基于技術途徑的電子病歷個人信息保護初探

王海峰 張 沛

周口市中心醫院，河南周口 466000

2008年，美國佛羅里達大學牙科學院的計算機服務器遭到黑客入侵，多位牙科患者的姓名、出生日期、住址、社會保險號等個人信息被盜走。2009年，美國佛吉尼亞州發生了一起處方數據庫信息被盜事件，許多患者的用藥記錄被盜……近年來，國內外頻發的電子病歷個人信息泄漏事件，暴露出電子病歷個人信息保護方面的諸多問題。從信息保護的技術層面分析，導致這些事件發生的原因之一就是：醫療機構電子病歷個人信息保護技術滯后，沒有能夠有效地應用數據加密和訪問控制等信息保護技術。

1 電子病歷個人信息保護概述

1.1 電子病歷

電子病歷是醫療機構以信息技術為手段，針對門診患者或住院患者創建的數據集成系統。電子病歷詳細、完整地記錄了患者在醫療機構中的臨床信息。電子病歷并不是簡單的電子文檔，它是病歷內容和結構的電子數據化，能夠通過計算機進行快速檢索與相關處理。高度數字化與結構化的電子病歷構成了醫院的資源庫，有利于患者信息的統一管理。相對于傳統的紙質病歷，電子病歷具有儲存容量大、參閱方便、共享性好以及實效性強等優點[1]。通常，電子病歷不但包括患者的診斷、健康狀況、個人肌體特征、病史病歷、遺傳基因等信息，還包括人口學信息、親屬信息、過敏史、檢驗檢查記錄、個人生物學標識、醫療費用記錄等信息。電子病歷使得患者的信息具有了更強的識別性，增強了患者信息的綜合性，促進了患者信息的有效利用。

1.2 電子病歷個人信息保護中的問題

電子病歷在提高患者信息的管理水平的同時，也暴露出一些問題。其中，最主要的問題就是電子病歷個人信息安全問題。這些問題主要表現在以下幾個方面。①安全管理漏洞。由于受到管理者主觀因素的影響，電子病歷數據庫安全管理不到位，數據庫系統運行不穩定，數據流通堵塞、內部信息流通不暢等情況時有發生，導致患者信息失真或流失[2]。②電子病歷數據庫接口不統一、不規范。雜亂的數據庫接口使得難以有效集成電子病歷系統，增加電子病歷系統負擔，不利于電子病歷的管理和維護。③計算機病毒、黑客攻擊。電子病歷在通過網絡傳輸時，容易遭到計算機病毒、黑客的攻擊，特別是在雙向轉診、遠程醫療等資料交換時。部門醫院沒有足夠的電子病歷數據庫安全防范意識，甚至連基本的殺毒軟件和防火墻都沒有安裝，一旦受到計算機病毒或黑客的攻擊，就會泄漏患者的個人信息。④不嚴密的權限設置。醫院內部人員利用工作便利，輕易地獲取患者的個人信息；一些攻擊者通過提高自身權限，竊取電子病歷信息。⑤數據無備份。系統故障、操作事物等均有可能造成電子病歷數據丟失。醫院如果沒有備份電子病歷數據庫，就會使得患者信息丟失的概率增大。

1.3 電子病歷個人信息安全管理

醫院是電子病歷保存管理的責任單位。基于電子病歷安全性與規范化的考慮，醫院需要獲得相關衛生行政部門的批準后才能實施電子病歷。醫療機構實施電子病歷的要求較為嚴格。醫療機構需要具備成熟的技術條件，確保電子病歷的實施；需要根據衛生行政部門的要求，采用統一的接口、標準代碼以及相關軟件等。醫療機構需要完善電子病歷安全保障的規章制度，建立嚴格的安全措施；需要具備掌握電子病歷相關知識的專業人才。在實施電子病歷后，醫療機構必須履行相應的義務，例如，公開醫院的名稱、詳細地址等基本資料；保障患者信息權益，不可非法侵害患者信息權益；制定電子病歷安全管理條例。在維護和管理中，醫療機構應當采用統一的電子病歷系統，使得電子病歷信息可以在醫療機構內部實現共享；醫療機構需要采取相應的保護技術，盡量降低電子病歷信息泄漏事件。

2 電子病歷個人信息保護技術

2.1 防火墻技術

醫院電子病歷承載著大量的醫、患信息。如果遭到網絡攻擊，就有可能泄漏患者的個人信息，損害患者權益，并導致一系列的醫、患糾紛，不利于醫院穩定的運營管理。為了和醫保、新農合、銀聯等網絡交換信息，目前各家醫院都和上述系統相連（簡稱外網），為了防止遭到來自外網的攻擊，醫院應當在外網與內網之間構建相應的保護屏障，即防火墻。根據不同的實現原理，可以大致將防火墻分成四種：規則檢查防火墻、電路級網關、應用級網關和網絡級防火墻。結合患者電子病歷的特殊情況，醫院應當采用網絡級防火墻。網絡級防火墻又被稱為過濾型防火墻，能夠設定用戶權限。成功通過權限檢測的用戶，才具有訪問數據庫的資格，這極大地保證了電子病歷數據庫的安全。通過構建網絡級防火墻，過濾外部網絡的訪問需求，只放行符合權限要求的用戶，拒絕不具備訪問權限的用戶進行訪問，從而確保電子病歷數據庫訪問機構或用戶的合法性。

2.2 電子簽名

采用電子簽名技術，能夠有效地解決計算機記錄無痕化修改的弊端，確保醫務人員不能隨意修改患者的電子病歷信息。一旦患者電子病歷信息發生了改動，就會產生修改記錄。在電子病歷操作實踐中，電子簽名極大地規范了醫院人員的操作行為，確保了電子病歷信息的完整性。電子簽名能夠識別簽名人身份，能夠表明簽名人對數據信息的認可。電子簽名的實現途徑較多，目前PKI體系是國內主要采用的實現手段。PKI是一套用于生成、頒發、管理、使用數字證書的硬件、軟件和人員體系，其核心是證書授權機制。PKI能夠將公匙和用戶真實身份進行綁定，在用戶注冊后，PKI為用戶頒發數字證書，數字證書具有的私匙數據能夠用于個人信息加密[3]。PKI構建的基礎是以下三項加密技術：哈希文檔摘要算法、對稱加密算法以及非對稱加密算法。在醫院電子病歷中，一般綜合使用非對稱加密算法與對稱加密算法，以充分發揮兩種算法的優勢，取得最優的加密效果。隨著《電子簽名法》的正式頒布實行，電子病歷數字簽名具有了相應的法律依據，促進了電子簽名的推廣應用。

2.3 數據加密技術

為了實現電子病歷的價值，需要通過網絡傳輸交換或共享電子病歷所承載的個人信息。然而，在傳輸電子信息的過程中，信息被竊聽的事件時有發生，極大地威脅了患者的信息安全。數據加密技術利用加密函數與加密鑰匙，將電子病歷所承載的患者信息轉化成密文。只有通過加密函數與解密鑰匙，信息接收方才能夠獲取真實有效的電子病歷信息[4]。采用了加密技術的信息即使在傳輸過程中被竊聽了，也不會將電子病歷的信息泄漏。數據加密技術通常有兩類：公開密匙與專用密匙。醫院電子病歷信息加密中大多采用公開密匙。公開密匙是一項非對稱加密技術，在信息編碼時會生成兩個密碼，一個是公開的，另一個則保存在安全的地方。因為采用的算法不同，就算獲取了公匙，也無法順利推導出私匙，所以公開密匙的保密性很強。不過因為公匙是公開的，只要擁有公匙就能夠發送文件，造成了接收者難以有效地辨別發送者，無形中增加了信息處理的工作量。

2.4 訪問控制技術

電子病歷能夠非常方便進行存儲、讀取，醫生、護士和患者都能夠接觸到電子病歷。這在使患者就醫更加便利的同時，也導致了個人信息容易泄漏的問題。所以，醫院需要采用訪問控制技術，制定不同人員訪問電子病歷的權限。訪問控制技術具有以下兩種用途。①對訪問者身份的合法性進行鑒別，只有身份合法，順利通過系統檢測的用戶才能夠正常的訪問電子病歷數據庫。②設置用戶訪問級別。不同權限的用戶可以訪問的信息內容也各不相同，具有的操作權限也不同。例如，護士只有對患者電子病歷進行訪問的權限，而沒有修改患者病歷信息的權限；醫生既具有訪問患者電子病歷的權限，又具有修改電子病歷信息的權限。采用訪問控制技術，設置合理的訪問權限，能夠使患者的信息充分流通的同時不受到不法侵害，確保患者信息安全。此外，一旦發生患者電子病歷信息遭到侵害的事件時，就能夠根據用戶權限與訪問記錄，迅速、準確地找出侵害人。

3 結語

綜上所述，電子病歷具有參閱方便、共享性好以及實效性強等優點，越來越廣泛地應用到醫療機構當中。但是，隨著電子病例的普及，電子病歷個人信息保護問題也日益凸顯。醫療機構必須采用相應的技術手段，加強電子病歷個人信息的保護力度。在具體實踐中，醫療機構可以綜合采用防火墻技術、電子簽名、數據加密技術和訪問控制技術，不斷加大電子病歷信息保護力度，切實保護患者的個人信息安全。

[1]王姝.我國個人信息的保護與合理利用問題研究[J].重慶郵電大學學報,2008,12(5)：59.

[2]蔡雪玉.電子病歷的安全和質量管理[J].福建醫藥雜志,2006,6(2)：2-3.

[3]徐慎奇.淺談電子病歷的安全控制[J].中華現代醫院管理雜志,2007,14(11)：16-18.

[4]張文瑞.電子病歷促進醫院信息化建設[J].醫療設備信息,2006,7(12)：17-23.