基于區塊鏈技術的電子健康檔案管理模型創新

黃琳

一、區塊鏈技術概述

區塊鏈概念起源于2008年由化名為“中本聰”的學者在密碼學郵件組發表的奠基性論文《比特幣：一種點對點電子現金系統》。作為一種新型信息技術，區塊鏈呈現出去中心化、可追溯性、安全性和匿名性等特征，在很大程度上彌補了傳統數據存儲和傳輸方式的不足。簡要來說，區塊鏈是一種以多方參與者事先達成的共識為前提，通過設計激勵機制匯集多方節點的算力資源實現交易與合作，同時將生成的數據區塊按照時間順序整合成特定鏈條結構（俗稱“挖礦”）的數據庫技術。因此，區塊鏈系統從本質上而言是一種任務眾包機制，它并不依賴第三方監督機構或中心管制機構，而是依靠共識機制出色解決了各個節點的信任問題。

1.區塊鏈的構成成分

區塊鏈主要是由“鏈接”和“區塊”共同組成的。其中“鏈接”是不同區塊建立聯系的中樞和紐帶，它按照時間順序將新增數據塊聯結整合到原有區塊鏈上。而“區塊”則用于封裝、存儲和加密某些節點在特定活動過程中新生成的數據，主要由核心存儲數據、哈希值和隨機數三個部分組成。核心存儲數據是某一特定時間段內的交易數量和所有經過驗證的交易記錄。哈希值是區塊鏈系統根據前一區塊的數據格式，運用哈希函數自動計算出的數值。它存儲于后一區塊中并且總是指向前一區塊的存儲數據。因此，哈希值不僅能夠實現前后數據塊之間的聯結，還能及時監測數據是否遭到非法改動。隨機數的作用則在于保證每個區塊的存儲數據不重復。一個隨機數值只能被使用一次，具有絕對的任意性和非重復性。

2.區塊鏈的關鍵技術

區塊鏈是一個集合加成多種信息技術的綜合性技術系統，所應用到的關鍵技術包括非對稱加密算法、時間戳、共識機制、激勵機制等，主要是為了保障數據在存儲和傳遞過程中的真實性和安全性。

非對稱加密是一種利用公鑰和私鑰兩個非對稱密碼對數據進行加密從而保障數據安全傳遞的技術，其應用場景主要包括數字簽名、信息加密和登錄認證等。它的具體操作方法是信息發送者用公鑰或私鑰加密信息后傳遞給接收者，接收者利用另一個相應的密鑰進行解密獲取信息。

時間戳技術主要用以標明區塊數據生成的時間，防止存儲數據被人為篡改和偽造。

共識機制是指多個節點對區塊鏈系統的運行規則達成一致性認可的過程，它是實現去中心化的關鍵所在。區塊鏈通過搭建合適可靠的共識機制，構造出各個節點嚴格遵守規則、平等互信、井然有序的網絡交易環境，從而突破了傳統第三方機構或中心機構的制衡。由于共識機制的存在，區塊鏈系統不再需要中心機構來監督某一交易過程或校驗某一數據的真實性，而是讓分布式節點共同對每個區塊數據進行校驗和確認。

激勵機制是指區塊鏈系統通過設置一定的酬勞獎賞，激發和調動各個節點參與“挖礦”的積極性，從而匯聚多方算力資源共同解決數學難題。

3.區塊鏈的應用領域

區塊鏈技術早期被廣泛應用于點對點的比特幣交易。區塊鏈技術對比特幣系統的貢獻主要在于通過數字加密技術和分布式共識算法建立共識和互信機制。在區塊鏈技術的有力支持下，比特幣系統以分布式網絡節點共同參與交易的方式取締了傳統中心機構的絕對干預和操縱。各節點（每個節點稱為礦工）通過貢獻自己的計算資源來競爭解決一個難度可動態調整的數學問題，成功解決該數學問題的礦工將獲得區塊的記賬權。持幣人通過特定的軟件平臺（如比特幣錢包）支付比特幣以獎勵該礦工，并激勵其他礦工繼續貢獻算力。比特幣系統即時將當前時間段的所有比特幣交易打包記入一個新的區塊，經由全體礦工驗證后按照時間順序鏈接到比特幣主鏈上。[1]

比特幣交易是區塊鏈技術應用最早的也是最廣泛的領域。而后隨著人們對區塊鏈認識的不斷深入，區塊鏈技術的應用范疇也愈加廣泛。2018年工信部發布的《中國區塊鏈產業發展白皮書》系統說明了區塊鏈在金融產業、服務業和實體經濟領域的發展狀況，將區塊鏈及其技術提升到國家產業發展全局的高度。[2]現今，區塊鏈憑借其數據安全存儲能力和高效傳輸能力，一躍成為了支撐各類產業運轉的重要信息技術之一，人們對其的應用已經延伸至科技、經濟和政治等多個領域。

二、區塊鏈技術在電子健康檔案管理中的適用性

國外已有部分機構看到區塊鏈技術在EHR管理中的應用前景并付諸實踐。如2017年，韓國9所醫院與aston公司簽署合約，決定用區塊鏈管理18萬病人的病歷檔案。2017年芬蘭通信巨頭諾基亞宣布已經與OP Financial集團展開合作，旨在利用區塊鏈存儲醫療保健信息，享受區塊鏈帶來的健康信息儲存和分享上的便利以及對隱私信息的保護優勢。[3]但截至目前，我國幾乎沒有基于區塊鏈技術的EHR管理應用實例。我們需要具備足夠敏銳長遠的眼光和前沿思維，看到區塊鏈技術在解決EHR收集、存儲、利用等問題上的有效性和適用性。

首先，區塊鏈的去中心化與EHR的海量化、分布式特征相嵌合。EHR是個人從事健康相關活動（包括醫療就診、參與健康教育、免疫接種等）形成的電子記錄。隨著現代醫療保健水平的發展和人們健康意識的提高，EHR日益呈現出數量龐大和分布廣泛的特征。檔案機構面對著分散在不同醫療機構和個人手中的數據，已不能有效解決檔案收集和利用服務中存在的難題。集中式、中心化的檔案管理制度在海量化和分布式的數據面前逐漸顯現出它的無力感。利用區塊鏈技術改變當下的檔案管理模式，將各個檔案形成主體作為區塊鏈系統中的節點，實現一定區域范圍內的數據共享和數據交換。以區塊鏈作為EHR收集歸檔的技術基礎，能夠減輕檔案機構的負擔。

其次，區塊鏈結合運用時間戳、點對點分布式數據存儲、數字簽名等多項技術，將健康活動中產生的所有檔案數據都封裝存儲在各個節點的區塊內，為維護EHR真實性筑起堅固的防御壁壘。2015年，美國數字檔案管理專家Cassie Findlay指出區塊鏈技術在維護證據的神圣不可侵犯性、真實性方面可以為檔案界所用。[4]只要檔案數據進入區塊鏈系統中，就會在信息技術的多重維護下進行存儲和提供利用。

再次，區塊鏈可以通過對非對稱加密算法的靈活運用和對數據訪問的權限設置以保障用戶隱私信息的安全性。EHR涉及到大量用戶隱私信息，利益關系深遠重大，屬于國家數據安全保護范疇。而基于區塊鏈技術的EHR管理將隱私保護納入系統設計范疇內，大大降低了信息外泄的風險。

三、基于區塊鏈技術的電子健康檔案管理模型建構

基于區塊鏈技術的EHR管理模型不僅要做到全面捕獲采集檔案數據，同時還要保證檔案安全存儲和可持續化利用。因此筆者大致將新型EHR管理模式解構為EHR采集層、存儲層和應用層三個層次。

1.電子健康檔案采集層

EHR采集層是整個模式建構的地基，它為后續的檔案管理提供必要資源。以往保存健康數據的任務主要由衛生醫療機構承擔，但醫療機構力量單薄，不可能收集到所有患者的全部健康數據。區塊鏈技術的出現則為突破醫療機構的局限性提供了契機。它利用點對點式的對等網絡技術和共識機制，讓每個網絡節點（包括醫療機構和個人）都各自承擔著錄入和上傳檔案數據的任務。區塊鏈以任務眾包的形式，將健康數據采集渠道延伸到更廣闊的范圍內。

EHR管理模式將通過分布式網絡節點的形式采集檔案信息。如全國電子健康檔案平臺，醫護人員通過基于區塊鏈公開的接口程序開發院內的應用系統，可完成院內電子健康數據的錄入和上傳功能。[5]患者本人也可以通過使用基于區塊鏈技術的智能手環或手機應用程序，采集和記錄在各個飲食和運動場景中的生命體態數據。基于區塊鏈技術的EHR管理模型所能采集到的數據類型不同、數據結構各異，如用戶基本信息、體檢數據、掃描圖像、視頻錄像、醫學報表、診斷報告、可穿戴設備數據等，基本實現對人們健康數據的全面覆蓋。

2.電子健康檔案存儲層

EHR一旦被采集到區塊鏈中，就會形成特定區塊，經各節點共同驗證后被正式存儲。每個患者的EHR作為一條區塊鏈而獨立存在，不能修改或刪除，只能隨著個人健康數據的上傳而增加區塊。當某個節點增加某個區塊時，其余節點也同步增加該區塊。具體流程見圖1。

EHR存儲層主要的功能是保證數據的真實性和安全性。首先，區塊鏈的點對點分布式數據存儲技術開啟了數據保護新機制。EHR在多個網絡節點中進行分布式存儲，多節點數據鏈的一致性比對使區塊鏈技術具有防篡改、泛中心化、存儲高冗余等特點，使其適合于存儲和保存居民醫療活動記錄、健康保健記錄等涉及個人隱私的數據。[6]即使某一節點的存儲數據遭到惡意篡改，其余節點也不會受到影響，繼續承擔起保護數據的責任。檔案數據在多個節點的共同監督和維護下，大大降低了其被惡意刪改的風險。

其次，哈希值的敏感性是監測檔案的關鍵點。檔案任何微小的變動都會引起哈希值的變動，因此哈希值只要發生變動就足以說明檔案數據遭受到非法操作。區塊鏈利用多個節點對同一份電子檔案哈希值的存儲，通過對比，回溯人為操作的源頭并加以及時有效地修復。

最后，包括時間戳、數字簽名等在內的綜合技術應用能夠起到驗證存儲數據的作用，極大降低數據被黑客入侵盜取的安全風險，有助于形成不可偽造和不可篡改的區塊鏈數據庫。數字簽名主要用于對數據來源的驗證和確認。當某一機構或個人需要在區塊鏈上存儲健康數據時，就會提出驗證簽名有效性的申請。鏈上各個節點機構對簽名進行驗證，并投票表決該數字簽名是否有效。如果投票通過，那么數字簽名有效性信息的哈希值以及部分元數據將被登記到區塊鏈上永久保存，從而克服檔案長期保存過程中簽名失效、簽名更新的弊端。[7]而時間戳技術則為區塊鏈存儲數據增加時間維度，記錄最新一次數據操作的時間點，為數據的原始真實性提供有力憑證。區塊鏈憑借多方面的技術優勢，保障檔案數據在其中能夠長久安全地保存。

3.電子健康檔案應用層

目前患者健康數據大多集中掌握在醫療機構中。因安全問題，醫療機構一般采用內部局域網，不與外網相連接。如此中心封閉的管理模式，雖然對避免泄露隱私有一定的幫助，但與患者權益之間存在矛盾。根據消費者權益法的相關條目推論，患者享有醫療權、疾病認知權、知情同意權、服務選擇權、名譽權、醫療文件查閱權。[8]醫療機構的過度謹慎和封閉，增加了患者和其他醫療機構獲取健康信息的難度，這與其應盡的義務相悖。造成這種結果的更深層次的原因在于EHR去中心化管理尚未得到相應的技術支持。

基于區塊鏈技術的EHR應用層最大的優勢在于采用分布式管理實現EHR去中心化管理。去中心化的管理機制主要利用各個網絡節點存儲數據同步更新的特性，疏通數據交互渠道，使健康數據更加公開化和透明化。一方面，它將數據控制權和管理權交還到患者手中。當檔案數據被存儲在區塊鏈上時，可設置數據訪問權限，讓擁有授權的用戶能夠正常訪問數據。如患者可以通過設置和驗證私人密鑰的方式，在區塊鏈系統中查詢和訪問醫療人員上傳的個人健康數據。這在保障患者信息知情權的同時，也提高了患者參與自身健康管理的積極性和主動性。

另一方面，患者也可以將健康數據提供給他們認為值得信任的醫療機構和人員訪問和利用。其他醫療機構和人員一旦有訪問患者病狀和醫療記錄的需求，可以直接在系統中向EHR所有者發起權限申請或者也可以通過患者的加密傳輸操作來獲取相關檔案數據。這對于打破各個醫療機構之間的數據隔閡，實現患者健康數據的實時共享，為患者異地就診提供可靠的參考數據有重大意義。

四、區塊鏈技術在電子健康檔案管理中的應用風險

區塊鏈技術利用分布式節點共識機制實時生成和更新數據鏈，并且利用多種技術優勢保證數據存儲、傳輸與訪問安全。但基于區塊鏈技術的EHR管理模型仍存在一定風險，需要我們及時勘測和預防。

1.網絡節點變更風險

區塊鏈數據庫系統中節點不穩定主要有兩個方面的原因。一方面，受到現代組織機構變遷和患者壽命等諸多客觀因素的影響，區塊鏈系統覆蓋對象的更替速度明顯加快，需要系統管理者實時監控各個節點的動向并據此刪減或更新部分節點，否則將造成大量的數據冗余。顯然，網絡節點的實時變動給管理者帶來了繁重的工作量。另一方面，目前仍存在黑客掌握區塊鏈系統中51%以上節點的可能性。一旦假想成真，那么多個節點分管檔案數據的技術優勢就不復存在了。黑客將掌控所有個人檔案數據，進而達到肆意篡改、偽造和盜取鏈上數據的目的。

2.哈希數值失效風險

檔案內容、格式和載體的任何一點變動都會引起哈希值的異常。然而為使EHR在軟硬件不斷更替的數字環境下仍能保持長期有效性和可讀性，檔案格式和載體需要進行定期轉換、遷移和仿真。這顯然與哈希值監控檔案數據的原理相悖，甚至會導致哈希值的失效，從而破壞區塊鏈檔案數據的安全屏障。開發專門針對檔案內容的哈希算法，使檔案格式和載體發生變化的情況下保持哈希值不變，是當下減少區塊鏈數據安全風險的關鍵。

3.信息技術發展風險

區塊鏈主要使用非對稱加密技術保障數據的安全性，隨著密碼學基礎理論研究的深入發展，硬件計算能力的提高，單純依靠密碼技術對數據的保護越來越脆弱，雖然電容式指紋識別、超聲波指紋識別、光學式指紋識別、人臉識別、虹膜 +人臉識別等生物識別技術可提升私鑰的安全性，使用起來也較方便，但隨著技術的發展進步，對生物特征的獲取具有多種手段，導致生物識別技術的安全性降低。[9]現代信息技術正處于快速發展、不斷革新的洪流之中，其或將成為黑客發起攻擊的手段。因此，區塊鏈系統所應用到的技術本身就存有一定風險，不排除未來會出現技術漏洞或技術破譯等情況。

區塊鏈技術憑借去中心化、分布式賬本、共識算法、非對稱加密和哈希算法等多項核心技術迅速取得人們的青睞，從而突破了比特幣等初始應用場景，在醫療、金融、交通和教育等多個領域中得以廣泛采納。特別是在醫療領域，區塊鏈在人們健康檔案管理的應用前景開闊，有著充足的適用性和可行性。它能夠整合多方力量創建和更新全面的個人健康檔案，并在存儲和應用階段中滿足人們對檔案數據安全真實、隱私保護和共享的需求。但目前對區塊鏈技術的理論研究和實踐研究尚處于初步階段，仍然存在（下轉53頁）（上接46頁）上述諸多應用風險。醫療行業人員、區塊鏈學者和相關信息技術專家等需要對區塊鏈技術保持樂觀和清醒的認識，在看到區塊鏈技術優勢的同時，也要提防墜入盲目自信的陷阱。