互联网居民健康档案查询的个人隐私保护方案设计--余建明

互联网居民健康档案查询的个人隐私保护解决方案福建省卫生计生信息中心主任俞建明2016年8月9日福建省区域人口健康信息平台（居民健康信息系统）已在政务外网开通运行，实现了在医疗机构之间共享健康档案信息，得到社会赞誉。信息平台保存了诊疗信息、医嘱信息、入院记录、出院小结、手术记录、病案首页、医学检验检查报告、医学影像信和体检信息，医疗机构可通过平台主索引调阅健康档案，病人转诊、转院就诊不再需要携带病历本、检验、检查报告单和医学影像胶片，方便群众就诊。引言广大群众迫切希望能够在互联网上查询自己的健康记录，特别是在医疗机构的诊疗清单、体检报告以及在基层卫生机构产生的公共卫生、预防保健等信息，使居民随时了解自己的健康状况，更好地发挥自我保健作用。引言要实现健康档案互联网查询的目标，最主要的技术难点：如何在保障个人隐私安全的前提下向互联网开放查询业务？针对用户需求和客观条件需求分析下，基于个人隐私保护的解决方案如何设计？引言目录一、需求分析二、技术原理三、讨论四、总结需求分析1福建省区域平台介绍仅允许本人查询方法具有可行性（一）福建省区域平台介绍数据中心100M医疗机构50M疾控/血液中心2M市级省级县级乡级村级县属医疗卫生机构民营医院乡镇卫生院村卫生所核心交换机省级数据中心核心交换机路由器路由器路由器SDH传输网络SDH传输网络SDH传输网络SDH传输网络数据中心10M医疗机构10M、6M疾控/血站2M医疗机构6M乡镇卫生院2M社区卫生服务中心2M村卫生室2M(VPDN)计生服务站2M(VPDN)市属医疗卫生机构驻闽部队医院民营医院路由器市级数据中心社区卫生服务中心计生服务站市中心血站市疾控驻闽部队医院民营医院路由器省血液中心省疾控省属医疗卫生机构网络情况：依托“数字福建”政务外网构建省、市、县、乡、村五级卫生信息专网，与互联网逻辑隔离。（一）福建省区域平台介绍以落实信息标准为核心的数据质控体系信息安全防护体系国家级人口健康信息平台市级人口健康信息平台电子健康档案库电子病历档案库数据仓库数据中心注册服务个人注册服务医疗卫生人员注册服务医疗卫生机构注册服务术语/字典注册服务全员人口信息库全程健康档案服务健康档案整合服务健康档案管理服务健康档案调阅服务健康档案协同服务健康档案存储服务安全服务隐私服务配置服务个人基本信息电子病历儿童保健妇女保健疾病控制/管理医疗服务健康体检基于人口健康信息平台的应用系统省级人口健康信息平台居民健康信息系统区域卫生综合管理系统医改监测子系统卫生统计年报系统基层医疗卫生管理系统妇幼卫生信息子系统计划免疫管理子系统慢性病管理信息子系统其他居民健康卡管理系统居民健康卡密钥管理系统就诊一卡通子系统其他业务管理子系统…省、市两级数据中心（一）福建省区域平台介绍系统通过与医疗机构的互联采集的信息包括：患者个人基本信息、门诊和住院医嘱、检查检验报告、费用清单、病案首页、出院小结以及公共卫生预防保健等内容，按属地关系分别存储在市级平台，省级平台保存全省居民的医疗就诊、保健服务的索引信息。省级平台总存储量约3亿份诊疗记录。除医学影像信息、超声图文之外的数据量约5T，日均增加量达10G左右。采集内容检验检查报告公卫档案基本信息出院小结费用清单诊疗记录病案首页需求分析要实现互联网查询健康档案，内、外网边界安全、数据库防护、系统抗攻击保护、防病毒、木马等措施均在安全建设之列。就保护个人信息隐私来说，一个健全互联网查询的保护机制应满足的功能要求：仅允许本人查询、方法具有可行性。（二）仅允许本人查询在互联网开放健康档案查询服务较通常的做法是，在网页上登录时以个人身份证号作为用户名，设置一个通用的初始密码，如12345678；或以姓名作为用户名，身份证号作为密码，同时网页提供用户更改密码的功能。存在问题：一是全民上网修改密码的可能性很小；二是身份证号基本就是明码，在很多场合都已暴露显示，很容易被恶意获取使用。要实现本人查询自己的健康档案，唯一的做法就是必须进行个人身份认证，而且是借助信息可靠、普遍可及的第三方实名认证机制。（三）方法具有可行性常用的实名认证身份识别的有：使用数字证书(CA)认证、身份证网络认证、健康卡认证等。但是这些方法用于大众健康档案查询不具可行性。数字证书牵涉到数字证书的制作、申领、收费、补换发等，身份证认证需要配备读卡器及公安部门开放后台数据库比对，健康卡同样需要配置读卡器。这些方法不是政策限制就是工作机制难以实现，对个人而言还有设备成本的问题。必须寻求一个方法相对简单、机制严谨、结果可靠、建设成本较低且能够在信息系统实现的认证机制。技术原理2技术路线关键环节（一）技术路线以实名制手机作为身份识别媒介，在互联网查询平台（WEB界面下）输入手机号码，该号码发送至手机运营商后台，在实名登记的数据库中获取该号码登记的身份信息——姓名和身份证号，将此反馈至居民健康信息系统省级平台，将姓名和身份证与健康档案数据进行比对，比对成功则向查询平台反馈一条随机产生的验证码，用户输入验证码后即可从健康档案数据库获取个人档案信息，比对不成功不反馈验证码并提示身份有误或健康档案无此人记录。（二）关键环节享1、部署一套基于浏览器方式的健康档案查询软件，采用实名制隐私保护手机验证码的机制，所有在互联网的查询必须采用实名手机注册，在登录界面输入注册码，得到验证后方可登录查询。享2、使用手机实名验证的方法必须具备两个条件，一是国内三大通信运营商应开放实名注册登记的数据库，允许活动用户获取注册机的姓名和身份证号；二是用户使用的是实名制手机。享3、为了方便用户，软件系统要能够自动判别手机号属于哪个运营商，指向所属运营商的后台数据库查询身份信息。需要注意的是，运营商早年的用户注册信息还有少部分是15位身份证号的，系统提取后应通过算法转换为18位。讨论3是否可行？手机短信费用问题？讨论用户身份认证的方法很多，面向社会大众应用的只能是简便易行的。目前，手机已经强制推行实名制，在运营商登记注册的信息基本认为是可靠的，手机普及率已达到全员人口50%以上。因此，选择手机作为个人身份认证是可行的。技术路线已得到运营商技术部门认可，类似的应用软件开发已经在现实中应用。讨论从运营商发向用户（下行）获取验证码的短信费用由谁承担？通常，互联网手机短信下行费用是商家支付的，用户不承担费用（实际上很难向用户收取下行费用）。为解决这一问题，经与运营商协商，我省设计的策略是，在健康档案登录页面提示用户，向运营商特服号发一条上行短信，例如移动手机向10086发出XXXX代码，移动系统反馈一条验证码短信。需要查询健康档案的用户，自行承担一条上行短信费用，下行短信由运营商免费。省卫计委移动基站中国移动短信网关中国移动通信网络传输设备移动通信网络区终端接入区手机终端手机终端手机终端短信服务器居民健康档案系统总结4手机实名认证用于健康档案查询的隐私保护还处于方案验证阶段，在实际应用中某些细节和流程仍需不断完善。当然，这个方法还是有一定的局限性，毕竟使用者仅限于会用计算机和手机的人群。在现实条件下目前还无法找到一个能够覆盖全员人口的身份认证方式。感谢聆听！Thanksforlistening！