全国预防接种档案跨省共享方案设计与实现*
《医学信息学杂志》
2025年 46卷
第01期
012
中图分类号:R-058
微信
QQ空间
微博
QQ
全文 图表 参考文献 作者 出版信息
摘要
目的/意义 通过信息技术手段实现接种档案跨省共享,进一步提升我国免疫规划信息化服务能力。方法/过程 基于全国免疫规划信息系统建设现状,设计接种档案跨省交换业务流程,采用接口方式查询和传输接种信息,并利用数据校验和安全控制等手段,确保数据准确、可靠。结果/结论 通过与试点省份联调测试,验证了业务流程的可行性和系统功能的可用性。接种档案跨省共享流程涉及环节多且对各省份协同性要求高,应不断加强数据标准化和规范化管理,提高数据流转的一致性和及时性,推动全国系统实时联动、“一人一档”闭环管理。
关键词: 预防接种 档案管理 数据共享
1 引言
随着我国国家免疫规划工作不断推进,疫苗接种人数日益增加 。受种人群中包括大量跨省流动人员,异地接种成为民生刚需。然而,现有免疫规划系统尚无法满足接种档案在全国范围内流转,重复建档问题严重。数据质量直接影响免疫接种率监测评价及其他统计分析研究工作,亟须推动接种档案跨省共享,落实“一人一档”管理。
早期免疫规划信息系统建设标准不统一,且各地区信息化建设能力和发展水平不均衡,导致各省份采集的接种信息质量差异大。同时,大部分系统面临数据交换功能升级改造,也导致跨省异地接种数据共享工作推进十分缓慢。随着相关法律的颁布、信息技术的发展以及预防接种公众服务需求的转变,疫苗和接种信息规范化、精细化管理要求日益提高。通过数字化手段提升预防接种管理水平已成为必然趋势 。为此,我国加大对各地的经费投入和政策保障力度,全面推进免疫规划信息化建设工作。截至2021年,全国所有省份均建立了免疫规划信息系统,并实现了与国家系统的数据对接 。通过数据交换,国家免疫规划信息系统汇聚了各省份的接种信息,实现了高质量的数据治理和分析利用。经过不断优化完善,目前各省份数据交换成功率均达到93%以上,国家系统日处理数据量最高可达2 000万条,为接种档案跨省共享提供了有力的支撑和保障。本文重点探讨接种档案跨省流转的业务流程及实现方法。
2 流程设计
2.1 跨省接种业务流程
接种数据主要来源于接种单位,现场工作人员将受种者的接种档案和接种记录登记并上报至省级免疫规划信息系统。省级疾控中心作为辖区内免疫规划数据管理的责任单位,负责将采集的接种数据通过省平台接口上传至国家数据共享交换平台。经过解析、校验后,存储至国家免疫规划信息系统数据库中。因此,在跨省接种数据流转过程中,涉及国家平台、省平台和接种门诊3个关键环节。
跨省接种主要包含档案查询、迁入接种和不迁入接种3类业务。当受种者到异地接种时,接种门诊工作人员根据查询条件,通过省平台调阅国家平台接口,查询受种者在外省的接种档案信息。随后,根据实际情况,选择迁入接种或不迁入接种操作。完成相应操作后,将更新的档案通过省平台回传至国家平台。国家平台根据接口调用情况,判断是否执行了迁入或不迁入操作,并完成档案信息更新。同时,国家平台会通知对应的档案管理省份,档案管理省份则根据国家平台的反馈通知,进行档案同步更新。整体业务流程,见 图1
图1 预防接种档案跨省流转业务流程
2.2 档案查询
接种门诊人员可通过4种方式查询档案,基本可覆盖全国95%以上的查询情况。一是根据个案编码查询:通过“受种者档案编号+受种者出生日期”查询。二是根据受种者证件号码查询:通过“受种者证件号码”查询。三是根据受种者姓名查询:通过“受种者姓名+受种者出生日期+受种者性别”或“受种者出生日期+受种者性别+母亲姓名/父亲姓名/其他监护人姓名”查询。四是根据受种者父母证件号码查询:通过“受种者性别+受种者出生日期+父亲证件号码/母亲证件号码”查询。
2.3 迁入接种与不迁入接种
迁入接种与不迁入接种业务均需要进行档案查询操作,以核实受种者在外省的档案信息。完成接种操作后将新的接种档案回传至国家平台。两个业务流程的主要区别在于对档案管理省份变更的处理,这里涉及档案变更通知推送服务。对于迁入接种,档案管理省份发生变更,国家平台收到回传的档案后会发送档案变更消息给原管理省份,通知对方“此档案的现管单位被修改”,此时原管理省份修改档案现管单位为新单位。对于不迁入接种,档案管理省份不变,国家平台收到回传档案后通知现管理省份“此档案被更新”,现管理省份更新本省档案信息即可。迁入接种与不迁入接种业务流程对比,见 图2
图2 迁入接种与不迁入接种业务流程对比
3 实现
3.1 接口配置
接种档案的查询和共享主要通过接口方式实现。利用接口确定统一的数据交换标准和规范,确保与各省份不同系统之间的数据共享能够顺利进行,避免数据格式不兼容等问题。同时,接口方式也利于提高系统的可维护性和扩展性,当修改数据交换的逻辑或功能时,只需修改或扩展接口即可,大大降低了国家平台与各省平台的维护成本。
国家平台根据不同的业务流程分别配置“档案查询”“迁入接种”和“不迁入接种”3类应用程序编程接口(application programming interface,API)。“档案查询”接口共设置4个,对应4种查询方式。“迁入接种”与“不迁入接种”各设置1个接口。当调用不同接口服务时,国家平台对数据的校验规则也有所不同。为及时向省平台反馈档案变更消息,国家平台配置“档案变更通知”接口。当省平台接到的通知为“PushType=1”,说明档案发生迁入接种,档案现管单位被修改。通知推送至档案的原管理省份,原管理省份接收通知后修改此档案的现管单位,此后,该档案不再属于该省管辖;当通知为“PushType=4”时,说明档案发生不迁入接种,接种档案被更新。通知将推送至档案现管理省份,此时,现管理省份调用“档案查询”接口到国家平台同步档案的最新数据,并以此作为基准进行后续信息更新。
3.2 数据校验
接种档案跨省流转的关键工作是结合业务场景明确接种记录的修改规则,避免其他省份录入的信息被删除或修改,导致接种记录丢失或不真实。当一份个案编码相同的档案重传到国家平台时,国家平台根据接口调用情况采用不同的数据校验规则,若省平台调用“迁入接种”接口,则该档案允许修改全部个人基本信息;当调用“不迁入接种”接口,则只允许修改部分个人基本信息。二者均允许修改本省录入的接种记录,不能删改其他省份录入的信息。具体流程,见 图3
图3 预防接种档案跨省流转数据校验流程
3.3 兼容性要求
不同系统使用的数据格式、结构和定义不尽相同,接种档案在全国范围内共享交换的基本前提是数据标准统一,否则档案将无法被正确解读和处理。各省份需根据国家平台统一制定的数据结构标准,完成字段、字典值、必填项等多方面适应性改造。一是字段兼容。包括字段名称、类型和长度等方面要求。例如,预防接种档案编码的长度允许20位(含)以内,接种时间需精确到秒级等。此外,各省份在接收或流转国家平台传送的档案时,必须保留档案的完整信息,不可截取或丢失任何信息。二是字典值兼容。以国家平台数据元值域代码表为基础,设置相应的字典值。例如,疫苗属性应包括国家免疫规划疫苗、地方免疫规划疫苗、应急接种疫苗、非免疫规划疫苗、群体性预防接种疫苗、紧急使用疫苗等,各省系统不可自动修改或删减。三是必填项兼容。各省平台按照国家平台的必填内容及要求改造,可在满足国家平台要求的基础上进行扩展。对于本省平台必填而国家平台非必填的内容,要允许在省平台上正常显示,不可由系统自动补值或改值。
3.4 安全控制
一是身份认证。用于防范资源执行过程中的窃取、篡改等恶意操作,避免非法用户入侵。通过用户身份信息匹配认证,控制用户的访问操作。只有被认可的合法用户有权使用系统资源,且用户身份的唯一性可防止信息交换过程中的抵赖 。目前,国家和省级免疫规划信息系统均采用数字证书加用户名密码的双因子认证方式 [7-10] ,拒绝系统外用户或非法用户随意登录和操控系统,有效保障数据的真实性和可靠性。二是信息传输安全。国家平台与省平台之间的信息流转均在虚拟专用网络(virtual private network,VPN)环境中进行,且网络联通采用白名单策略进行身份鉴别。仅允许在专用的前置机之间进行数据交换,以保障信息在传输过程中不被窃取和篡改。对于数据文件中的敏感字段,采用SM4国密算法加密处理,该算法安全性强、效率高,且可实现资源重用 [11-13] 。同时,使用数字签名技术防止个人隐私信息泄漏 [14-16] 。三是系统监控。维持系统稳定依赖于全面的监控能力,包括对硬件资源、应用状态、业务活动、数据明细等各方面的监控。国家平台通过成熟的监控系统,完成对CPU利用率、内存占用、磁盘空间等资源的实时监控,发现问题及时发送预警短信通知运维人员。业务活动及数据监控采取自动监控和人工巡检两种方式,利用系统的质控分析、服务调用查询等功能,定期核查各省平台跨省交换操作的合规性和规范性。同时,系统提供全链路日志,为错误分析比对和数据还原提供保障。四是用户管理。账户名和密码人为泄漏是信息安全的重要挑战 。因此,加强对系统用户的管理工作,建立年度用户备案和审核制度,同时定期开展规范化的安全管理培训,提高用户安全意识,减少安全事件的发生。
4 问题与处理
4.1 数据不规范
数据标准是数据全生命周期质量控制的机制与制度保障,贯穿数据采集、存储、治理和分析应用的全过程。为了保证数据的一致性和可用性,国家平台发布了统一的数据标准。但在实际测试过程中,发现仍然有大量系统字段名称不一致的情况,例如,有些省平台的证件类型表述为“身份证”或“中国居民身份证”,而国家平台则表述为“居民身份证”,虽然含义相同但文字表述不一致。针对此类情况,各省份要完成数据的映射和转换处理,确保数据符合国家平台的校验规则,方能交换成功。
4.2 数据不一致
按照数据校验规则,接种档案在流转过程中部分字段值是不允许修改的,国家平台也会进行相应处理。但对于可修改的信息,测试过程中发现省平台在接收档案时存在系统自动改值或自动删除字段值等问题。例如,某个接种档案的个人信息中“户籍县”为“江苏省某某市”,发生跨省接种后,接收档案的省平台将其自动修改为“河北省某某市”,与实际情况严重不符。针对此种情况,除要求各省平台进一步完善功能外,国家平台也应定期抽查比对数据的一致性。
4.3 系统稳定性保障
系统的稳定运行是实现各项功能的基础。在测试过程中,发现部分省平台对接口调用频次未做任何限制,这可能会造成短时间高频次调用国家平台接口,从而导致国家平台端服务器负载过高而崩溃。因此,国家平台采用接口调用次数限制、每分钟访问量限制等策略。根据实际业务及系统承载能力测算,每个省平台每分钟调用“档案查询”接口次数不可高于3 000次,调用“迁入接种”“不迁入接种”接口的次数分别不高于1 000次。若国家平台监测到某省平台调用接口超过限制,则直接拒绝响应,并发送调用失败反馈信息,以确保国家平台业务不中断。
5 结果与建议
截至目前,国家免疫规划信息系统已完成疫苗接种电子档案的跨省共享交换功能部署。通过与8个试点省份的联合调试测试,模拟实际接种操作流程,验证了3种业务流程的可行性和系统功能的可用性。目前,所有省份均已接入国家平台端的档案查询接口,且大部分省份已实现了接种门诊业务端的集成。国家平台接口调用的响应速度达到250毫秒以内,能够满足各省份对跨省接种人员信息的查询需求。为保障跨省接种数据共享后续工作的顺利开展,提出以下几点建议。
5.1 强化管理要求,开展实地测试
由于各省份对免疫规划信息系统的管理和重视程度存在差异,系统升级改造程度不尽相同,参与试点的个别省份存在功能改造不彻底的问题。为此,应不断强化管理要求,包括明确业务规则、数据校验规则以及系统安全管理制度。同时,尽可能考虑多种业务场景,避免在实际应用中因缺乏具体管理要求造成数据错传、漏传的情况。此外,在档案查询时,个别省份反馈存在调用接口速度缓慢或失败的情况,但国家平台端监控数据未发现异常。网络环境是影响数据传输的重要因素之一,尤其是在接种信息跨省流转的实际工作中,涉及环节多、链条长,对多方系统联动和协同的实时性要求高。因此,要进一步在真实的生产环境中,按基层的工作流程进行实地测试。
5.2 消除历史重档,提高数据质量
由于大规模人群流动接种以及产科系统独立运行等问题,国家系统中存在大量历史重复档案,严重影响个人档案及接种记录的完整性和准确性。对重档数据的改动会影响多个关联省份的系统,是一项复杂且长期的工作。因此,需要制定合理详尽的重档合并拆分规则及档案数据回退机制,以确保省级档案合并、回退工作能够顺利开展。重档处理服务应包括重档识别、重档推送、重档合并、重档恢复等环节。国家平台端应严格校验合并操作的合规性和准确性,防止人员信息误改、接种记录丢失等问题的发生。此外,若发生重档错误合并的情况,国家平台端也应提供恢复功能。
5.3 加快全国推广,促进协同应用
接种档案跨省共享工作需要全国统筹推进,才能避免档案无法迁入迁出导致的信息重复或不一致现象,确保档案的唯一性和完整性。基于前期制定的规则和标准,以及试点省份的实践测试经验,应加速推进跨省交换业务功能的应用与推广,指导其余省份完成系统升级改造,实现国家与省级系统间的互联互通和业务协同,逐步提升我国免疫规划整体管理水平和服务水平。
6 结语
数字健康时代,卫生健康数据共享已成为社会发展趋势,也是建设健康中国的基础工作 [18-19] 。对接种档案跨省共享功能的开发与实现,不仅能够有效提高接种数据质量,为合理制订免疫规划措施提供科学依据,也能切实满足流动人员跨省接种需求,促进公共服务更加优质、便捷。当然,现阶段的工作成效距离实现全国系统实时协同、“一人一档”闭环管理的目标还有差距。在未来工作中,应以全国互联互通为重点,加强数据标准化和规范化管理,进一步提升免疫规划信息化服务能力,促进我国公共卫生高质量发展。
作者贡献 :金丽珠负责研究设计、论文撰写;葛辉负责流程设计;李少琼负责数据质量分析;杜雪杰负责数据收集与统计;郑环负责文献分析;郭青负责提供指导。
利益声明 :所有作者均声明不存在利益冲突。
