□ 陳靜 CHEN Jing 付玉敏 FU Yu-min

Cloud computing has the characteristics of ultra-large scale, virtualization, on-demand services, and strong data processing capability,which means that it has built-in advantages for storing electronic health records (EHR) of patients. However, cloud computing requires a large number of users, which brings drawbacks such as privacy leakage, security risks, and data silos. Based on the privacy protection scheme of blockchain smart contract, the medical institution creates a scattered, decentralized content management system for EHR with homomorphic encryption algorithm. The system automatically hides the identity information of the patients when accessing their EHR, which promotes the EHR information sharing among the medical institutions while protecting patient privacy.

電子健康記錄(電子健康檔案，HER)是電子化的個(gè)人健康記錄[1]，記錄著患者個(gè)人疾病檢測(cè)與治療的整個(gè)過(guò)程，包含病患的電子病歷(Electronic medical record，EMR)[2]。在醫(yī)療過(guò)程中，通過(guò)云計(jì)算存儲(chǔ)患者EHR已經(jīng)越來(lái)越普遍，醫(yī)療機(jī)構(gòu)可以根據(jù)互聯(lián)網(wǎng)終端的實(shí)際需要對(duì)相關(guān)共享數(shù)據(jù)信息進(jìn)行計(jì)算和分析。云計(jì)算處理數(shù)據(jù)信息的能力十分強(qiáng)大，存儲(chǔ)HER具有先天的優(yōu)勢(shì)。然而，云計(jì)算也帶來(lái)HER隱私泄漏與信息安全方面的隱患。

1.隱私泄露與安全隱患。存儲(chǔ)在云端的患者疾病與健康信息一方面解決了信息共享，推動(dòng)著醫(yī)療技術(shù)進(jìn)步，但同時(shí)患者個(gè)人信息也遭受著泄露的風(fēng)險(xiǎn)，患者個(gè)人一般無(wú)法對(duì)訪(fǎng)問(wèn)自己醫(yī)療數(shù)據(jù)的他方設(shè)置權(quán)限，隱私隨時(shí)可能被侵犯。另外，醫(yī)療機(jī)構(gòu)及其工作人員需花費(fèi)相當(dāng)多的時(shí)間和精力向有關(guān)部門(mén)提交訪(fǎng)問(wèn)申請(qǐng)，在醫(yī)療數(shù)據(jù)使用前要先通過(guò)權(quán)限審查，一方面工作效率低下，另一方面也存在醫(yī)療數(shù)據(jù)被泄露、篡改以及數(shù)據(jù)傳輸中的安全隱患等風(fēng)險(xiǎn)。

近年來(lái)互聯(lián)網(wǎng)技術(shù)的高速發(fā)展與醫(yī)療數(shù)據(jù)的爆炸式增長(zhǎng)，迫使醫(yī)療機(jī)構(gòu)的數(shù)據(jù)信息從內(nèi)網(wǎng)逐漸走向云端，然而醫(yī)療行業(yè)的數(shù)據(jù)安全并未得到足夠重視，導(dǎo)致其成為信息泄露的高發(fā)領(lǐng)域，醫(yī)療信息泄露的事故接連發(fā)生[3]。2017年《法制日?qǐng)?bào)》報(bào)道了一起特大醫(yī)療信息泄露案件，某部委醫(yī)療服務(wù)系統(tǒng)被“黑客”入侵，7億多條患者電子健康記錄遭到洗劫，8000多萬(wàn)條公民個(gè)人信息遭倒賣(mài)。除此之外，醫(yī)療機(jī)構(gòu)對(duì)患者的EHR具有絕對(duì)的控制權(quán)，EHR中包含的如身份證號(hào)、手機(jī)號(hào)、電子郵箱、活動(dòng)軌跡和居住地址，醫(yī)療就診記錄等用戶(hù)不愿透露的敏感信息，在存入云端之前都缺乏相應(yīng)的處理[4]。然而，EHR的應(yīng)用對(duì)象繁多，有醫(yī)療機(jī)構(gòu)人員、疾控部門(mén)、政府衛(wèi)生行政部門(mén)、藥企等，當(dāng)將個(gè)人的電子健康記錄統(tǒng)統(tǒng)置于云端，個(gè)人隱私的泄露更易發(fā)生，數(shù)據(jù)安全的保障也更加困難，相應(yīng)的，云服務(wù)提供商規(guī)劃安全策略也會(huì)更加復(fù)雜，安全隱患也大為增加[5]。

2.數(shù)據(jù)孤島。通常情況下，EHR是將患者病歷或醫(yī)生辦公室筆記中的記錄或材料加以電子化的結(jié)果?；颊叩腅HR具有綜合性，包括各階段檢查報(bào)告、手術(shù)記錄、診斷中的各項(xiàng)檢查依據(jù)、出院報(bào)告以及和所有醫(yī)務(wù)人員接觸后的相關(guān)記錄，記載信息全面準(zhǔn)確，所以經(jīng)常會(huì)被調(diào)用。即便云計(jì)算環(huán)境下的EHR存儲(chǔ)已是專(zhuān)業(yè)化的示范系統(tǒng)，但無(wú)法互聯(lián)互通仍然是個(gè)大問(wèn)題，醫(yī)療機(jī)構(gòu)或醫(yī)生之間的意見(jiàn)在數(shù)據(jù)上傳云端之前就缺乏溝通或協(xié)商[6]。以美國(guó)為例，其就醫(yī)分流機(jī)制讓這項(xiàng)工作變得十分艱難，65歲以上的老年人每年平均在4個(gè)醫(yī)療機(jī)構(gòu)的7個(gè)醫(yī)生處就醫(yī)，即便這些醫(yī)療機(jī)構(gòu)中的部分或大多數(shù)使用EHR，也只會(huì)在特定情況下加以匯總，即便嘗試匯總，檔案的綜合過(guò)程也會(huì)相當(dāng)困難。數(shù)以百計(jì)的醫(yī)療機(jī)構(gòu)或醫(yī)務(wù)人員獨(dú)自運(yùn)作著程序互不兼容的EHR，使得碎片化程度成倍上升。換句話(huà)說(shuō)，患者的EHR往往存儲(chǔ)于各醫(yī)療機(jī)構(gòu)，無(wú)法實(shí)現(xiàn)診療信息在醫(yī)療體系中的無(wú)障礙流通，實(shí)現(xiàn)醫(yī)療數(shù)據(jù)共享[7]。多年的監(jiān)管遏制了醫(yī)療信息管理領(lǐng)域的技術(shù)創(chuàng)新，同時(shí)，一系列不兼容的后端系統(tǒng)和零散的數(shù)據(jù)限制了患者參與治療的能力?！皵?shù)據(jù)孤島”“不實(shí)用”是目前這種互不兼容系統(tǒng)的現(xiàn)狀。

區(qū)塊鏈的EHR隱私保護(hù)思路

目前，國(guó)外已經(jīng)有較多學(xué)者在研究并設(shè)計(jì)基于區(qū)塊鏈技術(shù)的EHR系統(tǒng)，這些系統(tǒng)不僅在理論上具有指導(dǎo)意義，更具有一定的實(shí)踐操作性，相當(dāng)一部分EHR系統(tǒng)已經(jīng)應(yīng)用于醫(yī)療實(shí)踐中。雖然我國(guó)對(duì)基于區(qū)塊鏈的患者敏感數(shù)據(jù)保護(hù)的研究還處于剛剛起步狀態(tài)，但我國(guó)具有龐大的醫(yī)患群體。創(chuàng)新的關(guān)鍵在于，如何從細(xì)節(jié)方面切入，通過(guò)提供安全且個(gè)性化的醫(yī)療數(shù)據(jù)服務(wù)，科學(xué)地推動(dòng)患者參與醫(yī)療保健[8]。依托于區(qū)塊鏈的醫(yī)療智能合約可有效防范數(shù)據(jù)安全隱患，區(qū)塊鏈的網(wǎng)絡(luò)環(huán)境特點(diǎn)在于去中心化、不可篡改，患者的EHR可被上傳并加密存儲(chǔ)在區(qū)塊鏈上，患者用戶(hù)不但可以通過(guò)智能合約對(duì)個(gè)人EHR設(shè)置訪(fǎng)問(wèn)權(quán)限，實(shí)現(xiàn)對(duì)個(gè)人EHR完整的控制權(quán)，實(shí)現(xiàn)醫(yī)療信息之間的共享，進(jìn)而實(shí)現(xiàn)信息綜合分析，提供決策支持[9]，同時(shí)無(wú)需擔(dān)心數(shù)據(jù)泄露與篡改[10]。所以，采用區(qū)塊鏈技術(shù)為醫(yī)療機(jī)構(gòu)之間的患者EHR創(chuàng)建分散的內(nèi)容管理系統(tǒng)，在保護(hù)患者隱私的同時(shí)促進(jìn)信息資源共享[11]，是一種可行的方式，該系統(tǒng)可以為患者用戶(hù)提供一個(gè)新穎的、分散的數(shù)據(jù)管理系統(tǒng)，使用區(qū)塊鏈來(lái)保存和管理患者的EHR，它可以最大限度地滿(mǎn)足患者、醫(yī)療機(jī)構(gòu)和醫(yī)療機(jī)構(gòu)從業(yè)人員的需求。

用戶(hù)進(jìn)行云服務(wù)的主要手段是數(shù)據(jù)傳輸，這個(gè)過(guò)程也就成為了最容易發(fā)生數(shù)據(jù)泄露的環(huán)節(jié)，因此可以采取如對(duì)稱(chēng)加密或非對(duì)稱(chēng)加密的方式，以確保數(shù)據(jù)傳輸過(guò)程的安全性和隱私性。除此之外，還可以賦予患者用戶(hù)訪(fǎng)問(wèn)控制權(quán)，系統(tǒng)通過(guò)分析數(shù)據(jù)傳輸過(guò)程中潛在的風(fēng)險(xiǎn)，對(duì)無(wú)權(quán)訪(fǎng)問(wèn)者設(shè)置針對(duì)性訪(fǎng)問(wèn)權(quán)限，同時(shí)注重加密方式的多樣性，只有當(dāng)用戶(hù)有訪(fǎng)問(wèn)權(quán)限并滿(mǎn)足各項(xiàng)條件時(shí)才能訪(fǎng)問(wèn)。一般情況下，相關(guān)組件信息等重要的數(shù)據(jù)，必須相互關(guān)聯(lián)，且集中存儲(chǔ)在同一個(gè)信息區(qū)塊中，以防范數(shù)據(jù)篡改。這樣一來(lái)，不但可以實(shí)現(xiàn)數(shù)據(jù)資源共享，還極大地保障了數(shù)據(jù)的安全與隱私。

以健康保險(xiǎn)理賠為例，傳統(tǒng)的理賠方式是，保險(xiǎn)公司通過(guò)查看患者的EHR，將其與數(shù)據(jù)庫(kù)中的投保信息作比較，最終作出理賠與否的決定。在這個(gè)過(guò)程中，患者的EHR隱私極易被保險(xiǎn)公司侵犯，但似乎又難以找到一個(gè)既不侵犯隱私又不影響理賠的兩全方案。而區(qū)塊鏈聯(lián)合同態(tài)加密技術(shù)的方案可以解決這一難題?？傮w思路是：在醫(yī)療領(lǐng)域建立一條公共鏈，患者在該公共鏈上注冊(cè)成為用戶(hù)，并將自己的EHR信息上傳至區(qū)塊鏈，使EHR保存在一個(gè)去中心化的系統(tǒng)上，供醫(yī)療機(jī)構(gòu)及其人員做研究，同時(shí)患者也可以隨時(shí)訪(fǎng)問(wèn)查看自己的EHR信息。值得一提的是，患者EHR與以太坊地址是以一組散列分布的數(shù)組和對(duì)應(yīng)數(shù)組的哈希值存在于合約中。該合約在患者第一次入院治療時(shí)就會(huì)創(chuàng)建，作用類(lèi)似于傳統(tǒng)保險(xiǎn)理賠中的申請(qǐng)書(shū)，只不過(guò)是由醫(yī)院保存?；颊咄ㄟ^(guò)醫(yī)院提出保險(xiǎn)理賠申請(qǐng)，醫(yī)院將該申請(qǐng)告知保險(xiǎn)公司，保險(xiǎn)公司將訪(fǎng)問(wèn)理賠合約中的數(shù)組，但由于EHR中的數(shù)據(jù)信息已通過(guò)同態(tài)加密處理，與患者有關(guān)的身份信息和EHR信息也已經(jīng)同時(shí)隱藏，保險(xiǎn)公司通過(guò)密鑰對(duì)數(shù)據(jù)進(jìn)行解密后獲取計(jì)算結(jié)果，將其反饋給合約，若符合理賠條件，則自動(dòng)向患者的以太坊地址進(jìn)行轉(zhuǎn)賬。該方案正是將智能合約和同態(tài)加密技術(shù)相結(jié)合，在隱藏理賠對(duì)象(患者)身份信息和電子健康記錄的情況下，實(shí)現(xiàn)保險(xiǎn)公司的自動(dòng)理賠[12]。

智能合約與同態(tài)加密下的EHR隱私保護(hù)方案

如何保護(hù)患者用戶(hù)的EHR隱私，如何加強(qiáng)患者用戶(hù)對(duì)EHR的控制權(quán)以及如何保證保險(xiǎn)公司的安全理賠，對(duì)基于區(qū)塊鏈系統(tǒng)的EHR建設(shè)具有重要的意義。本部分仍以傳統(tǒng)理賠存在的隱私泄露為例，通過(guò)改進(jìn)傳統(tǒng)理賠方式中保險(xiǎn)公司可肆無(wú)忌憚地查看患者明文EHR的弊端，強(qiáng)化對(duì)患者EHR信息的保護(hù)，最終提出一個(gè)基于智能合約與同態(tài)加密的自動(dòng)理賠方案。在本方案中，醫(yī)療機(jī)構(gòu)會(huì)為每一個(gè)患者用戶(hù)創(chuàng)建一個(gè)理賠合約，該合約的功能相當(dāng)于傳統(tǒng)保險(xiǎn)理賠中的理賠申請(qǐng)單，一旦公布智能合約，就不能再進(jìn)行更改，這樣合約中的信息才不會(huì)被篡改。倘若調(diào)用智能合約，只需要知道該合約所在的以太坊地址即可。

在理賠進(jìn)行之前，假設(shè)醫(yī)療機(jī)構(gòu)和保險(xiǎn)公司已經(jīng)約定好使用某一特定的同態(tài)加密算法，并且公鑰和私鑰已分別由雙方保存。那么，同態(tài)加密下的自動(dòng)理賠合約運(yùn)行過(guò)程如下：

第一步，患者去醫(yī)療機(jī)構(gòu)就診，醫(yī)生將該患者的EHR上傳并保存至醫(yī)療機(jī)構(gòu)的數(shù)據(jù)庫(kù)；第二步，醫(yī)療機(jī)構(gòu)向保險(xiǎn)公司發(fā)出獲取患者保險(xiǎn)信息的請(qǐng)求；第三步，保險(xiǎn)公司在收到該請(qǐng)求后，將患者參與投保的疾病病種分別加密，比如1號(hào)病種加密形式為E(M1)，2號(hào)病種加密形式為E(M2)，…，E(Mn)然后將加密的病種發(fā)送給醫(yī)院；若是保險(xiǎn)公司沒(méi)有該患者的投保信息，依然要發(fā)送通知提示醫(yī)療機(jī)構(gòu)；第四步，醫(yī)療機(jī)構(gòu)開(kāi)始創(chuàng)建自動(dòng)理賠合約，并分別計(jì)算出由對(duì)稱(chēng)加密密鑰加密的EHR和患者EHR中所記錄疾病M的哈希值；計(jì)算E(M1)×E(M)-1，E(M2)×E(M)-1，…，E(Mn)×E(M)-1，并將計(jì)算結(jié)果散列分布在一列數(shù)組A[a]中，然后將患者用戶(hù)的以太坊地址、計(jì)算出的EHR哈希值、EHR病種的哈希值以及數(shù)組A[a]存儲(chǔ)至自動(dòng)理賠合約中，至此，基于區(qū)塊鏈與同態(tài)加密的自動(dòng)理賠合約創(chuàng)建完成。與傳統(tǒng)理賠不同的是，患者不是直接面向保險(xiǎn)公司提出理賠申請(qǐng)，而是先向醫(yī)療機(jī)構(gòu)提出請(qǐng)求，醫(yī)療機(jī)構(gòu)收到患者的請(qǐng)求之后，再向保險(xiǎn)公司發(fā)送理賠合約的以太坊地址，保險(xiǎn)公司通過(guò)訪(fǎng)問(wèn)該地址查看理賠合約，并獲取數(shù)組A[a]中的計(jì)算結(jié)果，使用私鑰進(jìn)行解密，根據(jù)解密的結(jié)果判斷兩個(gè)明文是否有區(qū)別，進(jìn)而得出理賠與否的結(jié)論。由于計(jì)算結(jié)果是以密文形式亂序存儲(chǔ)在數(shù)組A[a]中的，保險(xiǎn)公司無(wú)法辨別解密后的明文與哪個(gè)密文相互對(duì)應(yīng)，而且訪(fǎng)問(wèn)以太坊地址查看理賠合約時(shí)，也不能識(shí)別患者的身份信息，即通過(guò)設(shè)置智能理賠合約，并在相關(guān)數(shù)據(jù)上實(shí)施同態(tài)加密的方案，實(shí)現(xiàn)隱藏患者用戶(hù)身份信息的功能，所以，也就無(wú)從知曉患者用戶(hù)的任何投保信息，極大地保障了患者的EHR隱私。此外，在理賠過(guò)程中，保險(xiǎn)公司還可以將醫(yī)療機(jī)構(gòu)計(jì)算的EHR哈希值與合約中的哈希值作比較，以驗(yàn)證患者EHR信息的完整性。

將醫(yī)療記錄及其哈希值存儲(chǔ)在醫(yī)療機(jī)構(gòu)的數(shù)據(jù)庫(kù)中，利用區(qū)塊鏈的連續(xù)性集成一個(gè)訪(fǎng)問(wèn)控制層，提高系統(tǒng)的可擴(kuò)展性、可操作性和對(duì)患者的EHR隱私保護(hù)。為了抵御內(nèi)部人員或者黑客的惡意攻擊，將無(wú)效數(shù)據(jù)和區(qū)塊鏈上的有效數(shù)據(jù)混合，或者將患者的EHR存儲(chǔ)在權(quán)限區(qū)塊鏈中，同時(shí)對(duì)EHR及其哈希值進(jìn)行同態(tài)加密，以提高數(shù)據(jù)的安全性?？偟膩?lái)說(shuō)，醫(yī)療機(jī)構(gòu)及其人員、患者用戶(hù)和保險(xiǎn)公司組成一個(gè)權(quán)限區(qū)塊鏈，并利用相關(guān)技術(shù)將醫(yī)療機(jī)構(gòu)、患者用戶(hù)和保險(xiǎn)公司之間復(fù)雜的協(xié)議內(nèi)容代碼化，轉(zhuǎn)化成基于區(qū)塊鏈的智能合約，也提升了合約的透明度。為了使患者用戶(hù)享有EHR的所有權(quán)和控制權(quán)，基于區(qū)塊鏈的隱私保護(hù)框架，在每個(gè)節(jié)點(diǎn)的接入和注冊(cè)階段就劃分出明確的權(quán)限，區(qū)塊鏈上的各個(gè)節(jié)點(diǎn)的權(quán)限被智能合約嚴(yán)格控制，患者對(duì)個(gè)人EHR的控制權(quán)相應(yīng)地?cái)U(kuò)大。

在理賠過(guò)程中，保險(xiǎn)公司只能獲取并訪(fǎng)問(wèn)患者用戶(hù)的以太坊地址，而無(wú)法知曉與患者有關(guān)的身份信息，使患者的身份信息免遭泄露；同時(shí)也可以結(jié)合電子簽名或者環(huán)簽名技術(shù)，以保護(hù)交易發(fā)起人的信息[13]。這樣一來(lái)，所有上傳至區(qū)塊鏈的信息都進(jìn)行了加密處理，未授權(quán)節(jié)點(diǎn)訪(fǎng)問(wèn)敏感信息的可能性大大降低。任何節(jié)點(diǎn)在接入和注冊(cè)時(shí)，相關(guān)的合約都會(huì)自動(dòng)驗(yàn)證該節(jié)點(diǎn)是否合法，從而保證了區(qū)塊鏈中所有節(jié)點(diǎn)的合法性。在傳統(tǒng)的中心化系統(tǒng)中，惡意毀壞或泄露數(shù)據(jù)的情況時(shí)有發(fā)生，讓數(shù)據(jù)的集中管理者防不勝防，而在區(qū)塊鏈數(shù)據(jù)存儲(chǔ)系統(tǒng)中，假設(shè)存在某一惡意節(jié)點(diǎn)試圖訪(fǎng)問(wèn)和獲取患者的EHR，則在訪(fǎng)問(wèn)之前須經(jīng)權(quán)限合約的合法性驗(yàn)證，若該節(jié)點(diǎn)通過(guò)合法性驗(yàn)證，才能獲取密鑰以訪(fǎng)問(wèn)患者的明文EHR。在各個(gè)節(jié)點(diǎn)的交互過(guò)程中，除醫(yī)療機(jī)構(gòu)和被授權(quán)者之外的各參與方都不能獲取到患者的明文EHR；在轉(zhuǎn)移EHR時(shí)，只允許傳輸密文狀態(tài)下的EHR，進(jìn)一步提高了EHR數(shù)據(jù)信息的安全性；在理賠過(guò)程中，醫(yī)療機(jī)構(gòu)僅僅可以收到患者密文狀態(tài)下的投保信息，且醫(yī)療機(jī)構(gòu)無(wú)法在安全的加密狀態(tài)下對(duì)其解密；同樣的，保險(xiǎn)公司也只能獲取患者密文狀態(tài)下的EHR和疾病病種，無(wú)法得知患者的身份信息，從而保證了患者用戶(hù)敏感數(shù)據(jù)的隱私性。

基于區(qū)塊鏈的EHR隱私保護(hù)方案之缺陷

高速發(fā)展的區(qū)塊鏈技術(shù)，為數(shù)據(jù)資源的存儲(chǔ)、傳播和共享提供了新的工具和視角，但是作為一項(xiàng)新的互聯(lián)網(wǎng)技術(shù)，在實(shí)際應(yīng)用中依然面臨著許多問(wèn)題。從區(qū)塊鏈智能合約的發(fā)展現(xiàn)狀以及數(shù)據(jù)獲取、存儲(chǔ)與共享等應(yīng)用的情況來(lái)看，存在以下較為突出的問(wèn)題。

1.合約的轉(zhuǎn)化存在翻譯誤差。傳統(tǒng)合同是以語(yǔ)言文字表達(dá)其內(nèi)容，但智能合約卻是依托于互聯(lián)網(wǎng)技術(shù)，以二進(jìn)制代碼的形式自動(dòng)執(zhí)行合同內(nèi)容，二者之間存在巨大的語(yǔ)言鴻溝。前者為了應(yīng)對(duì)實(shí)際生活中通常難以預(yù)料到的特殊案例，經(jīng)常使用一些抽象性、模糊性的語(yǔ)言文字，以最大限度涵蓋現(xiàn)實(shí)生活中的案例，實(shí)現(xiàn)合同文本的通用性；而后者為了避免或降低系統(tǒng)運(yùn)行的安全風(fēng)險(xiǎn)，必須使用規(guī)范且精確的語(yǔ)言。簡(jiǎn)單說(shuō)，傳統(tǒng)合同更注重內(nèi)容的廣泛性，而智能合約更注重內(nèi)容的精確性。所以，傳統(tǒng)合同轉(zhuǎn)化為智能合約時(shí)，翻譯誤差是不可避免的，相應(yīng)的智能合約的法律效力也會(huì)受到一定的影響。這種影響具體表現(xiàn)在：第一，智能合約無(wú)法涵蓋所有情形。智能合約能夠處理的情形都是預(yù)定義代碼所表示的案例，如果在醫(yī)療過(guò)程中或者保險(xiǎn)理賠中發(fā)生情勢(shì)變遷等特殊情形，智能合約則無(wú)法應(yīng)對(duì)。第二，設(shè)置合約之前的意思表示有瑕疵。在設(shè)置智能合約之前，醫(yī)療機(jī)構(gòu)及其人員、保險(xiǎn)公司或者患者用戶(hù)之間的欺詐、脅迫等行為，或者輸入編碼有誤，將導(dǎo)致合約不能反映當(dāng)事人的真實(shí)意思。在我國(guó)《合同法》中，上述情形是合同的可撤銷(xiāo)情形，但智能合約是以區(qū)塊鏈技術(shù)為依托，秉承了區(qū)塊鏈去中心化、不可撤銷(xiāo)的特性，所以智能合約無(wú)法撤銷(xiāo)。第三，智能合約的違約救濟(jì)存在困難?；趨^(qū)塊鏈的智能合約是匿名交易，當(dāng)事人之間無(wú)從知曉對(duì)方的行為能力、履約能力等，一旦出現(xiàn)違約，追責(zé)就變得相當(dāng)困難。針對(duì)這些問(wèn)題，目前除了將語(yǔ)言轉(zhuǎn)化得更為規(guī)范、將條文設(shè)計(jì)得更為精確之外，可以結(jié)合人工智能技術(shù)，模仿現(xiàn)實(shí)中的律師和法官，以應(yīng)對(duì)未知場(chǎng)景。

2.合約性能低下。首先，由于患者EHR數(shù)量十分龐大，有的可能要分類(lèi)處理，受限于區(qū)塊鏈的計(jì)算能力，目前仍無(wú)法快速完成EHR的上傳、下載和更新，這對(duì)EHR的獲取、共享和利用都會(huì)產(chǎn)生不利影響[14]。其次，一個(gè)醫(yī)療區(qū)塊鏈系統(tǒng)通常涉及到多個(gè)智能合約，且醫(yī)療機(jī)構(gòu)會(huì)為每一個(gè)患者創(chuàng)建一個(gè)自動(dòng)理賠合約，合約的種類(lèi)和數(shù)量會(huì)極其龐雜，需要存儲(chǔ)的患者EHR也越來(lái)越多，每個(gè)節(jié)點(diǎn)都需要大量的時(shí)間和超強(qiáng)的計(jì)算能力去執(zhí)行合約，導(dǎo)致運(yùn)行效率低下。最后，雖然以太坊地址不能反映個(gè)人信息，使得黑客等惡意攻擊者很難根據(jù)以太坊地址獲取個(gè)人身份信息，這在一定程度上保護(hù)了患者EHR隱私，但通過(guò)分析醫(yī)療機(jī)構(gòu)或保險(xiǎn)公司被特定節(jié)點(diǎn)訪(fǎng)問(wèn)的頻率，可能會(huì)推斷出該節(jié)點(diǎn)的信息。即便同態(tài)加密算法是目前保護(hù)數(shù)據(jù)安全最可靠的技術(shù)，但隨著密碼學(xué)和信息技術(shù)的快速發(fā)展，加密算法將來(lái)可能會(huì)被破解，使患者EHR面臨安全隱患。

總體來(lái)說(shuō)，基于區(qū)塊鏈的EHR隱私保護(hù)方案實(shí)現(xiàn)了更多的功能，如緩解數(shù)據(jù)孤島、保障數(shù)據(jù)安全和實(shí)現(xiàn)自動(dòng)理賠等，尤其是在保護(hù)患者EHR隱私方面，隱藏了患者最為敏感的身份信息，但是在方案的性能上，尤其是效率方面稍顯不足。在后續(xù)的研究中，在保障安全性的前提下可以適當(dāng)減少合約的數(shù)量，注重效率的提升。