冯家祺 陈少敏 刘喜娇 谢胜芬 张晨 广东省医疗器械质量监督检验所 （广东 广州 510663）

内容提要：质量检验是保证医疗产品安全有效的重要一环，质检报告一般由各检验机构单独保存管理，这种分散的中心化保存管理方式存在信息不共享、不互联、不互信的缺点，报告有被篡改、伪造的可能，不便于管理和验伪。区块链技术具有去中心化、可追溯、公开透明、不可篡改及伪造等特性，可实现在不完全可信环境中的可信管理与存证。文章将对区块链技术应用于医疗产业检验报告的便捷管理与可信存证作探讨，构建证书报告可信存证体系，助力区块链赋能医疗产业监管工作，实现监管能力现代化。

2016年，国务院发布的《“十三五”国家信息化规划》将区块链确立为战略性前沿技术、颠覆性技术。目前，政府部门正积极探索将区块链技术应用到各个领域中，例如深圳税务局推出的“区块链电子发票”，实现了“交易即开票，开票即报销”；住建部研发的“公积金数据共享平台”，实现了跨城市的公积金数据共享；最高人民法院建设的“司法区块链统一平台”，实现了电子数据的存证。

当前，区块链赋能政府工作主要集中在政务服务和社会治理。在医疗领域，随着市场的不断扩大，医疗产品及医疗企业不断涌现。产品在上市前需要通过检验机构进行质量检验，并由检验机构出具检验报告。通常检验数据和报告都由各检验机构内部保存管理，委托单位只得到纸质的检验报告。这种分散的中心化保存管理方式存在各方信息不互联、不共享、不互信的缺点，报告容易被篡改、伪造，不便于管理与验伪。新修订的《医疗器械监督管理条例》[1]中明确提出，国家将在监督管理信息化方面加强建设，进一步优化监管流程、提升监管效率、降低监管成本、提高监管透明度。本文将利用区块链技术，构建公开透明、不可篡改及伪造的证书报告存证管理体系，达到便捷管理、杜绝造假、简易验伪的目的。

1.研究背景

1.1 医疗器械产业现状

我国医疗产业的市场规模巨大，并在医改深入、医疗科技快速发展、人民财富增长以及医疗保障制度完善等因素的驱动下迅速扩容。医疗器械是除药品外最常见的一类医疗产品，其应用极为广泛，在诊断及治疗疾病方面皆发挥了重要作用。当前，以医疗器械为代表的新兴产业高速发展，备受资本的追捧。根据国家药监局公布的数据显示，截至2021年9月底，全国实有医疗器械生产企业2.80万家，经营企业102.92万家[2]。

为应对日益增多的监管对象和监管需求，政府推行简政放权，将部分职能转移给市场和社会力量，截至2021年底，全国检验检测机构数量已突破5万家，营业收入超过4000亿元，机构年均增长量超过10%。当前，我国已成为全球增长速度最快、最具潜力的检验检测市场。在新修订的《医疗器械监督管理条例》[1]的调整下，医疗器械第三方检验机构不断涌现，在规范生产体系、检测产品质量等方面发挥着日益重要的作用。但从中也滋生了一些问题，比如各个检测机构出具的检验报告都由其独立管理，检验报告的管理与存证将越来越困难。

1.2 检验报告造假情况

质量检验是质量安全的有力保障，检验报告造假的行为，轻则影响人民群众健康，重则危及人民群众生命。2022年3月31日市场监管总局公布了一批检验检测市场监管执法典型案例，涉及17起检验报告造假，其中包括：检测机构出具虚假检验报告、电商平台店铺假冒检测机构资质提供虚假质检报告、检测机构未取得或冒用资质认定从事检验检测活动等违法案例[3]。

在传统存证模式下，检验报告的造假成本低，在缺乏外部约束和内部自律的情况下，有的企业为了自身利益，往往很难自觉维护公共利益。通过完善政策法规、从严监管以及加大处罚力度能在一定程度上遏制此类现象发生。与此同时，通过提高监管信息化、现代化水平，必然可以进一步遏制此类现象。

1.3 传统检验报告存证管理方式的不足之处

①随着检测机构的日俱增多，主管部门对其统一管理的难度将逐渐加大。②现有的检验报告管理方式是一个分散的中心化方式，检验数据及报告保存在各个检验机构内部，送检方只得到纸质的检验报告。这种传统的保存和管理方式存在各方信息不互联、不共享、不互信的缺点，检验报告容易被篡改或伪造，不便于管理与验伪。③部分检测机构虽然有提供网上验伪功能，但在实际使用过程中往往用处不大，存在网页功能无法使用、查询结果有滞后性等问题。④政府部门的公开信息查询与各检测机构的数据无法交互贯通，检测机构资质认定查询与检验报告查询系统与政府平台无法对接使用。

针对以上问题，市场亟需一个有效的解决方案。区块链技术能够解决各方信息不互联、不共享、不互信的问题，实现在不完全可信的环境中可信的存证管理服务。

2.区块链核心技术

区块链是指通过多副本存储、数据加密、数据链式钩稽和分布式共识等机制实现的分布式数据管理技术，具有去中心化、公开透明、可追溯、不可篡改及伪造等特性[4]。区块链中的数据块按时间顺序相连组合成链式数据结构，利用分布式节点共识算法将新数据上链，通过密码学保证数据不可篡改和伪造。

2.1 分布式账本

分布式账本是一种在成员间共享和同步数据的数据库。成员间通过点对点网络连结，使用共识算法在节点之间进行数据复制。相较于传统单中心的数据管理方式，分布式账本将数据分布式地存储在多个节点上共同维护，各方需按照严格的规则和共识管理数据，任何一方都无法完全控制这些数据。

2.2 加密机制

区块链的加密机制主要应用于两个方面：确定所属权、保证数据不被篡改。由于区块链系统中的数据由网络节点共同维护，因此需要利用密码学中基于非对称加密的数字签名技术来证明数据的所属，同时也需要借助密码学中哈希算法来保证数据不被篡改。

非对称加密为数据加解密提供了一个非常安全的方法，它使用一对密钥对，公钥与私钥。公钥可以发送给任何请求它的人，私钥只能由所属者妥善保管，不能外泄。加解密过程中使用密钥对中的一个进行加密，另一个进行解密。

哈希函数是将任意长度输入映射成一个较短的定长输出的算法，表示形式为h=H(M)，其中M为变长值，h为定长值。哈希函数利用以下两个主要特性来保证数据不被篡改：①不可逆性：对于给定的X，可以求得H(X)，但无法根据H(X)反推出X。②抗碰撞性：对于不相同的X和Y，无法通过计算求得H(X)=H(Y)。

Merkle树是一种运用哈希函数建立的树型数据结构，在快速归纳和检验大规模数据完整性方面效率很高[5]。在区块链中，Merkle树被用来归纳一个区块中的所有交易，其树根就是区块中整个交易集合的哈希值，最底层的叶子节点是数据块（即一笔交易的信息），每个非叶子节点是其对应子节点串联的哈希。根据哈希函数的特性，只要Merkle根确定，树中的任何一个节点被篡改，根哈希就会不匹配，从而达到校验目的，防止数据被篡改。

2.3 数据结构

区块链的基本数据结构包括两部分：区块间链式结构与区块结构。如图1所示，区块间链式结构是将多个区块通过链式钩稽的方式组合而成的链式数据结构，区块结构则分为区块头和区块体两部分。区块头包含整个区块的元信息（通常包含前驱区块的哈希值、时间戳、难度值、Merkle根等），用于验证区块，并与前、后区块建立关联。区块体则是若干交易的序列，多个交易被组织成Merkle树结构，单个交易被存储在Merkle树的叶子节点上，通过两两合并计算哈希值直至得到Merkle根。由于区块头包含前一区块的哈希值，并通过对区块头中所有信息计算哈希得到该区块的哈希值存入下一区块，使得每个区块逻辑上以链的方式串联起来。

图1.区块间链式结构与区块结构

2.4 共识机制

共识机制是区块链各节点就区块信息达成一致共识的机制，共识过程是各节点验证及更新账本的过程，共识结果是系统对外提供一份统一的账本。当前主流的共识算法包括：工作量证明POW、权益证明POS、股份授权证明DPOS、实用拜占庭容错等[6,7]。

2.5 智能合约

智能合约是基于区块链不可篡改的特性，自动化地执行一些用程序预先定义好的规则和条款的数字化协议。

3.区块链的主要特性

3.1 去中心化

去中心化是区块链最基本的特征。去中心化意味着数据的分布式管理，而不再部署在中心化机构的服务器上，无需第三方的介入就可以实现人与人、点对点的数据交互。

3.2 公开透明

区块链是公开透明的，每个节点都有一份完整的数据副本，所有数据对系统节点都是公开的，任何人都可以访问链上完整的数据记录。

3.3 不可篡改、伪造

区块链中第一个区块是创世区块，后面的区块保存前一个区块的哈希值，最后一个是最新区块。利用哈希函数的性质，只要验证最新区块的哈希值，就可以验证整个区块链是否被篡改。

在区块链中篡改、伪造数据记录几乎是不可能的。区块链中合法的交易需要通过数字签名认证，否则无法被其他节点验证，这使得区块链中的交易无法伪造。同时，区块链中的交易也无法篡改，假如篡改了第N个区块的数据，这个区块的哈希值也需要更改，改变后的头哈希将无法与N+1区块的父哈希相匹配，篡改者需要继续修改N+1区块的父哈希，并一直修改之后每个区块。若要篡改数据，需要拥有超过全网51%的算力，这在现实中几乎是不可能做到的。

3.4 可追溯

区块链是一个链式数据结构，链上的数据依据时间顺序环环相扣，这使得区块链具有可追溯性。

4.基于区块链的证书报告管理存证体系设计

4.1 存储架构

参与区块链医疗产业证书报告管理存证体系（下称“体系”）建设的主体有：各级药品监管局及其他政府部门、检验机构、上市许可持有者、生产企业、经营企业、使用单位和医疗机构等。体系采用分布式存储架构，节点间通过网络连结，可以分布在不同的地理位置，只需通过相应的准入规则加入体系成为节点。证书报告信息由所有节点共同存储，每个节点均可获得一份账本，通过共识机制保证账本的一致性。

4.2 链的类型

区块链的运作主要是账本的记录和管理，依据记账权的归属区块链系统分为三大类：公有链、私有链、联盟链。

公有链：对所有参与节点开放，不受任何第三方控制，任何节点均可以创建、存储、读取区块数据以及竞争新区块的记账权，并可自由加入、退出区块链系统。

私有链：仅在组织内部使用，数据由单一节点记录与管理，参与者须经过组织的许可，数据读取权限完全由组织掌握。

联盟链：仅限于联盟成员参与，数据的读写权限、参与记账权限按联盟规则来制定，节点须经过联盟的许可，共同维护链的运行，适合于机构间的数据管理与交互。

在本体系中，有限的参与主体意味着对系统节点有所限制，在构建体系时更适合采用联盟链的方式，由各许可节点共同维护链的运行。

4.3 节点等级

根据节点的实体职能和实际需求，将节点分成主节点和参与节点。

主节点：保存所有证书报告数据的节点，通常为各级主管部门，负责数据的管理。

参与节点：保存关键信息的节点，通常为各参与机构。参与节点不保存链上的所有数据，仅保存区块头信息，利用区块头信息来验证数据，在其之上可以进行数据的查询与验核。

4.4 体系架构

本体系的架构分为数据层、网络层、共识层、合约层和应用层。各层架构相互协作，使体系能够顺利运行，体系架构如图2所示。

图2.体系架构

数据层：运行着区块链的数据结构以及加密机制，主要工作是对区块进行组织、对数据进行管理。该层保存着证书报告的信息，证书报告信息被打包在区块中，通过时间戳按时间顺序相连组合成前后相应的链式数据结构，利用加密技术确保数据的真实性，使得证书报告不可篡改及伪造。

网络层：主要包括本体系的组网机制、广播机制及验证机制，是形成分布式账本及去中心化的关键，其目的是维持不同节点间数据的同步并进行验证。网络层采用P2P组网技术，只要符合条件的节点都可加入到体系网络中。各节点通过身份验证机制对区块信息的有效性进行验证，只有验证通过的数据和区块才会被纳入区块链中。

共识层：通过共识机制来保证体系中数据的一致性。各节点采用适合联盟链的PBFT共识机制和Raft共识机制来验证及更新账本，保证账本的分布式一致性[7,8]。

合约层：封存着录入了各种规则和条款的智能合约，包括证书报告存储智能合约、查询智能合约和验核智能合约等。这些智能合约事先设定了触发条件和结果，当运行中触发了设定条件，将自动执行合约的内容。

应用层：对各种功能进行封装，提供各类应用程序接口，实现体系功能，例如账户管理、联盟组织管理、身份管理和证书报告存储、查询及验证等。

4.5 存证关键环节

证书报告的存证过程主要包含以下关键环节：①证书报告生成：检验机构完成检验并编制检验报告，将检验报告上传存储，通过哈希函数计算出报告的哈希值。②证书报告上链：节点验证报告信息，将报告的哈希值打包成区块，通过共识机制将合法区块依序上链。③证书报告查询：用户通过报告的哈希值或报告的关键信息发起报告查询请求，得到相应的报告信息。④证书报告验核：用户上传待验核的报告并由系统计算其哈希值，再将计算出的哈希值与体系中存储的哈希值作比较，若哈希值匹配则查验为真；若不匹配则查验为假。

5.期望成效

成立联盟便捷管理，通过联盟链的方式成立医疗产业联盟，并制定盟约，对联盟成员进行约束。具有相关资质且合法经营的机构经过主管部门审核通过后方可加入联盟。联盟的建立，增强了主管单位对产业各方及其数据信息的统一管理能力。

可信存证杜绝造假，通过区块链技术构建可信的证书报告管理存证体系，使得体系中存储的证书报告信息公开透明、可被追溯、不可篡改及伪造，有效地杜绝证书报告造假的情况。

便捷查验提高效率，各方都可以通过体系提供的统一途径便捷地查询证书报告信息及查验其真实性。相较于人工辨别的方式，利用哈希值作比较，即使是标点符号等细微差异也可以被甄别出来，大大地提高了验核效率。并且，相较于各检验机构各自提供服务，统一的查询与验核方式也带来了更多的便利。