蘇玉成，張亞娜，尹風(fēng)英，陳 帆，張澤琳，高 荷，蔣 昆*

（1.空軍軍醫(yī)大學(xué)第一附屬醫(yī)院信息科，西安 710032；2.空軍軍醫(yī)大學(xué)第一附屬醫(yī)院門(mén)診部，西安 710032）

0 引言

2017 年3 月22 日，國(guó)家衛(wèi)生和計(jì)劃生育委員會(huì)辦公廳、國(guó)家中醫(yī)藥管理局辦公室聯(lián)合下發(fā)《關(guān)于印發(fā)電子病歷應(yīng)用管理規(guī)范（試行）的通知》（國(guó)衛(wèi)辦醫(yī)發(fā)〔2017〕8 號(hào)）[1]，指出：“有條件的醫(yī)療機(jī)構(gòu)電子病歷系統(tǒng)可以使用電子簽名進(jìn)行身份認(rèn)證，可靠的電子簽名與手寫(xiě)簽名或蓋章具有同等的法律效力。”2021 年6 月4 日，國(guó)務(wù)院辦公廳下發(fā)的《關(guān)于推動(dòng)公立醫(yī)院高質(zhì)量發(fā)展的意見(jiàn)》（國(guó)辦發(fā)〔2021〕18 號(hào)）文件[2]中指出：“推進(jìn)電子病歷、智慧服務(wù)、智慧管理‘三位一體’的智慧醫(yī)院建設(shè)和醫(yī)院信息標(biāo)準(zhǔn)化建設(shè)?！倍鴮?duì)于醫(yī)院來(lái)說(shuō)，如何根據(jù)上級(jí)要求做好病案復(fù)印工作，提升患者就醫(yī)滿意度，一直是我院信息化建設(shè)的主攻方向。

對(duì)于患者復(fù)印病案，目前各大醫(yī)院大多依靠第三方公司建立專門(mén)的病案預(yù)約申請(qǐng)網(wǎng)站，由患者在線申請(qǐng)，第三方公司人員或醫(yī)院用戶對(duì)患者申請(qǐng)信息進(jìn)行審核后，再由醫(yī)院打印出紙質(zhì)病案郵寄給患者。該模式存在以下兩點(diǎn)不足：一是業(yè)務(wù)整體依托第三方平臺(tái)，穩(wěn)定性和安全性不可估量，可能導(dǎo)致業(yè)務(wù)中斷、患者個(gè)人信息泄露和資金安全風(fēng)險(xiǎn)；二是患者需要向第三方平臺(tái)支付預(yù)付款，存在沉淀資金風(fēng)險(xiǎn)。

我院病案復(fù)印業(yè)務(wù)年均復(fù)印量超15 萬(wàn)份，按每份病案平均60 頁(yè)計(jì)算，每年打印量約900 萬(wàn)頁(yè)，直接成本約270 萬(wàn)元。由于物價(jià)局規(guī)定每張病案用紙收費(fèi)最高0.3 元，且費(fèi)用長(zhǎng)期未調(diào)價(jià)，加上打印機(jī)損耗成本和人力成本，導(dǎo)致目前醫(yī)院病案打印業(yè)務(wù)入不敷出[3-4]。同時(shí)，患者需要在離院7 d 后再次回到醫(yī)院病案室獲取病歷復(fù)印件，對(duì)患者來(lái)說(shuō)存在不便和感染風(fēng)險(xiǎn)。鑒于此，本文設(shè)計(jì)基于CA 認(rèn)證的病案網(wǎng)上分發(fā)系統(tǒng)，在保障病案數(shù)據(jù)安全的前提下為患者建立多渠道病案獲取途徑。

1 設(shè)計(jì)思路

為解決紙質(zhì)病案所帶來(lái)的各種風(fēng)險(xiǎn)與問(wèn)題，我院擬通過(guò)“互聯(lián)網(wǎng)+”思路，結(jié)合《電子簽名法》的相關(guān)規(guī)定，建設(shè)一種醫(yī)院自行運(yùn)營(yíng)的病案在線分發(fā)系統(tǒng)[5]。通過(guò)在系統(tǒng)中集成第三方合法CA 認(rèn)證服務(wù)機(jī)構(gòu)提供的可靠電子簽名服務(wù)，使電子病案具有與紙質(zhì)病案同等的法律效力，實(shí)現(xiàn)患者真實(shí)身份在線鑒別、電子病案在線申請(qǐng)、電子病案在線審核簽章及簽章驗(yàn)證、電子病案在線下載、電子病案打印件驗(yàn)證等病案復(fù)印業(yè)務(wù)全流程網(wǎng)上服務(wù)[6-7]。另一方面，為了保障電子病案在互聯(lián)網(wǎng)服務(wù)器上存儲(chǔ)時(shí)的數(shù)據(jù)安全，擬通過(guò)數(shù)字加密手段保障數(shù)據(jù)在互聯(lián)網(wǎng)上的安全存儲(chǔ)[8]。

2 系統(tǒng)設(shè)計(jì)

2.1 開(kāi)發(fā)環(huán)境及系統(tǒng)架構(gòu)

病案網(wǎng)上分發(fā)系統(tǒng)采用瀏覽器/服務(wù)器（Browser/Server，B/S）架構(gòu)，通過(guò)C#語(yǔ)言開(kāi)發(fā)[9]；采用單庫(kù)單應(yīng)用架構(gòu)，通過(guò)服務(wù)器虛擬化技術(shù)搭建服務(wù)。其業(yè)務(wù)主要由2 臺(tái)服務(wù)器、CA 認(rèn)證支撐平臺(tái)和病案網(wǎng)上分發(fā)系統(tǒng)進(jìn)行支撐。

醫(yī)院CA 認(rèn)證支撐平臺(tái)為病案網(wǎng)上分發(fā)系統(tǒng)提供電子簽章、數(shù)據(jù)加密、數(shù)據(jù)解密等技術(shù)支持。該平臺(tái)不僅用于支撐病案網(wǎng)上分發(fā)系統(tǒng)，還支撐醫(yī)院其他醫(yī)技系統(tǒng)中CA 認(rèn)證相關(guān)服務(wù)。同時(shí)為了保障業(yè)務(wù)穩(wěn)定性，CA 認(rèn)證支撐平臺(tái)采用全雙機(jī)熱備模式組網(wǎng)[10]。系統(tǒng)整體架構(gòu)如圖1 所示。

圖1 系統(tǒng)整體架構(gòu)示意圖

病案翻拍系統(tǒng)和CA 認(rèn)證支撐平臺(tái)2 個(gè)部分部署在醫(yī)院內(nèi)網(wǎng)區(qū)。其中病案翻拍系統(tǒng)是所有電子病案的數(shù)據(jù)源頭，它將紙質(zhì)病案翻拍為電子病案，為病案網(wǎng)上分發(fā)系統(tǒng)提供基礎(chǔ)業(yè)務(wù)數(shù)據(jù)；CA 認(rèn)證支撐平臺(tái)包括認(rèn)證服務(wù)器、簽名驗(yàn)簽服務(wù)器、時(shí)間戳服務(wù)器、電子簽章系統(tǒng)、密碼機(jī)、證書(shū)查詢系統(tǒng)以及日志查詢系統(tǒng)，為病案網(wǎng)上分發(fā)系統(tǒng)以及院內(nèi)其他醫(yī)技系統(tǒng)提供CA 認(rèn)證服務(wù)支持。

病案網(wǎng)上分發(fā)系統(tǒng)和簽名病案數(shù)據(jù)存儲(chǔ)部署在醫(yī)院隔離區(qū)（demilitarized zone，DMZ）。其中病案網(wǎng)上分發(fā)系統(tǒng)部署于應(yīng)用區(qū)，用于對(duì)外提供業(yè)務(wù)服務(wù)；簽名病案數(shù)據(jù)存儲(chǔ)部署于數(shù)據(jù)區(qū)，僅能與病案網(wǎng)上分發(fā)系統(tǒng)進(jìn)行數(shù)據(jù)交互，用于存放加密的病案數(shù)據(jù)，最大限度地保障患者數(shù)據(jù)安全。

2.2 業(yè)務(wù)流程

為了滿足患者在線上、線下獲取病案的需求，系統(tǒng)通過(guò)集成相應(yīng)電子簽章安全應(yīng)用服務(wù)，一方面滿足患者在線申請(qǐng)電子病案的需求，另一方面也滿足患者線上申請(qǐng)郵寄或自取紙質(zhì)病案的需求。系統(tǒng)業(yè)務(wù)流程如圖2 所示。

圖2 系統(tǒng)業(yè)務(wù)流程圖

2.3 文件加密存儲(chǔ)

在解決病案文件本身的安全性和可證明性問(wèn)題后，如何保障病案在醫(yī)院服務(wù)器上不被非法下載和篡改是醫(yī)院下一步面臨的主要問(wèn)題。通過(guò)建設(shè)CA認(rèn)證支撐平臺(tái)對(duì)文件進(jìn)行對(duì)稱加密和對(duì)密鑰進(jìn)行非對(duì)稱加密，最大限度地保障電子病案在服務(wù)器上的安全存儲(chǔ)需求?；ヂ?lián)網(wǎng)電子病案安全加密存儲(chǔ)示意圖如圖3 所示。

圖3 帶有水印、簽章的電子病案文件的加密保護(hù)服務(wù)流程示意圖

CA 認(rèn)證支撐平臺(tái)運(yùn)用非對(duì)稱加密技術(shù)，在獲取到帶水印電子簽章的電子病案PDF 文件后，通過(guò)對(duì)稱密鑰對(duì)文件進(jìn)行加密形成密文文件。再使用非對(duì)稱主密鑰對(duì)對(duì)稱密鑰進(jìn)行加密，形成密鑰密文，最后將密鑰密文作為文件頭部與密文文件一并保存，保障病案數(shù)據(jù)即使被竊取也無(wú)法獲得病案明文數(shù)據(jù)。同時(shí)該加密的病案文件將在DMZ 存儲(chǔ)服務(wù)器上保存一段時(shí)間，從而滿足患者或家屬一定時(shí)間內(nèi)多次重復(fù)下載的需求。

在患者申請(qǐng)下載病案文件時(shí)，需先對(duì)存儲(chǔ)在系統(tǒng)中的密文文件的對(duì)稱密鑰密文進(jìn)行解密，取得密鑰明文，再使用密鑰明文對(duì)文件進(jìn)行解密獲得電子病案明文文件，最后將電子病案明文文件提供給患者下載。

3 系統(tǒng)實(shí)現(xiàn)

病案網(wǎng)上分發(fā)系統(tǒng)主要包含注冊(cè)、提報(bào)申請(qǐng)、驗(yàn)證、電子病案簽章和病案加密存儲(chǔ)5 個(gè)部分。對(duì)于用戶和管理人員來(lái)說(shuō)可感受的主要為注冊(cè)、提報(bào)申請(qǐng)和驗(yàn)證3 個(gè)部分，電子病案簽章和病案加密存儲(chǔ)是依靠CA認(rèn)證支撐平臺(tái)對(duì)最終的PDF 版電子病案進(jìn)行簽章和加密存儲(chǔ)，屬于后臺(tái)服務(wù)業(yè)務(wù)，在實(shí)際業(yè)務(wù)流程中并不體現(xiàn)。

患者或患者家屬實(shí)名注冊(cè)后，登錄病案網(wǎng)上分發(fā)系統(tǒng)，并根據(jù)系統(tǒng)業(yè)務(wù)流程提交電子病案獲取申請(qǐng)。業(yè)務(wù)申請(qǐng)流程如圖4 所示。

圖4 業(yè)務(wù)申請(qǐng)流程圖

病案網(wǎng)上分發(fā)系統(tǒng)結(jié)合患者住院ID 信息、住院時(shí)間等信息，從病案翻拍系統(tǒng)中獲取相應(yīng)的電子病案文件。病案審核人員在系統(tǒng)后臺(tái)對(duì)電子病案文件內(nèi)容進(jìn)行審核確認(rèn)。在審核人員審核確認(rèn)之后，系統(tǒng)先調(diào)用CA認(rèn)證支撐平臺(tái)提供的電子簽章服務(wù)接口，完成對(duì)電子病案添加水印和電子簽章的工作，再調(diào)用加密服務(wù)對(duì)文件進(jìn)行加密存儲(chǔ)。當(dāng)用戶下載電子病案時(shí)，系統(tǒng)對(duì)加密文件進(jìn)行解密后將文件提交給患者，患者最終獲得的是帶水印的PDF版電子病案（如圖5所示）。

圖5 患者獲得的PDF 版電子病案示意圖

對(duì)于病案驗(yàn)證，主要有患者自行驗(yàn)證和第三方驗(yàn)證2種方案。（1）患者自行驗(yàn)證：患者獲得病案后，可登錄病案網(wǎng)上分發(fā)系統(tǒng)，通過(guò)病案驗(yàn)證掃碼接口掃描病案首頁(yè)上的二維碼，獲得電子病案驗(yàn)證信息，如圖6 所示。（2）第三方驗(yàn)證：醫(yī)院可通過(guò)第三方CA 認(rèn)證服務(wù)提供商，對(duì)電子病案的篡改情況給出權(quán)威認(rèn)證。具體模式為：利用電子簽章的唯一性，在第三方CA 認(rèn)證中心網(wǎng)頁(yè)上傳電子病案，對(duì)病案文件進(jìn)行重新驗(yàn)簽，將驗(yàn)簽結(jié)果與之前的簽章結(jié)果進(jìn)行對(duì)比，如不同則可以確定病案文件被篡改。當(dāng)然也可以從數(shù)據(jù)庫(kù)中重新調(diào)取經(jīng)過(guò)CA 認(rèn)證的原病案，與需要驗(yàn)證的病案進(jìn)行全文對(duì)比，如圖7 所示。

圖6 通過(guò)電子病案網(wǎng)上分發(fā)系統(tǒng)二維碼掃描后電子病案驗(yàn)證信息

圖7 電子病案第三方數(shù)字簽名驗(yàn)證

對(duì)于線下領(lǐng)取病案流程，由于系統(tǒng)中僅涉及簡(jiǎn)單的數(shù)據(jù)交互，本文不另行介紹。

4 應(yīng)用效果

本系統(tǒng)自2021 年10 月啟用以來(lái)，截止到2022年9 月已經(jīng)完成線上簽發(fā)電子病案超15 000 份。針對(duì)近期11 個(gè)月全院病案分發(fā)情況進(jìn)行分析，使用病案網(wǎng)上分發(fā)系統(tǒng)的用戶數(shù)量逐步穩(wěn)定增加（如圖8所示），基本滿足業(yè)務(wù)初期既定目標(biāo)。

圖8 2021 年11 月至2022 年9 月系統(tǒng)分發(fā)電子病案數(shù)量統(tǒng)計(jì)結(jié)果

本系統(tǒng)的上線可使患者足不出戶獲得電子病案，并將本地患者的復(fù)印業(yè)務(wù)（包括從患者來(lái)院、審核資料、劃價(jià)繳費(fèi)、打印病案到病案蓋章所消耗的時(shí)間）從2～3 h 優(yōu)化至10～15 min。同時(shí)醫(yī)院工作人員的工作量也減少至原來(lái)的1/4，無(wú)需進(jìn)行劃價(jià)繳費(fèi)、打印病案、病案蓋章等工作。同時(shí)本系統(tǒng)完全滿足患者足不出戶線上領(lǐng)取電子病案的需要，以及患者前往其他醫(yī)院就診時(shí)醫(yī)生查閱之前就診病案的需要[11-12]。

但本系統(tǒng)還存在一些不足：一是為了驗(yàn)證身份需要上傳身份證信息，流程較為煩瑣；二是在電子病案互認(rèn)配合方面，部分省份醫(yī)保部門(mén)尚未認(rèn)可電子病案打印后的法律效力，要求提供紙質(zhì)病案，導(dǎo)致患者必須重新來(lái)醫(yī)院領(lǐng)取紙質(zhì)病案；三是PDF 文件仍存在被惡意修改的問(wèn)題，雖然電子病案能被認(rèn)證出被修改，但是仍然存在認(rèn)證過(guò)程較為復(fù)雜必須經(jīng)由第三方處理的問(wèn)題；四是現(xiàn)有電子病案基于紙質(zhì)病案翻拍，沒(méi)有從源頭上建設(shè)基于CA 認(rèn)證的電子病案[13-14]。

5 結(jié)語(yǔ)

本系統(tǒng)依據(jù)《中華人民共和國(guó)電子簽名法》相關(guān)要求，依托第三方認(rèn)證機(jī)構(gòu)的電子認(rèn)證服務(wù)，將可靠的電子簽名技術(shù)應(yīng)用于電子病案的CA 認(rèn)證過(guò)程中，實(shí)現(xiàn)了在保障病案數(shù)據(jù)的安全性、真實(shí)性、可靠性、完整性、不可抵賴性和合法性的同時(shí)滿足了醫(yī)院、患者和其他醫(yī)療相關(guān)機(jī)構(gòu)對(duì)于電子病案數(shù)據(jù)的交互需求[15-16]。同時(shí)系統(tǒng)對(duì)病案網(wǎng)上存儲(chǔ)的安全性進(jìn)行了安全防護(hù)，一方面通過(guò)定期刪除機(jī)制控制了可盜取病案的數(shù)量，另一方面通過(guò)非對(duì)稱數(shù)據(jù)加密技術(shù)，使得即使部分病案加密數(shù)據(jù)被盜，也不易被別有用心者直接利用[17-18]。本系統(tǒng)的上線優(yōu)化了病案管理的最后一步業(yè)務(wù)流程，擴(kuò)大了病案利用的方式和內(nèi)涵，提升了患者滿意度，也為下一步實(shí)現(xiàn)全院病案無(wú)紙化提供了參考[19-20]。