电子病历的安全性

8.10　电子病历的安全性

有关医学数据和系统的安全性在第3章已作了全面介绍，同样适用于电子病历系统，这里仅就电子病历特性作进一步阐述。

8.10.1　为什么特别强调电子病历安全性

首先，电子病历作为医疗记录，关系到病人的生命安全和健康，同时本身具有高度的私密性，涉及病人的隐私，必须绝对安全。关于保护隐私权，欧洲委员会发布的《对私人数据的处理和自由传输的保护条例》做了严格的规定，是欧盟各成员国法律所必须遵循的原则。

其次，病历是具有法律效力的文件，病历数据具有法律证据作用。我国自2002年4月1日起施行《最高人民法院关于民事诉讼证据的规定》，特别是关于“医疗行为举证责任倒置原则”，使得EMR中医疗数据的安全性愈发重要，这不仅维护了患者利益，也维护了医务人员的利益。

再次，“共享性”是EMR的优势。通过网络，特别是Internet，EMR中的医疗数据可以跨医院、跨地域地实现共享。那么，哪些数据可以共享？哪些数据不能共享？或在什么情况下可以共享？这是EMR安全性必须解决的问题。

最后，由于医疗记录的所有权属于患者，产生者却非患者，而是许多医师共同完成，因此，电子病历经常被不同身份（医生、患者、管理者等）的合法用户访问、提取、共享。这使得电子病历的安全性更加复杂，并难以管理。

8.10.2　如何实现电子病历的安全性

1）加解密技术（encryption ＆decryption）

主要是防止电子病历数据在存储和传输过程中丢失、盗窃、篡改和破坏。该技术可对被传输数据的封包在发出方加密，在接受方解密，用于加解密的是密钥管理任务。

2）数据签名技术（digital signature）

主要是为保持电子病历中数据的原始性和完整性不被他人随意修改。电子病历某一部分数据的录入者可应用自己专属的独特的密钥（常为分配的）或是“生理密钥”（指纹、虹膜、声音）进行处理，相似于传统纸质病历的签名。该技术将在下节“电子签名”中详细介绍。

3）身份认证技术（authentication）

身份认证技术是用于正确地识别合法使用者及设备，使授权使用的人和设备能互通，而非法用户不能进入电子病历系统。识别合法使用者的常用方法是使用者名称与密码（或卡片）两段认证方式。识别合法设备的常用方法是由电子证书核发单位（CA）发放电子证书（certificate），当然该方法也适用于使用者的身份认证。

授权认证机制还可以按相关的法规制度对不同身份的用户授予不同的权限（如读、写、改的权利）；对电子病历不同内容（如医嘱、手术记录、检验报告）进行不同设置，为不同身份的用户所应用，防止对信息的误用和滥用（如检验技师不能开医嘱）。

4）包含时间印戳的电子证书

为了保证电子病历数据时间的原始性、标准性，医师完成的病历记录，经电子签名确认后，即使本人也不允许修改，记录将传至第三方机构，由它发放包含时间信息的电子证书，即加盖“时间印戳”（其时间设定为当地标准时间，可精确到秒），并保留原始记录备查。

5）医疗凭证

用于证明在网络上具有从事医疗职业的医务人员资格和医疗机构资格的身份。该凭证由CA发放，有三种类型，分别针对医务人员、医疗机构和服务器应用软件。当我们在电子病历上使用电子签名时，首先要依据这些凭证来确认该医院、该医师、该电子病历系统是否是合法而安全的。

6）电子病历存储中心（storage center）

①“当地式存储”是指将电子病历数据采用“数据库导向（database oriented）”形式存储于所在医疗机构，采用C/S方式存取信息，但它不利于异地共享。②“分布式存储”是将电子病历数据采用“文件式导向（document－based oriented）”形式，采用XML档案作为存取数据的载体，有利于更大范围的信息交换与共享。③“集中式存储”则将电子病历归档后集中传送至卫生行政主管部门建立的地区性的存储中心统一保存，这种存储方式因政府部门主管更具公信力，也具有更可靠的安全保障，同时调阅方便。当中心与医院的数据不一致时，以中心的为准，它具有更好的法律效力。

8.10.3　电子签名技术

电子签名属于上一节数字签名的内容，因其为我国电子病历推行的焦点之一，重点介绍如下。

1）电子签名概念

美国1999年通过的《统一电子交易法》中将电子签名定义为:“是指由意图签署一项记录的人实施的或采用的，附属于或逻辑上与该电子记录相联系的电子声音、符号或过程”。我国2008年8月通过的《中华人民共和国电子签名法》规定:“本法所称的电子签名，是指数据电文中以电子形式所含、所附用于识别签名人身份，并表明签名人认可其中内容的数据。”其立法目的是为了明确数据电文和电子签名的法律效力，并规范与电子签名相关活动。

2）电子签名的技术实现

目前电子签名的技术有手印、声音印记、视网膜扫描等。

（1）鉴于电子病历高度安全性要求，在众多电子病历签名方式中，目前国内外多采用基于PKI（public key infrastructure）的数字签名技术。PKI是利用非对称密码算法原理和技术，并提供网络安全服务的通用性的基础设施。“非对称密码算法”的密钥是一对互不相等的数据单，其中一条对外界公开的为“公钥”，另一条由拥有者保管的为“私钥”，利用这种特性密钥进行加密和解密的特定算法，将加密前的“明文”与加密后的“密文”进行加密或还原。

（2）PKI的核心执行机构是CA，即第三方认证中心。我国“电子签名法”第十七条规定:“电子签名需要第三方认证的，由依法设定的电子认证服务提供者提供认证服务。”CA除了认证服务，还负责密钥的产生、保管、注销、挂失等服务。CA是由国家主管部门批准的、有技术保障的第三方机构，具有权威性、可信性和公正性。医疗领域应成立专门的CA，因为医务人员签名的认证有其特殊性。首先，在常规认证同时还要审查该医务人员有无合法执业资格，所服务的医疗机构有无合法的执业资格。其次，我国众多的医务人员要使用电子签名必须全部经CA认证。最后，一份电子病历常由多名医务人员完成，需要多人就不同的内容、不同的目的签名。例如，管床医师每天分次录入数据，需一人多次签名；上级医师查房、修改病历后签名，又会形成对同一段记录的多人签名。

（3）电子签名必须与时间印戳相关联。时间印戳记载了电子签名的生成时间，可验证医师在签名前是否已获执业资格，医师再次修改病历的时间差，以及盗用私钥篡改病历的时间。

3）电子签名与电子病历既然属于法律范畴，那么除了严格的管理制度和管理监督措施以外，对于窃取、篡改、滥用电子签名，构成犯罪事实的，应予以法律制裁，以保障电子病历的健康成长。

图8－18是台湾电子病历模组（TMT）入院记录单张电子签章架构，在该签章模组里设置了姓名、职称、单位、签名日期时间以外，还设置了签章人员所需负责的内容范围（即文件内容的相对位置，或文件内容外的相对位置），并预留签章软件及签章数据栏位置，另外也预留了时间印戳服务器位置。

图8－18　我国台湾电子病历模组——单张电子签章架构

4）存在问题

我国在电子病历相关法律规定上还存在不少问题有待解决，例如电子病历的立法，电子病历电子签名的确认，医疗领域CA的建设，保护患者隐私的法规等。这些都是我们努力的目标。