摘 要：当前，伴随着信息化发展，区域医疗迎来了新的发展时期，医疗信息实现了横向和纵向的双向交流，但与之相关的信息安全和隐私保护问题也引来了人们的广泛关注。健康档案作为当前区域医疗信息化建设的重要组成部分，各相关部门对其安全性的认识达到了前所未有的程度。因此，我们对区域医疗信息共享平台中健康档案如何保证隐私与安全进行了分析，从而得出区域医疗信息共享中健康檔案存在的安全隐患以及产生信息安全隐患的原因，并提出保证档案安全的措施与思路。

关键词：区域医疗信息；健康档案；隐私；安全

目前，区域医疗机构信息化建设不断发展，信息技术日新月异，各地的区域性医疗信息共享平台不断出现，成为当前区域医疗卫生信息化建设的重要表现形式。所谓的区域医疗信息共享平台，也就是区域内不同等级、不同行政归属的部门之间，通过信息技术支持及网络信息平台进行医疗信息的对接和设备的公用利用，使得区域内的医疗资源得以合理的配置，在有效降低医疗卫生成本投入的同时，提高医疗机构的诊疗质量、医疗设备的使用率，降低了医疗运行成本，使患者能够明显感觉出医疗费用在降低，原有的看病难、看病贵因问题得到了有效的缓解。基于此，目前该信息共享平台的建设必须建立在通信和信息传送技术的高度发达，同时又要保障相关信息的安全性和保密性的基础之上。信息的共享与信息的安全从概念上来说是一对矛盾关系，但是在实际运用过程中又紧密相关。既要利用新技术来确保病人、医院以及相关政府主管部门之间能够进行有效的信息沟通和信息交换、共享，又要保障信息在系统内部的保密，防止信息泄露。

区域医疗信息共享，最主要的内容是建立居民健康档案。所谓健康档案，即把公民在活着时参与的所有涉及医疗卫生服务的记录全部记录在案，建立可跟踪性的档案服务体系。这种档案并不单单指病人的身份信息、医院诊断结果，也包括一些其他渠道获得的相关健康信息，如饮食偏好以及运动情况等等。所以可知，居民健康档案具备了疾病的防治和健康的保障双重功能。基于居民健康档案的区域医疗信息共享平台，将居民的诊疗信息和健康信息全部整合，使得信息共享得到最大化的实现，但与此同时，居民公共卫生信息的泄露风险也相应的扩大。公民医疗信息的访问权限、具备访问权限的组织和个人能否有效保护公民健康信息不被泄露、公民健康信息的储存和传输安全能否得到有效保障，这些都是区域医疗信息安全共享工作在开展过程中面临的难点和重点。目前最为有效的确保医疗信息安全的做法就是通过技术手段来解决相关问题。同时，政府主管部门也通过立法等相关手段来确保医疗信息的安全，降低泄露风险。

1 健康档案记录下的隐性安全风险

目前互联网信息技术的发展，健康档案已经实现无纸化记录，在电脑或网络系统中进行存档和管理。如何在医疗信息共享平台中保障这些档案记录的私密性和安全性，以及如何平衡一些疾病信息防治案例与居民私人信息保护两方面的矛盾显得尤为重要。因为这些信息一旦被泄露，可能会对公民的利益造成损害，也会让个人对公共医疗的安全性产生质疑，这对社会秩序的稳定也会造成一定的影响。因此，就公民的合法权益以及信息安全性两方面考量，都必须对居民健康档案的相关文件进行相应的安全等级保护。

目前造成个人健康档案信息泄露的原因主要有以下几方面：

（一）责任意识不强造成个人档案信息泄露

建立健康档案的目的在于居民健康情况的保障和疾病的防治，具有较大的社会意义。但是使用人和责任人都缺乏较为严谨的安全法律意识，使健康档案在使用过程，造成了信息泄露和失真的情况。而且相关的医护人员对病人隐私的忽略和不重视，也就放任了违规性操作。一些缺乏专业素养的医生，将其视为一笔关于病人的信息财富，进行信息的贩卖，这种医疗信息的泄露不仅违法损害个人医德，更为严重的是对居民和医疗机构的利益侵害。

（二）信息安全保护能力欠缺造成个人档案信息泄露

目前，在信息网络中主要通过信息攻击技术，如对一些域名服务器进行攻击、木马病毒植入等手段来非法获取医疗档案信息。因此，对于医疗信息共享平台的建设者与维护者来说，应具备一定的技术专业性要求，应有针对性地接受网络攻击技术及网络防御技术方面的专业培训，了解使用不同的攻击手段造成信息泄露的路径，从而有针对性地进行安全保护。

（三）使用操作失当造成个人档案信息泄露

共享信息平台建设下医院通过居民的健康信息档案，如医疗治疗信息以及该病例的相关医疗结果、该疾病下的后续保护和康健信息等进行分类汇总整合，并在基于居民信息保密的情况下，进行有限度地资源分享，使医院能够在共享信息平台中最大限度为居民病情预测和病情咨询提供助益。但在资源整合、共享时也会存在一些信息泄露的问题：如权限不够的人员违规操作以获取资源；医疗人员由于一些非法利益进行信息窃取和泄露，甚至严重到进行信息的篡改；在信息整合的过程中可能出现的信息流失；居民健康档案借助互联网平台进行无纸化传输和保存，由于信息上传者上传流程中存在失误而导致健康档案的信息泄露和被破坏，或者是由于一些不可抗力或者是一些无法预知的意外事故造成信息的破坏和丢失等。

（四）居民居民健康档案的管理疏漏造成个人档案信息泄露

第一，目前对于中国而言，其社会医疗系统处于发展和完善阶段，在发展过程中存在一些法律和管理方面的漏洞，尤其是国家对于个人信息安全方面的监管手段还较为缺乏。医疗机构建立居民健康档案，还属于探索阶段。而此阶段中还存在医疗人员的管理、专业制度规定和国家法律缺失、零散和不规范等问题。即使由于人为原因造成个人信息安全的泄露和扭曲，也会因为缺乏法律依据而不了了之，无法可依，这就损害了公众对医疗机构的信任和个人的实际权益维护，在一定程度上纵容了非法人员对公众信息利益的侵害。

第二，公众的健康信息档案是在一定的区域范围内的信息平台共享，也就是医院对该区域的居民建立一个电子化的个人病例，方便医院对患者健康情况的追踪，也方便了居民的体检和病情诊疗。但由于医生的不固定和记录留存的不规范，使其信息较为凌乱，一旦信息泄露，很难确定相关责任人，并且不仅是医院甚至国家都对这方面缺乏确定的管理机制。

2 健康档案安全与隐私保护的措施

区域医疗信息共享平台是医院信息化建设中的重要内容。医疗信息的特殊性在于涉及到病人的隐私，因此医疗信息的公开就需要经过慎重的研究考虑。

（一）研发医疗信息安全的新型保护方式

上述对健康档案用户行为的安全隐患的技术安全分析，仅限于在现有的醫疗信息安全技术条件下。随着科技的不断发展，医疗信息泄露和篡改的方式也变得五花八门，在安全技术上加大投入，不断加大研发应用成为一种必然。

（二）建立健全区域医疗信息共享安全的法律法规

目前，我国在区域医疗信息平台上共享医疗信息逐渐成为热门，但是与之相配套的安全法规和政策许可等却迟迟无法出台.没有独立的关于医疗信息安全的明文规定，一旦出现医疗信息泄露或是侵犯隐私，没有法律依据条文作为支撑，让用户维权艰难。同时也在某种程度上纵容了医疗信息凯觑者的篡改信息等非法行为。所以，出台系统完善的专门法规已经成为医疗信息安全领域的重要内容。

（三）明确规定机构和系统的责任和权力

第一，明确机构权利和责任。区域医疗信息共享涉及多个医院之间的信息传递，各级医院、社区卫生服务中心、疾病预防控制中心等都纳入其中。这就要求在建立健康档案时就明确不同机构使用信息的权利和义务。如不同机构的工作人员可以接触到怎样不同的信息内容，不同单位可以拥有怎样的权限。只有明确了相关单位调用信息的范围和使用方式，明确不同使用主体对手中信息的责任意识，才能保证信息安全。同时，权责明确还有利于出现问题及时找到源头，避免互相推诱、逃避责任的现象发生。

第二，明确系统权限。医疗信息共享平台系统设计应注重八大权限，包括平台中心文档管理员、平台中心授权审核员、审计日志用户、系统管理员、各医疗机构医生类普通用户、各医疗机构文档管理员、各医疗机构授权审核员、患者类用户等。为了提升信息的安全度，就要对不同用户的权限加以明确。如对于授权用户的访问，只呈现部分健康信息，自动屏蔽其他类型用户信息。而医务人员在行使公务行为时，则需要填写相关申请才能获得相应权限。科研人员则根据科研内容提出申请获得相关数据。同时，对于部分研究人员这些数据只能定时查询，不能无限制复制或是浏览。

（四）建立医疗电子档案的授权及审批查阅流程体系

为了保护电子病历，需要在系统中为病例加密，通过各种不同的授权保密方案区分不同医疗文书。目前主要有两类，医生分组授权体系与安全控制流程。其中，医生分组授权审批方案是构筑医用分组分级树状体系，分配授权号，上级权限可以浏览本级或是下级内容。医生可以根据自己的等级访问相关病患资料，如果需要越级访问则需要按规范审批流程，提交由平台支持的电子申请，完成相应审批调阅和管理。

（五）建立良好的组织协调机制

在区域卫生信息共享平台上，既要让信息访问便捷，又要保护隐私，需要复杂的政策与技术支持。第一，立足于法律法规制定，广泛开展调研。首先，从基本原则和法律规范的制定来看，需要开展系统的研究和调查分析，并征求各利益相关者的意见，加以论证和修改。第二，从实践操作中来看，信息共享平台涉及到信息使用者、患者、医疗服务提供者，协调工作十分重要。这就要求该项工作在实施中，相关机构要做好协调组织，加强患者、医疗服务提供者、行政管理机构以及支付方等利益相关者之间的沟通，保证系统顺利实现。

（六）提高基于健康档案的区域医疗信息共享平台管理人员的管理素质，增强健康档案使用者的信息安全意识

加强继续教育与培训，不断提升管理人员和工作人员的职业素质和能力。先进的管理思想和理念是卫生信息共享平台完善的重要环节。同时，加强工作人员的责任意识和安全意识教育，也是保证平台顺利运行的关键。除此之外，区域医疗信息是共享性质，涉及人员多，一个环节出现问题就可能导致大事故发生，造成医疗信息的泄露或失真。因此就要尽可能的扩大范围，对使用和接触人员进行信息安全教育，提高安全意识和责任意识，人人有责。

3 结束语

随着医疗信息技术的不断完善，医疗信息化发展速度加快，信息安全已经成为医疗信息行业的软肋和成败关键。因此，各级各部门不仅要重视医疗信息安全，更要加大投入、提供政策支持，加强人员培训，逐渐建立和完善针对居民健康档案的相关制度，使得健康信息主体的隐私权得到更好的保护。

参考文献

[1]马国强. 指纹密钥及其在居民健康档案隐私保护中的应用研究[D].武汉大学，2011.

[2]周天舒. 国际临床数据交换关键技术研究及系统实现[D].浙江大学，2013.

[3]彭聪. 基于混合云的慢性病人自我管理系统的健康数据分享服务研究[D].浙江工业大学，2014.

[4]徐影. 《管控知识：网络世界中的信息自由与隐私保护》（节选）英译汉实践报告[D].重庆大学，2014.

[5]姜腾. 基于电子病历的医院卫生信息平台的数据标准和数据交换的研究[D].中国海洋大学，2013.

[6]谈笑. 基于角色、过程、数据三视角的患者电子医疗信息隐私防护特征分析[D].陕西师范大学，2013.

[7]李亚子，尤斌，王晖，钱庆. 医疗保险信息泄露案例分析及对我国安全隐私保护的借鉴水[J]. 医学信息学杂志，2014，02：6-12.

作者简介

刘婧（1985-），女，福建浦城，三明市第二医院，本科，助理馆员。