1 概述
隨著信息化的發展,醫療機構越來越多依賴各種信息化手段來提高運行效率和保障工作質量,醫療信息化已經遍布在醫療機構的各個環節。這種狀況的存在將使醫院不可避免的面臨一系列新的問題,為此,國家衛生行政管理部門和司法部門相繼出臺了一系列的規章、規定以保障醫患雙方的利益。
本方案根據衛生部《電子病歷基本規范》、《醫療事故處理條例》、《電子病歷系統功能規范(試行)》、《醫院衛生系統電子認證服務管理辦法》、《中華人民共和國電子簽名法》、《中華人民共和國侵權責任法》、《最高人民法院關于民事訴訟證據的若干規定》等法律法規的相關規定,結合醫院信息系統和業務特點,以國家授時中心建設和保障的第三方可信時間戳服務為主要技術手段,解決醫療管理信息系統中存在的電子簽名有效性、電子數據(數據電文)的真實完整性、產生時間權威等問題,介紹了可信時間戳如何幫助醫療機構解決在實施信息化過程中給醫療機構帶來的的技術風險;如何在出現醫患糾紛時醫療機構能降低舉證成本和有效舉證;如何使用可信時間戳建立內部責任認定體系。
可信時間戳的使用是醫療機構的信息化系統能夠滿足國家有關標準和法律法規的要求和醫療結構降低運營成本、建立內部責任認定體系、保障醫院的合法權益和降低醫院法律風險的必要手段。該方案在2010年11月14日由衛生部組織的《可信時間戳與電子病歷法律效力研討論證會》上獲得通過,醫政司、政策法規司、醫院管理研究所、衛生部統計信息中心、協和醫院、北大人民醫院、北醫三院、北京市西城法院法官、中國醫院協會自律維權部、國家法官學院、國家授時中心、聯合信任時間戳服務中心的有關領導和專家參加了論證。
2 可信時間戳的概念與作用
2.1 可信時間戳釋義
可信時間戳是由權威時間戳服務中心簽發的一個能證明數據電文(各種電子文件和電子數據)在一個時間點是已經存在的、完整的、可驗證的,具備法律效力的電子憑證;是解決《中華人民共和國電子簽名法》中對數據電文原件形式要求的必要技術保障。我國權威的時間戳服務中心(www.tsa.cn)是由國家法定授時機構(國家授時中心)和聯合信任共同建設,按照有關標準和規定運營,對各行業提供權威可信時間戳服務。
2.2 可信時間戳產生
根據國際時間戳標準《RFC3161》,可信時間戳是將用戶的電子數據的Hash值封裝成可信時間戳請求發送到時間戳服務中心,在此基礎上綁定由國家權威時間機構保障、不可更改的時間信息并通過時間戳服務中心簽發,產生不可偽造的時間戳文件。通過電子數據及對應可信時間戳文件有效證明電子數據的完整性及產生時間。
[圖一] 可信時間戳產生原理
2.3 可信時間戳法律效力
可信時間戳必須由權威第三方時間戳服務中心簽發,由國家授時中心來負責保障時間的授時和守時監測,任何機構包括時間戳中心自己不能對時間進行修改以保障時間的權威,只有這樣產生的時間戳才具有法律效力。聯合信任時間戳服務中心是我國目前唯一由國家授時中心進行時間的權威保障的第三方可信時間戳服務機構,其簽發的時間戳已經得到了司法的認可,是具有法律效力的可信時間戳。
[圖二] 可信時間戳服務構架
2.4 可信時間戳的基本作用
2.4.1 解決電子簽名法中對數據電文(電子文件)滿足法律法規要求的原件形式的有效手段
《中華人民共和國電子簽名法》第二章數據電文第五條中規定:“符合下列條件的數據電文,視為滿足法律、法規規定的原件形式要求:
(一)能夠有效地表現所載內容并可供隨時調取查用;
(二)能夠可靠地保證自最終形成時起,內容保持完整、未被更改。但是,在數據電文上增加背書以及數據交換、儲存和顯示過程中發生的形式變化不影響數據電文的完整性。”
如何保證電子數據自最終形式生成,內容保持完整、未被更改。以實現醫療行為的“重現”,保證醫療電子數據(數據電文的“客觀性和真實性”。關鍵在于確保數據電文何時已存在產生,自形成始內容完整且是可驗證的。
根據可信時間戳的基本功能,可信時間戳符合《中華人民共和國電子簽名法》第二章關于數據電文原件形式的要求,能有效證明數據電文(電子文件)產生的時間及內容的完整性,保證數據電文的客觀性、真實性,應用于數據電文長期歸檔、保存、驗證、及法律證據舉證。
2.4.2 解決電子簽名的有效性
《中華人民共和國電子簽名法》中對電子簽名的定義為:“電子簽名,是指數據電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數據。本法所稱數據電文,是指以電子、光學、磁或者類似手段生成、發送、接收或者儲存的信息。”
根據已經頒布實施的《國標GB/T25064-2010》規定,電子簽名格式有如下幾種:
l 基本電子簽名(BES)
基本電子簽名方式(BES)是指包括了簽名基本數據信息的電子簽名。
采用基本電子簽名方式將存在以下問題:
在現時的公鑰基礎建設中,采用電子簽名技術來確保簽署人的身份和驗證數據是否篡改。然而綜合眾多現實案例中出現的情形,采用基本電子簽名方式的不足之處在于“數字簽名的偽造”,由于數字證書有效期為一年,且用戶可以隨時吊銷數字證書,數字證書失效后,無法確認電子簽名的有效性,基本電子簽名一般只用在通訊過程中的身份認證和防止數據在通訊過程被篡改,電子數據的長期歸檔保存不能使用基本簽名來實現抗抵賴特性。
l 帶時間戳的電子簽名(ES-T)
根據標準電子簽名方式,其在基本電子簽名的基礎上添加了時間戳,其目的是開始在長時間的有效性上提供一定程度的保證。
當某些驗證數據的安全性受到威脅的時候,電子簽名上的時間戳可保護簽名的有效性,只要這些安全性威脅是在簽名產生以后發生的。時間戳可有效證明電子簽名是在該安全威脅產生前創建的,使電子簽名仍可保持其有效性。
l 帶歸檔時間戳的電子簽名
各種算法、密鑰、加密數據、加密函數都會隨著時間的增加而逐漸降低其安全性,各種證書也會隨著時間而紛紛失效,如果要長期保存一個電子簽名,就需要在這些成分的安全性降低前對整個電子簽名加蓋一次時間戳。新加的時間戳盡可能使用比老時間戳更強的算法和密鑰。這類額外添加的驗證數據稱為歸檔驗證數據。
考慮到時間戳所使用的證書、算法和密鑰也會隨著時間而失效或降低安全性,在這種情況發生前,必須加蓋新的時間戳。因此,一個ES-A可能嵌套了多重時間戳。
綜上電子簽名的幾種形式上看,電子簽名證實了簽署人的身份。但是,如果文件沒有一個準確可靠的簽署時間,即使附有電子簽名的文件也有可能不被承認起不到抗抵賴的做用。可信時間戳能為電子簽名提供確實的簽署時間,保證電子簽名的有效性,這樣既能證實簽署人的身份,亦能指出準確的簽署時間,使人無從抵賴或否認。可信時間戳是電子簽名有效性的基本保障。
3 可信時間戳在醫療衛生信息系統中的作用
1、為醫療數據電文(電子文件)在出現糾紛時能有效舉證,降低醫院的舉證成本,保障醫院利益,規避法律風險;
2、為醫院信息系統中使用電子簽名的數據,提供標準中規定的可信時間戳,使醫療機構的電子簽名格式滿足高級電子簽名的要求,保障醫療機構電子簽名在簽名證書失效后應然有效。
2、為醫療信息電子數據(數據電文)的長期保存、歸檔提供客觀、安全、真實性保障。
4、為醫院加強管理、建立內部責任認定體系提供基礎技術保障;
4 可信時間戳在醫療衛生信息系統中的應用解決方案
4.1 可信時間戳技術實現構架
可信時間戳在醫療衛生信息系統中的實現構架主要由時間戳中間件應用組件與可信時間戳數據庫存儲組件組成,時間戳服務中心提供符合國際標準的接口程序,醫療機構幾乎不用修改系統既可以方便部署,具體架構如圖:
4.2 可信時間戳技術實現細節
可信時間戳申請
聯合信任時間戳中間件采用異步的方式實現時間戳申請功能,通過UDP通訊協議方式訪問中間件通訊接口進行請求可信時間戳申請操作。中間件接收到請求后,將請求數據存儲至數據庫中,并進行應答響應結束此次通訊對話,以保證醫療工作流程的正常進行。封裝成時間戳標準請求包,并按照請求的優先級將發送至聯合信任時間戳中心進行加蓋可信時間戳。成功返回可信時間戳后,將可信時間戳存儲至中間件存儲組件中。若發生異常情況,導致無法完成此次時間戳申請操作,中間件會將此數據請求進行存檔。由按照規則自動啟動的異常處理模塊定時掃描的方式,重新處理此數據請求。具體流程如圖:
圖申請時間戳流程
圖異常處理模塊處理失敗請求流程
已加蓋時間戳醫療電子數據查詢驗證
聯合信任時間戳中間件提供可信時間戳的驗證接口,通過通訊接口的進行交互可以已加蓋時間戳醫療電子數據是否被篡改或查詢可信時間戳簽名時間。驗證接口提供3種驗證成功后的返回數據結果方式:
? 返回可信時間戳簽名時間
? 返回可信時間戳文件
? 返回可信時間戳簽名時間和可信時間戳文件
4.3 可信時間戳技術實現特點
? 高可靠性:時間戳服務中心采取消息中間件與醫院信息系統鏈接,保障了申請時間戳的請求能不丟失,完整返回申請時間戳電子憑證。時間戳服務中心的高可靠和高速簽發能力保障了7x24小時不間斷服務。
? 數據安全性:系統采用時間戳專用隔離網關和中間件程序,上傳到時間戳中心的只是醫療數據的hash值,不上傳醫療數據內容本身,從而保障了醫療信息數據的安全。針對不能鏈接外網的醫療信息系統,使用時間戳申請專用網閘等進行內外網分離。
? 適用性:采用模塊化設計技術,便于升級和擴展。
? 跨平臺性:可以在UNIX、LINUX等多種操作系統平臺上運行。
?負載動態均衡技術:根據用戶的實際需求,可以實現自動負載動態均衡,使得時間戳中間件能夠發揮最佳的使用效率。
4.4 可信時間戳技術實現環境
聯合信任時間戳中間件所需2臺硬件企業級服務器,以下為硬件環境和軟件環境需求:
4.5 出現發生醫療糾紛爭議時時間戳證據的提取
在發生醫療糾紛時需要對醫療電子數據進行驗證時,需要提取醫院加蓋時間戳的電子數據原文和時間戳存儲服務器上的時間戳電子文件(或時間戳服務中心存儲的時間戳),由時間戳服務中心或其他第三方鑒定機構按照時間戳技術標準出具驗證報告。證明相關數據是否被篡改和產生的時間。
5 方案總結-可信時間戳是保障醫療系統信息化系統法律效力的基礎
1、醫療機構需要制定科學有效的使用可信時間戳和電子簽名的策略,在容易出現糾紛的關鍵數據上合理使用,這樣既可以解決醫患糾紛時醫療機構舉證困難、舉證成本高的問題,又可以解決醫療機構在實際工作中由于工作需要合理修改診療數據給患者帶來的疑慮。
2、醫療機構需要長期歸檔保存的各類醫療數據、醫療記錄、影像資料等,通過加蓋時間戳,保證了醫療信息的時間及內容真實可靠性,解決患者和司法機構對電子病歷的篡改、偽造的質疑,即使數年以后仍具有法律效力,客觀真實反映醫療過程,對界定工作責任、追究醫療事故起著致關重要的作用。
3、時間戳服務中心由我國唯一法定時間機構負責監控、保持,保證了時間的權威、可靠、不可篡改。實施時間戳認證后、院方有能力有效的保存經權威時間認證后的醫療數據,避免了數據保存在第三方處的存在的數據安全風險。
4、由于醫院內部系統時間、電子病歷數據、電子簽名證書等都完全由醫院控制,在醫院內部責任認定和醫患糾紛舉證時這些電子數據的可信性將受到質疑及否認,根據《中華人民共和國侵權責任法》、《最高人民法院關于民事訴訟證據的若干規定》,導致醫院處于極為不利的境地,醫院利益受到極大損害。
通過采用國家授時中心時間戳服務中心權威可信時間戳認證,對醫療電子數據(電子病歷、各類醫療記錄、檢查報告、各類影像資料、圖片等)加蓋時間戳后進行歸檔保存,有效保障了電子數據的完整性及產生時間的不可否認,真實客觀的反映了醫療行為,符合相關法律規章規定,醫院具有法律效力的醫療數據證據,規避了院方利益受損的巨大風險,同時增強了系統安全性,醫院自己能保存醫療信息資料,避免泄露隱患。