日前,國家衛健委發布《關于加強全民健康信息標準化體系建設的意見》(以下簡稱“意見”),鼓勵醫療衛生機構在確保安全的前提下,探索區塊鏈技術在醫療聯合體、個人健康檔案、電子處方、藥品管理、醫療保險、智慧醫院管理、疫苗管理、基因測序等方面的應用。其中,醫療健康數據信息安全和隱私保護是區塊鏈技術在醫療領域應用最廣的領域。
醫療信息安全面臨三大挑戰
抹鏈科技高級研究員周新健向《鏈新》表示,目前中國醫療信息安全領域主要存在三個主要問題:安全意識薄弱、技術人員不足、管理手段平庸。
安全意識方面,一直處于一種“重建設、輕管理”的狀態,通常也只是在網絡安全層面部署安全產品,如網絡層面的內外隔離、防止底層的網絡攻擊等。但是隨著信息技術的發展,黑客的攻擊手段越來越多,傳統的安全保護架構已經無法保證數據層面的安全性。
技術人員配置方面,目前大多數醫院都采用集中式的機房管理模式,實際工作中,往往是幾十臺甚至幾百臺服務器集中在同一機房,卻僅僅配置了兩三個技術人員,可想而知是達不到相應人員配置要求的。
管理手段方面,在實際操作中,往往是遠程操控或者實地對故障機器進行外接顯示器進行操作。操作過程中的可追溯性不強,難于管理。
由于中國醫療信息安全領域存在種種弊端,近年來,醫療行業存信息泄露事件也出現得越來越頻繁。2017年9月,《法制日報》報道中國某部委醫療服務信息系統遭“黑客”入侵,就有超過7億條公民信息遭泄露,8000余萬條公民信息被販賣。2017年2月,上海疾控中心、黃浦區疾控中心兩名工作人員竊取20萬條新生嬰兒信息,并販賣給嬰幼兒保健品經營企業。2016年7月,中國三十多個省份275名艾滋病患者的信息遭泄露,部分患者接到了欺騙、敲詐的電話,生活受到嚴重影響。
由于醫療信息中不僅有患者的個人基本信息、還有財務信息、健康信息等關鍵信息,一旦泄露造成的危害遠比其他行業個人信息泄露要大?;颊咴诩鼻械那缶刃膽B下,更容易上當,不僅會浪費大量金錢,還可能因此錯失寶貴的治療時間。
周新健認為,區塊鏈技術在醫療信息安全領域的應用,可以從存儲、維護和使用三個層面保護信息安全。首先在存儲方面,區塊鏈技術采用分布式存儲,可以避免中心化存儲器遭受火災、地震等不可抗逆因素的毀壞。其次在數據維護方面,由于區塊鏈配合時間戳具有篡改留痕的特性,使得篡改記錄全程可溯,避免了中心化系統數據篡改后難以復原的弱點。最后是在數據的使用層面,通過非對稱加密形式,病人對個人隱私具有掌控權,既保證需要時隨時調取又保證了隱私的安全性。
為了解決醫療信息孤島問題,提高衛生信息共享交互,在“十二五”期間,國家衛生計生委提出了“36312”工程,大力推進建設區域信息平臺。區域信息平臺的分為國家級、省級和地市級三級衛生信息平臺。
2017年8月,阿里健康與常州市合作,成功落地了區塊鏈醫聯體項目,在阿里健康的技術支持下,常州市各個三甲醫院、區縣醫院和社區衛生院的信息上鏈,將原本舊的IT設備和系統通過區塊鏈技術連接在一起,成功打通了信息孤島。以分級就診為例,居民在附近的衛生院體檢,體檢報告上傳到區塊鏈上,這些患者里大部分患者社區衛生院就可以處理,小部分需要轉診的患者由社區衛生院通過區塊鏈實現對上級醫院的授權和數據傳輸,上級醫院醫生在得到授權之后可以迅速了解患者的醫療信息,這樣就避免了重復檢查,患者可以享受一站式的全流程服務,醫療資源也得以節省。
區塊鏈應用落地存諸多挑戰
鑒于對新生科技的風險未知性,不同行業對區塊鏈技術的態度和政策存在差異。在醫療信息安全領域,也有不少因素制約著區塊鏈項目應用落地。
“目前行業內的潛規則是存儲權=應用權,雖然法規允許脫敏數據的使用,但目前行業對個體數據的使用遠不止這些。由于區塊鏈技術使用非對稱加密,在保護患者隱私的同時,也一定程度上限制了醫療機構對數據的使用,所以區塊鏈技術與醫療信息安全的結合在一定程度上觸及了醫療機構的利益,我認為這是在推行過程中的一大難點。”周新健表示。
周新健認為,區塊鏈技術本身其實已經比較成熟,但是由于從事區塊鏈與實體行業結合的技術人才十分緊缺,導致行業發展速度受到了一定阻礙。從技術角度,雖然區塊鏈能夠保證鏈上數據真實性和不可篡改,但是上鏈前的數據真實性難以保證,一旦上鏈的數據發生錯誤,那么區塊鏈保證數據真實準確性本身就是一個偽命題,這個問題有賴于物聯網和AI的進一步發展。
國際密碼學應用科學家、YottaChain分布式存儲公鏈創始人王東臨向《鏈新》表示,區塊鏈之外的其它領域(包括但不限于醫療)的專業能力,合規性,倫理,運營能力等制約著區塊鏈項目應用落地。“醫療行業由于涉及人的生命健康,對新技術的采用是非常保守的,一般情況下需要經過特別充分的驗證才敢在臨床使用,所以區塊鏈技術應該主攻在非臨床應用。”
雖然區塊鏈比較大的強項是沒有中心化的管理和所有權,但是目前很多患者并沒有管理自身健康數據的意識,對于中心化存儲機制下的數據也很難實現支配權。
“目前行業內將區塊鏈技術和醫療信息安全相結合仍然處于探索階段,既需要一個爆款的應用引發患者的關注,也需要國家整合全國各大小醫療機構共同建立醫療數據共享體系,使得患者在不同地域就醫時避免重復檢查。只有為患者帶來降費增效保隱私等具有現實意義的體驗后,患者才能真正參與到數據的維護和使用中來。”周新健表示。
“需要注意的是,區塊鏈本身并不保證數據的隱私性,區塊鏈用了密碼學的Hash和簽名,但沒有包含加密,數據的隱私是需要在區塊鏈之外附加特定的數據安全體系來實現的。”王東臨表示:“需要在區塊鏈之外附加強大的數據安全體系,建立安全閉環,數據流全程都處于數據安全體系的保護之中,沒有任何的安全縫隙,確保在用戶(不一定是病人,健康人也有可能參與)之外沒有人(包括項目方在內)能夠窺視用戶數據。”
在王東臨看來,區塊鏈是一場比互聯網更大程度改變世界的革命,醫療行業也不例外。但很多情況下,區塊鏈只能解決一個應用場景的部分問題,其它問題還得用其它方式解決,需要所在領域的強大專業能力,解決一個商業閉環的所有瓶頸后才能實現落地應用。區塊鏈+醫療,除了區塊鏈領域的專業能力,還得需要有醫療行業的專業能力,以及強大的打通商業閉環的能力。
“由于醫療行業太為廣大,其涉及的模式會很多種類,例如用通證激勵收集基因數據,利用數據安全技術在保證基因數據隱私的前提下實現基因數據的商業化使用,就是一個不錯的模式??傊@是一個值得投入的領域,但具體到某個項目是否值得投入,就需要case by case來分辨。”王東臨表示。