電子病歷檔案安全管理探析

周耀林 黃靈波

(武漢大學信息管理學院，湖北武漢，430072)

電子病歷(ElectronicMedical Record，簡稱EMR)是指醫務人員在醫療活動過程中,使用醫療機構信息系統生成的文字、符號、圖表、圖形、數據、影像等數字化信息，并能實現存儲、管理、傳輸和重現的醫療記錄，是病歷的一種記錄形式。[1]電子病歷符合檔案的原始記錄性特點，是醫療領域的電子檔案和文件的重要組成部分。

目前，全國各省市如北京、上海、武漢、廈門等均開始了EMR的建立工作。據統計，2012年初，“32.1%的二級以上公立醫院建立了較為規范的電子病歷系統”[2]。電子病歷與傳統的紙質病歷不同，后者在大多數醫院往往是由病人自行保管，復診時帶來。而電子病歷檔案則由醫院保管，且多個終端可以利用，因此容易帶來信息泄露、電子病歷被不留痕跡地篡改或刪除、系統遭受破壞等問題。因此，加強電子病歷安全管理，是一個值得研究的課題。

表1 電子病歷與傳統病歷對比分析

1.電子病歷的特點

隨著醫療信息系統的普及，電子病歷成為重要的電子醫療檔案。相較于傳統病歷，EMR在信息形成、保管、傳播等有自己的特點，這決定了它與紙質病歷的安全管理也存在很大的差異。

由表1可以看出，電子病歷在存儲、共享等方面具有容量大、信息齊全、傳輸容易等優點，具有較好的應用前景。但電子病歷自身缺陷也很明顯，如環境敏感度高、技術依賴強、信息修改容易、操作痕跡容易被覆蓋等。上述區別與電子文件和檔案與傳統檔案的差異是一致的，這是因為電子病歷不過是電子文件在醫療領域的特殊表現形式。

除了傳統的數字信息資源的安全隱患，電子病歷由于領域的特殊性，在具體的保存和利用過程中還應該考慮具體領域的特點，如醫生的專業操守及計算機操作水平等。現實生活中對電子病歷安全構成威脅的因素復雜化和多樣化，導致電子病歷的真實可靠性和保密性很難得到保證，其安全管理任務更加重要和艱巨。做好電子病歷的安全管理工作，可以保障電子病歷檔案信息資源的長期保存和利用，可以更好地服務醫療事業。同時，電子病歷成功的安全管理經驗也會對電子文件和電子檔案的長期保存和真實可靠性保護提供有益的啟示。

2.電子病歷的安全隱患

電子病歷的安全隱患主要表現在以下幾個方面。

2.1 電子病歷長久保存遇到難題

電子病歷應該得到長久的保存，電子病歷長久保存面臨的威脅表現在:(1)電子病歷對其保管場所的建筑庫房、溫濕度、光線、電磁、防水、電路等要求都有別于紙質病歷并更加嚴格，而醫療機構常疏于管理；(2)建立EMR系統需要較多的資金，而后期的長久保存如系統升級和信息遷移、備份等更是耗費巨資，費用過高是限制電子病歷發展的另一重要因素；(3)現代醫療網絡在線探討和資料傳輸不可避免，但網絡環境中的病毒侵害、黑客攻擊等行為容易導致電子病歷系統的崩潰和數據的丟失、泄露，CDW的一項對醫生的調查發現，30%的醫生電腦缺乏反病毒軟件，34%沒有良好的網絡防火墻；[3](4)技術更新帶來各種安全問題，如新技術對舊文件及舊設備的兼容性、前三代甚至更早的數據文件的可讀性和可理解性、信息保存成本上升、醫療工作人員對過于頻繁的技術更新的適應和熟練。

2.2 電子病歷真實性受到質疑

相較于傳統病歷，電子病歷的真實性受到威脅:(1)信息形成者難以辨別。計算機環境下難以像紙質病歷通過簽名和字跡判斷EMR形成者的身份，EMR系統本身不具備身份識別功能；(2)EMR質量缺乏控制:EMR系統中模板、信息復制的應用造成EMR喪失個性化并漏洞百出，中國數字醫療網的一項針對190份電子病歷的調查顯示，“前后表述矛盾的占40%，時間填寫錯誤的占36%，錯別字占24%，書寫不規范的占22%，病情與實際不符的占10%”；[4](3)電子病歷形成后的操作難以控制。一方面，計算機環境中操作痕跡極易被覆蓋或消除，電子病歷容易被不留痕跡地修改。另一方面，目前缺乏有公信力的第三方對醫療機構的服務器進行監督和管理，電子病歷的真實性得不到認可常受到質疑；(4)EMR的合法性得不到承認。衛生立法的滯后，EMR的證據價值被懷疑，《電子簽名法》雖肯定有電子簽名的EMR的證據價值，但國內電子簽名的應用缺乏相應的加密技術和認證機構，EMR的合法性沒被廣泛認可。

2.3 電子病歷隱私性遭到破壞

患者身體和臨床狀況的記錄，是重要的個人隱私。隱私性保護是取得患者及家屬信任和電子病歷發展的關鍵。醫療信息泄露給患者帶來困擾，如生活中遭受到區別對待、商業信息騷擾、信息詐騙等。2011年的一份千人調查表明:“49%認為EMR系統對個人醫療信息保護存在不良影響”，這表明人們對EMR的信息安全信任度低。對電子病歷隱私性的威脅有:(1)密碼設置簡單化或者密碼變“明碼”、科室共用，使認證和分權形同虛設，使知情權范圍擴大，信息泄露、被篡改或刪除的危險增加；(2)EMR的信息蘊含巨大商業價值，有些醫護人員出賣患者信息給商業機構。美國“健康檔案系統市場的產值每年高達80億～100億美元，來自銷售的數據和分析服務”[5]；(3)患者隱私權保護缺乏專門法律保障；(4)泄露隱私的違法代價低。在美國或香港，醫生會因故意泄露病患信息或EMR造假遭到巨額的罰款甚至牢獄之災，在內陸，法律規定篡改、損毀病歷是違規行為，但懲處措施不具體，醫療機構大都根據衛生部的有關規定，處以少量的罰款，懲罰力度較低。

2.4 電子病歷系統穩定性有待加強

醫院工作要求EMR系統能夠7*24小時全天候、無間斷運行，美一研究指出醫療機構的指揮中心應“負責EMR的開展和實施過程中的熱修復和微調，保證24小時無間斷覆蓋醫護人員和患者的基本問題應用”[6]。這對設備的質量、系統的檢測和及時診斷及維修提出較高要求。但現實生活中因為斷電、數據量突增、系統故障等問題引起醫院EMR系統癱瘓的事情屢屢發生。EMR系統處在網絡環境中，要時刻防止系統遭受網絡病毒入侵或黑客攻擊而導致黑屏、系統癱瘓等。目前國內的醫療機構對電子病歷系統的研發公司普遍存在技術依賴，若IT公司破產、研發團隊離職或技術機密泄露，將導致系統被迫停止和信息丟失、泄漏等，嚴重破壞電子病歷安全。

3.電子病歷安全管理完善措施

電子病歷安全管理指采取技術、管理、法律等措施來消除自然環境和社會環境中電子病歷的安全隱患，達到保障電子病歷實體安全、信息真實可靠、保密性的目的。電子病歷受到的威脅是多方面的，在實際應用中，鑒于電子病歷與電子文件和電子檔案的共同點，應在充分借鑒電子文件和電子檔案的優秀管理經驗如日臻完善的技術保障措施、容災管理的基礎上，結合電子病歷的主客體及環境的具體特點，形成比較科學、完善的保護體系。

3.1 國家政府——宏觀規劃、支持監管

3.1.1 完善立法，加強普法執法

首先，完善電子病歷及其安全的專門法律的立法。一方面，借鑒國外經驗，加快電子病歷安全的法律保障的建立，美國在EMR的立法是世界上較完善的。這方面法規有“《健康保險攜帶和責任法案》(HIPAA)、《隱私權法》《病人權利典章》”[7]。其中HIPAA是EMR方面的專門法律。另一方面，完善懲處制度，避免違法卻難以追究或懲處不當。其次，注重普法教育，使醫患雙方明確各自權利和義務，減少對電子病歷的違規操作和破壞。最后，加強執法，做到有法必依、執法必嚴、違法必究，對破壞電子病歷安全的行為嚴懲。

3.1.2 轉變職能，統籌指導

各級政府和衛生部門應把醫療信息化提上日程，有計劃、有步驟的建設和推進。第一，轉變職能，加強EMR安全管理的監督和引導，形成EMR安全管理問題的標準和規范。第二，為EMR系統安全技術、設備、培訓及運營維護提供資金支持。第三，營造良好的社會環境，規范網絡行為，倡導健康文明的社會文化和網絡文化。第四，樹典型，助推廣。選取措施得當、效果明顯的醫療機構給予表彰，樹立典范并積極推廣，起示范和鼓勵雙重作用。

3.1.3 加快建立第三方監管制度

電子病歷的產生和保管都是由醫院進行的，所以電子病歷的真實性和法律證據性常常受到質疑。對此有兩種解決辦法:其一，如果一個獨立于醫院和患者的第三方機構對電子病歷系統的服務器進行監管，電子病歷的后臺服務器對醫院而言也是一把無鑰匙的鎖，那么電子病歷的法律證據性將得到更大的認可和保障；其二，由衛生部下令，將轄區內各醫院的電子病歷每天進行數據的提交備份，醫療糾紛中以第三方的數據作為參考依據就可防止醫療事故后修改電子病歷的嫌疑，如廣東南海區衛生局負責管理該區內十幾家醫院的額備份數據，在一起醫療糾紛中，由衛生局呈現的數據就得到法院的承認，幫助院方贏了官司。[8]

3.2 醫療機構——科學管理、切實執行

3.2.1 完善本機構的電子病歷日常管理工作

表2 電子病歷安全管理相關技術總表

首先，設立專門且具有獨立性的電子病歷管理部門和人員，制定日常管理制度，使安全管理有章可循。該部門應負責對EMR從形成、歸檔或銷毀到保管利用的全程管理和監控；對全院的EMR系統和各終端的安全防護措施進行檢查和及時更新。其次，加強人員安全教育，增強安全意識。EMR安全意識教育包括法規教育、EMR基礎理論教育等；安全技術教育包括培訓病歷系統的操作和安全防護培訓。做好崗前培訓，加強在職培訓；開展集中培訓，加強平時培訓。最后，完善評估和獎懲制度。人資管理部門和信息管理部門應加強合作，讓個人的EMR安全管理行為和效果作為績效考核和職稱評定工作的內容。信息部門定期對EMR質量安全和終端設備、信息安全進行以人為單位的檢查、統計和評估，并將檢查情況報送給人資，人資將其與獎金和績效工資、職稱評定相掛鉤，作為重要的參考依據。

3.2.2 嚴把技術關

電子病歷及其系統嚴重依賴計算機環境，醫院在推行電子病歷時，配套的技術設施要到位，形成對電子病歷從實體環境到網絡環境的全方位的技術保障體系，如表2。

3.2.3 做好電子病歷容災管理工作

EMR的意外事故不可避免且隨時有可能發生。因此，醫院電子病歷的容災管理不容忽視，主要有定期的備份工作以及正確處理突發情況。首先，備份是有效的容災措施，可有效保障數字信息安全，包括本地備份和異地備份。本地備份利于發生意外時的數據及時恢復，異地備份利于發生自然災害或者火災等災后數據恢復。本地備份宜采用雙機備份和脫機備份，異地備份可聯合其他醫療機構、檔案部門等，本地和異地備份是EMR的“雙重保險”，相輔相成。其次，正確處理突發情況。制定科學的應急預案，明確災難等級、數據保護的組織編制、責任劃分、優先等級；平時進行演練；在災難發生時，科學的部署和撤離，利用搶救的“黃金時間”；災后啟動本地或異地備份，及時恢復數據和系統。

數字化和網絡化時代，EMR系統的應用對醫療機構和患者都是不可回避的趨勢，而EMR的安全是EMR事業深入發展的基礎和保障。EMR的安全管理是一項復雜而又艱巨的任務，牽涉人員廣、技術復雜、管理經驗缺乏等，既是技術問題，也是社會問題，應該是國家、醫院共同參與、共同處理的結果，需要依靠各方力量來維護。

[1]衛生部關于印發《電子病歷基本規范(試行)》的通知[EB/OL].(2010-03-04)[2012-05-26].http://www.moh.gov.cn/publicfiles/business/htmlfiles/mohyzs/s3586/201003/46174.htm.

[2]衛生部醫政司召開2012年以電子病歷為核心的醫院信息化建設工作會議[EB/OL].(2012-05-11)[2012-05-26].http://www.moh.gov.cn/publicfiles/business/htmlfiles/mohyzs/ptpxw/201205/54688htm.

[3]半數美國人懼怕電子病歷聯網[EB/OL].(2011-03-01)[2012-05-06].http://info.chinabyte.com/289/12339289.html.

[4]電子病歷推廣方式利弊分析[EB/OL].(2011-03-02)[2012-04-07].http://solution.hc3i.cn/art/201103/11857.htm.

[5]電子病歷安全嗎[EB/OL].(2010-04-28)[2012-05-10].http://www.e800.com.cn/articles/2010/0428/462106_3.html.

[6]Wang Yun,Perry William.Lessons from method:A successful Electronic Medical Record(EMR)system implementation[C].Proceedings of 2011 IEEE International Conference on Intelligence and Security Informatics,2011.

[7]李娜.美國電子病歷隱私保護研究[D].河南:鄭州大學，2011。

[8]電子病歷診斷報告[EB/OL].(2009-03-16)[2012-05-10].http://news.9ask.cn/yljf/sgzs/dzbl/200903/161563.html.