采用可靠的電子簽名確保電子病歷

我國衛生系統應該在電子病歷推廣和建設起步之初，及時配套推廣應用可靠電子簽名及認證服務，從而確保電子病歷的法律效力，推動電子病歷的健康順利發展。

電子病歷是利國利民的基礎性工作。 2009年4月，新的醫改方案發布?！吨泄仓醒雵鴦赵宏P于深化醫藥衛生體制改革的意見》明確提出，以醫院管理和電子病歷推動醫院信息化建設。

2009年12月，衛生部、國家中醫藥管理局印發《電子病歷基本架構與數據標準(試行)》; 2010年2月，衛生部發布了《電子病歷基本規范(試行)》。這些標準和規范為電子病歷推廣奠定了很好的基礎，推廣電子病歷已經有了一個良好的開端。

推廣電子病歷瓶頸在簽名

先來介紹兩個概念: 現實空間和網絡空間。在現實空間當中，也就是在我們的物理世界當中，已經形成了一系列關于病歷的規范，如《醫療機構病歷管理規定》、《病歷書寫規范》等。這些規范都是針對紙質病歷的，比如說《病歷書寫規范》第四條要求: “病歷書寫應該使用藍黑墨水、碳素墨水。”第八條規定: “病歷應該按照規定的內容書寫，并且有相應的醫務人員簽名。”

隨著醫院電子病歷實施的深入，必然會涉及到紙質病歷電子化。這就要把現實空間的行為轉化成網絡空間的行為，建立起科學的現實空間與網絡空間的映射關系，把現實空間的信息和各種規章制度映射到網絡空間。電子病歷就是現實空間紙質病歷的映射物，而電子簽名是現實空間當中手寫簽名的映射衍生物。

目前，在法律上確立現實空間和網絡空間影射關系，解決從書面文件到電子文件、從手寫簽名到電子簽名的法律效力問題的依據就只有《電子簽名法》。只要電子文件能夠完成紙質文件同樣的功能，只要電子簽名能夠完成手寫簽名同樣的功能，電子文件就可以替代紙質文件，電子簽名可以替代手寫簽名。

但是，在當前關于電子病歷的各種規章制度中，還沒有涉及到電子簽名問題，所以，電子簽名已經成為普及和推廣電子病歷的一個瓶頸，成為衛生系統推廣電子病歷及其他關鍵信息系統不容回避的一個問題。

電子病歷應當獲得廣泛的社會認同

工業和信息化部作為《電子簽名法》的授權管理機關，對電子病歷當中的簽名問題十分重視。因為這是關系到千家萬戶重大利益的民心工程，如果解決不好，不僅影響醫院和醫療信息化建設，更會影響醫患關系，失去人民群眾對醫院、乃至政府的信任。推廣電子病歷，絕不僅僅是醫院的事情，必須得到全社會的廣泛認同和支持。

患者依照法律規定要求復印病歷資料，醫療機構應該在病歷上加蓋證明印鑒，醫院也有對患者提供病歷檔案的義務。由于病歷的使用范圍不僅僅限于醫院和醫務人員，因此關于電子病歷的標準規范也應該考慮到社會的認識，這種認識首先就是法律上的認同。

電子病歷是一種有特定規范的數據電文，《電子簽名法》完全適用于電子病歷。幾乎所有關于病歷的規章制度都要求有簽名，對于這種法律法規明確要求簽名的文件，《電子簽名法》規定: “只有可靠的電子簽名，才與手寫簽名具有同等的法律效應?！币簿褪钦f，凡是規章制度要求病歷上有簽名的地方，必須采用可靠的電子簽名，才符合法律規范的要求。

目前來看，電子病歷推廣主要面臨三個問題: 一是電子病歷的格式規范，二是電子病歷的可靠簽名規范，三是可靠電子簽名的認證問題。

電子病歷的格式規范，可以由衛生行政管理部門或衛生行業的相關機構制定。在電子病歷格式規范基礎上，電子簽名認證管理部門(工信部)要針對這種特定形式的數據電文制定“電子病歷可靠簽名規范”，該規范必須滿足法律對于可靠電子簽名的一般要求，同時還要兼顧到電子病歷的特殊格式規范要求。關于可靠電子簽名認證規范，由于電子簽名技術的復雜性，簽名鑒辨困難，不借助于特定技術或工具，就不可能辨別出電子簽名的真實性，也不可能對簽署的完整性、可擴性和不可取代性做出判斷。

按需選擇

電子認證服務

電子簽名與電子認證是兩個不同的概念。我們認為，電子文件在醫療衛生領域有三個主要的應用場景，當然這只是典型應用場景，并沒有完全囊括。

一是醫療機構或者個人與醫療衛生行政管理部門進行信息交換，譬如: 我們向醫政部門報送文件材料等; 二是醫院與醫院外部的法人機構、自然人進行信息交換，比如醫院向醫療事故鑒證機構、醫療保險保障機構、患者及家屬等提供文件; 三是醫院內部信息交換，比如病區和病案室之間、檢查檢驗部門向病區或門診部門提供檢查結果等。

醫院內部使用電子文件和醫院外部使用電子文件，這是本質上完全不同的兩種應用場景。我們認為，在醫院內部使用電子文件，可以通過身份認證授權管理的方式進行; 但是當電子文件出了醫院范圍，與外部進行信息交換時，必須使用可靠的電子簽名，而且這種可靠電子簽名必須經過合法的第三方認證機構進行認證。只有這樣才能滿足法律的要求，才能真正擺脫紙質文件，否則還只能用紙質文件。

還有一點需要強調，電子認證服務機構雖然都獲得了行政許可，但是認證的標準是不同的。作為信賴方一定要了解認證服務機構的認證市場，目前絕大多數認證服務機構只提供身份認證服務，當然不排除有很好的認證機構現在已經在做可靠簽名的相關工作。電子病歷如果只做記錄身份的認證，不做記錄人簽名的認證，該電子病歷就不能滿足病歷規范當中提出的簽名要求。所以，需要強調的是，在病歷當中不能只是做身份認證，一定要做簽名認證。病歷一定要經過簽署，簽署以后的病歷是不能更改的。只有這樣的簽名，才是真正意義上的電子簽名，現在很多所謂的“電子病歷”只是紙質病歷產生的中間過程，到最后還得打印出來再蓋一個戳或者簽字。

為了區別電子認證服務機構提供的不同認證服務，并根據自己的需要進行選擇。信賴方必須了解認證機構的認證策略，了解認證機構簽發證書的適用范圍。如果認證機構在認證業務規則里面明確說明只做身份認證的，那就不能用在簽名上，因為它對簽名過程不進行可靠性保障。同時，為了規范認證服務，管理部門也正在研究制定證書策略，通過標準的證書策略規范認證機構服務，幫助信賴方對不同的認證機構和不同的證書進行選擇。

總結來講，用于醫院內部的信息交換過程中的認證和用于醫院與外部機構之間信息交換過程中的認證要遵守不同的策略。同時，對電子病歷可信性的認證與身份真實性認證也要遵守不同的策略。

鏈接

電子認證服務管理新進展

工業和信息化部作為電子簽名法授權的認證服務管理機關，近年來主要做了以下工作:

一是對認證機構做出行政許可。認證服務是一種信任服務，認證機構必須有工信部對于電子認證服務機構實施行政許可，目前我們已經批準30家認證服務機構，這30家認證服務機構已經向社會發放有效的認證許可超過1000萬張，廣泛用于政務和商務各個系統當中。目前，此項運用主要解決身份認證問題。

二是對于認證機構運營實行監督。認證機構的運營安全是保障認證可靠性的必要條件，為確保認證服務機構的運用和安全的要求，我們每年會對認證機構的運營情況進行定期檢查。經過我們許可，通過檢查的認證服務機構不僅在技術系統、技術環境物理環境等硬件上能夠滿足用戶或者是信賴方的安全要求，而且在操作規程、見證流程、人員資質上也能達到相關的要求。

三是制定認證業務規范和標準。為了規范電子認證服務機構，我們不僅制定了電子認證技術規范，而且制定了電子認證機構運營規范。如《電子認證服務機構運營管理規范》、《電子簽名的格式規范》、《電子認證服務機構服務質量規范》、《電子簽名驗證通用規范》等等。

目前我們還在通過科技支撐計劃，開展可信數據電文的規范與應用，其中有一項工作就是要進行可信電子記錄的規范和標準應用，實際上電子病歷就是一種電子記錄。(歐陽武)