我国卫生系统应该在电子病历推广和建设起步之初,及时配套推广应用可靠电子签名及认证服务,从而确保电子病历的法律效力,推动电子病历的健康顺利发展。 采用可靠的电子签名确保电子病历的法律效力 ■ 工业和信息化部信息安全协调司副司长 欧阳武 电子病历是利国利民的基础性工作。 2009年4月,新的医改方案发布。《中共中央国务院关于深化医药卫生体制改革的意见》明确提出,以医院管理和电子病历推动医院信息化建设。 2009年12月,卫生部、国家中医药管理局印发《电子病历基本架构与数据标准(试行)》; 2010年2月,卫生部发布了《电子病历基本规范(试行)》。这些标准和规范为电子病历推广奠定了很好的基础,推广电子病历已经有了一个良好的开端。 推广电子病历 瓶颈在签名 先来介绍两个概念: 现实空间和网络空间。在现实空间当中,也就是在我们的物理世界当中,已经形成了一系列关于病历的规范,如《医疗机构病历管理规定》、《病历书写规范》等。这些规范都是针对纸质病历的,比如说《病历书写规范》第四条要求: “病历书写应该使用蓝黑墨水、碳素墨水。”第八条规定: “病历应该按照规定的内容书写,并且有相应的医务人员签名。” 随着医院电子病历实施的深入,必然会涉及到纸质病历电子化。这就要把现实空间的行为转化成网络空间的行为,建立起科学的现实空间与网络空间的映射关系,把现实空间的信息和各种规章制度映射到网络空间。电子病历就是现实空间纸质病历的映射物,而电子签名是现实空间当中手写签名的映射衍生物。 目前,在法律上确立现实空间和网络空间影射关系,解决从书面文件到电子文件、从手写签名到电子签名的法律效力问题的依据就只有《电子签名法》。只要电子文件能够完成纸质文件同样的功能,只要电子签名能够完成手写签名同样的功能,电子文件就可以替代纸质文件,电子签名可以替代手写签名。 但是,在当前关于电子病历的各种规章制度中,还没有涉及到电子签名问题,所以,电子签名已经成为普及和推广电子病历的一个瓶颈,成为卫生系统推广电子病历及其他关键信息系统不容回避的一个问题。 电子病历应当获得广泛的社会认同 工业和信息化部作为《电子签名法》的授权管理机关,对电子病历当中的签名问题十分重视。因为这是关系到千家万户重大利益的民心工程,如果解决不好,不仅影响医院和医疗信息化建设,更会影响医患关系,失去人民群众对医院、乃至政府的信任。推广电子病历,绝不仅仅是医院的事情,必须得到全社会的广泛认同和支持。 患者依照法律规定要求复印病历资料,医疗机构应该在病历上加盖证明印鉴,医院也有对患者提供病历档案的义务。由于病历的使用范围不仅xx于医院和医务人员,因此关于电子病历的标准规范也应该考虑到社会的认识,这种认识首先就是法律上的认同。 电子病历是一种有特定规范的数据电文,《电子签名法》xx适用于电子病历。几乎所有关于病历的规章制度都要求有签名,对于这种法律法规明确要求签名的文件,《电子签名法》规定: “只有可靠的电子签名,才与手写签名具有同等的法律效应。”也就是说,凡是规章制度要求病历上有签名的地方,必须采用可靠的电子签名,才符合法律规范的要求。 目前来看,电子病历推广主要面临三个问题: 一是电子病历的格式规范,二是电子病历的可靠签名规范,三是可靠电子签名的认证问题。 电子病历的格式规范,可以由卫生行政管理部门或卫生行业的相关机构制定。在电子病历格式规范基础上,电子签名认证管理部门(工信部)要针对这种特定形式的数据电文制定“电子病历可靠签名规范”,该规范必须满足法律对于可靠电子签名的一般要求,同时还要兼顾到电子病历的特殊格式规范要求。关于可靠电子签名认证规范,由于电子签名技术的复杂性,签名鉴辨困难,不借助于特定技术或工具,就不可能辨别出电子签名的真实性,也不可能对签署的完整性、可扩性和不可取代性做出判断。 按需选择 电子认证服务 电子签名与电子认证是两个不同的概念。我们认为,电子文件在医疗卫生领域有三个主要的应用场景,当然这只是典型应用场景,并没有xx囊括。 一是医疗机构或者个人与医疗卫生行政管理部门进行信息交换,譬如: 我们向医政部门报送文件材料等; 二是医院与医院外部的法人机构、自然人进行信息交换,比如医院向医疗事故鉴证机构、医疗保险保障机构、患者及家属等提供文件; 三是医院内部信息交换,比如病区和病案室之间、检查检验部门向病区或门诊部门提供检查结果等。 医院内部使用电子文件和医院外部使用电子文件,这是本质上xx不同的两种应用场景。我们认为,在医院内部使用电子文件,可以通过身份认证授权管理的方式进行; 但是当电子文件出了医院范围,与外部进行信息交换时,必须使用可靠的电子签名,而且这种可靠电子签名必须经过合法的第三方认证机构进行认证。只有这样才能满足法律的要求,才能真正摆脱纸质文件,否则还只能用纸质文件。 还有一点需要强调,电子认证服务机构虽然都获得了行政许可,但是认证的标准是不同的。作为信赖方一定要了解认证服务机构的认证市场,目前绝大多数认证服务机构只提供身份认证服务,当然不排除有很好的认证机构现在已经在做可靠签名的相关工作。电子病历如果只做记录身份的认证,不做记录人签名的认证,该电子病历就不能满足病历规范当中提出的签名要求。所以,需要强调的是,在病历当中不能只是做身份认证,一定要做签名认证。病历一定要经过签署,签署以后的病历是不能更改的。只有这样的签名,才是真正意义上的电子签名,现在很多所谓的“电子病历”只是纸质病历产生的中间过程,到{zh1}还得打印出来再盖一个戳或者签字。 为了区别电子认证服务机构提供的不同认证服务,并根据自己的需要进行选择。信赖方必须了解认证机构的认证策略,了解认证机构签发证书的适用范围。如果认证机构在认证业务规则里面明确说明只做身份认证的,那就不能用在签名上,因为它对签名过程不进行可靠性保障。同时,为了规范认证服务,管理部门也正在研究制定证书策略,通过标准的证书策略规范认证机构服务,帮助信赖方对不同的认证机构和不同的证书进行选择。 总结来讲,用于医院内部的信息交换过程中的认证和用于医院与外部机构之间信息交换过程中的认证要遵守不同的策略。同时,对电子病历可信性的认证与身份真实性认证也要遵守不同的策略。
链 接 电子认证服务管理新进展 工业和信息化部作为电子签名法授权的认证服务管理机关,近年来主要做了以下工作: 一是对认证机构做出行政许可。认证服务是一种信任服务,认证机构必须有工信部对于电子认证服务机构实施行政许可,目前我们已经批准30家认证服务机构,这30家认证服务机构已经向社会发放有效的认证许可超过1000万张,广泛用于政务和商务各个系统当中。目前,此项运用主要解决身份认证问题。 二是对于认证机构运营实行监督。认证机构的运营安全是保障认证可靠性的必要条件,为确保认证服务机构的运用和安全的要求,我们每年会对认证机构的运营情况进行定期检查。经过我们许可,通过检查的认证服务机构不仅在技术系统、技术环境物理环境等硬件上能够满足用户或者是信赖方的安全要求,而且在操作规程、见证流程、人员资质上也能达到相关的要求。 三是制定认证业务规范和标准。为了规范电子认证服务机构,我们不仅制定了电子认证技术规范,而且制定了电子认证机构运营规范。如《电子认证服务机构运营管理规范》、《电子签名的格式规范》、《电子认证服务机构服务质量规范》、《电子签名验证通用规范》等等。 目前我们还在通过科技支撑计划,开展可信数据电文的规范与应用,其中有一项工作就是要进行可信电子记录的规范和标准应用,实际上电子病历就是一种电子记录。(欧阳武) |
