醫療行業時間戳應用法律效力探討

崔志斌+崔宇璇

摘 要

本文通過引入《電子病歷系統功能應用水平分級評價方法及標準》提出的時間戳應用要求，參考我國現行的《中華人民共和國電子簽名法》、《電子認證服務管理辦法》和時間戳技術規范、等文件，對“法律效力”、“第三方”、“可信”等問題進行深入分析，展開了對醫療行業時間戳應用的法律效力的探討。

【關鍵詞】時間戳技術 標準時間 電子簽名 可信服務

1 時間戳在醫療行業的應用背景

根據衛生部頒發的《電子病歷系統功能應用水平分級評價方法及標準》（衛辦醫政發[2011]137號），要達7級完整電子病歷系統，實現區域醫療信息共享的建設要求，就需要在電子病歷系統中引入“具有法律效力的第三方可信時間戳”。

那么如何認定時間戳的法律效力，本文通過分析我國現行的相關法律政策，同時參考時間戳的相關技術標準，分析影響時間戳法律效力的要素，為醫療機構引入該技術手段提供參考。

2 影響時間戳法律效力的要素

按照《信息安全技術公鑰基礎設施 時間戳規范GB/T20520-2006》的定義，時間戳由時間戳服務機構簽發的，使用數字簽名技術產生的數據，簽名的對象包括了原始文件信息、簽名參數、簽名時間等信息。它能證明數據電文在一個時間點是已經存在的、完整的、可驗證的，主要用于數據電文的防篡改和事后抗抵賴，確定數據電文產生的準確時間。

結合《中華人民共和國電子簽名法》和時間戳的定義，所謂“具有法律效力的第三方可信時間戳”歸納以下要素：

（1）時間戳簽發機構為可信的第三方；

（2）時間戳數據所依賴的簽名時間準確；

（3）時間戳是運用可靠的數字簽名產生的數據。

下面具體針對這些要素進行闡述。

2.1 時間戳簽發機構為可信的第三方

就目前信息化可信服務行業，只有電子簽名建立了第三方認證機制，按照《電子簽名法》第十六條的規定：“電子簽名需要第三方認證的，由依法設立的電子認證服務提供者提供認證服務”。根據此條規定，在我國已經有一批企業或機構獲得了電子簽名服務的行政許可，稱為第三方電子認證服務機構。

電子簽名和時間戳都為信息安全可信服務，在國家尚未對時間戳簽發機構予以明確定義前，按照技術中立性原則 ，提供時間戳服務的機構可參考《電子簽名法》和《電子認證服務管理辦法》的要求，由國家相關主管部門（即工業和信息化部和國家密碼管理局）依法對其進行認證許可，獲得相關許可資質，才能是合法可信的。

衛生部于2009年12月發布了《衛生系統電子認證服務管理辦法》，對全國衛生系統電子認證應用提出總體要求，并甄選了一批符合該管理辦法的第三方電子認證服務機構，醫療機構可遵從該辦法的要求，選擇時間戳簽發機構。

2.2 時間戳數據所依賴的簽名時間準確

時間是客觀存在的，世界只有一個標準時間，目前全世界遵循的是100多年前創建的格林威治時間。時間的保持和校準通過天文臺精密儀器實現，目前世界各國都采用原子鐘來保持標準時間，而后通過各種手段和媒介將時間信號送達用戶，這些手段包括：短波、長波、電話網、互聯網、衛星等，即為“授時”。

時間戳數據包含了簽名時間，可理解為產生時間戳數據的準確時間，這個準確時間來源于一個可以守時的時間設備，同時該時間設備可通過任何一種授時手段定期同步國家認可 的時間信號，以保證該時間滿足應用領域的精度要求。在醫療行業，對時間的精度無特殊的要求，時間記錄到秒級已經完全符合病歷記錄的要求。因此，普通的時間設備便可滿足醫院對標準時間的需求，目前常見的如網絡時間服務設備、衛星時間服務設備等。

2.3 時間戳是運用可靠的數字簽名產生的數據

根據《電子簽名法》和國家密碼管理機構的相關要求，時間戳運用數字簽名技術需要滿足以下幾個關鍵點：

（1）采用第三方電子認證服務機構簽發的數字證書；

（2）可靠的PKI技術體系；

（3）采用符合國家有關規定的密碼設備。

首先，“采用第三方電子認證服務機構簽發的數字證書”保證了數字簽名技術的認證方能夠按照機構自身表述的認證規則辦事；保證了數字證書內容的真實、準確。按照2.1節的分析，時間戳簽發機構為第三方電子認證服務機構，因此第三方電子認證服務機構需要為自己簽發一張用于時間戳簽發的數字證書，提升了時間戳運用數字簽名技術的可靠性。

其次，“可靠的PKI技術體系”保證電子認證服務機構知悉電子簽名生成數據的可能用途、有效性且未發生失密，保證在認證服務時使用可信賴的系統和程序。從而采用“可靠的PKI技術體系”是時間戳運用數字簽名技術的前提。

最后，數字簽名技術是基于密碼技術的應用，密碼技術是否安全需要通過國家的認可。目前，我國關于密碼技術在商用領域的使用是受到國家監管的。因此，時間戳簽發機構須“采用符合國家規定的密碼設備”，該密碼設備通過國家密碼管理部門的測試審評，是保證時間戳具有法律效力的技術前提。

3 醫療行業應重視時間戳的合規應用

在歐盟的數字簽名標準體系中，時間戳服務作為一項基本的可信服務，納入數字簽名應用范疇，其使用方式和服務提供方都納入了歐盟政府可信服務的監管體系。而依據我國現有的法律和技術框架，時間戳服務僅僅作為一種技術手段，其如何合規的使用，如何具備法律地位，至今沒有得到相關部門監管。近幾年，醫療信息化迅速發展，特別是電子病歷的廣泛應用，迫切需要加強信息化的可信服務，由于電子病歷更加注重產生和執行的時效性，迫切需要引入時間戳服務。目前衛生部已經建立起了對電子認證行業的準入機制和監管體系，已經為時間戳服務的合規使用奠定了良好的基礎。建議醫療行業，特別是在進行醫療信息化建設的醫療機構，利用現階段已構建的可信服務體系，參考本文第二章的時間戳合規性要素，引入時間戳服務，降低醫療機構的法律風險，真正實現醫療信息化。

參考文獻

[1]梁銘會，俞汝龍，舒婷，黃新霆我國電子病歷立法原則的探討[J].中國數字醫學， 2010.

作者單位

1.河南科技大學第一附屬醫院 河南省洛陽市 471000

2.華東師范大學 上海市 200062