张锐　丘小红　陈秀芳

【摘 要】电子病历借助健康卡、计算机等电子设备可实现患者医疗记录的保存、管理、传输和重现，基本已完全取代既往手写纸张病历。尽管电子病历大大提高了诊疗工作效率，但电子病历所承载的个人隐私数据的安全性却遭到巨大挑战。如何加强我国电子病历隐私保护管理，促进我国医疗信息数字化的快速建设和发展值得每位病历管理人员思考。

【关键词】电子病历；个人隐私；安全性；保护机制

【中图分类号】R197.32 【文献标识码】A 【文章编号】1005-0019（2018）13--01

醫药卫生体制的深化改革，电子信息技术的快速发展，均为医疗卫生信息数字化的建设提供了条件。电子病历系统是医疗卫生信息数字化发展的重要产物。相较于手写纸张病历，电子病历具有存储量大、方便查阅、可实现信息共享、可提高诊疗工作效率等优越性，已经成为医疗卫生信息的主要载体。但是，近年来频发电子病历个人隐私外泄事件，甚至部分地区存在患者隐私数据售卖现象，这无疑为本就紧张的医患关系安装了一颗定时炸弹。本文从医疗信息隐私保护的法律法规建设、管理机制建立、技术手段开发等方面入手，浅谈基于电子病历医疗信息隐私保护的解决对策，以供参考。

1 电子病历隐私保护的重要性分析

电子病历通常会记录患者姓名、年龄、病史、婚姻状态、文化程度、健康状况、家庭成员和住址、联系方式、职业、经济条件等个人信息，且对于患者而言大部分信息均为个人隐私，不想被泄露。甚至，部分患者因身份特殊，对个人的婚姻状态、家庭住址等信息讳莫如深，强烈要求医务人员保护其个人隐私。笔者认为，保护患者个人隐私具有重要的现实意义。①电子病历隐私保护是尊重患者人格和尊严的要求。尽管医务人员在为患者建立电子档案时会详细询问患者，且大部分患者能够配合完成档案的详细记录，但电子病历性质特殊，它承载着患者的个人信息如艾滋病、人流史等，医疗机构有义务和责任予以保护，这是尊重患者人格和尊严的要求。②电子病历隐私保护社会价值要求。医学研究和政府决策往往会需要大量医疗数据、信息的支持，如新型农村合作医疗体系的建立需要筹资模式标准、统一，而标准的制定往往需要评估不同人群的家庭收入差异、家庭成员构成、健康状况等综合信息，这时便需要电子病历信息支持。但是，在最大限度地利用电子病历的同时如何保护参合家庭隐私信息不被泄露亦值得关注。③电子病历隐私保护经济价值要求。当前，大部分医疗机构的信息数字化建设均采用第三方企业外包模式，这不仅可以充分发挥第三方企业的专业性，推进医院信息数字化建设的进度，还可以减少信息数字化建设的成本支出，提高信息数字化建设的质量。当然，第三方企业外包模式或会造成隐私数据外泄，其中包含患者的个人信息以及职业医师考试和个人信息[1]。因此，信息数字化建设第三方企业外包也是隐私保护的重要环节。

2 电子病历隐私保护的法律法规建设

我国缺乏电子病历隐私保护相关法律法规，自2000年左右电子病历普及以来，仅有《电子病历基本规范（试行）》、《电子病历基本架构与数据标准（试行）》、《卫生系统电子认证服务管理办法（试行）》、《病历书写基本规范》等几部政策规范。但是，有关电子病历使用权限的分级管理、使用人的身份认证和授权、电子病历的存档管理，医疗纠纷中电子病历的法律地位等问题尚未有针对性的法律法规。另外，尽管“十二五”已将医疗卫生信息隐私保护作为重点任务要求，但大部分医疗机构仅从社会伦理层面谴责隐私外泄，真正切实可行的隐私保护策略探究相对较少。

3 电子病历隐私保护的技术手段开发

为确保患者医疗信息在合法范围内被使用，大部分医疗结构均采用资源管理权限限制模式，以此规避越权现象。这一模式的实现有赖于用户登录口令或资料访问列表设限等角色访问控制技术。尽管角色访问控制技术的应用较为普遍，但随着时间的推移，这一技术的弊端如灵活性差、代价高日益突出。部分学者正在尝试研究隐私保护的规则引擎技术方案，值得期待。另外，数据加密也是医疗信息隐私保护常用手段，但开销较大。为确保数据加密在分布式环境中得以妥善运用，需要提高通讯的安全性。针对于此，已有学者提出分布式关联规则挖掘、分布式聚类、远程加密框架构建等解决对策。此外，匿名化技术手段应用较为普遍，主要技术包括应用随机化的干扰数据隐藏原始数据，分组处理记录数据将原始数据替换为均值、协方差等，运用阻塞技术实现某些真实性特定数据不被发布等。这一技术手段需要平衡数据准确性和工作效率。

4 电子病历隐私保护的对策探究

4.1 加大资金支持和政策扶植

建立电子病历隐私保护机制并未一朝一夕便可完成的，尤其对于中小医院而言，因此而产生的经济负担使其难以承受。因此，若想实现全国范围的电子病历隐私保护，则需要国家和地方政府提供强大的资金支持，并通过政策扶植[2]。只有解除各级医疗机构普遍存在的资金瓶颈，才能有条件开展电子病历隐私保护机制的探究。国外部分发达国家医疗信息隐私保护工作比较到位如美国相继出台《健康保险可携性及责任性法案》、《个人可识别健康信息的隐私标准》等，欧盟正在建立全面覆盖全欧盟的数字医疗体系，新加坡在电子病历医疗系统建立中始终秉承“科技医疗、信息化医院”的原则并取得了满意的效果。

4.2 完善法规加强技术探究

国家相关部门应完善相应的法律法规，确保医生行为、医院运作、医院间的互通共享等环节均有法律依据。同时，加大对电子病历隐私保护技术层面研究的支持力度，鼓励相关学者积极探究更为先进，安全性更高，操作更为便利的电子病历隐私保护技术方案。同时，医疗机构应注重相关培训，强化医务人员的法律和职业道德意识[3]，能够约束自我行为，规避电子病历隐私外泄风险。

4.3 建立第三方认证机构监督机制

第三方企业外包模式业已形成并广泛应用，为规避电子病历隐私外泄需要重视对第三方企业的资质认证和工作监督。国家主管部门可推荐或指定权威、公正的认证机构，建立健全的第三方认证机构监督机制。

参考文献

王庆飞，代梦含，方翔.电子病历的隐私保护方法研究[J].科技视界，2015（16）：54+72.

谈笑.基于角色、过程、数据三视角的患者电子医疗信息隐私防护特征分析[D].陕西师范大学，2013.

李德华，伍蓉梅，刘敏，等.护理人员对电子病历隐私保护的认知现状调查[J].中国卫生事业管理，2017，34（05）：367-369.