CN102414688A - 用于管理和显示医学数据的方法及系统 - Google Patents

Abstract

本发明涉及医疗数据管理方法及系统，其中，接收患者(6)的医疗数据(22c)以及与该医疗数据(22c)相关联的识别数据(22b)，所述医疗数据(22c)和所述识别数据(22b)作为医疗文件(22)存储在存储系统(2)中，响应于来自未授权接收方(Ni)的请求，修改所述医疗文件(22)的至少一部分以生成至少一个修改文件(22′)，所述修改取决于与所述未授权接收方(Ni)相关联的授权代码(42)，并且向所述未授权接收方(Ni)提供所述至少一条修改文件(22′)或者向授权接收方(6、7)提供未修改的所述医疗文件(22)。本发明在保护患者合法权益的同时，能够使全世界范围内的医学数据库用于研究和全球卫生权益。

Description

用于管理和显示医学数据的方法及系统

技术领域

本发明涉及用于管理和显示分布式数字医学数据的方法，特别是用于管理和显示医学图像的方法(独立权利要求1)，和用于管理和显示所传播的数字医学数据的系统(独立权利要求9)和软件模块(独立权利要求15)。

背景技术

现有的医学信息管理方法和系统通常根据它们所处理的信息类型进行归类。例如，影像归档和通信系统(picture archiving and communicationsystem，PACS)进行数字图像的存储与检索，放射信息系统(radiologyinformation system，RIS)处理患者的人口特征、检查日程安排以及放射报告的存储与检索，实验室信息系统(laboratory information system，LIS)负责实验室结果的存储与检索，医院信息系统(hospital informationsystem，HIS)处理患者的人口特征、付款人信息、医院内的护理的日程安排和协调，计算机化患者处方录入(computerized patient order entry，CPOE)系统获得来自医生的关于患者护理的指示，并且向其它护理人员分配任务，电子病历(electronic medical record，EMR)系统通常利用被称作临床数据中心(clinical data repository，CDR)的存储系统来进行完成的病历的采集和检索。

在医学界中，非常重要的课题是能够将现有系统集成在给定的医疗保健企业内的途径。因特网技术已应用于提供标准用户界面，通过该标准用户界面，借助局域网(LAN)或者广域网(WAN)在附属医疗机构之间共享患者信息。然而，这些解决方案一般限于在一个IT系统内的医院和诊所等附属机构之间共享数字数据。这主要是由于医学数据在本质上仍保持模拟特性，即，基于纸张和基于胶片。当包含数字形式的患者信息时，其格式通常不具有公认的或生效的标准表示(standardrepresentation)。然而，确实存在一些通信标准。HL7或者DICOM是医疗保健环境下的电子数据交换标准。

该标准(最初是由1987年在宾夕法尼亚大学会晤的一群大型医疗保健供应商开发)起初强调以面向患者的入院-出院-转院(admission-discharge-transfer：ADT)顺序的点对点传输，并分享住院环境的信息。如今，HL7规定了用于关于医疗保健企业的各个方面(其包括关于账单、临床路径(clinical pathway)、护理指南、转诊病人和从业人员的相关信息)的信息的交换格式。

医疗实践中用于克服标准化数字数据共享的障碍的一个普通领域是放射学或者诊断性影像学，其中，大量患者信息本身是数字的(例如，核磁共振成像(MR)、计算机断层成像(CT)、正电子发射计算机断层显像(positron emission tomography：PET)等)，或者数字地获得的(计算机射线成像(computed radiography)、数字射线成像(digitalradiography))。近几年来，医院不仅大量地采用数字射线成像系统(digitalradiological system)，而且还实施用于以原始数字形式保存、说明和分布图像的PACS。而且，放射领域是数字数据标准方面的先驱，该领域已创建并采用医学数字成像与通信标准(Digital Imaging andCommunication in Medicine，DICOM)，该标准在全世界范围内被普遍认可并实施(参见“2001 Digital Imaging and Communication in Medicine(DICOM)，NEMA Publications PS 3.1PS 3.12.Rosslyn，Va.：The NationalElectrical Manufacturers Association”(见http://medical.nema.org))。

影像归档和通信系统(PACS)是由各种数字网络所集成的图像和数据采集子系统、存储子系统和显示子系统构成。它可以简单到如同与具有较小图像数据库的显示工作站相连接的形态，或者可以复杂到如同医院图像管理总系统。现在，大多数的作为开放式架构系统开发的临床PACS在图像通信、图像格式和图像管理方面遵循DICOM标准。在放射部门或者医院内部的图像发布和显示主要使用DICOM服务，例如存储、查询/检索、打印等，这些标准化服务极大地且有效地改善了不同制造商的PACS部件之间的可解读性(interpretability)。作为用户用于访问PACS图像的主界面的图像显示工作站是PACS数据流中的末梢部件。根据它们的应用(比如，诊断、复查、分析和互动教学)，它们可粗略归类成不同类型，用于外科手术模拟、放射治疗计划和其它应用的台式工作站亦是如此。放射科医生使用诊断工作站进行初步诊断，这些诊断工作站通常装备有诸如多屏显示模式的高分辨率监视器和具有大容量存储器和快速CPU及GPU的高效计算机等专用硬件，以及专门设计的用于通过患者或研究相关信息来处理多形态图像通信、检查和图像导航、图像处理和控制及作业流程管理的显示软件。

低成本且高效的个人电脑和因特网技术的革新令多媒体信息无处不在。因而，近年来，基于网络的PACS已成为企业内部发布医学图像的主流。与在专用的高速网络基础设施的基础上设计的传统PACS相比，基于网站的PACS使用了较低速的内联网或者因特网TCP/IP(传输控制协议/互联网协议)，从而具有现有低成本通信基础设施的优势。它还包括简易的个人计算机和带有因特网相关技术的网络浏览器。另一方面，传统的PACS使用具有高分辨率监视器的高效工作站和私有软件。因而，基于网站的PACS能够有效地和经济地解决企业内部的图像发布问题。

市场上出现的第一个基于网站的PACS纯粹是传统PACS数据库与根据请求在运行中创建网页的网站服务器之间的链路接口。通用电气公司(General Electric)的基于工作站的PACS的“网站链路(Web-Link)”部件是这类系统的示例。

美国专利第6,934,698号披露了对上述系统的改进，其涉及用于使任何传统的因特网浏览器用作医学工作站功能的医学管理系统。该发明的核心是网站数据库，该网站数据库位于能够从地球上任何位置进行查询的http服务器上。响应于用户请求，图像通过商用扫描器获得、在不损失诊断信息的情况下进行处理、对亮度和对比度进行调节、并且发布在因特网网页上以供浏览。电子邮件服务器通知请求者图像已经发布且能够在适当验证后进行下载。

美国专利第7,234,064号中披露了代替集中式网站兼容数据库(centralized web-compatible database)的另一选择，其涉及在医疗保健提供者不需要彼此预先关联或者认识的情况下为它们建立安全的、中心介导的对等网络(peer-to-peer network)。这里，中心系统用于管理患者权限，而待获取的图像数据位于分布式数据库中。

虽然基于网站的PACS非常高效，但是其受到隐私方面的内在限制。事实上，医学数据是受包括美国的HIPAA和欧洲理事会的官方指示在内的国际数据隐私条例保护的敏感数据，因而不能由未授权人员访问。

虽然目前已披露和提出了各种用于连接各方以共享数字医学信息的方法，但在不具有先验关系(priori relationship)的各方之间的通信方面仍存在着重大障碍，因而在以高质量标准进行医学活动和医学成像时更具有价值的有价值信息的散播也存在障碍。该有价值的信息将有助于推动科学和医学研究，私营公司(制药、医疗器械…)和公共机构(社会保障、政府预算…)将会对该有价值的信息感兴趣，以确保透明度，及更好地监督和控制医疗保健。下面列举一些例子。尽管如此，但每个机构产生的有价值信息中仅极小的一部分被使用。它主要用于监管归档，然后用于诊断支持和对患者的后续跟踪、有时用于内部科研和内部控制。它仅主要代表了成本，而非资源。

这几年来，人们越来越意识到医学数据在世界范围内传播的潜在益处。出于信息性、教育性和学术性的目的，因特网上开始出现一些提供匿名医学数据的共享服务。例如，WebPAX(参见http://www.webpax.com)意在提供令人感兴趣的病例的讨论、描绘各种疾病症状的图像库、新兴的图像技术的讨论和扫描器性能的技术分析。

这些网站服务在万维网(world wide web)上向其客户提供了上传、浏览、共享、下载和讨论数字医学图像的功能。核心是所有文件的匿名化，从而维护了患者隐私。数据的所有者在将数据上传至网络服务器时进行匿名化，从而以便在社会中自由共享这些数据。

这些服务在实现医学数据的潜在全球数据共享方面步入正轨，但是交换的信息限于由用户上传和匿名化的那些数据。上传的数据没有受到验证，所以不能评估这些数据的医学有效性、关联性和一致性。同时，也不能验证由上传数据的用户所提供的附加信息。因而，这些可获得的数据没有受到任何可靠的实体机构或者系统的鉴定。这些数据用来引导及获得一些探索性的建议。但是它们不能用于健康相关的科学研究。

发明内容

因此，本发明的目的是提供一种自动和通用的用于管理和显示分布式数字医学数据(特别是医学图像)的系统及方法，该系统和方法能够在未经患者授权但又完全尊重患者隐私的情况下在全世界范围内提供对相关医疗保健信息文件(特别是诊断图像及有关报告)的受控制的访问。

本发明通过独立权利要求1、9和15的全部特征实现了上述目的。从属权利要求描述和保护了优选实施例。

本发明所保护的医学数据管理方法包括如下步骤：接收与患者相关联的医学数据；接收与所述患者的所述医学数据相关联的识别数据；将所述医学数据和所述识别数据作为医学文件存储在存储系统中；响应于来自未授权接收方的检索请求，修改所述医学文件的至少一部分，并生成至少一个修改文件，其中，所述修改取决于与所述未授权接收方相关联的授权代码；以及向所述未授权接收方提供所述至少一个修改文件，或者向授权接收方提供未修改的所述医学文件。

通过修改所述医学文件中的至少一部分而生成的修改文件可包括来自所述医学文件的匿名信息，或者包括为了向未授权接收方提供信息而从多个医学文件获得的各种医学信息的汇编。

根据本发明一个优选实施例，所述方法还包括如下步骤：设置身份提供器，所述身份提供器用于提供与所述患者、采集机构和/或其它识别数据相关联的所述识别数据，通过所述采集机构向所述存储系统至少部分地提供所述识别数据以识别所述医学数据。所述身份提供器可以是本发明的数据管理系统的一部分或者是用于向采集机构、患者或者诸如医学成像识别等采集工具发布特定识别代码的单独身份提供器。

根据本发明的另一个优选实施例，通过所述方法接收与采集方法相关联的采集数据，所述采集方法用于获得与所述患者相关联的所述医学数据。因此，医学文件可由采集数据、识别数据和医学数据组成。

优选地，采集数据包括头信息，该头信息包括特定的检索要素，例如，疾病类型、采集设备的型号、医学文件所包含的数据类型(例如，MR、CT或者超声波成像数据)、提供数据的格式(例如jpg.、xml.、tif…)、和普通的匿名患者数据(例如，年龄、性别、体重等)。优选地，识别数据包括如下代码，该代码与采集机构(例如医院)、患者、检查形式、患者所使用的药物、用于治疗患者的设备、医生的意见或者诊断和具体涉及该患者本人的其它微妙数据等相关联。

通常，采集机构生成与患者的医学数据相关联的所述采集数据，并且通过解析器向存储系统提供所述医学文件。响应于来自未授权接收方的检索请求或者根据修改程序，所述解析器修改所述医学文件中的至少一部分并生成修改文件，其中，所述修改程序取决于与不同的未授权接收方相关联的授权代码。这意味着，如果有时间和能力执行修改程序，根据未授权接收方的授权代码或者根据解析器所运行的修改程序，解析器可以修改未授权接收方所请求的某些医学文件，其可以是分等级系统，即，根据接收方的授权代码对医学文件进行或多或少的修改，其中，修改程序根据身份提供器所提供的任何可能的授权代码来修改医学文件。

例如，如果身份提供器提供三种不同等级的授权代码(例如，完全访问、匿名访问和统计访问)，在第一步中，一旦未授权接收方发送这种授权代码，解析器修改医学文件，使得所有的医学文件匿名化，以便未授权接收方可以立即检索这些匿名文件；在第二步中，解析器随后通过医学文件的计算数据对原始文件或者修改文件进行修改，以提供各种统计文件，然后所述统计文件作为“修改文件”提供给发送所述“统计授权代码”的未授权接收方。

根据本发明的优选实施例，所述识别数据包括检查检索代码，所述检查检索代码包括：具有与采集机构相关联的信息的机构代码、具有与患者相关联的信息的患者代码和/或具有与检查模式相关联的信息的检查识别代码。优选地，所述授权代码与所请求的医学文件的所述识别数据相比较，以便确定医学文件中需要修改的部分，从而生成所述修改文件。

根据优选实施例，医学数据还保存为修改版本，优选地保存为匿名版本，并且在不核对授权代码的情况下，将采集数据和修改的医学数据作为上述修改文件提供给任何未授权接收方。

响应于来自未授权接收方(未授权接收方取决于它的与不同的未授权接收方相关联的授权代码)的检索请求和/或响应于修改程序，本发明的医学数据管理方法修改所述医学文件中的至少一部分，并生成修改文件。所述修改程序通过使用诸如滤波、数据筛选、分割、分类或者标准化等各种模式来生成至少一个修改文件，从而生成所谓的“第二等级数据”。下面进行如下说明：

在保存原医学文件(包括医学数据和识别数据)的情况下，本发明将这类医学数据用作所谓的“第一等级数据”(其部分地包括例如在X射线图片或者CT图片上与患者的姓名、年龄和性别一起被扫描的识别数据)。然后，医学数据管理方法运行修改程序，修改程序基本上通过使用匿名医学数据来生成“第二等级数据”或者生成更高“等级”的数据。

修改程序能够检验医学数据的一致性，还可以滤波或者补充原始医学数据。通过组合各种医学文件，能够得到新数据。如果医学数据是由图像组成，能够自动改善该图像的质量，能够对图像进行过滤、能够将图像设置为统一格式、能够计算这类图像的剖面图和/或能够对这些图像的显示方式进行标准化。

借助修改程序，能够使用知识表示系统(knowledge representationsystem)进一步计算和限制医学数据。

通过数据筛选方法，能够标准化医学数据(其可能已事先被匿名化)。例如，能够使用患者心脏的三维超声波图像，并且生成诸如四腔切面和两腔切面等标准化的剖面图。这些标准化剖面图可进一步用于统计计算。根据未授权接收方的授权代码，能够向未授权接收方提供第二等级数据或者进一步处理的统计数据(第三等级数据、第四等级数据等)。

此外，还能够使用图像并且对它们的亮度或者对比度进行滤波和/或优化分辨率，以便制备易于比较的标准化视图。此外，还能够在第二级数据或者第三级数据上标记“质量识别符”，该“质量识别符”表示所收到数据的质量。因此，可以对这些数据的用途进行归类和规格化。

此外，通过使用标准，还能够修改从采集机构接收到的采集数据，以便对与这些采集数据相关联的医学数据进行归类。

通过自动生成所述第二级数据，也能够通过重新提交预先计算的数据向采集机构提供计算服务，通过与某些标准相比较能够对该预先计算的数据进行规格化和/或归类。还能够提供某些类别，从而自动向采集机构报告某些风险和/或能够用于划分医学数据的类别。这有利于这些医学数据的分析。如果医学数据划分到某个类别A，并且如果也存在另一个类别B，则医学数据管理方法能够给出所接收数据被归类到某个“风险组”中的比率，然后采集机构能够使用该比率来制定更具有事实依据的诊断。可以通过单独的处理单元或者作为解析器的一部分的处理单元来执行计算服务。解析器通常是汇编器或者编译器中的一个部件，其用于检查正确的语法并且建立隐含在所输入医学数据中的数据结构(通常是某种解析树(parse tree)、抽象语法树或者其它等级结构)。然而，就本发明而言，解析器还包括：其它诸如处理单元等用于分析所生成结构的计算和变换装置、用于修改图像数据的装置、分析器、计算装置或者用于进行标准化或者归类任务的装置。

本发明还涉及医学数据管理系统，该医学数据管理系统包括：网关，其用于接收与患者相关联的医学数据、以及与所述患者的所述医学数据相关联的识别数据；存储系统，其用于将所述医学数据和所述识别数据保存为医学文件；和解析器，其响应于来自未授权接收方的检索请求，修改所述医学文件的至少一部分，并生成至少一个修改文件，其中，所述修改取决于与所述未授权接收方相关联的授权代码。然后，所述解析器还通过所述网关向所述未授权接收方提供所述修改文件，或者向授权接收方提供未修改的文件。

优选地，采集机构和/或接收方、以及医学数据管理系统包括：PACS和在连接所述PACS与所述存储系统之间用作接口以传输具有医学数据的医学文件，该医学数据包括一种或多种图像形式。优选地，所述医学文件和/或所述修改文件以分等级方式布置在所述存储系统中，以使与未授权接收方相关联的授权代码具有提供所述医学文件或者所述修改文件的不同访问权限的功能。

根据本发明的优选形式，患者本人仅拥有访问他自己的医学文件的只读权限，而作为该数据的创作者的采集机构拥有访问该医学文件和/或所述修改文件的全部读写权限。

本发明还涉及用于上述医学数据管理系统或者用于上述医学数据管理方法的软件模块，其中，该软件模块具有如下构件：该构件用于从存储系统读取所述医学文件或者在比较授权代码与识别代码之后修改医学文件，并且用于向未授权接收方提供至少一个修改文件或者向授权接收方提供未修改的医学文件。

一旦数据已经例如以批量模式或者当有来自未授权接收方的访问请求时在运行中传输至存储系统(下面也称为“存储库”或者“中心数据库”)，就会影响所述医学文件(下面也称为“文件”或者“医学文件”或者“医疗保健信息文件”)的修改，特别是影响数字医学图像的修改。在前一种情况下，每个文件同时以原始形式和修改形式保存在存储库中，以便更快地访问；而在后一种情况下，仅仅以原始形式保存文件，并且当等待未授权的访问请求时就例如使用存储缓冲器进行转换或修改。或者，在运行中转换每个文件，但每个转换文件与原始文件一起保存到存储库中而不放置在缓冲器中，以便随后立即进行未授权访问。

根据本发明的优选实施例，对用于未授权接收方(下面也称作“用户”)的文件进行修改，以将不公开或不共享的信息除去，并且匿名化以消除患者个人的任何识别，从而克服了阻碍医疗保健信息数据广泛传播的隐私问题。这样，能够提供一种全球性的PACS，在该全球性的PACS中，当符合授权规定时，任何地方的任何人都可以通过使用因特网浏览和/或下载所有数据。原则上，所有数据均可用，而不限于如现有系统那样由数据的各自所有者上传的那些数据。

本发明代表了对医学数据管理的革新，其能够有利于科学界的巨大进步。事实上，不仅研究、教学和健康机构，而且商业公司也可以访问大量的数据(所有人类数据均能被正确地共享)以例如用于临床试验，因而大量的数据变得公开化，从而实现更容易控制、透明性和可靠性。能够在很短时间内通过大量患者进行分析，而不必寻找或者牵扯许多新患者。可以快速检验生理学假设；可以无需试验就可以在很短时间内验证治疗方案；可以在任何时候对数据和分析进行核实和控制。能够通过系统访问控制来验证试验中所使用的数据，并且可以重新构建科研结论，以提高诊断或者治疗结论的控制，从而减少片面结果的出现。

诊断和治疗能够得到改善。事实上，能够对全世界相似的病症进行比较。能够验证治疗方案并且能够在世界范围内共享稀有病例。每位患者可以从任何地方访问自己的记录，从而避免不必要的在其它机构已完成的重复测试，从而降低成本和减少射线照射。在一家机构(即使是遥远的一家机构)做过的检查可由另一家在特定病理上具有更高质量标准的机构访问以便进行附加诊断，并能够在世界范围内传播诊断质量。

这一切都归功于如下系统：该系统能够提供医学数据(特别是医学图像，但不限于此)的存储、处理以及在医疗保健供应商、医生、生命科学领域的研究人员以及想要访问他们自己的个人记录的单个患者之间的共享。这是因为可以访问原始版本或者修改版本的所有医疗保健信息文件，或者可以访问经计算的、编译版本的所有医疗保健信息文件，在本发明的优选实施方式中，经计算的、编译版本是经过匿名处理的匿名数字编辑版本。

基于上述改进，根据接收方的身份和该文件相关联的识别，提供对医疗保健信息文件的不同类型的访问。与文件相关联的识别也可以包括发送方的例如作为检查检索代码的一部分的识别，检查检索代码包括或者编代码有与采集机构(下文也称为“机构”)、患者和检查形式相关联的识别，使得能够提供对文件的具有不同允许权限的分等级访问。例如，如同通过使用PACS而通常发生的那样，作为信息发送方的机构能够以读/写模式访问数据，以对数据进行更新。

事实上，本发明的系统能够通过连接装置与现有的PACS连接，以便将通过一种或多种成像形式产生的医疗保健信息文件传输至存储库，而且，在特定有利结构中，该系统是PACS本身，特别是基于网站的PACS，其带有包含数据库的存储库，该数据库用于保存在发送机构处通过一种或多种图像形式产生的医疗保健信息文件。优选地，解析器是如下接口：该接口使网站能够访问通过每个发送方的成像模式生成并保存在存储库中以用于后续的授权或未授权访问的医疗保健信息文件。

识别数据还可包括患者的间接参考信息，例如公共的患者数据。在这种情况下，发送方或者采集机构根据本地存档重新构建特定文件的与特定患者的关联。

系统可以包括多个发送方，每个发送方与授权代码及识别相关联。在这种情况下，这些发送方所提供的医疗保健信息文件与一个或多个能够同时识别患者或采集机构的识别符相关联，采集机构通常是发送方。因而，患者和发送方都能够访问与该识别符相关联的未修改医疗保健信息文件。这种访问(其可能是目前正在考虑的内容)只是基本的选择。

如同能够以分等级方式设置数据，以使与该接收方相关联的授权代码具有提供对医疗保健信息文件的不同访问权限的功能。特别是，识别为患者的接收方具有访问他自己的医疗保健信息文件的只读权限。识别为采集机构(如发送方)的接收方具有访问这些文件的全部读/写(R/W)权限，而除了患者和采集机构之外，其它被授权访问患者的医疗保健信息文件的接收方具有访问这些文件的读和/或附加(R/O)权限。这可能是如下情况的机构：该机构并非采集机构，但是，例如在后续检查过程中已经得到患者的授权来处理患者的医疗保健文件。这样能够提供对不同机构不同类型的访问。例如，被授权访问患者的全部记录的机构，例如基于逐个患者授权的机构在后续跟踪检查期间能够通过使用附加权限来访问全部数据，以例如给出待存入病历中的意见或者新的诊断报告。

本发明根据系统的用户提供多个授权等级。举例如下：

等级1全R/W授权         例如，采集机构

等级2限制R/W授权       例如，后续机构

等级3R/O授权           例如，患者

等级4图像和测量的访问  例如，实验室和大学

等级5仅统计数据的访问  例如，WHO

等级6等等……

本说明书为了清楚起见，“授权用户”为“等级1用户”，任何“未授权用户”是等级2和/或更低等级的用户。这意味着，对于上述示例中的任何未授权用户或对于级别为4以下的未授权用户，本发明的系统能够自动修改数据。利用授权代码对授权等级进行编代码。

本发明还对医疗保健信息文件提供了不同的访问标准。例如，对数据的访问可以不完全免费。例如，商业机构可以在支付一些费用的情况下获得访问权，这些费用在发送机构之间分配，以激励他们向社会发布最佳质量的数据。

医疗保健信息文件包括多个文件，例如但不限于：多模式DICOM医学图像、临床记录、网站协议(如，html或者xml标准)。当医疗保健信息文件符合用于人员信息检测的认证和识别标准时，医疗保健信息文件被准许共享。

根据本发明的实施例，修改的医疗保健信息文件包括数字医学图像，该数字医学图像通过除去图像文件上含有此类数据的像素值而被匿名化。在每个医学成像设备中，个人信息在医学图像中的放置位置遵循精确原则。因此，通过识别这些设备以能够知道待删除的信息的位置，从而生成修改图像。

可选地或者同时，修改的医疗保健信息文件包括DICOM医学图像，该DICOM医学图像通过从相应DICOM文件中删除或者修改一个或多个患者的标签，并除去可能存在的包含患者相关信息的图像区域而被匿名化。在DICOM图像中，包含除采集之外的其它信息的图像区域定义在DICOM标签中，并且通过替换这些区域能够容易掩盖该图像区域。DICOM标签还包含文本形式或者二进制形式的患者信息。对此，优选地，与该文件相关联的识别包括与用于执行检查的采集设备相关的信息，从而通过使用根据采集设备的识别选择的一个或多个掩模能够除去图像上的像素。

根据另一个实施例，解析器能够与关系数据库系统耦合，该关系数据库系统能够根据与诸如疾病类型、治疗过程、患者的可用特征、可用图像的多模式完整性等一系列检索条件进行信息检索。通过这种方式，加快了患者信息的检索。

在又一个实施例中，解析器能够通过对数据进行量化操作的一系列工具来重新定向访问。例如，图像量化工具可以分析图像数据，并且用户可以访问取代原始图像的自动量化结果。仅需要统计学上的一系列数据，使得用户可以访问取代全部原始数据的综合统计结果。这种解析器能够重新定向数据，以进行数值模拟类的强化计算操作(intensivecalculation operation)，从而允许访问单个机构内部通常得不到的计算结果。可通过分布在网络上的无限资源(例如，云计算)获得上述计算能力，并且能够在前所未有的水平上进行高级研究。

根据又一实施例，根据接收方的身份，提供对医疗保健信息文件不同类型的访问。通过授权代码以及与这些医疗保健信息文件相关联的识别来提供不同类型的访问，与这些医疗保健信息文件相关联的识别还包括发送方的识别。

具体地，修改的医疗保健信息文件(修改文件)包括数字医学图像，该数字医学图像通过将图像文件上包含这类数据的像素值删除而被匿名化。因此，与这些文件相关联的识别包括与用于执行检查的采集设备相关的信息。通过这种方式，根据采集设备的识别来合适地选择要使用的马赛克，通过使用不同的马赛克除去图像上的像素。

可选地或者同时，修改的医疗保健信息文件包括DICOM医学图像，该DICOM医学图像通过删除或者修改相应DICOM文件中一个或多个患者的标签而被匿名化。

附图说明

通过下面对附图所示的非限制性实施例的说明，本发明的特征及由此产生的有益效果将更加明显。

图1表示本发明的系统的简化框图，

图2表示本发明的医学文件及其识别数据的简化框图，

图3表示本发明的优选DICOM实施例的简化框图，以及

图4表示DICOM文件中与患者数据相关的标签的示例性列表。

具体实施方式

图1表示本发明的系统50的简化框图。

数据管理系统50包括网关21，网关21用于接收图2中表示的医学数据22c。图2表示本发明的医学文件22及其识别数据22b的简化框图。

医学数据22c来源自采集机构7，采集机构7是多名用户N1，N2，N3，……，Nn中之一，所述多名用户N全部连接到网络20。这些用户N可以是采集机构7、患者6本人或者有兴趣访问医学数据管理系统50的存储系统2中所保存的医学文件22的其它机构8。网关21连接至解析器(parser)4，解析器4用作存储系统2的“网守(gatekeeper)”。医学数据22也可以直接从网关21保存到存储系统2，但是反之则不然。

根据未授权接收方8或者授权接收方7的请求，解析器4将检查所提交的授权代码并且向未授权接收方提供修改文件22′或者向授权接收方提供未修改的医学文件22。

系统还包括身份提供器40，身份提供器40连接到网关21和解析器4。系统的每个用户可以向提供识别代码的身份提供器请求各自的识别代码，以便保证所有的代码不是通用的并且得到安全保护。身份提供器40也可以与系统50分开。

如图2所示，优选地，医学文件22是由采集数据22a、识别数据22b和医学数据22c组成。通常，医学数据22c还含有患者个人信息，比如该患者的姓名、年龄、地址和其它数据。优选地，识别数据22b包括机构代码30(CIC)、患者数据31(PPC、SPC)和检查识别代码32(EIC)。这些个人化的代码可以汇总在检查检索代码37(ERC)中。

而且，识别数据22b还可以包括药物信息33、设备信息34、医生意见或者诊断信息35或者其它数据36。根据请求和授权代码的提交，解析器4将检查识别数据和/或采集数据和/或医学数据22c中的哪一个可以提交给接收方，并且解析器4将自动修改医学文件22以产生修改文件22′。所述修改文件例如可以包括：采集数据22a(采集数据22a包括疾病的种类、包括的数据的类型、提供数据的格式，或者其它普通的匿名化数据(例如，年龄、性别))、药物信息33、设备信息34和其它数据36，但不包括包含检查检索代码37、医生意见35和包含在匿名化医学数据22c的诸如通常打印在医学图像上的患者姓名等个性化数据。上述不包括的数据由解析器从医学数据22c中除去。

现在将参照图3和图4说明本发明的优选实施例。

参照图3，本发明的系统包括作为原临床机构(其是采集机构7)的发送方，原临床机构对患者进行多模式的检查采集1，并向存储系统2(在图中表示为DICOM存储系统2，也称为″存储库″)发送相关图像或图像序列(101)，以作为DICOM文件201。通过使用任何已知的TC、MRI、SPECT、PET或X射线等成像方式来执行采集1。输出的图像文件也重新定向至本地存储系统3(301)，本地存储系统3可以完全是传统的PACS或者更有效地是如下数据库：根据当地法规，该数据库在一定时期内仅能够处理患者的人口统计资料和检查报告，以履行跟踪所执行的检查及归档相关报告的法律义务。当图像传输至存储系统2时，本地数据库3需要非常小的存储容量，从而降低了临床机构的硬件成本。事实上，原机构可以直接从DICOM存储系统2完全下载图像，从而实现了真正的网站式PACS，下文将会对此进行说明。如同在传统PACS中，原机构可以直接访问DICOM存储系统2中保存的图像，然而，在图3所示的优选方案中，仅在新图像的上传阶段(201)可以进行这种直接访问，同时由作为媒介的部件(图中表示为DICOM解析器4)进行分析和/或下载(401)，DICOM解析器4对访问数据的整个过程来说是双向的。

如图1所示，解析器4表示存储系统2与想要例如通过诸如因特网等网络20访问数据的用户N1，N2，N3，……，Nn之间的接口。这些用户示例地表示为：

-转诊/附属(referring/satellite)医院/诊所，其表示提供数据的原机构和那些经授权处理全部数据的机构(例如政府机构)，或者表示有权访问特定的患者的数据以例如用于该患者的后续检查的医院；

-医院用户，其表示有权访问自身数据的患者；

-研究人员、医学成像公司、医药公司、卫生组织，其未得到访问全部数据的授权，特别是未得到访问那些含有患者私人信息的数据的授权。

解析器4通常是软件单元，一旦识别出请求者，解析器4运行部分软件代码来管理数据的访问。如果识别出请求者被授权允许访问全部数据，解析器4允许访问原始数据，否则允许访问原始数据的修改版本(即修改文件22′)。

由于在存储库2中归档的文件通常是DICOM文件，所以原始数据的修改版本是具有被掩盖或清除的患者个人数据相关的DICOM标签的文件。图4表示由WebPax推出的Free DICOM Anonymizer清除的DICOM标签的部分列表(参见http://www.webpax.com)，在本发明中也可以考虑将其部分地或整体地作为示例。

由于各种成像设备将患者识别字符串也设置为成像区中的像素形式，所以本发明有利于使用合适的马赛克覆盖这些像素，从而从图像中删除患者的识别数据。由于每个模式在图像上有其自己独特的患者信息图形表示方式，所以优选地，本发明提供采集设备的供应商的识别，以选择合适的用于清除每幅图像上的患者信息的马赛克。

事实上，对于每个成像设备来说，向患者姓名、性别和生日的专有像素区域设置图像光栅(image raster)是常见的，但这些信息通常位于图像的不同位置，因而采集设备需要具有事先知道这些位置以便对这些信息进行正确寻址的功能。

由于隐私是本发明的主要问题，所以下文将会参照用于修改数据以允许未授权用户访问的方法以作为匿名化的方法，但是本领域技术人员应当理解，也可以考虑用其它方法修改原始数据，以便能够根据不同用户所拥有的访问权限，将不同数据透明地及自动地呈献给不同用户。例如，可能会发生如下情况：有权访问完整的患者数据的机构事实上被强制访问类型不同于原始数据的数据。这种修改数据可能只不过是整个病历的一部分。例如，可以掩盖报告、意见或者做出该报告或意见的医生的个人数据，以避免在第二次诊断时可能出现偏见或成见。

在存在来自未授权接收方的访问请求时，一旦例如以批量模式或者在运行(on the fly)中将数据传输至存储库，数据的修改可受到影响。在前一种情况下，每个文档同时以原始形式和修改形式保存在存储库中，以便更快地访问；而在后一种情况下，仅仅以原始形式保存文档，并且当未授权访问的请求即将到来时例如通过使用存储缓冲器来进行转换。或者，在运行中转换每个文档，但不放置在缓存器中，而是与原始文件一起保存在存储库中以便用于随后的未授权访问。因此，对数据修改的处理可以是解析器4的一部分和/或独立部件(通常是软件单元)的一部分，在部分直接作用于存储系统2或者上传过程期间的输入数据。不管哪种情况，最终获得如下系统：该系统能够对具有适于在不定数量的人群之间共享的原始形式或者修改形式的相关医学信息进行管理。

数据访问的管理机制是基于通过参照信息的拥有者(即发送机构和/或患者)对接受者进行的识别。在本发明的实施例中，通过使用图3中表示为临床机构代码30(Clinical Institution Code：CIC)的代码对进行发送至中心存储库2的检查的原机构进行识别。例如，在机构已被系统相关的或者作为系统的一部分的身份提供器40进行设置或者注册的情况下，这类代码单一地分配给该机构。除此之外，它也可以是其它用于识别机构的任何识别。使用由系统(例如身份提供器40)提供的如在图3的实施例中称为个人识别代码(Personal Identification Code，PIC)的患者数据31(例如，患者代码)，或者使用由例如国民健康服务机构(NationalHealth Service)提供的患者个人识别代码，来识别经历检查的患者。只要相关的代码在系统中是唯一的，对于本发明的目的而言，任何用于识别临床机构或者患者的系统都是等效的。例如，这可以通过向任何地方提供的代码添加前缀和/或后缀来实现。

在实施例中，可通过使用在图3中表示为检查检索代码37(ExamRetrieval Code：ERC)的代码来识别机构CIC对患者PIC所做的每项检查，原则上，该代码可以是系统用来处理一条医疗保健信息的唯一代码。事实上，借助解析器4对信息进行的不同访问至少需要采集机构7的识别，从而允许信息发送方能够具有浏览/下载的访问自由。例如，这能够通过向采集机构7分配一定范围的可能ERC来实现，解析器将这些可能ERC识别为来自于这些采集机构7。

如果还允许患者完全访问，存储库中所保存数据的ERC应当以某种方式留存患者的信息，使得解析器能够使患者与其数据相匹配。能够通过利用原采集机构7或根据其内部数据库中的ERC来跟踪每位患者的识别的附属机构来进行这种识别。在这种情况下，患者通过使用例如机构提供给患者的代码和密码能够完全访问自己的数据，这些代码和密码可由作为允许访问特定检查而不需要使用患者的PIC来识别患者的构件的解析器4来识别。

在优选方案中，检查检索代码37(ERC)包括与检查直接相关的数据，例如，采集的日期及时间、所使用的成像设备的型号，这些数据在图3中表示为检查识别代码32(EIC)，检查检索代码37(ERC)还包括与CIC和PIC相关的数据。例如，可通过以任何顺序简单地并排设置这三个代码，或者可通过使用特定的编码方法将这三个代码封装成单个代码，来形成ERC。ERC的生成功能是由图3中的附图标记5表示的模块来实现。生成的ERC通过链路501与相应的DICOM文件(参见链路201)一起传输至DICOM存储系统2。如图3所示，如果机构具有本地备份数据库3，ERC也与图像一起通过链路601和301传输至该数据库。本地存储的图像可以是任何形式(包括DICOM)，这取决于原则上可以是现有技术中任何一种PACS的本地存储/检索系统。

存储系统2可以是任何已知类型，但优选为网站兼容数据库，其是能够通过例如使用标准因特网浏览器从地球上任何位置进行查询的http服务器中的一部分。

解析器4具有例如基于因特网世界中公知的CGI脚本的执行来查询数据库的搜索引擎的形式。解析器4表示系统的数据库2与用户N之间的接口。解析器4大体上是例如使用用户名和密码来验证用户的软件工具，以便将用户的访问重新定向至正确的数据。如果识别出用户没有权力访问全部原始数据，且上述数据库中没有存储修改的数据，解析器4也可以执行脚本来修改数据库中的数据。只要解析器4能够确定地识别用户，能够使用任何类型的验证，例如使用智能卡或者如PKCS的软件证书以提高安全性。这些用户可以是采集机构7、患者6或者任何其他用户8。

在图3中，如果采集机构7试图通过链路401访问一些数据，解析器4验证诸如机构的CIC等授权代码42是否与具有上述数据的数据库2所保存的ERC中编码的CIC相匹配。在确定匹配的情况下，解析器4允许完全读/写访问这些数据，即不仅允许机构解析及下载数据，而且还允许机构修改或者替换它们或者简单添加补充信息，补充信息例如为第二次诊断或者形式不同于其在PACS系统中通常出现的形式的其它图像。

如果ERC中编码的CIC与诸如试图访问一些记录的机构的CIC等授权代码42不匹配，则不将该机构识别为所要访问信息的所有者，并且仅允许该机构访问修改记录(见方框7)，除非患者在场，并提供诸如病人本人的PIC和该机构的CIC等授权代码42。

这可能是对患者进行后续检查或者第二次诊断的机构的情况。只有当患者提供他的授权，才能够访问患者的全部信息。在图3中使用其它机构(其它用户)8表示这种访问形式。在这种情况下，该机构无权修改原始数据(见链路701)，但是能够添加补充信息(见链路801)，例如，其它图像或者诊断报表，人人都可以象获得系统中的任何其它信息那样获得这些原始版本和修改版本的附加补充信息。

如果患者试图通过链路901访问一些数据，解析器4验证患者的PIC是否与具有这些数据的数据库2所保存的ERC中编代码的PIC相匹配。在确认匹配的情况下，解析器4允许患者读取/下载他的数据。在图3中使用方框6表示这种访问模式。

其它类型的访问被视为未授权访问，在某种意味上来说其仅能够解析和/或下载数据的修改版本。在图3中使用其它机构(其它用户)8和链路111表示这种情况。这种类型的访问通常是只读访问。然而，也能够提供一些附加性能，例如，允许用户如在Webpax服务器或者任何其它论坛或者社会网络(如Google健康(http://www.google.com/health))上那样发表评论。这是因为，这些数据是能够在社会中自由共享的匿名数据。由于自动处理文件/图像的有利方式(这代表本发明的核心)，能够共享所有数据，而不仅限于患者提供的数据。此外，这些数据来自于执行检查的原机构，所以它们本身是可靠的。

虽然优选地，例如通过对想要访问这些数据的用户进行验证来设置多种控制，但是原则上可以准许每个人访问匿名数据。本发明还考虑建立一种系统，该系统能够处理在支付一些费用的情况下的访问。例如，商业机构可以在支付一些费用的情况下得到访问权，这些费用在发送机构之间分配，从而激励他们向社会发布最优质的数据。

根据本发明的改进，不仅能够登陆匿名访问，而且可以登陆原始数据的访问，以允许用户能够检查哪些数据受到较频繁地访问。例如，能够通过系统访问控制来验证临床试验中使用的数据，以能够重新构建科学研究结论，从而改善对诊断或者治疗结论的控制以减少片面结果的出现。

解析器4能够与如下关系数据库数据库系统耦合，该关系数据库系统能够基于与诸如疾病类型、治疗过程、患者的可用特征、可用图像的多模式完整性等有关的一系列检索条件进行信息检索。通过这种方式，加速了患者信息的检索。

在另一个实施例中，解析器4能够提供使用对数据进行量化操作的一系列工具来重新定向访问。例如，图像量化工具能够分析图像数据，以允许访问取代初始图像的自动量化结果。仅在统计期间需要一系列数据，以便用户访问取代全部原始数据的综合统计结果。这种解析器能够重新定向数据，以进行强化计算操作(intensive calculation operation)(例如，数值模拟)，从而允许访问单个机构内部通常得不到的计算结果。可通过分布在网络上的无限资源(例如，云计算)获得上述计算能力，并且能够在前所未有的水平上进行高级研究。

尽管通过参照储存库(出于简化目的，其被简述为及认为是中心放置的大型数据库)大体说明了本发明的系统，但应当理解，在不脱离上文和下述权利要求所保护的本发明精神的情况下，在中心服务器的管理下，数据也可在世界范围内同等地分布。

Claims (17)

1.一种医学数据管理方法，其包括如下步骤：

接收与患者(6)相关联的医学数据(22c)，

接收与所述患者(6)的所述医学数据(22c)相关联的识别数据(22b)，

将所述医学数据(22c)和所述识别数据(22b)作为医学文件(22)存储在存储系统(2)中，

其特征在于，还包括如下步骤：

响应于未授权接收方(Ni)的检索请求，修改所述医学文件(22)中的至少一部分，并生成至少一个修改文件(22′)，其中，所述修改取决于与所述未授权接收方(Ni)相关联的授权代码(42)，并且

向所述未授权接收方(Ni)提供所述至少一个修改文件(22′)，和/或向授权接收方(6，7)提供未修改的所述医学文件(22)。

2.如权利要求1所述的医学数据管理方法，还包括如下步骤：提供身份提供器(40)，所述身份提供器(40)用于提供与所述患者(6)、采集机构(7)相关联的所述识别数据(22b)和/或其它识别数据，所述识别数据(22b)被所述采集机构(7)至少部分地提供到所述存储系统(2)以识别所述医学数据(22c)。

3.如权利要求1或2所述的医学数据管理方法，还包括如下步骤：接收与采集方法相关联的采集数据(22a)，所述采集方法用于获得与所述患者(6)相关联的所述医学数据(22c)，其中，所述采集机构(7)生成与所述患者(6)的所述医学数据(22c)相关联的所述采集数据(22a)，并且通过解析器(4)将所述医学文件(22)提供到所述存储系统(2)。

4.如前述权利要求中任一权利要求所述的医学数据管理方法，其特征在于，响应于未授权接收方(Ni)的检索请求和/或响应于修正程序，所述解析器(4)修改所述医学文件(22)的至少一部分并生成修改文件(22′)，响应于未授权接收方(Ni)的检索请求的所述修改取决于与不同的未授权接收方(Ni)相关联的授权代码(42)。

5.如权利要求4所述的医学数据管理方法，其特征在于，所述修正程序通过对所述医学数据(22c)进行滤波、数据筛选、分割、分类和/或标准化来生成至少一个修改文件(22′)。

6.如前述权利要求中的任一权利要求所述的医学数据管理方法，其特征在于，所述解析器(4)通过归类和/或规格化与所述采集数据相关联的所述医学数据(22c)来生成修改文件(22′)，以生成第二等级数据，其中，所述解析器优选地包括用于和/或规格化所述医学数据(22c)的计算构件。

7.如权利要求6所述的医学数据管理方法，其特征在于，所述解析器(4)通过将所述医学数据(22c)与特定标准和/或特定类别进行比较，来规格化和/或归类所述医学数据(22c)。

8.如前述权利要求中任一权利要求所述的医学数据管理方法，其特征在于，所述识别数据(22b)包括检查检索代码(37)，所述检查检索代码(37)包括具有与所述采集机构(7)相关的信息的机构代码(30)、具有与所述患者(6)相关的信息的患者数据(31)和/或具有与检查模式相关的信息的检查识别代码(32)。

9.如前述权利要求中任一权利要求所述的医学数据管理方法，其特征在于，通过比较所述授权代码(42)与被请求的所述医学文件(22)的所述识别数据(22b)，来确定所述医学文件(22)中必须被修改以生成所述修改文件(22′)的部分。

10.如前述权利要求中任一权利要求所述的医学数据管理方法，其特征在于，

所述医学数据(22c)还被存储为修改版本，优选地被存储为匿名版本，并且

根据任一未授权接收方(Ni)的授权级别，将所述采集数据(22a)和修改的所述医学数据(22c)作为所述修改文件(22′)提供到所述未授权接收方(Ni)。

11.一种医学数据管理系统(50)，其包括：

a.网关(21)，其用于接收与患者(6)相关联的医学数据(22c)以及与所述患者(6)的所述医学数据(22c)相关联的识别数据(22b)，以及

b.存储系统(2)，其用于将所述医学数据(22c)和所述识别数据(22b)作为医学文件(22)存储，

其特征在于，

c.解析器(4)，其响应于未授权接收方(Ni)的检索请求，修改所述医学文件(22)中的至少一部分，并生成至少一个修改文件(22′)，其中，所述修改取决于与所述未授权接收方(Ni)相关联的授权代码(42)，以及

d.通过所述网关(21)，所述解析器(4)向所述未授权接收方(Ni)提供所述修改文件(22′)，或者向授权接收方(6、7)提供未修改的所述文件(22)。

12.如权利要求11所述的医学数据管理系统，其中，所述采集机构(7)和/或所述接收方(N)与所述医学数据管理系统(50)包括PACS和连接构件，所述连接构件用于连接所述PACS和所述存储系统(2)，以传输医学文件(22、22′)，所传输的医学文件(22、22′)包括具有一种或多种成像模式的所述医学数据(22c)。

13.如权利要求11或12所述的医学数据管理系统，其中，所述医学文件(22)和/或所述修改文件(22′)以分等级方式设置在所述存储系统(2)中，以使得与所述未授权接收方(Ni)相关联的授权代码(42)提供对所述医学文件(22)和/或所述修改文件(22′)的不同访问权限。

14.如权利要求11-13中任一权利要求所述的医学数据管理系统，其中，识别为所述患者(6)的接收方具有访问他自己的医学文件(22)的只读权限，并且识别为所述采集机构(7)的接收方具有所述医学文件(22)和/或修改文件(22′)的全部读/写访问权限。

15.如权利要求11-14中任一权利要求所述的医学数据管理系统，其中，所述修改文件(22′)包括数字医学图像，所述数字医学图像通过将包含所述数据的像素值从图像文件上删除而被匿名化。

16.如权利要求11-15中任一权利要求所述的医学数据管理系统，其中，所述解析器(4)通过执行计算操作，例如数值模拟，修改多个医学文件(22)，并生成修改文件(22′)，所述修改文件(22′)包括所述多个医学文件(22)的诸如统计数据等数据。

17.一种用于权利要求11-15中任一权利要求所述的医学数据管理系统或用于权利要求1-10中任一权利要求所述的医学数据管理方法的软件模块，所述软件模块包括构件，所述构件用于从所述存储系统(2)读取所述医学文件(22)、修改所述医学文件(22)、比较授权代码(42)与识别代码(22b)、并向所述未授权接收方(Ni)提供所述至少一个修改文件(22′)或者向授权接收方(6、7)提供未修改的所述医学文件(22)。

Images