蘇玉成，張亞娜，尹風(fēng)英，陳 帆，張澤琳，高 荷，蔣 昆*

（1.空軍軍醫(yī)大學(xué)第一附屬醫(yī)院信息科，西安 710032；2.空軍軍醫(yī)大學(xué)第一附屬醫(yī)院門診部，西安 710032）

0 引言

2017 年3 月22 日，國家衛(wèi)生和計劃生育委員會辦公廳、國家中醫(yī)藥管理局辦公室聯(lián)合下發(fā)《關(guān)于印發(fā)電子病歷應(yīng)用管理規(guī)范（試行）的通知》（國衛(wèi)辦醫(yī)發(fā)〔2017〕8 號）[1]，指出：“有條件的醫(yī)療機(jī)構(gòu)電子病歷系統(tǒng)可以使用電子簽名進(jìn)行身份認(rèn)證，可靠的電子簽名與手寫簽名或蓋章具有同等的法律效力?！?021 年6 月4 日，國務(wù)院辦公廳下發(fā)的《關(guān)于推動公立醫(yī)院高質(zhì)量發(fā)展的意見》（國辦發(fā)〔2021〕18 號）文件[2]中指出：“推進(jìn)電子病歷、智慧服務(wù)、智慧管理‘三位一體’的智慧醫(yī)院建設(shè)和醫(yī)院信息標(biāo)準(zhǔn)化建設(shè)?！倍鴮τ卺t(yī)院來說，如何根據(jù)上級要求做好病案復(fù)印工作，提升患者就醫(yī)滿意度，一直是我院信息化建設(shè)的主攻方向。

對于患者復(fù)印病案，目前各大醫(yī)院大多依靠第三方公司建立專門的病案預(yù)約申請網(wǎng)站，由患者在線申請，第三方公司人員或醫(yī)院用戶對患者申請信息進(jìn)行審核后，再由醫(yī)院打印出紙質(zhì)病案郵寄給患者。該模式存在以下兩點不足：一是業(yè)務(wù)整體依托第三方平臺，穩(wěn)定性和安全性不可估量，可能導(dǎo)致業(yè)務(wù)中斷、患者個人信息泄露和資金安全風(fēng)險；二是患者需要向第三方平臺支付預(yù)付款，存在沉淀資金風(fēng)險。

我院病案復(fù)印業(yè)務(wù)年均復(fù)印量超15 萬份，按每份病案平均60 頁計算，每年打印量約900 萬頁，直接成本約270 萬元。由于物價局規(guī)定每張病案用紙收費(fèi)最高0.3 元，且費(fèi)用長期未調(diào)價，加上打印機(jī)損耗成本和人力成本，導(dǎo)致目前醫(yī)院病案打印業(yè)務(wù)入不敷出[3-4]。同時，患者需要在離院7 d 后再次回到醫(yī)院病案室獲取病歷復(fù)印件，對患者來說存在不便和感染風(fēng)險。鑒于此，本文設(shè)計基于CA 認(rèn)證的病案網(wǎng)上分發(fā)系統(tǒng)，在保障病案數(shù)據(jù)安全的前提下為患者建立多渠道病案獲取途徑。

1 設(shè)計思路

為解決紙質(zhì)病案所帶來的各種風(fēng)險與問題，我院擬通過“互聯(lián)網(wǎng)+”思路，結(jié)合《電子簽名法》的相關(guān)規(guī)定，建設(shè)一種醫(yī)院自行運(yùn)營的病案在線分發(fā)系統(tǒng)[5]。通過在系統(tǒng)中集成第三方合法CA 認(rèn)證服務(wù)機(jī)構(gòu)提供的可靠電子簽名服務(wù)，使電子病案具有與紙質(zhì)病案同等的法律效力，實現(xiàn)患者真實身份在線鑒別、電子病案在線申請、電子病案在線審核簽章及簽章驗證、電子病案在線下載、電子病案打印件驗證等病案復(fù)印業(yè)務(wù)全流程網(wǎng)上服務(wù)[6-7]。另一方面，為了保障電子病案在互聯(lián)網(wǎng)服務(wù)器上存儲時的數(shù)據(jù)安全，擬通過數(shù)字加密手段保障數(shù)據(jù)在互聯(lián)網(wǎng)上的安全存儲[8]。

2 系統(tǒng)設(shè)計

2.1 開發(fā)環(huán)境及系統(tǒng)架構(gòu)

病案網(wǎng)上分發(fā)系統(tǒng)采用瀏覽器/服務(wù)器（Browser/Server，B/S）架構(gòu)，通過C#語言開發(fā)[9]；采用單庫單應(yīng)用架構(gòu)，通過服務(wù)器虛擬化技術(shù)搭建服務(wù)。其業(yè)務(wù)主要由2 臺服務(wù)器、CA 認(rèn)證支撐平臺和病案網(wǎng)上分發(fā)系統(tǒng)進(jìn)行支撐。

醫(yī)院CA 認(rèn)證支撐平臺為病案網(wǎng)上分發(fā)系統(tǒng)提供電子簽章、數(shù)據(jù)加密、數(shù)據(jù)解密等技術(shù)支持。該平臺不僅用于支撐病案網(wǎng)上分發(fā)系統(tǒng)，還支撐醫(yī)院其他醫(yī)技系統(tǒng)中CA 認(rèn)證相關(guān)服務(wù)。同時為了保障業(yè)務(wù)穩(wěn)定性，CA 認(rèn)證支撐平臺采用全雙機(jī)熱備模式組網(wǎng)[10]。系統(tǒng)整體架構(gòu)如圖1 所示。

圖1 系統(tǒng)整體架構(gòu)示意圖

病案翻拍系統(tǒng)和CA 認(rèn)證支撐平臺2 個部分部署在醫(yī)院內(nèi)網(wǎng)區(qū)。其中病案翻拍系統(tǒng)是所有電子病案的數(shù)據(jù)源頭，它將紙質(zhì)病案翻拍為電子病案，為病案網(wǎng)上分發(fā)系統(tǒng)提供基礎(chǔ)業(yè)務(wù)數(shù)據(jù)；CA 認(rèn)證支撐平臺包括認(rèn)證服務(wù)器、簽名驗簽服務(wù)器、時間戳服務(wù)器、電子簽章系統(tǒng)、密碼機(jī)、證書查詢系統(tǒng)以及日志查詢系統(tǒng)，為病案網(wǎng)上分發(fā)系統(tǒng)以及院內(nèi)其他醫(yī)技系統(tǒng)提供CA 認(rèn)證服務(wù)支持。

病案網(wǎng)上分發(fā)系統(tǒng)和簽名病案數(shù)據(jù)存儲部署在醫(yī)院隔離區(qū)（demilitarized zone，DMZ）。其中病案網(wǎng)上分發(fā)系統(tǒng)部署于應(yīng)用區(qū)，用于對外提供業(yè)務(wù)服務(wù)；簽名病案數(shù)據(jù)存儲部署于數(shù)據(jù)區(qū)，僅能與病案網(wǎng)上分發(fā)系統(tǒng)進(jìn)行數(shù)據(jù)交互，用于存放加密的病案數(shù)據(jù)，最大限度地保障患者數(shù)據(jù)安全。

2.2 業(yè)務(wù)流程

為了滿足患者在線上、線下獲取病案的需求，系統(tǒng)通過集成相應(yīng)電子簽章安全應(yīng)用服務(wù)，一方面滿足患者在線申請電子病案的需求，另一方面也滿足患者線上申請郵寄或自取紙質(zhì)病案的需求。系統(tǒng)業(yè)務(wù)流程如圖2 所示。

圖2 系統(tǒng)業(yè)務(wù)流程圖

2.3 文件加密存儲

在解決病案文件本身的安全性和可證明性問題后，如何保障病案在醫(yī)院服務(wù)器上不被非法下載和篡改是醫(yī)院下一步面臨的主要問題。通過建設(shè)CA認(rèn)證支撐平臺對文件進(jìn)行對稱加密和對密鑰進(jìn)行非對稱加密，最大限度地保障電子病案在服務(wù)器上的安全存儲需求?；ヂ?lián)網(wǎng)電子病案安全加密存儲示意圖如圖3 所示。

圖3 帶有水印、簽章的電子病案文件的加密保護(hù)服務(wù)流程示意圖

CA 認(rèn)證支撐平臺運(yùn)用非對稱加密技術(shù)，在獲取到帶水印電子簽章的電子病案PDF 文件后，通過對稱密鑰對文件進(jìn)行加密形成密文文件。再使用非對稱主密鑰對對稱密鑰進(jìn)行加密，形成密鑰密文，最后將密鑰密文作為文件頭部與密文文件一并保存，保障病案數(shù)據(jù)即使被竊取也無法獲得病案明文數(shù)據(jù)。同時該加密的病案文件將在DMZ 存儲服務(wù)器上保存一段時間，從而滿足患者或家屬一定時間內(nèi)多次重復(fù)下載的需求。

在患者申請下載病案文件時，需先對存儲在系統(tǒng)中的密文文件的對稱密鑰密文進(jìn)行解密，取得密鑰明文，再使用密鑰明文對文件進(jìn)行解密獲得電子病案明文文件，最后將電子病案明文文件提供給患者下載。

3 系統(tǒng)實現(xiàn)

病案網(wǎng)上分發(fā)系統(tǒng)主要包含注冊、提報申請、驗證、電子病案簽章和病案加密存儲5 個部分。對于用戶和管理人員來說可感受的主要為注冊、提報申請和驗證3 個部分，電子病案簽章和病案加密存儲是依靠CA認(rèn)證支撐平臺對最終的PDF 版電子病案進(jìn)行簽章和加密存儲，屬于后臺服務(wù)業(yè)務(wù)，在實際業(yè)務(wù)流程中并不體現(xiàn)。

患者或患者家屬實名注冊后，登錄病案網(wǎng)上分發(fā)系統(tǒng)，并根據(jù)系統(tǒng)業(yè)務(wù)流程提交電子病案獲取申請。業(yè)務(wù)申請流程如圖4 所示。

圖4 業(yè)務(wù)申請流程圖

病案網(wǎng)上分發(fā)系統(tǒng)結(jié)合患者住院ID 信息、住院時間等信息，從病案翻拍系統(tǒng)中獲取相應(yīng)的電子病案文件。病案審核人員在系統(tǒng)后臺對電子病案文件內(nèi)容進(jìn)行審核確認(rèn)。在審核人員審核確認(rèn)之后，系統(tǒng)先調(diào)用CA認(rèn)證支撐平臺提供的電子簽章服務(wù)接口，完成對電子病案添加水印和電子簽章的工作，再調(diào)用加密服務(wù)對文件進(jìn)行加密存儲。當(dāng)用戶下載電子病案時，系統(tǒng)對加密文件進(jìn)行解密后將文件提交給患者，患者最終獲得的是帶水印的PDF版電子病案（如圖5所示）。

圖5 患者獲得的PDF 版電子病案示意圖

對于病案驗證，主要有患者自行驗證和第三方驗證2種方案。（1）患者自行驗證：患者獲得病案后，可登錄病案網(wǎng)上分發(fā)系統(tǒng)，通過病案驗證掃碼接口掃描病案首頁上的二維碼，獲得電子病案驗證信息，如圖6 所示。（2）第三方驗證：醫(yī)院可通過第三方CA 認(rèn)證服務(wù)提供商，對電子病案的篡改情況給出權(quán)威認(rèn)證。具體模式為：利用電子簽章的唯一性，在第三方CA 認(rèn)證中心網(wǎng)頁上傳電子病案，對病案文件進(jìn)行重新驗簽，將驗簽結(jié)果與之前的簽章結(jié)果進(jìn)行對比，如不同則可以確定病案文件被篡改。當(dāng)然也可以從數(shù)據(jù)庫中重新調(diào)取經(jīng)過CA 認(rèn)證的原病案，與需要驗證的病案進(jìn)行全文對比，如圖7 所示。

圖6 通過電子病案網(wǎng)上分發(fā)系統(tǒng)二維碼掃描后電子病案驗證信息

圖7 電子病案第三方數(shù)字簽名驗證

對于線下領(lǐng)取病案流程，由于系統(tǒng)中僅涉及簡單的數(shù)據(jù)交互，本文不另行介紹。

4 應(yīng)用效果

本系統(tǒng)自2021 年10 月啟用以來，截止到2022年9 月已經(jīng)完成線上簽發(fā)電子病案超15 000 份。針對近期11 個月全院病案分發(fā)情況進(jìn)行分析，使用病案網(wǎng)上分發(fā)系統(tǒng)的用戶數(shù)量逐步穩(wěn)定增加（如圖8所示），基本滿足業(yè)務(wù)初期既定目標(biāo)。

圖8 2021 年11 月至2022 年9 月系統(tǒng)分發(fā)電子病案數(shù)量統(tǒng)計結(jié)果

本系統(tǒng)的上線可使患者足不出戶獲得電子病案，并將本地患者的復(fù)印業(yè)務(wù)（包括從患者來院、審核資料、劃價繳費(fèi)、打印病案到病案蓋章所消耗的時間）從2～3 h 優(yōu)化至10～15 min。同時醫(yī)院工作人員的工作量也減少至原來的1/4，無需進(jìn)行劃價繳費(fèi)、打印病案、病案蓋章等工作。同時本系統(tǒng)完全滿足患者足不出戶線上領(lǐng)取電子病案的需要，以及患者前往其他醫(yī)院就診時醫(yī)生查閱之前就診病案的需要[11-12]。

但本系統(tǒng)還存在一些不足：一是為了驗證身份需要上傳身份證信息，流程較為煩瑣；二是在電子病案互認(rèn)配合方面，部分省份醫(yī)保部門尚未認(rèn)可電子病案打印后的法律效力，要求提供紙質(zhì)病案，導(dǎo)致患者必須重新來醫(yī)院領(lǐng)取紙質(zhì)病案；三是PDF 文件仍存在被惡意修改的問題，雖然電子病案能被認(rèn)證出被修改，但是仍然存在認(rèn)證過程較為復(fù)雜必須經(jīng)由第三方處理的問題；四是現(xiàn)有電子病案基于紙質(zhì)病案翻拍，沒有從源頭上建設(shè)基于CA 認(rèn)證的電子病案[13-14]。

5 結(jié)語

本系統(tǒng)依據(jù)《中華人民共和國電子簽名法》相關(guān)要求，依托第三方認(rèn)證機(jī)構(gòu)的電子認(rèn)證服務(wù)，將可靠的電子簽名技術(shù)應(yīng)用于電子病案的CA 認(rèn)證過程中，實現(xiàn)了在保障病案數(shù)據(jù)的安全性、真實性、可靠性、完整性、不可抵賴性和合法性的同時滿足了醫(yī)院、患者和其他醫(yī)療相關(guān)機(jī)構(gòu)對于電子病案數(shù)據(jù)的交互需求[15-16]。同時系統(tǒng)對病案網(wǎng)上存儲的安全性進(jìn)行了安全防護(hù)，一方面通過定期刪除機(jī)制控制了可盜取病案的數(shù)量，另一方面通過非對稱數(shù)據(jù)加密技術(shù)，使得即使部分病案加密數(shù)據(jù)被盜，也不易被別有用心者直接利用[17-18]。本系統(tǒng)的上線優(yōu)化了病案管理的最后一步業(yè)務(wù)流程，擴(kuò)大了病案利用的方式和內(nèi)涵，提升了患者滿意度，也為下一步實現(xiàn)全院病案無紙化提供了參考[19-20]。