王晓君 周翔宇

(邯郸市中心医院 邯郸 056008)

1 引言

随着我国信息化发展进程逐步推进，医疗卫生信息化总体框架初步显现，极大推动医疗卫生事业发展。电子健康档案的出现更加促进医疗卫生事业飞跃发展。然而在享用电子健康信息带来便利的同时，其在开放环境中面临的诸多问题也日益凸显，这势必将制约医疗信息化的持续发展。因此实现电子健康档案的安全管理及应用成为当前亟需解决的难题。

2 电子健康档案内涵

2005年美国医疗信息与管理系统协会(Healthcare Information and Management Systems Society,HIMSS)提出电子健康档案(Electronic Health Records,EHR)的概念，指出其是深度数字化、关联化的个人终身医疗保健记录，从时间跨度上覆盖个人从生到死的整个生命周期，从内容上强调完整的个人健康信息。电子健康档案是医疗环境中一项或多项医疗服务产生的患者健康信息的纵向电子记录，也是一个连续、总和、个人化的健康信息资料库[1-2]。与欧美国家相比我国电子健康档案起步稍晚，但相关研究进展迅速。2009年《医药卫生体制改革近期重点实施方案(2009-2011年)》(已失效)中首次明确提出探索建立全国统一、规范的居民健康档案。同年国务院提出以建立居民健康档案为重点，构建乡村和社区卫生信息网络平台，随后国家出台一系列政策支持电子健康档案的建立。2013年《人口健康信息管理办法(试行)》(征求意见稿)第6条第2款对电子健康档案界定为：居民健康管理(疾病防控、健康保护、健康促进等)过程的规范、科学记录，是以居民个人健康为核心，贯穿整个生命过程，涵盖各种健康相关因素，实现多渠道信息动态收集，满足居民自我保健、健康管理和决策需要的信息资源[3-5]。综上所述，电子健康档案是记录个人生命周期内的健康信息和医疗活动，这些健康数据能够被授权的不同系统共享[6]。随着大数据技术的发展与应用，电子健康档案在临床决策支持、驱动医学研究、全民健康管理以及预测中发挥着越来越重要的作用。

3 电子健康档案建设存在的问题

3.1 各地区发展不平衡

电子健康档案发展不平衡严重制约其共享。受经济发展所限，各地区医疗信息化水平参差不齐，电子健康档案建设程度不一。在某些经济发展水平较低的地区，资金和设备缺乏，电子健康档案建设不完全，无法发挥其作用。

3.2 缺乏标准规范

标准和规范制定是信息化建设的关键。我国信息化标准和规范的建立相对滞后，电子健康档案建设同样存在类似问题。在健康数据的采集、存储、提取和分析等各环节中缺乏统一标准，致使难以实现数据整合[7]。再加之各医疗机构建设时间、承担方不同等造成的各地区、各医疗机构之间的标准应用差异，成为当前健康数据利用和共享的最大壁垒。

3.3 法律制度缺失

电子健康档案因包含大量的健康信息而具有特殊的社会价值和经济价值，对其保护也具有自主性、专业性、敏感性、可辨识性、保护有限性等特性[8]。虽然我国在《执业医师法》、《护士条例》、《医务人员医德规范及其实施办法》、《基于健康档案的区域卫生信息平台建设指南》等相关法规中明确规定不得泄露患者健康隐私，但目前仍缺乏对电子健康档案保护的法律规定。

3.4 认知度不够

医疗机构工作人员和公众对电子健康档案的认知度较低，建立的过程中医疗机构工作人员用新途径完成对患者的管理需要一定适应时间。而公众在电子健康档案建立过程中始终处于被动状态，管理和完善个人健康档案主动性不高。此外医疗机构中专业信息技术人员的缺乏也间接阻碍电子健康档案的深度发展。

4 基于4W要素的电子健康档案管理及应用

4.1 Why——为什么开展电子健康档案安全管理

电子健康档案不仅包含个人身份、医保、财务等信息，还囊括个体生命周期内的各种健康信息和医疗记录，涉及大量隐私资料[9]。如此庞大的健康数据具有较高的挖掘和营销价值，其安全面临极大威胁。网络健康数据中心被非法访问、黑客攻陷等导致用户信息篡改、泄漏的事件层出不穷，不仅造成极大的经济损失，更严重威胁个体生命健康。因此在实现健康大数据价值与社会效益的同时应避免因制度缺失、主观疏忽、防护不足以及技术短板等因素造成患者隐私泄露和就医恐慌，进而实现电子健康档案的安全管理，保护患者隐私不被侵犯。

4.2 Who——谁是安全管理的主体

当前在政府的主导和支持下我国电子健康档案的建立及应用初有成效。从宏观层面来说，电子健康档案的纵深化发展仍需各级政府的重视和主导。首先，政府要发挥对电子健康档案的宏观指导、做好顶层设计。如出台配套文件和法规政策，制订目标明确、技术路线清晰的电子健康档案管理应用及技术方案。其次，加快各地电子健康档案组织机构的建设，致力于构建纵向的行政管理机构[6]。如设立独立运行不受其他部门管辖和控制的电子健康档案信息管理机构，对健康信息管理及应用工作进行全面统筹和协调，同时建立规范的多方合作机制，以推进安全管理及应用工作的顺利开展。从微观层面来说，地方医疗机构是主导，应在遵循电子健康档案安全管理和应用共享统一标准规范的前提下，结合本地实际，指导医疗机构工作人员规范使用电子健康档案。与此同时，公众应主动参与电子健康档案自我管理，及时上传、更新和维护个人健康数据。

4.3 When——何时介入管理

电子健康档案的采集、流转、存储以及再次提取、分析、利用是一个完整的生命链条。基于无间断的生命周期理论，电子健康档案的管理必须实行全程管理，即在形成初期便介入安全管理。从作业流程、管理制度、安全防护和质控要求等方面建立涵盖所有管理活动的应用和技术体系，对整个生命期进行控制，使电子健康信息流转的整个过程、每个节点都有制度可依、有规范可循、有过程监控、有记录在案，进而确保第一时间发现和规避潜在风险，最终实现电子健康档案全面、科学的过程管理，确保信息安全。

4.4 Way——管理方式及手段

4.4.1 突出政府主导，加强扶持力度 针对当前各地区发展不平衡的情况，政府应高度重视并继续发挥主导作用，加大指导力度，在做好电子健康档案整体规划的同时制定与实际业务相匹配的规范标准。此外应加强各部门、各层级协作机制的建设，制定详尽完备的技术及人才保障计划。加大财政投入，充分考虑电子健康档案建设前期的资金应用、建设过程中的人员转型以及运营后期的设备维护等。对于经济欠发达地区在资金、设备等方面要有所倾斜。

4.4.2 多方合力推进，共筑安全堡垒 电子健康档案虽与智慧医疗的建设架构大同小异，但在“感、传、知、用”各个层次的重点与需求却又不尽相同，涉及多方主体。“感”主要是顶层设计和基础建设，需要政府主导、医疗机构具体运营合力推进；“传”主要是平台建设，需要政府出资，相关医疗机构建设与维护，以及管理机构对标准、规范和安全体系研究的3方联动；“知”需要政府和医疗从业者的宣传、普及与推进；“用”需要公众和医疗工作者的不断完善与利用。另外还涉及信息安全、法律保障、人才培养等众多领域。因此电子健康档案的安全管理及应用需要不同领域的多方主体联合协作，共同推进。

4.4.3 信息安全 相关机构及人员应加快电子健康档案核心安全技术的研发和产业化，将口令保护、数据加密、存取控制、数字签名、接入控制、跟踪审计等安全技术运用到电子健康档案的全流程各节点，对其进行全面多维的安全防护[10]，使技术支撑成为信息安全的保障。另外通过宣传、培训等手段提高使用人群的安全防范意识，确保技术及操作层面的安全。

4.4.4 法律保障 加快电子健康档案的法律法规体系建设，将电子健康档案的隐私权纳入立法保护范畴，在《宪法》有所体现。在鼓励规范、合法使用健康数据的同时明确界定保护范围，细化侵权行为与具体惩罚措施。如扩大非法出售、窃取公民个人信息罪的主体范围，增设隐私犯罪的单位犯罪条款，使侵害隐私罪的主题不再局限于自然人[5]。另外最为关键的是赋予公众对电子健康档案建档、采集、调取、使用的知情同意权，进而充分发挥法律规范、引导和保护的作用，彻底扭转电子健康档案无法可依的不利处境，最终形成统一、全面的法律体系，为电子健康档案的发展提供安全保障。

4.4.5 人才培养 政府和医疗机构应加大引进卫生信息技术骨干和复合型人才的力度，就国家卫生信息化战略和电子健康档案规划等进行专业培训，积极转变医疗机构工作人员的工作模式，以满足本地区电子健康档案的技术需求。同时通过入户调查、张贴宣传海报、举办讲座等形式开展电子健康档案的宣传，加强公众对健康档案的了解和认知，必要时可建立激励机制驱动公众由被动转为主动的管理和完善个人电子健康档案。

5 结语

电子健康档案包含海量健康信息，其规模性的整合交互和安全应用不仅可以辅助临床决策，推动疾病的靶向精准治疗，还具有医学知识发现和推动医学研究的巨大潜能。电子健康档案安全管理及应用尤为重要，需要政府、地方医疗机构以及个人等各方的不断努力和探索，无论是顶层设计、具体应用，还是标准制定、技术创新都要在充分认识实际的前提下，学习借鉴先进案例，不断发现并解决自身问题，进而推动电子健康档案安全管理的纵深发展。