1 概述
随着信息化的发展,医疗机构越来越多依赖各种信息化手段来提高运行效率和保障工作质量,医疗信息化已经遍布在医疗机构的各个环节。这种状况的存在将使医院不可避免的面临一系列新的问题,为此,国家卫生行政管理部门和司法部门相继出台了一系列的规章、规定以保障医患双方的利益。
本方案根据卫生部《电子病历基本规范》、《医疗事故处理条例》、《电子病历系统功能规范(试行)》、《医院卫生系统电子认证服务管理办法》、《中华人民共和国电子签名法》、《中华人民共和国侵权责任法》、《最高人民法院关于民事诉讼证据的若干规定》等法律法规的相关规定,结合医院信息系统和业务特点,以国家授时中心建设和保障的第三方可信时间戳服务为主要技术手段,解决医疗管理信息系统中存在的电子签名有效性、电子数据(数据电文)的真实完整性、产生时间权威等问题,介绍了可信时间戳如何帮助医疗机构解决在实施信息化过程中给医疗机构带来的的技术风险;如何在出现医患纠纷时医疗机构能降低举证成本和有效举证;如何使用可信时间戳建立内部责任认定体系。
可信时间戳的使用是医疗机构的信息化系统能够满足国家有关标准和法律法规的要求和医疗结构降低运营成本、建立内部责任认定体系、保障医院的合法权益和降低医院法律风险的必要手段。该方案在2010年11月14日由卫生部组织的《可信时间戳与电子病历法律效力研讨论证会》上获得通过,医政司、政策法规司、医院管理研究所、卫生部统计信息中心、协和医院、北大人民医院、北医三院、北京市西城法院法官、中国医院协会自律维权部、国家法官学院、国家授时中心、联合信任时间戳服务中心的有关领导和专家参加了论证。
2 可信时间戳的概念与作用
2.1 可信时间戳释义
可信时间戳是由权威时间戳服务中心签发的一个能证明数据电文(各种电子文件和电子数据)在一个时间点是已经存在的、完整的、可验证的,具备法律效力的电子凭证;是解决《中华人民共和国电子签名法》中对数据电文原件形式要求的必要技术保障。我国权威的时间戳服务中心(www.tsa.cn)是由国家法定授时机构(国家授时中心)和联合信任共同建设,按照有关标准和规定运营,对各行业提供权威可信时间戳服务。
2.2 可信时间戳产生
根据国际时间戳标准《RFC3161》,可信时间戳是将用户的电子数据的Hash值封装成可信时间戳请求发送到时间戳服务中心,在此基础上绑定由国家权威时间机构保障、不可更改的时间信息并通过时间戳服务中心签发,产生不可伪造的时间戳文件。通过电子数据及对应可信时间戳文件有效证明电子数据的完整性及产生时间。
[图一] 可信时间戳产生原理
2.3 可信时间戳法律效力
可信时间戳必须由权威第三方时间戳服务中心签发,由国家授时中心来负责保障时间的授时和守时监测,任何机构包括时间戳中心自己不能对时间进行修改以保障时间的权威,只有这样产生的时间戳才具有法律效力。联合信任时间戳服务中心是我国目前唯一由国家授时中心进行时间的权威保障的第三方可信时间戳服务机构,其签发的时间戳已经得到了司法的认可,是具有法律效力的可信时间戳。
[图二] 可信时间戳服务构架
2.4 可信时间戳的基本作用
2.4.1 解决电子签名法中对数据电文(电子文件)满足法律法规要求的原件形式的有效手段
《中华人民共和国电子签名法》第二章数据电文第五条中规定:“符合下列条件的数据电文,视为满足法律、法规规定的原件形式要求:
(一)能够有效地表现所载内容并可供随时调取查用;
(二)能够可靠地保证自最终形成时起,内容保持完整、未被更改。但是,在数据电文上增加背书以及数据交换、储存和显示过程中发生的形式变化不影响数据电文的完整性。”
如何保证电子数据自最终形式生成,内容保持完整、未被更改。以实现医疗行为的“重现”,保证医疗电子数据(数据电文的“客观性和真实性”。关键在于确保数据电文何时已存在产生,自形成始内容完整且是可验证的。
根据可信时间戳的基本功能,可信时间戳符合《中华人民共和国电子签名法》第二章关于数据电文原件形式的要求,能有效证明数据电文(电子文件)产生的时间及内容的完整性,保证数据电文的客观性、真实性,应用于数据电文长期归档、保存、验证、及法律证据举证。
2.4.2 解决电子签名的有效性
《中华人民共和国电子签名法》中对电子签名的定义为:“电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。本法所称数据电文,是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。”
根据已经颁布实施的《国标GB/T25064-2010》规定,电子签名格式有如下几种:
l 基本电子签名(BES)
基本电子签名方式(BES)是指包括了签名基本数据信息的电子签名。
采用基本电子签名方式将存在以下问题:
在现时的公钥基础建设中,采用电子签名技术来确保签署人的身份和验证数据是否篡改。然而综合众多现实案例中出现的情形,采用基本电子签名方式的不足之处在于“数字签名的伪造”,由于数字证书有效期为一年,且用户可以随时吊销数字证书,数字证书失效后,无法确认电子签名的有效性,基本电子签名一般只用在通讯过程中的身份认证和防止数据在通讯过程被篡改,电子数据的长期归档保存不能使用基本签名来实现抗抵赖特性。
l 带时间戳的电子签名(ES-T)
根据标准电子签名方式,其在基本电子签名的基础上添加了时间戳,其目的是开始在长时间的有效性上提供一定程度的保证。
当某些验证数据的安全性受到威胁的时候,电子签名上的时间戳可保护签名的有效性,只要这些安全性威胁是在签名产生以后发生的。时间戳可有效证明电子签名是在该安全威胁产生前创建的,使电子签名仍可保持其有效性。
l 带归档时间戳的电子签名
各种算法、密钥、加密数据、加密函数都会随着时间的增加而逐渐降低其安全性,各种证书也会随着时间而纷纷失效,如果要长期保存一个电子签名,就需要在这些成分的安全性降低前对整个电子签名加盖一次时间戳。新加的时间戳尽可能使用比老时间戳更强的算法和密钥。这类额外添加的验证数据称为归档验证数据。
考虑到时间戳所使用的证书、算法和密钥也会随着时间而失效或降低安全性,在这种情况发生前,必须加盖新的时间戳。因此,一个ES-A可能嵌套了多重时间戳。
综上电子签名的几种形式上看,电子签名证实了签署人的身份。但是,如果文件没有一个准确可靠的签署时间,即使附有电子签名的文件也有可能不被承认起不到抗抵赖的做用。可信时间戳能为电子签名提供确实的签署时间,保证电子签名的有效性,这样既能证实签署人的身份,亦能指出准确的签署时间,使人无从抵赖或否认。可信时间戳是电子签名有效性的基本保障。
3 可信时间戳在医疗卫生信息系统中的作用
1、为医疗数据电文(电子文件)在出现纠纷时能有效举证,降低医院的举证成本,保障医院利益,规避法律风险;
2、为医院信息系统中使用电子签名的数据,提供标准中规定的可信时间戳,使医疗机构的电子签名格式满足高级电子签名的要求,保障医疗机构电子签名在签名证书失效后应然有效。
2、为医疗信息电子数据(数据电文)的长期保存、归档提供客观、安全、真实性保障。
4、为医院加强管理、建立内部责任认定体系提供基础技术保障;
4 可信时间戳在医疗卫生信息系统中的应用解决方案
4.1 可信时间戳技术实现构架
可信时间戳在医疗卫生信息系统中的实现构架主要由时间戳中间件应用组件与可信时间戳数据库存储组件组成,时间戳服务中心提供符合国际标准的接口程序,医疗机构几乎不用修改系统既可以方便部署,具体架构如图:
4.2 可信时间戳技术实现细节
可信时间戳申请
联合信任时间戳中间件采用异步的方式实现时间戳申请功能,通过UDP通讯协议方式访问中间件通讯接口进行请求可信时间戳申请操作。中间件接收到请求后,将请求数据存储至数据库中,并进行应答响应结束此次通讯对话,以保证医疗工作流程的正常进行。封装成时间戳标准请求包,并按照请求的优先级将发送至联合信任时间戳中心进行加盖可信时间戳。成功返回可信时间戳后,将可信时间戳存储至中间件存储组件中。若发生异常情况,导致无法完成此次时间戳申请操作,中间件会将此数据请求进行存档。由按照规则自动启动的异常处理模块定时扫描的方式,重新处理此数据请求。具体流程如图:
图申请时间戳流程
图异常处理模块处理失败请求流程
已加盖时间戳医疗电子数据查询验证
联合信任时间戳中间件提供可信时间戳的验证接口,通过通讯接口的进行交互可以已加盖时间戳医疗电子数据是否被篡改或查询可信时间戳签名时间。验证接口提供3种验证成功后的返回数据结果方式:
Ø 返回可信时间戳签名时间
Ø 返回可信时间戳文件
Ø 返回可信时间戳签名时间和可信时间戳文件
4.3 可信时间戳技术实现特点
Ø 高可靠性:时间戳服务中心采取消息中间件与医院信息系统链接,保障了申请时间戳的请求能不丢失,完整返回申请时间戳电子凭证。时间戳服务中心的高可靠和高速签发能力保障了7x24小时不间断服务。
Ø 数据安全性:系统采用时间戳专用隔离网关和中间件程序,上传到时间戳中心的只是医疗数据的hash值,不上传医疗数据内容本身,从而保障了医疗信息数据的安全。针对不能链接外网的医疗信息系统,使用时间戳申请专用网闸等进行内外网分离。
Ø 适用性:采用模块化设计技术,便于升级和扩展。
Ø 跨平台性:可以在UNIX、LINUX等多种操作系统平台上运行。
Ø负载动态均衡技术:根据用户的实际需求,可以实现自动负载动态均衡,使得时间戳中间件能够发挥最佳的使用效率。
4.4 可信时间戳技术实现环境
联合信任时间戳中间件所需2台硬件企业级服务器,以下为硬件环境和软件环境需求:
4.5 出现发生医疗纠纷争议时时间戳证据的提取
在发生医疗纠纷时需要对医疗电子数据进行验证时,需要提取医院加盖时间戳的电子数据原文和时间戳存储服务器上的时间戳电子文件(或时间戳服务中心存储的时间戳),由时间戳服务中心或其他第三方鉴定机构按照时间戳技术标准出具验证报告。证明相关数据是否被篡改和产生的时间。
5 方案总结-可信时间戳是保障医疗系统信息化系统法律效力的基础
1、医疗机构需要制定科学有效的使用可信时间戳和电子签名的策略,在容易出现纠纷的关键数据上合理使用,这样既可以解决医患纠纷时医疗机构举证困难、举证成本高的问题,又可以解决医疗机构在实际工作中由于工作需要合理修改诊疗数据给患者带来的疑虑。
2、医疗机构需要长期归档保存的各类医疗数据、医疗记录、影像资料等,通过加盖时间戳,保证了医疗信息的时间及内容真实可靠性,解决患者和司法机构对电子病历的篡改、伪造的质疑,即使数年以后仍具有法律效力,客观真实反映医疗过程,对界定工作责任、追究医疗事故起着致关重要的作用。
3、时间戳服务中心由我国唯一法定时间机构负责监控、保持,保证了时间的权威、可靠、不可篡改。实施时间戳认证后、院方有能力有效的保存经权威时间认证后的医疗数据,避免了数据保存在第三方处的存在的数据安全风险。
4、由于医院内部系统时间、电子病历数据、电子签名证书等都完全由医院控制,在医院内部责任认定和医患纠纷举证时这些电子数据的可信性将受到质疑及否认,根据《中华人民共和国侵权责任法》、《最高人民法院关于民事诉讼证据的若干规定》,导致医院处于极为不利的境地,医院利益受到极大损害。
通过采用国家授时中心时间戳服务中心权威可信时间戳认证,对医疗电子数据(电子病历、各类医疗记录、检查报告、各类影像资料、图片等)加盖时间戳后进行归档保存,有效保障了电子数据的完整性及产生时间的不可否认,真实客观的反映了医疗行为,符合相关法律规章规定,医院具有法律效力的医疗数据证据,规避了院方利益受损的巨大风险,同时增强了系统安全性,医院自己能保存医疗信息资料,避免泄露隐患。