移动医疗健康档案的隐私安全存储方案

移动医疗健康档案的隐私安全存储方案演讲人01移动医疗健康档案的隐私安全存储方案02引言：移动医疗健康档案隐私安全存储的时代意义03隐私安全风险识别与挑战：移动医疗健康档案存储的现实困境04隐私安全存储的核心技术体系：构建多维防护屏障05合规框架与标准体系建设：让隐私保护有章可循06实践案例与场景化解决方案：从理论到落地的路径07未来挑战与发展趋势：隐私安全存储的前瞻思考08结论：隐私安全存储——移动医疗健康档案的生命线目录01移动医疗健康档案的隐私安全存储方案02引言：移动医疗健康档案隐私安全存储的时代意义移动医疗健康档案的发展现状与价值数字化转型的必然趋势随着移动互联网、物联网、5G等技术的普及，医疗健康服务正从“以医院为中心”向“以患者为中心”转变。移动医疗健康档案作为连接患者、医生、医疗机构的数字化载体，已覆盖电子病历、检验检查结果、远程监测数据、用药记录等全维度信息。据《中国移动医疗健康市场研究报告》显示，2023年我国移动医疗用户规模达7.2亿，其中85%的患者期望通过移动终端随时访问个人健康档案。这种便捷性不仅提升了医疗服务效率，更推动了分级诊疗、慢病管理等创新模式的落地。移动医疗健康档案的发展现状与价值健康档案在医疗连续性中的核心作用在临床实践中，健康档案的连续性直接关系到诊疗质量。例如，糖尿病患者需要长期监测血糖数据，心脏病患者需实时追踪心电图变化，这些分散在不同医疗机构、不同时间点的数据，通过移动医疗档案得以整合。当患者转诊或急诊时，医生能快速调阅完整病史，避免重复检查，甚至能通过AI算法预测健康风险。这种“数据驱动的医疗决策”模式，正是健康档案的核心价值所在。移动医疗健康档案的发展现状与价值移动端访问带来的便捷与挑战移动终端的便携性打破了时间与空间的限制——偏远地区患者可通过手机上传体检报告，三甲医生能远程会诊罕见病，老年人通过智能手表监测心率。然而，这种“随时随地”的访问模式，也使得数据暴露面扩大：手机丢失、公共Wi-Fi劫持、APP漏洞等问题，都可能让敏感健康数据面临泄露风险。正如我在某三甲医院参与数据安全调研时，一位心内科医生所言：“患者愿意把健康数据交给我们，是对医疗体系的信任，而我们最大的责任，就是不让这份信任被辜负。”隐私安全存储的核心地位医疗数据的特殊敏感性健康档案是最高级别的个人信息，不仅包含生理指标、病史等隐私内容，还关联着基因、行为等敏感数据。一旦泄露，可能导致患者遭受歧视（如保险拒保、就业限制）、名誉损害，甚至威胁生命安全——例如，艾滋病患者的病史泄露可能引发社会偏见，而心脏病患者的实时监测数据被窃取，可能被不法分子用于精准诈骗。隐私安全存储的核心地位信任机制构建的基础隐私安全是移动医疗的“生命线”。2022年某省某APP因数据泄露导致10万患者信息被售卖，事件曝光后用户量断崖式下跌，平台公信力荡然无存。反观国际成功案例，如美国EpicSystems通过端到端加密和严格的权限管理，建立了“医疗数据安全标杆”形象，吸引了全美超2.5亿患者使用。这证明：只有当用户确信数据安全时，才会主动参与数据共享，形成“数据-服务-信任”的正向循环。隐私安全存储的核心地位行业可持续发展的前提随着《个人信息保护法》《数据安全法》的实施，医疗数据已成为法律重点保护对象。企业若忽视隐私安全，不仅面临巨额罚款（最高可达上年度营收5%），更可能被市场淘汰。同时，隐私安全存储也是医疗数据价值释放的前提——只有合规、可信的数据，才能用于科研创新（如新药研发、流行病学研究），推动整个医疗行业的进步。03隐私安全风险识别与挑战：移动医疗健康档案存储的现实困境数据全生命周期的安全威胁数据采集端风险：设备漏洞与传感器篡改移动医疗数据的采集终端（如智能手环、家用血压计、远程诊疗设备）存在固有安全风险。部分厂商为降低成本，使用低安全性芯片或未加密的传输协议，导致数据在采集环节即被窃取。2023年某研究机构测试发现，12款热门健康监测设备中，7款存在蓝牙配对漏洞，攻击者可在百米范围内截取用户心率、血压数据。此外，恶意软件可通过伪造传感器数据（如伪造血糖值），误导医生诊疗决策，造成医疗事故。数据全生命周期的安全威胁数据传输端风险：无线窃听与中间人攻击移动健康档案多通过4G/5G、Wi-Fi等无线网络传输，这些信道易受“中间人攻击”（MITM）——攻击者伪装成合法节点，截获或篡改传输数据。例如，2021年某医院远程会诊系统因未强制使用TLS1.3协议，导致2000份患者影像数据在公共Wi-Fi下被窃取。此外，跨机构数据共享时，若接口认证机制薄弱，也可能成为攻击突破口。数据全生命周期的安全威胁数据存储端风险：终端丢失与云端泄露移动终端（手机、平板）的物理丢失是数据泄露的常见原因。某调查显示，30%的医护人员曾因手机丢失导致患者数据外泄。云端存储方面，部分医疗机构为降低成本，选择未通过等保三级认证的公有云，或因配置错误（如存储桶公开访问）导致数百万条健康数据暴露。更隐蔽的是内部人员越权访问——某三甲医院IT管理员曾利用权限批量拷贝患者档案，用于非法贩卖。数据全生命周期的安全威胁数据使用与销毁端风险：滥用与未彻底删除健康档案在使用过程中存在“二次滥用”风险：部分APP过度收集数据（如经期记录、睡眠质量），用于精准广告推送；科研机构在数据脱敏不彻底的情况下，对外共享研究数据，导致患者身份被重识别。此外，当用户注销账号或APP卸载时，数据若未彻底删除（仅标记“逻辑删除”），仍可通过数据恢复工具被窃取。典型安全事件剖析与反思1.案例一：某三甲医院APP数据泄露事件（技术漏洞与人为因素）2022年，某省立医院移动APP因未对API接口进行速率限制，导致黑客通过暴力破解获取10万患者信息，包括身份证号、病历摘要。调查发现，该系统虽部署了WAF（Web应用防火墙），但管理员未开启“异常登录检测”功能，且部分员工使用弱密码（如“123456”）。事件暴露出“技术防护不到位+人员安全意识薄弱”的双重漏洞。典型安全事件剖析与反思案例二：跨境医疗数据合规风波（法规差异与属地化要求）某跨国医疗科技公司为方便全球患者访问，将中国用户的健康档案存储在海外服务器。此举违反《数据安全法》“重要数据本地化存储”规定，被处以5000万元罚款。该案例警示：医疗数据跨境传输需通过安全评估，并采取“数据脱敏+加密传输”等保护措施，绝不能因“追求全球化”而忽视合规红线。典型安全事件剖析与反思案例三：基层医疗机构数据丢失事件（管理缺失与资源不足）某乡镇卫生院因服务器老化，未及时备份数据，导致5000份慢性病患者档案永久丢失。这些患者多为老年人，后续治疗因缺乏病史记录而受阻。这一事件折射出基层医疗机构在数据安全上的“三缺”：缺专业人才、缺资金投入、缺管理制度，亟需低成本、易落地的安全方案。复合型挑战的叠加效应技术迭代与安全防护的滞后性移动医疗技术更新速度远超安全防护能力。例如，可穿戴设备从单参数监测（步数）发展到多参数融合（血氧、心电图），但安全协议仍停留在基础加密阶段；AI辅助诊断的普及，使得海量健康数据用于模型训练，但数据“可用不可见”的技术（如联邦学习）尚未广泛应用。复合型挑战的叠加效应用户隐私认知与操作行为的错位调查显示，65%的用户认为“健康数据很重要”，但仅23%会仔细阅读APP隐私协议，12%曾在公共设备上登录医疗账号。这种“高期待、低行动”的矛盾，使得钓鱼攻击、恶意软件等社会工程学攻击有机可乘。复合型挑战的叠加效应数据共享需求与隐私保护的平衡难题分级诊疗要求“基层检查、上级诊断”，需跨机构共享数据；科研创新需要整合多中心数据，以提升样本量。但数据共享必然增加暴露风险，如何在“共享”与“安全”间找到平衡点，是行业亟待解决的难题。04隐私安全存储的核心技术体系：构建多维防护屏障数据加密技术：从“可用不可见”到“可用可算”传输加密：TLS/SSL协议的应用与优化健康数据在传输过程中必须采用强加密协议（如TLS1.3），并配合“证书固定技术”（CertificatePinning）防止中间人攻击。针对移动端弱网环境（如电梯、地铁），可采用“会话复用+短证书链”优化，降低延迟。例如，某远程医疗平台通过TLS1.3协议，将数据传输耗时从300ms降至80ms，同时实现“前向保密”——即使长期密钥泄露，历史通信数据仍无法被解密。数据加密技术：从“可用不可见”到“可用可算”存储加密：分层加密与密钥隔离根据数据敏感度实施分级存储加密：核心数据（如基因序列）采用AES-256全盘加密；一般数据（如体检报告）采用字段级加密；缓存数据（如APP临时存储）采用内存加密技术（如ARMTrustZone）。密钥管理需遵循“隔离存储”原则——将密钥与数据分离存储，并使用硬件安全模块（HSM）保护主密钥。例如，某医院采用“HSM+白盒加密”方案，即使服务器被物理窃取，攻击者也无法解密数据。数据加密技术：从“可用不可见”到“可用可算”高级加密技术：同态加密与联邦学习为解决“数据可用不可见”难题，同态加密（FHE/HE）和联邦学习成为新兴方向。同态加密允许直接在加密数据上计算，例如，多医院可在不共享原始病历的情况下，联合训练糖尿病预测模型。联邦学习则通过“数据本地化训练+模型参数聚合”，避免原始数据出库。某肿瘤医院采用联邦学习技术，整合了全国20家医院的10万份病例，模型准确率达92%，且无一患者数据泄露。细粒度访问控制：实现“最小权限”与“动态授权”基于角色的访问控制（RBAC）在医疗场景的适配传统RBAC按“角色-权限”分配访问权，但医疗场景中，同一角色（如医生）在不同情境下需差异化权限——例如，急诊医生需快速查看患者全部病史，而实习医生仅能查看部分非敏感记录。为此，可引入“情境感知RBAC”：结合时间、地点、设备状态动态调整权限。例如，某医院规定“医生在工作时间、院内网络、认证设备上可访问完整病历，其他场景仅能查看脱敏数据”。2.基于属性的访问控制（ABAC）：患者自主授权与医生权限动态调整ABAC通过“主体属性（如医生职称）、客体属性（如数据密级）、环境属性（如访问目的）”动态判断权限，更贴合医疗场景的复杂性。例如，患者可在APP中设置“仅允许主治医生在‘术后复查’场景下查看‘手术记录’”，这种“细粒度到字段、场景化到目的”的授权，极大提升了患者控制力。某互联网医院平台引入ABAC后，患者数据投诉量下降72%。细粒度访问控制：实现“最小权限”与“动态授权”多因素认证（MFA）：生物识别与令牌的协同应用为防止账号被盗，需强制MFA认证：第一因子（密码/指纹）、第二因子（短信验证码/动态令牌）、第三因子（人脸识别/设备指纹）。例如，某移动医疗APP采用“指纹+设备指纹”双重认证，即使用户密码泄露，攻击者在陌生设备上也无法登录。针对老年群体，还可支持“声纹识别”等无接触认证方式。细粒度访问控制：实现“最小权限”与“动态授权”权限审计与追溯：操作日志的完整性与不可篡改性所有数据访问操作需记录“谁、何时、何地、访问了什么、做了什么”，并采用区块链技术确保日志不可篡改。例如，某医院通过联盟链记录数据访问日志，一旦发生泄露，可通过日志快速定位责任人，追溯泄露路径。数据脱敏与匿名化：平衡数据价值与隐私保护静态脱敏：测试环境数据去标识化处理在开发、测试环境中，需对健康数据进行脱敏处理：直接标识符（姓名、身份证号）用虚构值替换，间接标识符（年龄、职业）通过“泛化”（如“25-30岁”替换为“20-30岁”）或“抑制”（隐藏）处理。例如，某医疗软件公司采用K-匿名技术，确保脱敏后的数据无法与具体个人关联，通过了等保三级测评。数据脱敏与匿名化：平衡数据价值与隐私保护动态脱敏：生产环境实时遮挡敏感字段生产环境中，根据用户权限动态脱敏数据。例如，护士查看病历仅能看到“患者，男，45岁，高血压病史”，而主治医生可看到具体用药剂量和不良反应记录。动态脱敏可通过数据库中间件实现，对应用透明，不影响业务性能。3.匿名化技术：k-匿名、l-多样性、t-接近性在医疗数据中的实践k-匿名要求“每条记录至少有k条记录无法区分”，但可能存在“同质性攻击”（如所有记录均为“45岁男性高血压患者”）；l-多样性要求“每等价类至少有l种敏感值”，解决同质性攻击；t-接近性则进一步限制敏感值分布与整体分布的差距。例如，某研究机构在发布糖尿病流行病数据时，采用t-接近性技术，既保留了数据统计价值，又确保无法反推个体患病情况。安全存储架构：本地与云端的协同与可信混合云存储架构：敏感数据本地化、非敏感数据云端化根据数据敏感度采用“本地+云端”混合存储：核心数据（如手术记录、基因数据）存储在本地私有云或边缘节点，非敏感数据（如体检报告、随访记录）存储在合规公有云。例如，某医联体采用“1个中心私有云+N个基层边缘节点”架构，既满足数据本地化要求，又实现了区域数据共享。2.边缘计算在隐私保护中的作用：数据就近处理减少传输风险边缘计算将数据处理从云端下沉至用户附近（如医院本地服务器、社区健康驿站），减少数据传输距离和暴露风险。例如，智能手环采集的心电数据，先在边缘节点进行初步异常检测，仅将异常数据上传至云端，降低90%的数据传输量。安全存储架构：本地与云端的协同与可信区块链技术的应用：数据溯源、访问审计、智能合约授权区块链的不可篡改特性适用于医疗数据溯源：将数据访问记录、脱敏操作、共享协议上链，确保全流程可追溯。例如，某区域医疗健康平台采用以太坊联盟链，记录了200万次数据共享操作，因数据归属纠纷引发的诉讼量下降85%。此外，智能合约可实现“自动授权与计费”，例如患者授权某研究机构使用其数据后，系统自动完成数据传输并支付报酬。安全存储架构：本地与云端的协同与可信灾备与恢复：RTO/RPO指标下的高可用方案设计根据业务连续性要求设计灾备方案：RTO（恢复时间目标）≤30分钟，RPO（恢复点目标）≤5分钟。可采用“两地三中心”架构（主数据中心+同城灾备中心+异地灾备中心），配合实时数据同步（如基于CDP的连续数据保护）。例如，某医院通过“本地SSD存储+同城云灾备”方案，在主数据中心火灾后，15分钟内恢复系统，数据丢失量仅1分钟。05合规框架与标准体系建设：让隐私保护有章可循国内外法律法规的合规要求1.国内法规体系：《个人信息保护法》《数据安全法》《医疗卫生机构网络安全管理办法》《个人信息保护法》明确“健康敏感信息”需取得“单独同意”，且“最小必要”收集；《数据安全法》要求建立数据分类分级制度，对“重要数据”进行重点保护；《医疗卫生机构网络安全管理办法》则规定三级医院需通过等保三级，并定期开展安全审计。例如，某民营医院因未经同意收集患者基因数据，被处以800万元罚款，法定代表人被列入征信黑名单。国内外法律法规的合规要求2.国际法规对比：HIPAA（美国）、GDPR（欧盟）、PDPA（新加坡）HIPAA聚焦“医疗隐私与保险可携性”，要求coveredentities（医院、保险公司等）签署“保密协议”；GDPR以“被遗忘权”“数据可携权”为核心，违规处罚可达全球营收4%；PDPA则强调“目的限制”和“数据保护官（DPO）”制度。例如，某跨国药企因未满足GDPR的“数据删除权”要求，在欧盟被罚7500万欧元。3.合规重点：告知-同意、目的限制、数据最小化、跨境传输规则合规落地的核心是“告知-同意”流程：APP需用通俗语言说明“收集什么数据、为什么收集、如何使用”，并提供“撤回同意”选项。例如，某健康类APP通过“可视化隐私协议”（用图标展示数据用途），使用户同意率从38%提升至78%。行业标准与最佳实践HL7FHIR标准：数据互操作性与安全扩展HL7FHIR（FastHealthcareInteroperabilityResources）是国际通用的医疗数据交换标准，其“安全扩展（SecurityExtensions）”定义了数据加密、签名、访问控制等规范。例如，某区域医疗平台采用FHIRR4标准，实现了23家医院检验结果互通，并通过“OAuth2.0+OpenIDConnect”完成用户身份认证。行业标准与最佳实践医疗健康数据分类分级指南：不同级别数据的差异化保护国家卫健委《医疗健康数据分类分级指南（试行）》将数据分为“公开、内部、敏感、高度敏感”四级：公开数据（如医院地址）可自由流通；内部数据（如科室排班）需内部授权；敏感数据（如病史摘要）需加密存储；高度敏感数据（如基因序列）需本地存储且严格访问控制。3.安全评估与认证：等级保护2.0、ISO27799医疗信息安全管理等保2.0要求医疗系统根据重要性分为1-5级，三级系统需满足“入侵防范、恶意代码防范、安全审计”等严格要求；ISO27799则基于ISO27001，专门规范医疗信息安全管理。例如，某互联网医院通过等保三级和ISO27799双认证，用户信任度提升40%，合作医疗机构数量增加50家。合规管理体系的落地实施隐私影响评估（PIA）流程设计在数据收集前开展PIA：识别数据处理目的、范围，评估对隐私的影响，提出风险缓解措施。例如，某医院在上线“互联网护理”服务前，通过PIA发现“护士上门采集数据时可能泄露隐私”，遂采用“移动端数据加密+现场拍照模糊化处理”方案，避免了风险。合规管理体系的落地实施数据安全责任制与人员培训建立“一把手负责制”，设立首席数据安全官（CDSO），明确各岗位安全职责（如医生需签署《数据保密承诺书》）。定期开展培训：针对医护人员，重点讲解“防钓鱼、防泄露”；针对IT人员，培训“漏洞修复、应急响应”。例如，某三甲医院通过“情景模拟演练+安全知识竞赛”，员工安全测试通过率从65%升至98%。合规管理体系的落地实施应急响应机制与事件报告流程制定《数据安全事件应急预案》，明确“事件分级（一般/较大/重大/特别重大）、响应流程（报告-研判-处置-恢复）、责任分工”。例如，某医院APP发生数据泄露后，1小时内启动预案，2小时内通知受影响用户，24小时内向监管部门报告，最终将损失控制在5000条数据以内，未引发舆情。06实践案例与场景化解决方案：从理论到落地的路径大型综合医院：多系统整合的一体化存储方案1.背景需求：电子病历、影像数据、检验结果的统一存储与安全共享某三甲医院拥有HIS、LIS、PACS等12个系统，数据分散存储，跨科室调阅需重复登录，且存在“数据孤岛”问题。同时，医院需与医联体单位共享数据，但传统方式（如U盘拷贝）效率低且易泄露。2.方案设计：私有云+混合云架构，加密+ABAC+区块链审计-存储架构：部署本地私有云，整合所有系统数据，采用Ceph分布式存储实现高可用；非敏感数据（如体检报告）同步至合规公有云（如阿里云医疗专有云）。-安全防护：核心数据采用AES-256+白盒加密；访问控制基于ABAC，医生权限动态调整；所有数据共享操作上联盟链，实现可追溯。-优化措施：通过FHIR标准统一数据接口，开发“一站式数据调阅平台”，支持手机端快速访问。大型综合医院：多系统整合的一体化存储方案3.实施效果：数据泄露事件下降80%，跨科室协作效率提升40%方案上线后，医生通过手机可在3秒内调阅患者全量数据，平均会诊时间从45分钟缩短至15分钟；2023年全年未发生数据泄露事件，患者满意度提升至96%。基层医疗机构：轻量化、高性价比的安全存储方案背景需求：设备有限、人员不足，满足基本诊疗数据安全某乡镇卫生院配备2台老旧服务器，1名兼职IT人员，需存储5000份慢性病患者档案。此前曾因服务器故障导致数据丢失，且无法满足上级医院数据调阅需求。2.方案设计：本地存储终端+安全云备份，简化操作界面，自动化加密-硬件部署：采用“轻量化服务器+NAS存储”方案，服务器部署Ubuntu系统，安装开源医疗软件（如OpenMRS）；NAS采用双盘位RAID1，防止单点故障。-数据备份：通过rsync工具每日增量备份至云端（使用腾讯云医疗云备份服务），备份前自动加密（AES-128）。-操作简化：开发“一键备份”“权限分配”图形化界面，村医无需技术背景即可操作。基层医疗机构：轻量化、高性价比的安全存储方案背景需求：设备有限、人员不足，满足基本诊疗数据安全3.实施效果：数据丢失率为0，通过基层医疗数据安全合规检查方案上线后，卫生院数据恢复时间从4小时缩短至15分钟，2023年通过省级基层医疗数据安全检查，并成功接入县域医共体平台，患者数据可实时上传至县级医院。个人用户端：自主可控的隐私保护体验背景需求：患者对自身数据的知情权、控制权需求-端到端加密：采用SignalProtocol，确保数据在传输和存储过程中均加密，平台也无法解密原始数据。-隐私仪表盘：用户可查看“数据收集清单”（如“步数、心率、睡眠”）、“共享记录”（如“已授权北京协和医院研究”），支持“一键撤回授权”。-数据携带权：支持用户导出全部健康数据（采用FHIR标准格式），并可选择“删除全部数据”（彻底清除物理存储和云端备份）。2.方案设计：端到端加密APP，隐私仪表盘，授权记录可追溯某互联网医疗平台拥有3000万用户，调研显示78%用户希望“自主管理数据授权”，65%用户担心“数据被用于商业推送”。在右侧编辑区输入内容个人用户端：自主可控的隐私保护体验背景需求：患者对自身数据的知情权、控制权需求3.用户反馈：数据安全感提升，健康档案共享意愿增强65%方案上线后，用户投诉量下降58%，数据导出请求量增长3倍（用户更愿意将数据提供给正规科研机构）；平台与10家三甲医院开展科研合作，数据共享效率提升50%。07未来挑战与发展趋势：隐私安全存储的前瞻思考新技术带来的新挑战AI与大数据：模型训练中的隐私保护AI辅助诊断需要海量数据训练，但原始数据包含大量隐私信息。传统“数据集中训练”模式存在泄露风险，而联邦学习、差分隐私等技术仍存在“模型inversionattack”（通过模型反推训练数据）、“梯度泄露”等问题。未来需发展“隐私保护联邦学习”（如安全聚合、同态加密梯度），实现“数据不动模型动”。新技术带来的新挑战物联网设备：海量边缘节点的数据采集与传输安全可穿戴设备、智能药盒等终端数量激增，2025年全球医疗IoT设备将超50亿台。这些设备计算能力弱、存储空间小，易被攻击（如固件篡改、DDoS攻击）。未来需推广“轻量化安全协议”（如TinyDTLS）、“设备身份认证”（如区块链数字证书），构建“端-边-云”协同安全体系。3.元宇宙与数字孪生：虚拟身份与医疗数据的融合风险元宇宙中的“数字孪生患者”需映射真实生理数据，若虚拟身份被盗用，可能导致现实世界中的身份盗用或精准诈骗。未来需研究“元宇宙数据加密技术”（如VR/AR环境下的生物特征加密）、“虚拟身份与真实数据分离机制”，确保虚实数据交互安全。技术演进方向零信任架构（ZeroTrust）：从不信任到持续验证零信任的核心是“永不信任，始终验证”，默认拒绝所有访问请求，基于身份、设备、上下文动态授权。医疗数据存储需采用零信任架构：所有访问（包括内部员工）需通过多因素认证，操作行为实时监控，异常访问自动阻断。例如，某医疗集团部署零信任网关后，内部越权访问事件下降90%。技术演进方向隐私增强技术（PETs）的规模化应用PETs（包括同态加密、联邦学习、差分隐私、可信执行环境TEE）将从“实验室走向大规模商用”。未来医疗数据存储将形成“PETs技术栈”：用TEE保护数据计算环境，用联邦学习实现跨机构模型训练，用差分隐私发布统计结果，用同态加密处理加密数据查询。3.量子加密：后量子密码学（PQC）的准备与部署量子计算的“Shor算法”可破解现有RSA、ECC等加密算法，威胁医疗数据长期安全。未来需提前部署PQC算法（如