DOI:10.3969/j.issn.1673-6036.2025.11.005
中图分类号:R-05
全文
文内图表
参考文献
出版信息
联邦治理×智能合约:长三角跨层级医疗数据协同的创新探索
1 引言
2019年发布的《长江三角洲区域一体化发展规划纲要》中提出要大力发展基于物联网、大数据、人工智能的专业化服务,围绕城市公共管理、公共服务、公共安全等领域,打造健康长三角。目前健康长三角建设取得显著进展,示范区医疗检查结果已实现跨省域互联互通互认。然而当前进展主要以局部试点、单项推进为主,要实现全区域多领域的全面覆盖,仍面临机制创新滞后、技术标准割裂、隐私保护冲突、行政分割与政策碎片化等多重瓶颈。与此同时,国家“东数西算”工程将长三角定位为全国健康医疗数据枢纽,要求日均处理10PB级数据以及整合区域算力资源,以支撑医疗数据的存储、分析与应用,为跨层级协同提供基础设施保障。借此契机强化区域协同机制,统一健康数据标准,保障医疗资源的优化与共享,对提升区域医疗服务水平具有重大意义。
2 国内外医疗数据共享模式比较
国外医疗数据共享在政策法规方面发展较为成熟。欧盟通过“欧洲健康数据空间”战略,采用《通用数据保护条例》合规框架[1],设立双轨数据流通机制,通过统一数据标准和加强互操作性,保障公民权益、支持医疗创新、优化政府决策,实现成员国间健康数据安全共享。美国通过《21世纪治愈法案》[2]等政策,鼓励医疗机构共享数据,利用真实世界证据支持药品审批和医疗决策[3]。欧盟与美国健康医疗数据共享模式对比,见表1。
表1 欧盟与美国健康医疗数据共享模式对比
对比维度欧盟美国法律基础《通用数据保护条例》《欧洲健康数据空间条例》《健康保险携带和责任法案》《经济和临床健康信息技术法案》《21世纪治愈法案》运行模式设立“首次-二次”双轨数据流通机制。其中My-Health@EU连接成员国电子医疗系统,支持首次利用(个人医疗);HealthData@EU支持二次使用(科研、行政等);各成员国设立健康数据访问实体机构实现属地管理以《健康保险携带和责任法案》为基础,通过《经济和临床健康信息技术法案》全面推行电子健康记录系统,政府主导的health-da-ta.gov、openFDA、NIH NCBI数据库收集卫生健康、产品监测、生物安全等信息,商业平台Komodo Health、Flatiron Health等提供不同领域医疗研究数据主要特征采用《通用数据保护条例》合规框架,实现治理体系的统一。“欧洲健康数据空间”战略构建由数据服务商、数据持有者和数据消费者组成的网络,加强互操作性,共同保障数据安全和公民权益[4]采用《健康保险携带和责任法案》保障医疗信息安全,通过《21世纪治愈法案》反对信息阻塞,推动互操作性与数据解放,利用真实世界证据支持药品审批和医疗决策不足之处强制统一数据格式,难以平衡数据安全性和时效性政府平台主要提供基础数据,具有临床和研究意义的健康数据须通过购买商业产品获得
国内虽未建立统一的合规框架,但在协同技术理论研究方面不断深入。刘振涛等[5]构建基于区块链的联邦学习模型;杨庚等[6]以差分隐私为例,探讨安全多方计算和同态加密等技术在联邦学习中的应用;安泽心等[7]基于轻量化区块链模型提出面向医疗信息安全的网络架构;陈英杰等[8]构建基于角色的访问控制增强模型,实现对系统合法用户的访问控制及授权;盛朝阳[9]提出基于智能合约的分类分级属性算法,实现去中心化的访问控制操作。
综上,国内外医疗数据共享实践与研究均呈现技术割裂特点,区块链等技术独立应用,且医疗数据贡献收益和区域适配性方面的研究较少。本研究在借鉴既往研究的基础上,提出权责分层、制度适配、技术整合的长三角跨层级医疗数据协同机制,为医疗数据区域协同提供参考。
3 长三角医疗数据协同发展背景及存在的问题
3.1 发展背景
3.1.1 政策背景 自长三角一体化发展上升为国家战略以来,各地纷纷出台公共卫生领域政策和举措。《健康上海行动(2019—2030年)》[10]提出要建立居民电子健康档案交换机制,充分运用云计算、大数据、物联网等现代信息技术,对实时数据进行深度挖掘分析,推进医疗服务、行业监测的优化、创新和协同;《落实健康中国行动 推进健康江苏建设实施方案》[11]提出要构建集成高效、统一权威的省、市、县3级全民健康信息平台,提高数据归集质量,到2022年和2030年,电子健康档案向居民个人开放率分别达60%和80%;《浙江省人民政府关于推进健康浙江行动的实施意见》[12]提出要推进健康医疗大数据深度挖掘、广泛应用,深化社会保障卡和居民健康卡“两卡融合、一网通办”,推进智慧医疗服务。这些政策在强化信息支撑、健全监测体系、构建健康档案、推动信息共享等方面提出了具体的举措和目标。
3.1.2 平台建设 在各地政策推进下,卫生健康领域协同创新产品不断更新,平台建设成果显著。“上海健康云”平台集“医、防、养、康、护、药、保”为一体,为居民提供一站式、精准化的健康教育、健康管理和健康服务;江苏常州“智慧健康云”平台设有政策发布、医院挂号、专家问诊、难病会诊、药送到家、家庭医生、智慧问诊等板块,实现“互联网+医疗健康”服务“一体支撑”“一站提供”“一网通办”;浙江省基于大语言模型技术和多模态交互系统构建“安诊儿”数字健康人,提供涵盖诊前智能导诊、诊中增强现实导航及线上医保支付、诊后健康档案管理等23项核心功能的全流程医疗健康服务。这些产品将医疗服务与产业创新相融合,为智慧医疗跨省协同提供了平台基础和实践经验。
3.2 存在的问题
3.2.1 标准与技术问题 一是传统行政区域主导的协同机制难以统一技术标准。以病案编码体系为例,申康版(上海地区)与国标扩展版(江苏地区)在类目划分规则、编码结构及语义定义等方面存在显著差异,导致跨域数据整合时要通过人工映射与转换实现语义对齐,不仅产生高昂的协作成本,还可能因信息失真降低科研结论的信效度。二是技术路径选择的异质性加剧了跨域协同摩擦。如上海和浙江在医疗数据隐私保护方面分别偏好联邦学习和可信执行环境,两者分别依托密码学隔离与硬件隔离实现隐私保护,在数据交互逻辑、加密算法及信任假设上存在本质差异,导致跨域协同面临兼容性挑战。
3.2.2 管理与激励问题 医疗机构的竞合关系与绩效考核制度共同构成数据共享的抑制性因素。在现行考核体系中,医疗机构的科研成果产出与服务质量排名直接关联资源分配,导致独占数据以维持优势与共享数据以提升区域医疗水平之间存在结构性冲突。加之协同运行机制不完善,导致数据模糊、贡献评估困难、分配机制缺失,数据成本和共享收益不匹配,医疗机构数据供给意愿不足,亟待通过完善激励机制平衡个体与集体利益。
3.2.3 行政与流程问题 行政壁垒与科层制审批显著抑制数据流动。跨层级数据调用要经历多主体(医疗机构-市级平台-省级决策部门)、多阶段(伦理审查-行政审核-技术验证)的线性审批流程。以科研合作项目为例,跨省数据调用审批涉及多个环节、多个部门,耗时过长,一些时效性较强的研究内容甚至因此失去研究价值。
4 跨层级医疗数据协同机制模型构建
本研究提出联邦治理×智能合约双核驱动模型,旨在通过制度设计与技术赋能,系统解决前述问题。该模型不仅服务于政府决策与区域治理,更注重通过数据协同提升公共服务能力。一方面,支撑医保结算、疾病防控等政府治理场景;另一方面,通过数据有序流动与授权使用,促进医疗机构间的科研合作,赋能临床创新,最终使居民享有更连续、高效、精准的医疗服务,实现“数据多跑路,群众少跑腿”。
4.1 联邦治理架构
联邦治理理论继承自多中心治理框架,其核心是通过分层赋权解决分散化系统中的集体行动困境。在医疗数据协同场景中,数据生产者、数据加工者、数据消费者分别对应“数据主权层-技术整合层-决策应用层”,形成多中心协同结构,见图1。这种设计既避免集中式治理的刚性约束,又可通过智能合约实现权责动态分配,符合长三角多极化行政架构的治理需求,有利于实现医疗数据的高效整合与利用。
图1 联邦治理架构3层角色关系
数据生产者主要包括各级医院,涵盖大型三甲医院、基层社区医院以及专科医院等,负责产生和收集医疗数据,即在日常诊疗中,详细记录患者症状、诊断结果、治疗方案和康复情况等信息。这些原始数据是数据协同体系的基础,其准确性和完整性直接影响后续分析和应用。大型三甲医院凭借先进的医疗技术和设备,积累大量疑难病症的医疗数据,对于医学研究和罕见病诊疗具有重要价值;基层社区医院虽然医疗资源相对有限,但能够收集大量常见疾病的发病和治疗数据,反映区域内居民的基本健康状况;专科医院则专注于特定领域疾病,拥有独特的病例资源。数据加工者主要为市级平台,承担数据处理任务。其运用专业的数据处理技术和算法,对来自各医院的数据进行清洗、整理和初步分析,如去除重复、错误的数据,对数据进行标准化处理,使其符合统一的格式和规范,以及通过多种分析方法挖掘数据背后的潜在价值,提取关键信息和特征。数据消费者主要包括省级决策部门、公共服务部门以及科研机构。省级决策部门利用数据进行宏观决策与政策制定;科研机构经授权使用数据推动医学研究与科技创新;公共服务部门直接面向居民,提供便捷的医疗健康服务,如跨省医保结算、电子健康档案查询、智能导诊等,使数据价值最终惠及百姓就医与健康管理。
在该架构中,各级医院保留数据所有权,充分发挥数据生产优势;市级平台获得加工权,有效整合和加工数据;省级决策部门、公共服务部门及科研机构享用“限定”的数据使用权。权责分离设计既规避了“数据垄断陷阱”,又通过智能合约实现了收益按贡献分配,实现各主体间的协同合作。
4.2 管理机制
4.2.1 数据标准协同机制 参照国际通用的快速医疗互操作性资源标准(health level seven fast healthcare interoperability resources release 5,HL7 FHIR R5),建立长三角医疗数据元模型。HL7标准可实现不同类型系统的数据交换和管理[13],但是由于不同地区及单位对标准的解读存在差异,需要大量定制和映射工作,且机械化的多点数据采集流程使源系统数据质量参差不齐、上下文缺失,众多的连接点和数据传输通道也将增加遭受网络攻击的风险。因此引入FHIRR5对医疗数据各元素进行标准化定义,统一数据格式、编码规则和数据类型,并置入本地化适配需求,以解决跨区域数据对接难题。以疾病诊断编码为例,《国际疾病分类第十次修订本(ICD-10)》是常用的疾病诊断编码体系,但在长三角地区,须结合各地疾病特点和临床实践进行本地化扩展,见表2。
表2 长三角地区常见疾病本地化编码扩展示例
疾病名称ICD-10编码长三角本地化编码示例高血压I10I10.ZJ-01(伴有肾脏并发症,浙江地区)、I10.SH-02(合并心血管疾病,上海地区)糖尿病E11E11.JS-03(2型糖尿病,江苏地区特定治疗方式)冠心病I25I25.AH-04(伴有心绞痛,安徽地区常见类型)
4.2.2 数据共享激励机制 《国务院关于深入实施“人工智能+”行动的意见》鼓励探索通过基于价值贡献度的数据成本补偿、收益分成等方式,加强数据供给激励。将高质量医疗数据纳入医院等级评定和公立医院绩效考核是激励医疗机构共享高质量数据的关键步骤。传统 Shapley 值算法在衡量多主体合作中的贡献时存在一定局限性,难以充分考虑医疗数据协同场景的复杂因素,如时间、数据量、数据独特性等。引入时间衰减因子与数据稀缺性权重,改进 Shapley 值算法,公式化表达贡献度计量模型如下。其中,φi表示参与者i的数据贡献度,S表示包含除i之外的参与者子集,N表示所有参与者的集合,n=|N|表示参与者总数,|S|表示子集S的大小,v(S)表示子集S的数据价值,λ为时间衰减系数,t为数据提供的时间,ωd为数据独特性权重。随着时间的推移,虽然各医院的数据贡献度均在变化,但由于考虑了时间衰减和数据独特性等因素,率先提供数据且数据独特性高的医院在整个项目中的累计数据贡献度明显高于后续阶段提供数据的医院,这与实际情况中早期独特数据对科研项目的重要性相符,也证明改进后算法能够更准确地衡量每个主体的数据贡献,为其合理分配研究成果和收益提供依据。同时通过“数据财政”补充机制,以合作博弈理论为基础,基于改进的Shapley值算法,量化各机构在协同网络中的边际效用,从而确保贡献度计量结果与真实价值相契合。
[v(S∪{i})-v(S)]×e-λt×ωd
(1)
4.2.3 数据分级授权机制 参照“欧洲健康数据空间”双轨管理机制,结合长三角区域协同背景,明确个人健康、公共卫生、科研创新3级场景的访问机制及操作权限等,见表3。基于轻量化区块链存证技术,根据用户、环境和数据属性,动态决策数据访问及使用权限,保障个人对其健康数据的主权、使用权和控制权。对于个人健康医疗场景,通过生物特征认证方式,开放全面、详细、精准、及时的数据权限,并以此为基础延伸就医治疗、医保结算、慢病管理等全生命周期服务;对于公共卫生、行政管理或政策制定场景,通过政务网络身份认证方式,开放跨域数据沙盒环境,运用智能合约规则库筛选脱敏后的目标数据集,对于特殊用途的权限升级要求,须经区域性医疗数据伦理审查委员会审查同意;对于医疗科研、药械研发、临床试验场景,须提交明确的用途说明、数据要求、安全保护方案等材料,经智能合约验证申请合规性,生成动态访问令牌,在跨域数据沙盒环境进行隔离计算,计算结果经隐私处理后输出,对于特殊用途的权限升级要求,须经区域性医疗数据伦理审查委员会与数据权人“双授权”。
表3 分级授权机制
项目L1级:个人健康L2级:公共卫生L3级:科研创新运用场景健康医疗公共卫生、行政管理、政策制定医疗科研、药械研发、临床试验身份认证生物特征政务网络身份认证企业身份认证、主管部门认证授权机制本人授权行政授权动态授权访问机制通过身份认证后直接查询本人全部电子病历、检验影像报告、健康档案、医疗支付记录等经数据主管部门审核,依据目标用途,运用智能合约规则筛选区域性或群体性的目标数据集提交用途说明、数据要求、安全保护方案等材料,经行政部门审核、智能合约验证,生成动态访问令牌数据级别原始数据脱敏数据脱敏数据操作权限查询、分析、下载在跨域数据沙盒环境中查询、分析、下载在跨域数据沙盒环境中查询、分析
4.2.4 数据协同审查机制 遵循“技术合规”与“制度制衡”双重原则,设立区域性医疗数据伦理审查委员会,通过建立跨区域互认的伦理审查机制,简化审批流程,加强隐私保护与合规性,为数据有序流动提供制度保障。该委员会成员来自沪苏浙皖4地,包括医学专家、伦理学家、法律专业人士和公众代表等,负责对医疗数据的收集、使用、共享等环节进行全面的伦理审查。在数据采集阶段,严格审查医疗机构知情同意流程、伦理审批文件完备性及数据主体退出机制的可用性。在数据共享与应用环节,采用国际通行的隐私保护标准,强制要求匿名化处理过程满足k-匿名性准则、加密传输协议达到高级加密标准AES-256及以上安全等级,同时基于分布式账本技术实现数据使用轨迹的全流程存证,确保所有操作可追溯且不可篡改。在数据标准方面,统一审查标准,并建立跨域互认机制,避免区域间标准不同诱发“监管套利”行为;在公众参与方面,实施公众参与配额制,确保公众代表占比,同时引入双盲反馈机制,提升监督透明度。
4.3 技术实现路径
4.3.1 构建智能合约规则库 智能合约规则库是联邦治理架构的自动化执行中枢,通过预置合约规则,实现业务流程自动执行,不仅能够确保合约规则的准确性、完整性、及时性,还可动态变更规则参数,实现业务流程的智能化转型。智能合约规则库的核心组件,见表4。
表4 智能合约规则库的核心组件(部分)
合约类型触发条件执行动作数据质量奖惩合约数据完整性/准确性评分低于阈值自动下调医保结算系数隐私计算授权合约跨域数据调用请求生成动态令牌并启动沙盒环境贡献度分配合约 新数据接入或模型更新调用Shapley值算法计算收益分配
在跨层级医疗数据协同治理背景下,智能合约规则库设于市级平台,通过运用数据源验证、格式标准化、隐私计算集成、动态模型加载、动态权限控制、激励相容机制等合约规则,贯穿数据接收、清洗、整理、分析、提取、反馈全流程。以数据质量奖惩合约为例,通过预置的激励相容机制实现根据数据质量动态调整医保结算系数。该机制遵循“贡献-收益”对等原则,将数据质量维度的准确性、完整性、及时性映射至医保结算系数调整函数:
αi=f(ωacc·Qacc+ωint·Qint+ωtim·Qtim)
(2)
其中,αi为医疗机构i的医保结算系数,Qacc、Qint、Qtim分别代表准确性、完整性、及时性评分,ω为各维度的动态权重参数。当ωacc>ωint>ωtim时,医疗机构将优先提高数据准确性以最大化收益,形成稳定的质量提升策略。相较于传统人工审核机制,智能合约规则库的优势如下:一是实时反馈效率提升,数据质量评估周期缩短,节约时间和人工成本;二是动态适应性强,通过强化学习算法,可实时优化数据治理评估权重ωacc、ωint、ωtim,以应对突发公共卫生事件的变化;三是数据质量改善,提升数据的完整性。这得益于智能合约自动化、规范化执行的特性,减少传统模式下主体间繁琐的协商流程与人为干预,提高数据协同的效率和规范性,充分体现技术创新对优化医疗数据治理流程的重要意义。
4.3.2 采用轻量化区块链存证技术 轻量化区块链存证技术[14]是保障医疗数据安全与可追溯性的关键手段。该技术结合Hyperledger Fabric的Kafka共识机制与星际文件系统(interplanetary file system,IPFS)的内容标识符(content identifier,CID)存储方案,构建高效可靠的存证体系,见图2。当医疗机构向区块链网络提交医疗数据存证请求时,这些请求会被打包成交易消息发送至Kafka消息队列,网络中各节点从队列中获取消息,并按照特定顺序处理,保证所有节点对数据存证的处理顺序一致,从而实现共识。Kafka具有高可靠性和容错性,即使部分节点出现故障,消息也不会丢失,保障了区块链网络的稳定性。在IPFS网络中,每个文件或数据块均被赋予唯一CID。CID是根据文件内容通过加密算法生成的,这意味着只要文件内容不变,其CID就不会改变。当医疗数据存储到IPFS网络时,数据会被分割成多个数据块,并分散存储在多个节点上,而不是集中存储于少数服务器,以降低存储成本,提高数据可靠性。同时,通过CID可以快速定位和检索数据,提高数据访问效率。
图2 基于Hyperledger Fabric与IPFS的医疗数据存证系统
4.3.3 开发跨域数据沙盒环境 在智能合约和轻量化区块链存证技术的基础上,利用同态加密和多方安全计算平台,开发跨域数据沙盒环境,实现“数据可用不可见”。其核心架构包括3层:一是计算隔离层,采用可信执行环境创建硬件级安全飞地,确保原始数据仅在加密态传输;二是协议适配层,定义标准化数据交互接口(如HL7 FHIR R5),支持异构系统的语义互操作;三是审计追踪层,基于轻量化区块链记录数据使用轨迹,满足《通用数据保护条例》与《个人信息保护法》要求。该环境遵循“最小特权原则”,将数据使用权分解为3种,描述性权限允许统计特征提取(如均值、分布),分析性权限支持机器学习模型训练,衍生性权限禁止原始数据重构。
5 结语
本研究构建的“联邦治理×智能合约”双核驱动模型,通过权责分层、制度适配与技术整合,系统性地解决了长三角医疗数据协同面临的标准割裂、激励缺失与隐私冲突3大核心难题,为破解数据协同的“效率-安全-公平”三元悖论提供了兼具理论自洽性与实践可行性的“长三角方案”。该模型的核心价值在于构建了一个可复制的“制度-技术”协同治理框架,不仅服务于区域治理决策,更致力于使数据价值惠及临床科研与公众健康。
然而,本研究尚有不足之处。首先,所提出的协同模型未经历大规模区域实践检验,其运行效能、稳定性与跨省域制度兼容性有待进一步验证;其次,模型中“数据财政”等激励机制处于理论推演阶段,其实际落地与可持续性有待更细化的政策配套与成本分担机制。未来研究将在长三角示范区开展模型试点,通过真实世界数据验证并优化机制性能,为全国范围内的医疗数据协同治理提供可推广的范式参考。
作者贡献:郁文谊负责文献调研、论文撰写;刘亚军负责研究设计、论文审核;郜翀负责研究设计、论文修订。
利益声明:所有作者均声明不存在利益冲突。
1 European Commission. Proposal for a regulation-the European health data space[EB/OL].[2024-04-01].https://health.ec.europa.eu/publications/proposal-regulation-european-health-data-space_en.
2 JAFFE S. 21st century cures act progresses through US congress[J]. Lancet,2015,385(9983):2137-2138.
3 CONCATO J,CORRIGAN-CURAY J. Real-world evidence - where are we now[J]. The New England journal of medicine,2022,386(18):1680-1682.
4 王洪川,张剑波,马伟,等.数字政策引领医疗数据空间的治理逻辑与生态构建:基于“技术-管理-法律”的分析框架[J/OL].中国全科医学,1-8[2025-09-14].https://link.cnki.net/urlid/13.1222.R.20250804.0914.002.
5 刘振涛,李涵,吴浪,等.基于联邦学习的医疗数据共享与隐私保护[J].计算机工程与设计,2024,45 (9):2577-2583.
6 杨庚,王周生.联邦学习中的隐私保护研究进展[J].南京邮电大学学报,2020,40 (5):204-214.
7 安泽心,杜静.融合轻量化区块链的医疗信息安全网络架构设计[J].信息技术,2025(2):28-33.
8 陈英杰,沈济南,梁芳,等.医疗云环境下访问控制增强模型[J].郑州大学学报(理学版),2022,54(5):49-56.
9 盛朝阳.基于智能合约的医疗数据访问控制方法研究[D].郑州:郑州大学,2022.
10 上海市卫生健康委员会.健康上海行动(2019—2030年)[EB/OL].[2024-09-15].https://wsjkw.sh. gov.cn/agwsjkcj2/20190916/0012-65223.html.
11 江苏省人民政府.落实健康中国行动 推进健康江苏建设实施方案[EB/OL].[2024-09-15].https://www. jiangsu.gov.cn/art/2020/2/17/art_64797_8974642.html.
12 浙江省人民政府.关于推进健康浙江行动的实施意见[EB/OL].[2024-09-15].https://www.zj.gov.cn/art/2022/2/16/art_1229019364_2392893.html.
13 盛姝,黄奇,杨洋,等.HL7 FHIR框架下中国医疗领域信息交换研究与解决方案[J].数据分析与知识发现,2021,5(11):13-28.
14 陈嘉莉,马自强,苗莉,等.基于Hyperledger Fabric的电子病历共享方案[J].通信学报,2024,45(S1):60-74.
