基于區(qū)塊鏈的互聯(lián)網(wǎng)醫(yī)院患者電子病歷安全共享模式與實踐*

魏明月 王 淑 許德俊

(1上海市兒童醫(yī)院 上海200062 2上海信醫(yī)科技有限公司 上海 200436)

1 引言

電子病歷是居民個人在醫(yī)療機構(gòu)歷次就診過程中產(chǎn)生和被記錄的完整、詳細的臨床信息資源，是個人健康檔案的核心組成內(nèi)容。電子健康檔案向個人開放，將有助于個人主動參與的健康管理模式建設(shè)與發(fā)展[1]，有利于個人了解與掌握自身健康狀況，加強與醫(yī)生交流溝通，實現(xiàn)醫(yī)患共同健康決策，促進醫(yī)患和諧，提升患者滿意度。

但是電子病歷開放共享將面臨傳輸與存儲過程安全難以保證、數(shù)據(jù)擴散難以控制、隱私泄露責(zé)任難以追溯、醫(yī)療數(shù)據(jù)遭受篡改難以追究和舉證等困境[2-3]。因此，電子病歷數(shù)據(jù)安全開放共享，首先需要保證電子病歷數(shù)據(jù)自身真實性與可信度，保證電子病歷數(shù)據(jù)開放分享及傳遞過程不丟失、不篡改，始終保持電子病歷信息一致化。同時保證對外部訪問用戶的授權(quán)、可控和操作追溯。

2 現(xiàn)狀與挑戰(zhàn)

2.1 國內(nèi)外電子病歷數(shù)據(jù)開放共享現(xiàn)狀

2.1.1 美國 美國頒布一系列政策法規(guī)以推動電子病歷數(shù)據(jù)開放。并建立一種電子健康信息存儲和使用文化，營造安全、全面的健康信息交換和使用環(huán)境，使每個人都能受益于簡單、及時、公平、高效及恰當(dāng)?shù)男畔@取和分享[4]。推行藍鈕計劃(Blue Button)以實現(xiàn)個人醫(yī)療數(shù)據(jù)開放，電子病歷開放內(nèi)容包括入院和出院總結(jié)、病理報告、實驗室檢查結(jié)果、病程記錄、影像診斷報告、疾病問題清單等，使患者盡可能方便地查詢、下載、分享個人健康記錄數(shù)據(jù)。

2.1.2 英國 英國相關(guān)管理部門提出讓所有人都掌握所需健康和保健信息的戰(zhàn)略，旨在提高信息可及性，確?；颊吣軌蛟讷@取個人醫(yī)療服務(wù)信息中獲益。建立醫(yī)療數(shù)據(jù)開放平臺data.gov.uk，形成完善的全科醫(yī)生在線服務(wù)制度，患者可以在線獲得個人電子病歷，內(nèi)容包括個人信息、用藥處方、檢查結(jié)果、疫苗接種史、過敏史等。

2.1.3 中國 目前國內(nèi)患者獲取個人電子病歷信息的渠道主要包括醫(yī)療機構(gòu)病案室復(fù)印、醫(yī)療機構(gòu)自助設(shè)備打印、醫(yī)療機構(gòu)互聯(lián)網(wǎng)平臺和區(qū)域衛(wèi)生信息平臺查詢[5]。隨著互聯(lián)網(wǎng)醫(yī)療發(fā)展和普及，醫(yī)療機構(gòu)通過微信服務(wù)、手機App提供個人電子病歷信息查詢，但在線電子病歷數(shù)據(jù)查詢大部分僅限于費用清單、處方清單、檢驗檢查報告等客觀病歷查詢，無法獲取完整、連續(xù)的個人電子病歷數(shù)據(jù)，更無法下載利用，不能滿足個人健康管理需求。

2.1.4 研究現(xiàn)狀 近年來，隨著區(qū)塊鏈技術(shù)不斷成熟，基于區(qū)塊鏈的電子病歷共享應(yīng)用研究逐漸成為熱點。Hardin T等[6]為了改進預(yù)防性、精確性醫(yī)療以及為個人提供對醫(yī)療數(shù)據(jù)更大的訪問和控制權(quán)限，采用區(qū)塊鏈方式將不連貫電子醫(yī)療記錄、移動健康數(shù)據(jù)和相關(guān)健康數(shù)據(jù)系統(tǒng)連接起來。國內(nèi)學(xué)者牛淑芬等[7]提出一個基于區(qū)塊鏈的電子病歷數(shù)據(jù)共享方案，實現(xiàn)患者和第3方數(shù)據(jù)用戶在不侵犯患者隱私前提下共享患者電子病歷。甘霖等[8]為解決電子病歷隱私保護和共享使用問題，提出患者電子病歷私有鏈、醫(yī)療機構(gòu)電子病歷私有鏈和電子病歷公共鏈3層電子病歷共享方案。但并未針對互聯(lián)網(wǎng)開放場景下患者個人電子病歷數(shù)據(jù)安全開放共享提出應(yīng)用技術(shù)模式。同時，目前國內(nèi)外基于區(qū)塊鏈的電子病歷共享模式研究更多處于理論研究階段，實際應(yīng)用案例較少。

2.2 電子病歷數(shù)據(jù)開放共享安全挑戰(zhàn)

開放數(shù)據(jù)應(yīng)滿足開放授權(quán)、非歧視性、機器可讀性、開放的格式等要求[9]，目前大多數(shù)國內(nèi)機構(gòu)提供的電子病歷便民查詢服務(wù)尚未滿足開放數(shù)據(jù)標(biāo)準(zhǔn)，個人對病歷信息的可及性仍停留在數(shù)據(jù)獲取階段，無法滿足個人對健康管理數(shù)據(jù)利用的需求。面臨的問題和挑戰(zhàn)如下。一是目前尚無相關(guān)法規(guī)對電子病歷數(shù)據(jù)進行確權(quán)，作為患者電子病歷數(shù)據(jù)實際管理者，醫(yī)療機構(gòu)開放患者電子病歷檔案的意愿較低。二是在互聯(lián)網(wǎng)開放、透明的環(huán)境下，電子病歷數(shù)據(jù)傳輸與存儲存在醫(yī)療信息安全難以保證、數(shù)據(jù)擴散難以控制、隱私泄露責(zé)任難以追溯等風(fēng)險，亟須建立互聯(lián)網(wǎng)醫(yī)療場景下的電子病歷安全開放共享模式，保障個人電子病歷數(shù)據(jù)安全。三是患者通常接受不同醫(yī)療機構(gòu)提供的醫(yī)療服務(wù)，數(shù)據(jù)分布在各個機構(gòu)，由于缺乏個人電子病歷數(shù)據(jù)開放統(tǒng)一標(biāo)準(zhǔn)，以電子病歷為核心的個人健康檔案無法跨機構(gòu)、跨系統(tǒng)間共享利用，患者在各醫(yī)療機構(gòu)的既往病史與治療情況共享、去偽難度較高。

3 基于區(qū)塊鏈的電子病歷安全共享技術(shù)

3.1 安全共享機制設(shè)計

3.1.1 區(qū)塊鏈技術(shù)應(yīng)用優(yōu)勢 區(qū)塊鏈?zhǔn)且环N通過去中心化和去信任方式集體維護可靠數(shù)據(jù)庫的技術(shù)方案[10]，具有去中心化、不可篡改、全程留痕、可以追溯、公開透明等特點，支持以較低成本解決多方參與的復(fù)雜生產(chǎn)環(huán)境中的信任構(gòu)建和隱私保護等問題。在去中心化網(wǎng)絡(luò)、信息可追溯、信息高可信度、自激勵方面可以為互聯(lián)網(wǎng)醫(yī)療環(huán)境中個人電子病歷安全開放共享問題提供解決方案。

3.1.2 技術(shù)框架 通過建立基于區(qū)塊鏈的電子病歷安全共享平臺及應(yīng)用系統(tǒng)，可確保覆蓋患者電子病歷數(shù)據(jù)開放共享過程的隱私保護與可信安全。系統(tǒng)分為業(yè)務(wù)域、分布式安全存儲與交換、監(jiān)管域，見圖1。

圖1 基于區(qū)塊鏈的電子病歷安全共享開放技術(shù)框架

區(qū)塊鏈節(jié)點分別代表聯(lián)盟鏈內(nèi)不同機構(gòu)，如醫(yī)院、公共衛(wèi)生機構(gòu)、基層醫(yī)療機構(gòu)、監(jiān)管機構(gòu)等，各節(jié)點通過患者授權(quán)獲得經(jīng)脫敏的電子病歷數(shù)據(jù)記錄。業(yè)務(wù)域提供電子病歷上鏈存證、電子病歷授權(quán)分享、電子病歷檢索調(diào)閱等應(yīng)用服務(wù)；分布式安全存儲與交換提供分布式數(shù)據(jù)庫和區(qū)塊鏈聯(lián)合存儲模式，實現(xiàn)經(jīng)患者授權(quán)的跨機構(gòu)電子病歷調(diào)閱與應(yīng)用；監(jiān)管域提供對電子病歷的取證驗證、審計追蹤以及監(jiān)視統(tǒng)計等服務(wù)。

3.2 安全共享關(guān)鍵技術(shù)

3.2.1 安全服務(wù)智能合約 智能合約是實現(xiàn)電子病歷數(shù)據(jù)存證、訪問授權(quán)與可信共享的協(xié)議。建立數(shù)據(jù)存證共享智能合約，通過預(yù)言機感知電子病歷數(shù)據(jù)變化，對電子病歷進行存證共享；設(shè)定訪問授權(quán)智能合約，提供對患者電子病歷數(shù)據(jù)的隱私保護、授權(quán)和安全分享的自動執(zhí)行；根據(jù)訪問控制策略，建立智能合約，可依策略控制數(shù)據(jù)訪問權(quán)限，驗證電子病歷數(shù)據(jù)請求者身份合法性，再進行電子病歷數(shù)據(jù)安全共享，防止數(shù)據(jù)隱私泄露，消除人為因素導(dǎo)致的不確定性。建立安全監(jiān)測智能合約，基于區(qū)塊鏈存證數(shù)據(jù)，提供對電子病歷的訪問與操作跟蹤，監(jiān)測針對電子病歷的惡意行為，進行安全預(yù)警。

3.2.2 分布式存儲與安全交換服務(wù) 各醫(yī)療機構(gòu)前置服務(wù)分布式數(shù)據(jù)庫存儲加密原始電子病歷數(shù)據(jù)，而區(qū)塊鏈則負責(zé)存儲電子病歷在前置服務(wù)數(shù)據(jù)庫上的存儲索引地址、訪問控制策略規(guī)則和電子病歷數(shù)據(jù)Hash值。采用此種存儲模式解決了各醫(yī)療機構(gòu)電子病歷原始數(shù)據(jù)存儲和安全訪問問題，同時減輕了區(qū)塊鏈上的數(shù)據(jù)存儲訪問壓力，提升高頻訪問性能。

3.2.3 電子病歷夾安全服務(wù)機制 電子病歷夾創(chuàng)新性地運用區(qū)塊鏈服務(wù)為電子病歷提供一種可信的安全容器，見圖2。

圖2 基于區(qū)塊鏈的電子病歷夾安全服務(wù)機制

電子病歷夾包括區(qū)塊鏈服務(wù)、安全交換區(qū)、電子病歷夾管理服務(wù)以及電子病歷夾應(yīng)用服務(wù)4個主要部分。通過在安全交換區(qū)注冊存儲區(qū)域建立電子病歷夾，并在區(qū)塊鏈存證保證病歷夾的持久性和唯一性；電子病歷加密存入安全交換區(qū)時，通過智能合約及預(yù)言機感知，對電子病歷進行自動存證和確權(quán)；用戶登錄電子病歷夾時，通過訪問令牌及區(qū)塊鏈服務(wù)進行病歷夾鑒權(quán)，獲取電子病歷訪問權(quán)限；用戶可查詢基于區(qū)塊鏈的電子病歷注冊索引，獲取安全交換區(qū)病歷夾電子病歷。用戶可向醫(yī)生等其他訪問者授權(quán)電子病歷。

4 基于區(qū)塊鏈的互聯(lián)網(wǎng)電子病歷安全共享平臺架構(gòu)設(shè)計

4.1 平臺技術(shù)架構(gòu)(圖3)

圖3 基于區(qū)塊鏈的互聯(lián)網(wǎng)醫(yī)院患者電子病歷安全共享平臺

4.1.1 基于區(qū)塊鏈的電子病歷安全支撐服務(wù) 一方面提供與區(qū)塊鏈基礎(chǔ)服務(wù)金鏈盟區(qū)塊鏈底層平臺FISCO BOCOS的對接，另一方面向電子病歷共享與開放服務(wù)提供安全服務(wù)支撐，包括病歷數(shù)據(jù)存證、數(shù)據(jù)安全存儲、交易留痕、安全智能合約；向監(jiān)管服務(wù)提供日志管理、運維監(jiān)控、數(shù)據(jù)治理、審計追溯等安全服務(wù)工具。

4.1.2 基于區(qū)塊鏈的電子病歷夾可信安全服務(wù) 提供電子病歷注冊管理、登錄認證、數(shù)據(jù)確權(quán)鑒權(quán)、電子病歷索引管理等服務(wù)。

4.1.3 電子病歷安全共享應(yīng)用與監(jiān)管服務(wù) 一方面提供電子病歷上鏈存證、授權(quán)分享、檢索調(diào)閱等共享應(yīng)用；另一方面向監(jiān)管部門提供電子病歷的監(jiān)視統(tǒng)計、審計追蹤、取證驗證等安全監(jiān)管應(yīng)用。

4.2 平臺部署模式

平臺應(yīng)用架構(gòu)采用“前置機數(shù)據(jù)源服務(wù)+區(qū)塊鏈可信驗證”部署模式，支撐互聯(lián)網(wǎng)醫(yī)療場景下患者電子病歷的可信存證與安全共享。“前置機數(shù)據(jù)源服務(wù)”通過院內(nèi)前置服務(wù)整合患者基礎(chǔ)信息、電子處方、病歷文書、檢驗檢查報告等多源電子病歷數(shù)據(jù)，經(jīng)脫敏和隱私保護，提供由醫(yī)療機構(gòu)管理的安全數(shù)據(jù)訪問控制；減少經(jīng)由云端或外部合作方提供存儲傳輸?shù)沫h(huán)節(jié)；“區(qū)塊鏈可信驗證”將前置服務(wù)上的患者電子病歷數(shù)據(jù)摘要及索引上鏈存證共享，通過智能合約進行訪問授權(quán)；數(shù)據(jù)用戶可根據(jù)授權(quán)Token令牌，在授權(quán)時效內(nèi)安全獲取電子病歷數(shù)據(jù)，并經(jīng)區(qū)塊鏈取證和驗證數(shù)據(jù)完整性。同時將使用行為數(shù)據(jù)上鏈，全過程可追溯、不可否認，實現(xiàn)患者數(shù)據(jù)安全授權(quán)查詢，支撐醫(yī)療數(shù)據(jù)確權(quán)隱私使用，實現(xiàn)安全、共信和確權(quán)。

5 實踐與應(yīng)用

5.1 上海市兒童醫(yī)院互聯(lián)網(wǎng)醫(yī)院實踐案例

上海市兒童醫(yī)院互聯(lián)網(wǎng)醫(yī)院基于FISCO BCOS開源聯(lián)盟鏈構(gòu)建一套區(qū)塊鏈兒童互聯(lián)網(wǎng)醫(yī)院患者電子病歷夾系統(tǒng)，實現(xiàn)互聯(lián)網(wǎng)醫(yī)療場景下患者電子病歷的可信存證與安全共享。系統(tǒng)于2021年12月正式上線，截至2022年9月已經(jīng)完成70 460例患者電子病歷記錄上鏈，258例患者分享個人電子病歷檔案給其他醫(yī)療機構(gòu)醫(yī)生或其他個體。

5.2 區(qū)塊鏈電子病歷夾業(yè)務(wù)流程

患者可通過互聯(lián)網(wǎng)醫(yī)院平臺查看個人電子病歷檔案，支持將處方記錄、檢驗檢查報告、出院小結(jié)等電子病歷定向授權(quán)分享給其他機構(gòu)醫(yī)生或陪診人，被分享人僅在發(fā)送者設(shè)置時間范圍內(nèi)憑借授權(quán)手機驗證碼查看患者電子病歷檔案，見圖4。

圖4 基于區(qū)塊鏈的互聯(lián)網(wǎng)醫(yī)院患者電子病歷安全共享流程

5.3 區(qū)塊鏈電子病歷夾主要功能

系統(tǒng)主要功能，一是病歷查看：患者隨時可以查看，或通過掃描門診醫(yī)生站二維碼實現(xiàn)醫(yī)生電腦查看。二是病歷分享：患者可以通過微信轉(zhuǎn)發(fā)分享病歷鏈接給朋友或其他醫(yī)療機構(gòu)醫(yī)生。三是就醫(yī)憑證：患者可以向異地醫(yī)保機構(gòu)、商保機構(gòu)或司法部門提交電子報銷單、電子就醫(yī)憑證。

6 結(jié)語

電子病歷是記錄醫(yī)療信息的重要載體，以患者個人為中心，綜合管理不同醫(yī)療機構(gòu)醫(yī)療健康信息，同時有助于激發(fā)患者自我健康意識、實現(xiàn)自我健康狀態(tài)全面認知，推行主動醫(yī)療、主動健康，幫助醫(yī)生深入全面地了解患者，是提高醫(yī)療質(zhì)量的重要手段。互聯(lián)網(wǎng)醫(yī)療場景下面向患者個體開放電子病歷信息，是實現(xiàn)醫(yī)療健康服務(wù)由傳統(tǒng)被動醫(yī)療向主動健康模式轉(zhuǎn)變的關(guān)鍵技術(shù)手段。本文探索依托區(qū)塊鏈技術(shù)，在互聯(lián)網(wǎng)醫(yī)療場景下建立一套患者自我管理的個人電子病歷數(shù)據(jù)安全開放共享模式，將醫(yī)療機構(gòu)電子病歷信息以數(shù)字形式通過安全、可信、不可篡改方式交給患者，有利于保障患者權(quán)益，促進全面的健康醫(yī)療信息共享，同時有利于在醫(yī)生與患者之間建立對電子病歷有效性的共識和信任，實現(xiàn)電子病歷不可篡改的可信性，提高電子病歷法律地位，更好地保障醫(yī)療機構(gòu)和醫(yī)護人員的法律權(quán)益。