孫 琪，王 磊，楊 龍，程瀝瑩

（信息產(chǎn)業(yè)信息安全測評中心，北京 100083）

隨著大數(shù)據(jù)環(huán)境、云環(huán)境等新興模式的構(gòu)建，健康醫(yī)療數(shù)據(jù)安全迎來了更大的挑戰(zhàn)。尤其是在“互聯(lián)網(wǎng)+”強勢進入醫(yī)療行業(yè)后，互聯(lián)網(wǎng)醫(yī)院遍地開花[1]，使得原本的醫(yī)療內(nèi)網(wǎng)封閉環(huán)境被打破，健康醫(yī)療數(shù)據(jù)在開放性、共享性更強的互聯(lián)網(wǎng)中傳輸，數(shù)據(jù)安全面臨的威脅不管從種類上還是從數(shù)量上都有了明顯的增幅?；ヂ?lián)網(wǎng)醫(yī)院的推廣和發(fā)展使得醫(yī)療行業(yè)的信息化發(fā)展步入了2.0階段[2]，這既是機遇，又是挑戰(zhàn)，一方面，互聯(lián)網(wǎng)醫(yī)院的便捷能夠極大地提高醫(yī)護人員的工作效率、患者就診的體驗與滿意度；另一方面，互聯(lián)網(wǎng)醫(yī)院業(yè)務對醫(yī)療行業(yè)的信息化水平和安全防護水平都提出了更高的要求。

1 醫(yī)療行業(yè)數(shù)據(jù)

醫(yī)療行業(yè)關系到重要民生、重大公共利益，在《個人信息保護法》中將“醫(yī)療健康”信息定義為敏感個人信息。

1.1 健康醫(yī)療數(shù)據(jù)

在GB/T 39725—2020《信息安全技術 健康醫(yī)療數(shù)據(jù)安全指南》中[3]，“個人健康醫(yī)療數(shù)據(jù)”被定義為“單獨或者與其他信息結(jié)合后能夠識別特定自然人或者反映特定自然人生理或心理健康的相關電子數(shù)據(jù)”。健康醫(yī)療數(shù)據(jù)不同于一般的重要業(yè)務數(shù)據(jù)，其具有很高的準確度和社會關系屬性，醫(yī)療行業(yè)由于涉及了大量就醫(yī)患者的重要用戶個人信息，往往成為攻擊者的首選攻擊對象。而且，健康醫(yī)療數(shù)據(jù)除了患者的個人信息，還有很多敏感的數(shù)據(jù)，包括診療數(shù)據(jù)、檢驗數(shù)據(jù)、處方數(shù)據(jù)、醫(yī)囑數(shù)據(jù)等。

1.2 健康醫(yī)療數(shù)據(jù)安全事件

醫(yī)療行業(yè)內(nèi)的數(shù)據(jù)泄露事故屢見不鮮[4]。2017年5月，20萬條新生嬰兒信息從某市疾病預防控制中心泄露出來，這些信息被用于電話推銷新生兒保健品；2020年4月，青島膠州中心醫(yī)院6千余人就診名單泄露，嚴重影響就診人員的個人生活。

數(shù)據(jù)泄露對患者的影響非常大，可能會導致被醫(yī)藥、廣告、中介、保險等利益方騷擾，患者的健康信息泄露可能會導致患者個人及家庭遭受歧視。群體性的健康醫(yī)療數(shù)據(jù)泄露就更加可怕，容易造成社會輿論，并且容易引起社會的恐慌。

在醫(yī)療行業(yè)有一種普遍的現(xiàn)象，患者自己對自己的健康數(shù)據(jù)并不清楚，醫(yī)院雖然擁有這些診療及健康數(shù)據(jù)，但并未對數(shù)據(jù)加以研究[5]。如何在保證數(shù)據(jù)安全的前提下，盡量獲取健康醫(yī)療數(shù)據(jù)的價值、建立合理的數(shù)據(jù)共享和研究機制，將會是醫(yī)療行業(yè)的下一個研究方向。如果能夠?qū)崿F(xiàn)健康醫(yī)療數(shù)據(jù)的隱私保護，就能更好地實現(xiàn)數(shù)據(jù)共享，最大限度地利用健康醫(yī)療數(shù)據(jù)的價值，推動醫(yī)療行業(yè)的進一步發(fā)展。

2 區(qū)塊鏈技術

2.1 區(qū)塊鏈概念

區(qū)塊鏈從本質(zhì)上是一個共享數(shù)據(jù)庫，區(qū)塊鏈技術能夠?qū)崿F(xiàn)數(shù)據(jù)的不可偽造性、可追溯性、公開透明性等。區(qū)塊鏈的核心技術包括分布式賬本、非對稱加密、共識機制、智能合約等。一般說來，區(qū)塊鏈系統(tǒng)由數(shù)據(jù)層、網(wǎng)絡層、共識層、激勵層、合約層和應用層組成。

2.2 區(qū)塊鏈技術在醫(yī)療行業(yè)的應用前景

區(qū)塊鏈技術應用在醫(yī)療行業(yè)，主要可以解決數(shù)據(jù)共享、隱私保護等問題。每個省市的醫(yī)保系統(tǒng)都是獨立的，在不同的城市看病就需要不斷重復建檔的操作流程，增加了患者的負擔。將區(qū)塊鏈技術引入醫(yī)療體系中，能更方便患者就醫(yī)，也有利于醫(yī)生了解患者的既往病史。同時，區(qū)塊鏈能夠保護患者的隱私數(shù)據(jù)。區(qū)塊鏈電子病歷能夠?qū)⒒颊叩膫€人信息、診療記錄加密存放在區(qū)塊鏈中，使得醫(yī)療記錄安全、可信，能夠保證數(shù)據(jù)的有效性、完整性和安全性，可以實現(xiàn)醫(yī)療數(shù)據(jù)的去標識化共享。

2017年中國第一個基于醫(yī)療場景實施的區(qū)塊鏈應用——常州市醫(yī)聯(lián)體區(qū)塊鏈開始進行試點[6]。經(jīng)過一個月的試點，通過常州市醫(yī)聯(lián)體區(qū)塊鏈，更好地實現(xiàn)了分級診療就醫(yī)體驗：患者就近在衛(wèi)生院體檢，需要轉(zhuǎn)診的患者由社區(qū)醫(yī)生通過區(qū)塊鏈實現(xiàn)病歷向上級醫(yī)院的授權(quán)和流轉(zhuǎn)。而上級醫(yī)院的醫(yī)生，在被授權(quán)后可迅速了解病人的過往病史和體檢信息，病人不需要重復做不必要的基礎檢查，就可以享受醫(yī)聯(lián)體內(nèi)各級醫(yī)生的“管家式”全程醫(yī)療服務。而且常州市醫(yī)聯(lián)體區(qū)塊鏈具有專用的數(shù)字資產(chǎn)協(xié)議和數(shù)據(jù)分級體系，區(qū)塊鏈內(nèi)的數(shù)據(jù)密文存儲、密文傳輸，流程中的所有操作均可以被審計?？梢?，將區(qū)塊鏈技術應用到醫(yī)療行業(yè)中，能夠?qū)崿F(xiàn)醫(yī)療場景有價值信息的安全、便捷、可控的流動。

3 基于區(qū)塊鏈的健康醫(yī)療數(shù)據(jù)隱私保護

3.1 區(qū)塊鏈的區(qū)塊結(jié)構(gòu)

區(qū)塊鏈中包含N個按照時間順序排列的區(qū)塊節(jié)點，每個區(qū)塊節(jié)點的區(qū)塊結(jié)構(gòu)分為區(qū)塊頭和區(qū)塊體，區(qū)塊頭中有指向前一個區(qū)塊的指針，通過指針將所有區(qū)塊連接起來形成一個鏈。區(qū)塊頭中包含前一區(qū)塊節(jié)點的散列值、區(qū)塊序列、時間戳、數(shù)字簽名等區(qū)塊的特征信息，區(qū)塊體中包含健康醫(yī)療數(shù)據(jù)以及相關的審計日志。如圖1所示。

圖1 區(qū)塊結(jié)構(gòu)

每個區(qū)塊節(jié)點通過前一區(qū)塊節(jié)點的散列值進行驗證，區(qū)塊序列則是代表該節(jié)點自身在區(qū)塊鏈中的位置；時間戳是唯一可信的時間證明，代表了該區(qū)塊節(jié)點中的健康醫(yī)療數(shù)據(jù)的發(fā)生時間，整個區(qū)塊鏈通過時間序列順序組織；數(shù)字簽名則能夠驗證健康醫(yī)療數(shù)據(jù)的完整性，并能夠確定該數(shù)據(jù)的責任主體。區(qū)塊鏈的整體架構(gòu)圖如圖2所示。

圖2 區(qū)塊鏈整體架構(gòu)圖

每個患者的醫(yī)療數(shù)據(jù)形成一條區(qū)塊鏈，按照時間順序排列，健康醫(yī)療數(shù)據(jù)以加密數(shù)據(jù)文件的形式進行存儲，數(shù)據(jù)均存儲在數(shù)據(jù)層。數(shù)據(jù)的傳輸、使用等過程均通過非對稱加密算法來保證數(shù)據(jù)的保密性，每個患者擁有自己的公鑰和私鑰。醫(yī)療機構(gòu)生成醫(yī)療記錄，并將醫(yī)療記錄數(shù)據(jù)上傳至區(qū)塊鏈。醫(yī)院及上層管理機構(gòu)保管患者公鑰，并使用患者公鑰將患者的醫(yī)療健康數(shù)據(jù)進行加密，患者通過私鑰訪問自己的健康醫(yī)療數(shù)據(jù)。健康醫(yī)療數(shù)據(jù)的所有權(quán)歸患者所有，患者可以選擇是否將自己所有的數(shù)據(jù)共享給其他用戶、機構(gòu)使用，可以由患者自己來分配不同用戶對數(shù)據(jù)的訪問權(quán)限。在使用過程中，可以通過驗證數(shù)字簽名來判斷區(qū)塊節(jié)點是否被篡改過。即使最后數(shù)據(jù)銷毀，仍可以通過審計日志來確定數(shù)據(jù)流程的流轉(zhuǎn)過程是否得到授權(quán)。

3.2 基于區(qū)塊鏈技術的醫(yī)療數(shù)據(jù)存儲

（1）分布式賬本。區(qū)塊鏈中包含的N個區(qū)塊節(jié)點之間共享、同步記錄的健康醫(yī)療數(shù)據(jù)，攻擊者想要篡改數(shù)據(jù)，需要在短時間內(nèi)實現(xiàn)至少一半的區(qū)塊節(jié)點的數(shù)據(jù)修改，計算量非常大，實現(xiàn)起來非常困難。并且區(qū)塊鏈中的每個區(qū)塊節(jié)點通過時間順序串聯(lián)起來，修改區(qū)塊鏈中的一個區(qū)塊節(jié)點就要同時修改其上一個區(qū)塊節(jié)點，這就需要先找到上一個區(qū)塊節(jié)點并進行同步修改操作，直到修改完所有的前序區(qū)塊節(jié)點中的相應信息，這也使得數(shù)據(jù)篡改的難度激增。

（2）密碼算法。區(qū)塊鏈中使用了大量的密碼算法，包括對稱加密算法、非對稱加密算法、散列算法等，這些密碼算法使得數(shù)據(jù)的存儲、傳輸、共享過程變得更安全。區(qū)塊鏈中使用散列算法對每個區(qū)塊節(jié)點進行加密，計算其散列值，如圖3所示。如果出現(xiàn)數(shù)據(jù)丟失的情況會很容易被發(fā)現(xiàn)，而且隨著密碼技術的發(fā)展，我國也已經(jīng)提出了一系列的國密算法，在算法性能和安全性上都得到了提升，為實現(xiàn)健康醫(yī)療數(shù)據(jù)的自主可控提供了新的方法。

圖3 散列算法加密流程

3.3 基于區(qū)塊鏈技術的醫(yī)療數(shù)據(jù)共享

當不同醫(yī)院、不同科室或不同醫(yī)院需要對健康醫(yī)療數(shù)據(jù)進行訪問時，就需要實現(xiàn)數(shù)據(jù)的共享。傳統(tǒng)模式下，健康醫(yī)療數(shù)據(jù)的共享是通過數(shù)據(jù)訪問控制機制實現(xiàn)的，需要花費大量的時間和硬件資源進行權(quán)限的分配、檢查和校驗。

目前，健康醫(yī)療數(shù)據(jù)的共享依賴于醫(yī)療行業(yè)的管理機制。醫(yī)院之間可以進行數(shù)據(jù)的共享，通過數(shù)據(jù)接口實現(xiàn)數(shù)據(jù)的雙向共享。

本文在研究醫(yī)療行業(yè)健康醫(yī)療數(shù)據(jù)共享需求的基礎上，建立一個完整的信息化健康醫(yī)療數(shù)據(jù)共享模型。醫(yī)院等醫(yī)療機構(gòu)作為數(shù)據(jù)中心，主要負責數(shù)據(jù)的存儲，并通過接口將部分數(shù)據(jù)共享給上級機構(gòu)、通過接口實現(xiàn)與下屬醫(yī)療機構(gòu)及合作醫(yī)療機構(gòu)的數(shù)據(jù)雙向共享?？紤]到數(shù)據(jù)共享需求，在數(shù)據(jù)中心區(qū)塊鏈模型的基礎上建立二級區(qū)塊鏈模型，以機構(gòu)下的具體客戶端作為節(jié)點，保證其與數(shù)據(jù)中心之間的數(shù)據(jù)共享。

3.4 基于區(qū)塊鏈技術的醫(yī)療數(shù)據(jù)溯源

健康醫(yī)療數(shù)據(jù)溯源主要是為了實現(xiàn)對數(shù)據(jù)的監(jiān)管，從數(shù)據(jù)的采集、傳輸、存儲、共享、銷毀等數(shù)據(jù)全生命周期出發(fā)，對數(shù)據(jù)的每一個操作進行審計。通過數(shù)據(jù)溯源，可以保證數(shù)據(jù)的真實性、不可抵賴性，這也增強了數(shù)據(jù)共享機制的可行性。

通過本文中所設計的區(qū)塊鏈模型，能夠?qū)C構(gòu)來源、診療數(shù)據(jù)、患者行為數(shù)據(jù)、藥品數(shù)據(jù)等情況進行溯源。對機構(gòu)來源進行溯源是對健康醫(yī)療數(shù)據(jù)的來源進行查詢追溯；對診療數(shù)據(jù)進行溯源是對患者的疾病史、癥狀、醫(yī)囑情況、檢查檢驗結(jié)果數(shù)據(jù)等進行溯源，通過診療數(shù)據(jù)對患者情況進行管理，通過審計日志記錄診療數(shù)據(jù)的上傳、訪問、使用等情況，保證對數(shù)據(jù)的操作均有據(jù)可循；對患者行為數(shù)據(jù)進行溯源是對患者的體檢數(shù)據(jù)、可穿戴設備采集的數(shù)據(jù)等與患者行為有關的數(shù)據(jù)進行的溯源，這部分數(shù)據(jù)是動態(tài)變化的，可以通過這些數(shù)據(jù)進行患者行為跟蹤以及趨勢、狀態(tài)等的動態(tài)分析；對藥品數(shù)據(jù)進行溯源是對患者用藥情況進行監(jiān)管、對用藥效果進行分析，從而實現(xiàn)對藥品的流通情況進行掌控。

4 結(jié)束語

隨著醫(yī)療大數(shù)據(jù)、互聯(lián)網(wǎng)醫(yī)院等技術的應用，區(qū)塊鏈技術將為醫(yī)療健康數(shù)據(jù)的安全保護帶來新的機遇和挑戰(zhàn)。醫(yī)療行業(yè)和新興計算技術的結(jié)合將會顛覆傳統(tǒng)醫(yī)療行業(yè)的一些流程和技術措施。本文綜合考慮數(shù)據(jù)存儲、數(shù)據(jù)共享、數(shù)據(jù)溯源等數(shù)據(jù)生命周期的關鍵環(huán)節(jié)，基于區(qū)塊鏈技術設計了健康醫(yī)療數(shù)據(jù)隱私保護的模型，以期在保證數(shù)據(jù)安全的同時，增強診療數(shù)據(jù)的共享程度，進一步促進醫(yī)療行業(yè)的發(fā)展?！?/p>