医疗行业时间戳应用法律效力探讨

摘 要

本文通过引入《电子病历系统功能应用水平分级评价方法及标准》提出的时间戳应用要求，参考我国现行的《中华人民共和国电子签名法》、《电子认证服务管理办法》和时间戳技术规范、等文件，对“法律效力”、“第三方”、“可信”等问题进行深入分析，展开了对医疗行业时间戳应用的法律效力的探讨。

【关键词】时间戳技术 标准时间 电子签名 可信服务

1 时间戳在医疗行业的应用背景

根据卫生部颁发的《电子病历系统功能应用水平分级评价方法及标准》（卫办医政发[2011]137号），要达7级完整电子病历系统，实现区域医疗信息共享的建设要求，就需要在电子病历系统中引入“具有法律效力的第三方可信时间戳”。

那么如何认定时间戳的法律效力，本文通过分析我国现行的相关法律政策，同时参考时间戳的相关技术标准，分析影响时间戳法律效力的要素，为医疗机构引入该技术手段提供参考。

2 影响时间戳法律效力的要素

按照《信息安全技术公钥基础设施 时间戳规范GB/T20520-2006》的定义，时间戳由时间戳服务机构签发的，使用数字签名技术产生的数据，签名的对象包括了原始文件信息、签名参数、签名时间等信息。它能证明数据电文在一个时间点是已经存在的、完整的、可证的，主要用于数据电文的防篡改和事后抗抵赖，确定数据电文产生的准确时间。

结合《中华人民共和国电子签名法》和时间戳的定义，所谓“具有法律效力的第三方可信时间戳”归纳以下要素：

（1）时间戳签发机构为可信的第三方；

（2）时间戳数据所依赖的签名时间准确；

（3）时间戳是运用可靠的数字签名产生的数据。

下面具体针对这些要素进行阐述。

2.1 时间戳签发机构为可信的第三方

就目前信息化可信服务行业，只有电子签名建立了第三方认证机制，按照《电子签名法》第十六条的规定：“电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务”。根据此条规定，在我国已经有一批企业或机构获得了电子签名服务的行政许可，称为第三方电子认证服务机构。

电子签名和时间戳都为信息安全可信服务，在国家尚未对时间戳签发机构予以明确定义前，按照技术中立性原则 ，提供时间戳服务的机构可参考《电子签名法》和《电子认证服务管理办法》的要求，由国家相关主管部门（即工业和信息化部和国家密码管理局）依法对其进行认证许可，获得相关许可资质，才能是合法可信的。

卫生部于2009年12月了《卫生系统电子认证服务管理办法》，对全国卫生系统电子认证应用提出总体要求，并甄选了一批符合该管理办法的第三方电子认证服务机构，医疗机构可遵从该办法的要求，选择时间戳签发机构。

2.2 时间戳数据所依赖的签名时间准确

时间是客观存在的，世界只有一个标准时间，目前全世界遵循的是100多年前创建的格林威治时间。时间的保持和校准通过天文台精密仪器实现，目前世界各国都采用原子钟来保持标准时间，而后通过各种手段和媒介将时间信号送达用户，这些手段包括：短波、长波、电话网、互联网、卫星等，即为“授时”。

时间戳数据包含了签名时间，可理解为产生时间戳数据的准确时间，这个准确时间来源于一个可以守时的时间设备，同时该时间设备可通过任何一种授时手段定期同步国家认可 的时间信号，以保证该时间满足应用领域的精度要求。在医疗行业，对时间的精度无特殊的要求，时间记录到秒级已经完全符合病历记录的要求。因此，普通的时间设备便可满足医院对标准时间的需求，目前常见的如网络时间服务设备、卫星时间服务设备等。

2.3 时间戳是运用可靠的数字签名产生的数据

根据《电子签名法》和国家密码管理机构的相关要求，时间戳运用数字签名技术需要满足以下几个关键点：

（1）采用第三方电子认证服务机构签发的数字证书；

（2）可靠的PKI技术体系；

（3）采用符合国家有关规定的密码设备。

首先，“采用第三方电子认证服务机构签发的数字证书”保证了数字签名技术的认证方能够按照机构自身表述的认证规则办事；保证了数字证书内容的真实、准确。按照2.1节的分析，时间戳签发机构为第三方电子认证服务机构，因此第三方电子认证服务机构需要为自己签发一张用于时间戳签发的数字证书，提升了时间戳运用数字签名技术的可靠性。

其次，“可靠的PKI技术体系”保证电子认证服务机构知悉电子签名生成数据的可能用途、有效性且未发生失密，保证在认证服务时使用可信赖的系统和程序。从而采用“可靠的PKI技术体系”是时间戳运用数字签名技术的前提。

最后，数字签名技术是基于密码技术的应用，密码技术是否安全需要通过国家的认可。目前，我国关于密码技术在商用领域的使用是受到国家监管的。因此，时间戳签发机构须“采用符合国家规定的密码设备”，该密码设备通过国家密码管理部门的测试审评，是保证时间戳具有法律效力的技术前提。

3 医疗行业应重视时间戳的合规应用

在欧盟的数字签名标准体系中，时间戳服务作为一项基本的可信服务，纳入数字签名应用范畴，其使用方式和服务提供方都纳入了欧盟政府可信服务的监管体系。而依据我国现有的法律和技术框架，时间戳服务仅仅作为一种技术手段，其如何合规的使用，如何具备法律地位，至今没有得到相关部门监管。近几年，医疗信息化迅速发展，特别是电子病历的广泛应用，迫切需要加强信息化的可信服务，由于电子病历更加注重产生和执行的时效性，迫切需要引入时间戳服务。目前卫生部已经建立起了对电子认证行业的准入机制和监管体系，已经为时间戳服务的合规使用奠定了良好的基础。建议医疗行业，特别是在进行医疗信息化建设的医疗机构，利用现阶段已构建的可信服务体系，参考本文第二章的时间戳合规性要素，引入时间戳服务，降低医疗机构的法律风险，真正实现医疗信息化。

参考文献

[1]梁铭会，俞汝龙，舒婷，黄新霆我国电子病历立法原则的探讨[J].中国数字医学， 2010.

作者单位

1.河南科技大学第一附属医院 河南省洛阳市 471000

2.华东师范大学 上海市 200062