黃琳

一、區(qū)塊鏈技術概述

區(qū)塊鏈概念起源于2008年由化名為“中本聰”的學者在密碼學郵件組發(fā)表的奠基性論文《比特幣：一種點對點電子現(xiàn)金系統(tǒng)》。作為一種新型信息技術，區(qū)塊鏈呈現(xiàn)出去中心化、可追溯性、安全性和匿名性等特征，在很大程度上彌補了傳統(tǒng)數(shù)據(jù)存儲和傳輸方式的不足。簡要來說，區(qū)塊鏈是一種以多方參與者事先達成的共識為前提，通過設計激勵機制匯集多方節(jié)點的算力資源實現(xiàn)交易與合作，同時將生成的數(shù)據(jù)區(qū)塊按照時間順序整合成特定鏈條結構（俗稱“挖礦”）的數(shù)據(jù)庫技術。因此，區(qū)塊鏈系統(tǒng)從本質上而言是一種任務眾包機制，它并不依賴第三方監(jiān)督機構或中心管制機構，而是依靠共識機制出色解決了各個節(jié)點的信任問題。

1.區(qū)塊鏈的構成成分

區(qū)塊鏈主要是由“鏈接”和“區(qū)塊”共同組成的。其中“鏈接”是不同區(qū)塊建立聯(lián)系的中樞和紐帶，它按照時間順序將新增數(shù)據(jù)塊聯(lián)結整合到原有區(qū)塊鏈上。而“區(qū)塊”則用于封裝、存儲和加密某些節(jié)點在特定活動過程中新生成的數(shù)據(jù)，主要由核心存儲數(shù)據(jù)、哈希值和隨機數(shù)三個部分組成。核心存儲數(shù)據(jù)是某一特定時間段內的交易數(shù)量和所有經(jīng)過驗證的交易記錄。哈希值是區(qū)塊鏈系統(tǒng)根據(jù)前一區(qū)塊的數(shù)據(jù)格式，運用哈希函數(shù)自動計算出的數(shù)值。它存儲于后一區(qū)塊中并且總是指向前一區(qū)塊的存儲數(shù)據(jù)。因此，哈希值不僅能夠實現(xiàn)前后數(shù)據(jù)塊之間的聯(lián)結，還能及時監(jiān)測數(shù)據(jù)是否遭到非法改動。隨機數(shù)的作用則在于保證每個區(qū)塊的存儲數(shù)據(jù)不重復。一個隨機數(shù)值只能被使用一次，具有絕對的任意性和非重復性。

2.區(qū)塊鏈的關鍵技術

區(qū)塊鏈是一個集合加成多種信息技術的綜合性技術系統(tǒng)，所應用到的關鍵技術包括非對稱加密算法、時間戳、共識機制、激勵機制等，主要是為了保障數(shù)據(jù)在存儲和傳遞過程中的真實性和安全性。

非對稱加密是一種利用公鑰和私鑰兩個非對稱密碼對數(shù)據(jù)進行加密從而保障數(shù)據(jù)安全傳遞的技術，其應用場景主要包括數(shù)字簽名、信息加密和登錄認證等。它的具體操作方法是信息發(fā)送者用公鑰或私鑰加密信息后傳遞給接收者，接收者利用另一個相應的密鑰進行解密獲取信息。

時間戳技術主要用以標明區(qū)塊數(shù)據(jù)生成的時間，防止存儲數(shù)據(jù)被人為篡改和偽造。

共識機制是指多個節(jié)點對區(qū)塊鏈系統(tǒng)的運行規(guī)則達成一致性認可的過程，它是實現(xiàn)去中心化的關鍵所在。區(qū)塊鏈通過搭建合適可靠的共識機制，構造出各個節(jié)點嚴格遵守規(guī)則、平等互信、井然有序的網(wǎng)絡交易環(huán)境，從而突破了傳統(tǒng)第三方機構或中心機構的制衡。由于共識機制的存在，區(qū)塊鏈系統(tǒng)不再需要中心機構來監(jiān)督某一交易過程或校驗某一數(shù)據(jù)的真實性，而是讓分布式節(jié)點共同對每個區(qū)塊數(shù)據(jù)進行校驗和確認。

激勵機制是指區(qū)塊鏈系統(tǒng)通過設置一定的酬勞獎賞，激發(fā)和調動各個節(jié)點參與“挖礦”的積極性，從而匯聚多方算力資源共同解決數(shù)學難題。

3.區(qū)塊鏈的應用領域

區(qū)塊鏈技術早期被廣泛應用于點對點的比特幣交易。區(qū)塊鏈技術對比特幣系統(tǒng)的貢獻主要在于通過數(shù)字加密技術和分布式共識算法建立共識和互信機制。在區(qū)塊鏈技術的有力支持下，比特幣系統(tǒng)以分布式網(wǎng)絡節(jié)點共同參與交易的方式取締了傳統(tǒng)中心機構的絕對干預和操縱。各節(jié)點（每個節(jié)點稱為礦工）通過貢獻自己的計算資源來競爭解決一個難度可動態(tài)調整的數(shù)學問題，成功解決該數(shù)學問題的礦工將獲得區(qū)塊的記賬權。持幣人通過特定的軟件平臺（如比特幣錢包）支付比特幣以獎勵該礦工，并激勵其他礦工繼續(xù)貢獻算力。比特幣系統(tǒng)即時將當前時間段的所有比特幣交易打包記入一個新的區(qū)塊，經(jīng)由全體礦工驗證后按照時間順序鏈接到比特幣主鏈上。[1]

比特幣交易是區(qū)塊鏈技術應用最早的也是最廣泛的領域。而后隨著人們對區(qū)塊鏈認識的不斷深入，區(qū)塊鏈技術的應用范疇也愈加廣泛。2018年工信部發(fā)布的《中國區(qū)塊鏈產(chǎn)業(yè)發(fā)展白皮書》系統(tǒng)說明了區(qū)塊鏈在金融產(chǎn)業(yè)、服務業(yè)和實體經(jīng)濟領域的發(fā)展狀況，將區(qū)塊鏈及其技術提升到國家產(chǎn)業(yè)發(fā)展全局的高度。[2]現(xiàn)今，區(qū)塊鏈憑借其數(shù)據(jù)安全存儲能力和高效傳輸能力，一躍成為了支撐各類產(chǎn)業(yè)運轉的重要信息技術之一，人們對其的應用已經(jīng)延伸至科技、經(jīng)濟和政治等多個領域。

二、區(qū)塊鏈技術在電子健康檔案管理中的適用性

國外已有部分機構看到區(qū)塊鏈技術在EHR管理中的應用前景并付諸實踐。如2017年，韓國9所醫(yī)院與aston公司簽署合約，決定用區(qū)塊鏈管理18萬病人的病歷檔案。2017年芬蘭通信巨頭諾基亞宣布已經(jīng)與OP Financial集團展開合作，旨在利用區(qū)塊鏈存儲醫(yī)療保健信息，享受區(qū)塊鏈帶來的健康信息儲存和分享上的便利以及對隱私信息的保護優(yōu)勢。[3]但截至目前，我國幾乎沒有基于區(qū)塊鏈技術的EHR管理應用實例。我們需要具備足夠敏銳長遠的眼光和前沿思維，看到區(qū)塊鏈技術在解決EHR收集、存儲、利用等問題上的有效性和適用性。

首先，區(qū)塊鏈的去中心化與EHR的海量化、分布式特征相嵌合。EHR是個人從事健康相關活動（包括醫(yī)療就診、參與健康教育、免疫接種等）形成的電子記錄。隨著現(xiàn)代醫(yī)療保健水平的發(fā)展和人們健康意識的提高，EHR日益呈現(xiàn)出數(shù)量龐大和分布廣泛的特征。檔案機構面對著分散在不同醫(yī)療機構和個人手中的數(shù)據(jù)，已不能有效解決檔案收集和利用服務中存在的難題。集中式、中心化的檔案管理制度在海量化和分布式的數(shù)據(jù)面前逐漸顯現(xiàn)出它的無力感。利用區(qū)塊鏈技術改變當下的檔案管理模式，將各個檔案形成主體作為區(qū)塊鏈系統(tǒng)中的節(jié)點，實現(xiàn)一定區(qū)域范圍內的數(shù)據(jù)共享和數(shù)據(jù)交換。以區(qū)塊鏈作為EHR收集歸檔的技術基礎，能夠減輕檔案機構的負擔。

其次，區(qū)塊鏈結合運用時間戳、點對點分布式數(shù)據(jù)存儲、數(shù)字簽名等多項技術，將健康活動中產(chǎn)生的所有檔案數(shù)據(jù)都封裝存儲在各個節(jié)點的區(qū)塊內，為維護EHR真實性筑起堅固的防御壁壘。2015年，美國數(shù)字檔案管理專家Cassie Findlay指出區(qū)塊鏈技術在維護證據(jù)的神圣不可侵犯性、真實性方面可以為檔案界所用。[4]只要檔案數(shù)據(jù)進入?yún)^(qū)塊鏈系統(tǒng)中，就會在信息技術的多重維護下進行存儲和提供利用。

再次，區(qū)塊鏈可以通過對非對稱加密算法的靈活運用和對數(shù)據(jù)訪問的權限設置以保障用戶隱私信息的安全性。EHR涉及到大量用戶隱私信息，利益關系深遠重大，屬于國家數(shù)據(jù)安全保護范疇。而基于區(qū)塊鏈技術的EHR管理將隱私保護納入系統(tǒng)設計范疇內，大大降低了信息外泄的風險。

三、基于區(qū)塊鏈技術的電子健康檔案管理模型建構

基于區(qū)塊鏈技術的EHR管理模型不僅要做到全面捕獲采集檔案數(shù)據(jù)，同時還要保證檔案安全存儲和可持續(xù)化利用。因此筆者大致將新型EHR管理模式解構為EHR采集層、存儲層和應用層三個層次。

1.電子健康檔案采集層

EHR采集層是整個模式建構的地基，它為后續(xù)的檔案管理提供必要資源。以往保存健康數(shù)據(jù)的任務主要由衛(wèi)生醫(yī)療機構承擔，但醫(yī)療機構力量單薄，不可能收集到所有患者的全部健康數(shù)據(jù)。區(qū)塊鏈技術的出現(xiàn)則為突破醫(yī)療機構的局限性提供了契機。它利用點對點式的對等網(wǎng)絡技術和共識機制，讓每個網(wǎng)絡節(jié)點（包括醫(yī)療機構和個人）都各自承擔著錄入和上傳檔案數(shù)據(jù)的任務。區(qū)塊鏈以任務眾包的形式，將健康數(shù)據(jù)采集渠道延伸到更廣闊的范圍內。

EHR管理模式將通過分布式網(wǎng)絡節(jié)點的形式采集檔案信息。如全國電子健康檔案平臺，醫(yī)護人員通過基于區(qū)塊鏈公開的接口程序開發(fā)院內的應用系統(tǒng)，可完成院內電子健康數(shù)據(jù)的錄入和上傳功能。[5]患者本人也可以通過使用基于區(qū)塊鏈技術的智能手環(huán)或手機應用程序，采集和記錄在各個飲食和運動場景中的生命體態(tài)數(shù)據(jù)。基于區(qū)塊鏈技術的EHR管理模型所能采集到的數(shù)據(jù)類型不同、數(shù)據(jù)結構各異，如用戶基本信息、體檢數(shù)據(jù)、掃描圖像、視頻錄像、醫(yī)學報表、診斷報告、可穿戴設備數(shù)據(jù)等，基本實現(xiàn)對人們健康數(shù)據(jù)的全面覆蓋。

2.電子健康檔案存儲層

EHR一旦被采集到區(qū)塊鏈中，就會形成特定區(qū)塊，經(jīng)各節(jié)點共同驗證后被正式存儲。每個患者的EHR作為一條區(qū)塊鏈而獨立存在，不能修改或刪除，只能隨著個人健康數(shù)據(jù)的上傳而增加區(qū)塊。當某個節(jié)點增加某個區(qū)塊時，其余節(jié)點也同步增加該區(qū)塊。具體流程見圖1。

EHR存儲層主要的功能是保證數(shù)據(jù)的真實性和安全性。首先，區(qū)塊鏈的點對點分布式數(shù)據(jù)存儲技術開啟了數(shù)據(jù)保護新機制。EHR在多個網(wǎng)絡節(jié)點中進行分布式存儲，多節(jié)點數(shù)據(jù)鏈的一致性比對使區(qū)塊鏈技術具有防篡改、泛中心化、存儲高冗余等特點，使其適合于存儲和保存居民醫(yī)療活動記錄、健康保健記錄等涉及個人隱私的數(shù)據(jù)。[6]即使某一節(jié)點的存儲數(shù)據(jù)遭到惡意篡改，其余節(jié)點也不會受到影響，繼續(xù)承擔起保護數(shù)據(jù)的責任。檔案數(shù)據(jù)在多個節(jié)點的共同監(jiān)督和維護下，大大降低了其被惡意刪改的風險。

其次，哈希值的敏感性是監(jiān)測檔案的關鍵點。檔案任何微小的變動都會引起哈希值的變動，因此哈希值只要發(fā)生變動就足以說明檔案數(shù)據(jù)遭受到非法操作。區(qū)塊鏈利用多個節(jié)點對同一份電子檔案哈希值的存儲，通過對比，回溯人為操作的源頭并加以及時有效地修復。

最后，包括時間戳、數(shù)字簽名等在內的綜合技術應用能夠起到驗證存儲數(shù)據(jù)的作用，極大降低數(shù)據(jù)被黑客入侵盜取的安全風險，有助于形成不可偽造和不可篡改的區(qū)塊鏈數(shù)據(jù)庫。數(shù)字簽名主要用于對數(shù)據(jù)來源的驗證和確認。當某一機構或個人需要在區(qū)塊鏈上存儲健康數(shù)據(jù)時，就會提出驗證簽名有效性的申請。鏈上各個節(jié)點機構對簽名進行驗證，并投票表決該數(shù)字簽名是否有效。如果投票通過，那么數(shù)字簽名有效性信息的哈希值以及部分元數(shù)據(jù)將被登記到區(qū)塊鏈上永久保存，從而克服檔案長期保存過程中簽名失效、簽名更新的弊端。[7]而時間戳技術則為區(qū)塊鏈存儲數(shù)據(jù)增加時間維度，記錄最新一次數(shù)據(jù)操作的時間點，為數(shù)據(jù)的原始真實性提供有力憑證。區(qū)塊鏈憑借多方面的技術優(yōu)勢，保障檔案數(shù)據(jù)在其中能夠長久安全地保存。

3.電子健康檔案應用層

目前患者健康數(shù)據(jù)大多集中掌握在醫(yī)療機構中。因安全問題，醫(yī)療機構一般采用內部局域網(wǎng)，不與外網(wǎng)相連接。如此中心封閉的管理模式，雖然對避免泄露隱私有一定的幫助，但與患者權益之間存在矛盾。根據(jù)消費者權益法的相關條目推論，患者享有醫(yī)療權、疾病認知權、知情同意權、服務選擇權、名譽權、醫(yī)療文件查閱權。[8]醫(yī)療機構的過度謹慎和封閉，增加了患者和其他醫(yī)療機構獲取健康信息的難度，這與其應盡的義務相悖。造成這種結果的更深層次的原因在于EHR去中心化管理尚未得到相應的技術支持。

基于區(qū)塊鏈技術的EHR應用層最大的優(yōu)勢在于采用分布式管理實現(xiàn)EHR去中心化管理。去中心化的管理機制主要利用各個網(wǎng)絡節(jié)點存儲數(shù)據(jù)同步更新的特性，疏通數(shù)據(jù)交互渠道，使健康數(shù)據(jù)更加公開化和透明化。一方面，它將數(shù)據(jù)控制權和管理權交還到患者手中。當檔案數(shù)據(jù)被存儲在區(qū)塊鏈上時，可設置數(shù)據(jù)訪問權限，讓擁有授權的用戶能夠正常訪問數(shù)據(jù)。如患者可以通過設置和驗證私人密鑰的方式，在區(qū)塊鏈系統(tǒng)中查詢和訪問醫(yī)療人員上傳的個人健康數(shù)據(jù)。這在保障患者信息知情權的同時，也提高了患者參與自身健康管理的積極性和主動性。

另一方面，患者也可以將健康數(shù)據(jù)提供給他們認為值得信任的醫(yī)療機構和人員訪問和利用。其他醫(yī)療機構和人員一旦有訪問患者病狀和醫(yī)療記錄的需求，可以直接在系統(tǒng)中向EHR所有者發(fā)起權限申請或者也可以通過患者的加密傳輸操作來獲取相關檔案數(shù)據(jù)。這對于打破各個醫(yī)療機構之間的數(shù)據(jù)隔閡，實現(xiàn)患者健康數(shù)據(jù)的實時共享，為患者異地就診提供可靠的參考數(shù)據(jù)有重大意義。

四、區(qū)塊鏈技術在電子健康檔案管理中的應用風險

區(qū)塊鏈技術利用分布式節(jié)點共識機制實時生成和更新數(shù)據(jù)鏈，并且利用多種技術優(yōu)勢保證數(shù)據(jù)存儲、傳輸與訪問安全。但基于區(qū)塊鏈技術的EHR管理模型仍存在一定風險，需要我們及時勘測和預防。

1.網(wǎng)絡節(jié)點變更風險

區(qū)塊鏈數(shù)據(jù)庫系統(tǒng)中節(jié)點不穩(wěn)定主要有兩個方面的原因。一方面，受到現(xiàn)代組織機構變遷和患者壽命等諸多客觀因素的影響，區(qū)塊鏈系統(tǒng)覆蓋對象的更替速度明顯加快，需要系統(tǒng)管理者實時監(jiān)控各個節(jié)點的動向并據(jù)此刪減或更新部分節(jié)點，否則將造成大量的數(shù)據(jù)冗余。顯然，網(wǎng)絡節(jié)點的實時變動給管理者帶來了繁重的工作量。另一方面，目前仍存在黑客掌握區(qū)塊鏈系統(tǒng)中51%以上節(jié)點的可能性。一旦假想成真，那么多個節(jié)點分管檔案數(shù)據(jù)的技術優(yōu)勢就不復存在了。黑客將掌控所有個人檔案數(shù)據(jù)，進而達到肆意篡改、偽造和盜取鏈上數(shù)據(jù)的目的。

2.哈希數(shù)值失效風險

檔案內容、格式和載體的任何一點變動都會引起哈希值的異常。然而為使EHR在軟硬件不斷更替的數(shù)字環(huán)境下仍能保持長期有效性和可讀性，檔案格式和載體需要進行定期轉換、遷移和仿真。這顯然與哈希值監(jiān)控檔案數(shù)據(jù)的原理相悖，甚至會導致哈希值的失效，從而破壞區(qū)塊鏈檔案數(shù)據(jù)的安全屏障。開發(fā)專門針對檔案內容的哈希算法，使檔案格式和載體發(fā)生變化的情況下保持哈希值不變，是當下減少區(qū)塊鏈數(shù)據(jù)安全風險的關鍵。

3.信息技術發(fā)展風險

區(qū)塊鏈主要使用非對稱加密技術保障數(shù)據(jù)的安全性，隨著密碼學基礎理論研究的深入發(fā)展，硬件計算能力的提高，單純依靠密碼技術對數(shù)據(jù)的保護越來越脆弱，雖然電容式指紋識別、超聲波指紋識別、光學式指紋識別、人臉識別、虹膜 +人臉識別等生物識別技術可提升私鑰的安全性，使用起來也較方便，但隨著技術的發(fā)展進步，對生物特征的獲取具有多種手段，導致生物識別技術的安全性降低。[9]現(xiàn)代信息技術正處于快速發(fā)展、不斷革新的洪流之中，其或將成為黑客發(fā)起攻擊的手段。因此，區(qū)塊鏈系統(tǒng)所應用到的技術本身就存有一定風險，不排除未來會出現(xiàn)技術漏洞或技術破譯等情況。

區(qū)塊鏈技術憑借去中心化、分布式賬本、共識算法、非對稱加密和哈希算法等多項核心技術迅速取得人們的青睞，從而突破了比特幣等初始應用場景，在醫(yī)療、金融、交通和教育等多個領域中得以廣泛采納。特別是在醫(yī)療領域，區(qū)塊鏈在人們健康檔案管理的應用前景開闊，有著充足的適用性和可行性。它能夠整合多方力量創(chuàng)建和更新全面的個人健康檔案，并在存儲和應用階段中滿足人們對檔案數(shù)據(jù)安全真實、隱私保護和共享的需求。但目前對區(qū)塊鏈技術的理論研究和實踐研究尚處于初步階段，仍然存在（下轉53頁）（上接46頁）上述諸多應用風險。醫(yī)療行業(yè)人員、區(qū)塊鏈學者和相關信息技術專家等需要對區(qū)塊鏈技術保持樂觀和清醒的認識，在看到區(qū)塊鏈技術優(yōu)勢的同時，也要提防墜入盲目自信的陷阱。