医疗信息安全面临三大挑战,区块链技术如何改变现状?

作者 | 冯铭 编辑 | 尹岳  

2020年12月09日 12:44  

本文2798字,约4分钟

日前,国家卫健委发布《关于加强全民健康信息标准化体系建设的意见》(以下简称“意见”),鼓励医疗卫生机构在确保安全的前提下,探索区块链技术在医疗联合体、个人健康档案、电子处方、药品管理、医疗保险、智慧医院管理、疫苗管理、基因测序等方面的应用。其中,医疗健康数据信息安全和隐私保护是区块链技术在医疗领域应用最广的领域。

医疗信息安全面临三大挑战

抹链科技高级研究员周新健向《链新》表示,目前中国医疗信息安全领域主要存在三个主要问题:安全意识薄弱、技术人员不足、管理手段平庸。

安全意识方面,一直处于一种“重建设、轻管理”的状态,通常也只是在网络安全层面部署安全产品,如网络层面的内外隔离、防止底层的网络攻击等。但是随着信息技术的发展,黑客的攻击手段越来越多,传统的安全保护架构已经无法保证数据层面的安全性。

技术人员配置方面,目前大多数医院都采用集中式的机房管理模式,实际工作中,往往是几十台甚至几百台服务器集中在同一机房,却仅仅配置了两三个技术人员,可想而知是达不到相应人员配置要求的。

管理手段方面,在实际操作中,往往是远程操控或者实地对故障机器进行外接显示器进行操作。操作过程中的可追溯性不强,难于管理。

由于中国医疗信息安全领域存在种种弊端,近年来,医疗行业存信息泄露事件也出现得越来越频繁。2017年9月,《法制日报》报道中国某部委医疗服务信息系统遭“黑客”入侵,就有超过7亿条公民信息遭泄露,8000余万条公民信息被贩卖。2017年2月,上海疾控中心、黄浦区疾控中心两名工作人员窃取20万条新生婴儿信息,并贩卖给婴幼儿保健品经营企业。2016年7月,中国三十多个省份275名艾滋病患者的信息遭泄露,部分患者接到了欺骗、敲诈的电话,生活受到严重影响。

由于医疗信息中不仅有患者的个人基本信息、还有财务信息、健康信息等关键信息,一旦泄露造成的危害远比其他行业个人信息泄露要大。患者在急切的求救心态下,更容易上当,不仅会浪费大量金钱,还可能因此错失宝贵的治疗时间。

周新健认为,区块链技术在医疗信息安全领域的应用,可以从存储、维护和使用三个层面保护信息安全。首先在存储方面,区块链技术采用分布式存储,可以避免中心化存储器遭受火灾、地震等不可抗逆因素的毁坏。其次在数据维护方面,由于区块链配合时间戳具有篡改留痕的特性,使得篡改记录全程可溯,避免了中心化系统数据篡改后难以复原的弱点。最后是在数据的使用层面,通过非对称加密形式,病人对个人隐私具有掌控权,既保证需要时随时调取又保证了隐私的安全性。

为了解决医疗信息孤岛问题,提高卫生信息共享交互,在“十二五”期间,国家卫生计生委提出了“36312”工程,大力推进建设区域信息平台。区域信息平台的分为国家级、省级和地市级三级卫生信息平台。

2017年8月,阿里健康与常州市合作,成功落地了区块链医联体项目,在阿里健康的技术支持下,常州市各个三甲医院、区县医院和社区卫生院的信息上链,将原本旧的IT设备和系统通过区块链技术连接在一起,成功打通了信息孤岛。以分级就诊为例,居民在附近的卫生院体检,体检报告上传到区块链上,这些患者里大部分患者社区卫生院就可以处理,小部分需要转诊的患者由社区卫生院通过区块链实现对上级医院的授权和数据传输,上级医院医生在得到授权之后可以迅速了解患者的医疗信息,这样就避免了重复检查,患者可以享受一站式的全流程服务,医疗资源也得以节省。

区块链应用落地存诸多挑战

鉴于对新生科技的风险未知性,不同行业对区块链技术的态度和政策存在差异。在医疗信息安全领域,也有不少因素制约着区块链项目应用落地。

“目前行业内的潜规则是存储权=应用权,虽然法规允许脱敏数据的使用,但目前行业对个体数据的使用远不止这些。由于区块链技术使用非对称加密,在保护患者隐私的同时,也一定程度上限制了医疗机构对数据的使用,所以区块链技术与医疗信息安全的结合在一定程度上触及了医疗机构的利益,我认为这是在推行过程中的一大难点。”周新健表示。

周新健认为,区块链技术本身其实已经比较成熟,但是由于从事区块链与实体行业结合的技术人才十分紧缺,导致行业发展速度受到了一定阻碍。从技术角度,虽然区块链能够保证链上数据真实性和不可篡改,但是上链前的数据真实性难以保证,一旦上链的数据发生错误,那么区块链保证数据真实准确性本身就是一个伪命题,这个问题有赖于物联网和AI的进一步发展。

国际密码学应用科学家、YottaChain分布式存储公链创始人王东临向《链新》表示,区块链之外的其它领域(包括但不限于医疗)的专业能力,合规性,伦理,运营能力等制约着区块链项目应用落地。“医疗行业由于涉及人的生命健康,对新技术的采用是非常保守的,一般情况下需要经过特别充分的验证才敢在临床使用,所以区块链技术应该主攻在非临床应用。”

虽然区块链最大的强项是没有中心化的管理和所有权,但是目前很多患者并没有管理自身健康数据的意识,对于中心化存储机制下的数据也很难实现支配权。

“目前行业内将区块链技术和医疗信息安全相结合仍然处于探索阶段,既需要一个爆款的应用引发患者的关注,也需要国家整合全国各大小医疗机构共同建立医疗数据共享体系,使得患者在不同地域就医时避免重复检查。只有为患者带来降费增效保隐私等具有现实意义的体验后,患者才能真正参与到数据的维护和使用中来。”周新健表示。

“需要注意的是,区块链本身并不保证数据的隐私性,区块链用了密码学的Hash和签名,但没有包含加密,数据的隐私是需要在区块链之外附加特定的数据安全体系来实现的。”王东临表示:“需要在区块链之外附加强大的数据安全体系,建立安全闭环,数据流全程都处于数据安全体系的保护之中,没有任何的安全缝隙,确保在用户(不一定是病人,健康人也有可能参与)之外没有人(包括项目方在内)能够窥视用户数据。”

在王东临看来,区块链是一场比互联网更大程度改变世界的革命,医疗行业也不例外。但很多情况下,区块链只能解决一个应用场景的部分问题,其它问题还得用其它方式解决,需要所在领域的强大专业能力,解决一个商业闭环的所有瓶颈后才能实现落地应用。区块链+医疗,除了区块链领域的专业能力,还得需要有医疗行业的专业能力,以及强大的打通商业闭环的能力。

“由于医疗行业太为广大,其涉及的模式会很多种类,例如用通证激励收集基因数据,利用数据安全技术在保证基因数据隐私的前提下实现基因数据的商业化使用,就是一个不错的模式。总之,这是一个值得投入的领域,但具体到某个项目是否值得投入,就需要case by case来分辨。”王东临表示。