guān)數(shù)據(jù)信息一次又一次地被泄露，導(dǎo)致個(gè)人健康信息經(jīng)常流傳到公眾平臺(tái)上。信息泄露往往是由于網(wǎng)絡(luò)操作問(wèn)題引起，使所有數(shù)據(jù)暴露在黑客的面前，往往一個(gè)偶然性單點(diǎn)事故就可以讓所有人的健康信息受到威脅，電子健康數(shù)據(jù)通過(guò)醫(yī)療機(jī)構(gòu)的中心化存儲(chǔ)方式經(jīng)常導(dǎo)致大規(guī)模的信息泄露。隨著互聯(lián)網(wǎng)和物聯(lián)網(wǎng)技術(shù)的普及，指紋數(shù)據(jù)及基因數(shù)據(jù)將被保存。

基于區(qū)塊鏈技術(shù)的數(shù)據(jù)將無(wú)法被非法篡改，而且成本低，并能設(shè)置多電子簽名授權(quán)機(jī)制權(quán)限的管理，為人類(lèi)安全保管健康數(shù)據(jù)提供了新的最佳方案，區(qū)塊鏈技術(shù)在醫(yī)療健康領(lǐng)域的應(yīng)用場(chǎng)景能夠極大地提高健康信息安全和隱私保護(hù)。數(shù)據(jù)信息可以采用多次簽名數(shù)據(jù)鏈私鑰合并數(shù)據(jù)加密技術(shù)預(yù)防上述現(xiàn)象：當(dāng)數(shù)據(jù)信息被哈希算法運(yùn)算后存儲(chǔ)在區(qū)塊鏈上，可使用多簽名技術(shù)，使數(shù)據(jù)被授權(quán)定義，讓擁有授權(quán)的用戶得到正常的訪問(wèn)權(quán)限。此外，區(qū)塊鏈還可以進(jìn)行單私鑰或多私鑰的設(shè)置，也可以設(shè)置復(fù)雜時(shí)間和空間的單人授權(quán)或多人授權(quán)。醫(yī)療適合多權(quán)限的保管，病人、護(hù)士、醫(yī)生的權(quán)限都不同，而且最好是讀取權(quán)限還有時(shí)間上的限制，如某個(gè)治療時(shí)間段只有某個(gè)治療醫(yī)生才能讀取。雖然區(qū)塊鏈具有開(kāi)放的系統(tǒng)，但其驗(yàn)證、傳輸?shù)刃畔⒔粨Q的中間環(huán)節(jié)都采用了先進(jìn)的加密技術(shù)。這種技術(shù)不僅確保了數(shù)據(jù)的來(lái)源正確，也確保了數(shù)據(jù)中間過(guò)程中不被人攔截、更正。隨著區(qū)塊鏈技術(shù)的使用越來(lái)越多，其面臨黑客侵入的概率也會(huì)減少。區(qū)塊鏈系統(tǒng)之所以能降低傳統(tǒng)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)就是因?yàn)樗獬藢?duì)中間人的需求，而省去中間人的方式不但可以減少被黑客攻擊的潛在風(fēng)險(xiǎn)，也可大大減少腐敗滋生的可能。

4 總結(jié)與展望

區(qū)塊鏈技術(shù)是隨著比特幣的應(yīng)用而出現(xiàn)的新的概念和理論，各種理論研究都還處于初步階段，但不可否認(rèn)區(qū)塊鏈將能改變互聯(lián)網(wǎng)的基礎(chǔ)設(shè)施結(jié)構(gòu)，應(yīng)用前景廣闊。區(qū)塊鏈技術(shù)首次以純技術(shù)方式使信息由數(shù)據(jù)轉(zhuǎn)移向價(jià)值轉(zhuǎn)移成為可能，并延續(xù)了互聯(lián)網(wǎng)去中心化和去中介化的趨勢(shì)。未來(lái)可能應(yīng)用于醫(yī)療、金融、交通等眾多領(lǐng)域。

但要想替代當(dāng)前的醫(yī)療信息系統(tǒng)還需要國(guó)內(nèi)外區(qū)塊鏈相關(guān)專(zhuān)家學(xué)者、衛(wèi)生行業(yè)相關(guān)專(zhuān)家以及信息技術(shù)專(zhuān)家等多方協(xié)作來(lái)推動(dòng)區(qū)塊鏈?zhǔn)袌?chǎng)，促進(jìn)該技術(shù)在衛(wèi)生行業(yè)的發(fā)展及運(yùn)用。