可信時(shí)間戳在醫(yī)療信息化中的應(yīng)用

隨著信息化的發(fā)展，醫(yī)療機(jī)構(gòu)越來越多依賴各種信息化手段來提高運(yùn)行效率和保障工作質(zhì)量，這種狀況的存在使醫(yī)院不可避免地面臨一系列新的問題，如確定電子病歷的法律效力、減少醫(yī)療糾紛等。電子病歷不同于手寫病歷，電子數(shù)據(jù)作的易滅失、篡改、偽造等特點(diǎn)使得其法律地位相當(dāng)尷尬，所以必須有一個(gè)可信的方案來解決。通過使用國家授時(shí)中心時(shí)間戳服務(wù)中心權(quán)威可信時(shí)間戳認(rèn)證，則可以保證電子病歷的真實(shí)，不可否認(rèn)性。

如今，醫(yī)療信息化已經(jīng)遍布在醫(yī)療機(jī)構(gòu)的各個(gè)環(huán)節(jié)，國家衛(wèi)生行政管理部門和司法部門相繼出臺(tái)了一系列的規(guī)章、規(guī)定以保障醫(yī)患雙方的利益。本方案根據(jù)衛(wèi)生部《電子病歷基本規(guī)范》、《醫(yī)療事故處理?xiàng)l例》、《電子病歷系統(tǒng)功能規(guī)范（試行）》、《醫(yī)院衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)管理辦法》、《中華人民共和國電子簽名法》、《中華人民共和國侵權(quán)責(zé)任法》等法律法規(guī)的相關(guān)規(guī)定，結(jié)合醫(yī)院信息系統(tǒng)和業(yè)務(wù)特點(diǎn)，以國家授時(shí)中心建設(shè)和保障的第三方可信時(shí)間戳服務(wù)為主要技術(shù)手段，解決醫(yī)療管理信息系統(tǒng)中存在的電子簽名有效性、電子數(shù)據(jù)（數(shù)據(jù)電文）的真實(shí)完整性、產(chǎn)生時(shí)間權(quán)威等問題，介紹了可信時(shí)間戳如何幫助醫(yī)療機(jī)構(gòu)解決在實(shí)施信息化過程中給醫(yī)療機(jī)構(gòu)帶來的的技術(shù)風(fēng)險(xiǎn)；如何在出現(xiàn)醫(yī)患糾紛時(shí)醫(yī)療機(jī)構(gòu)能降低舉證成本和有效舉證；以及如何使用可信時(shí)間戳建立內(nèi)部責(zé)任認(rèn)定體系。

可信時(shí)間戳的使用是醫(yī)療機(jī)構(gòu)的信息化系統(tǒng)能夠滿足國家有關(guān)標(biāo)準(zhǔn)和法律法規(guī)的要求和醫(yī)療結(jié)構(gòu)降低運(yùn)營成本、建立內(nèi)部責(zé)任認(rèn)定體系、保障醫(yī)院的合法權(quán)益和降低醫(yī)院法律風(fēng)險(xiǎn)的必要手段，且該方案在2010年11月14日由衛(wèi)生部組織的《可信時(shí)間戳與電子病歷法律效力研討論證會(huì)》上獲得通過。

可信時(shí)間戳的概念與作用

1. 可信時(shí)間戳釋義

可信時(shí)間戳是由權(quán)威時(shí)間戳服務(wù)中心簽發(fā)的一個(gè)能證明數(shù)據(jù)電文（各種電子文件和電子數(shù)據(jù)）在一個(gè)時(shí)間點(diǎn)是已經(jīng)存在的、完整的、可驗(yàn)證的，具備法律效力的電子憑證；是解決《中華人民共和國電子簽名法》中對數(shù)據(jù)電文原件形式要求的必要技術(shù)保障。我國權(quán)威的時(shí)間戳服務(wù)中心（www.tsa.cn）是由國家法定授時(shí)機(jī)構(gòu)（國家授時(shí)中心）和聯(lián)合信任共同建設(shè)，按照有關(guān)標(biāo)準(zhǔn)和規(guī)定運(yùn)營，對各行業(yè)提供權(quán)威可信時(shí)間戳服務(wù)。

2. 可信時(shí)間戳產(chǎn)生

根據(jù)國際時(shí)間戳標(biāo)準(zhǔn)《RFC3161》，可信時(shí)間戳是將用戶的電子數(shù)據(jù)的Hash值封裝成可信時(shí)間戳請求發(fā)送到時(shí)間戳服務(wù)中心，在此基礎(chǔ)上綁定由國家權(quán)威時(shí)間機(jī)構(gòu)保障、不可更改的時(shí)間信息并通過時(shí)間戳服務(wù)中心簽發(fā)，產(chǎn)生不可偽造的時(shí)間戳文件。通過電子數(shù)據(jù)及對應(yīng)可信時(shí)間戳文件有效證明電子數(shù)據(jù)的完整性及產(chǎn)生時(shí)間（圖1）。

3. 可信時(shí)間戳法律效力

可信時(shí)間戳必須由權(quán)威第三方時(shí)間戳服務(wù)中心簽發(fā)，由國家授時(shí)中心來負(fù)責(zé)保障時(shí)間的授時(shí)和守時(shí)監(jiān)測，任何機(jī)構(gòu)包括時(shí)間戳中心自己不能對時(shí)間進(jìn)行修改以保障時(shí)間的權(quán)威，只有這樣產(chǎn)生的時(shí)間戳才具有法律效力。聯(lián)合信任時(shí)間戳服務(wù)中心是我國目前唯一由國家授時(shí)中心進(jìn)行時(shí)間的權(quán)威保障的第三方可信時(shí)間戳服務(wù)機(jī)構(gòu)，其簽發(fā)的時(shí)間戳已經(jīng)得到了司法的認(rèn)可，是具有法律效力的可信時(shí)間戳，如圖2所示。

4. 可信時(shí)間戳的基本作用

（1）解決電子簽名法中對數(shù)據(jù)電文滿足法律法規(guī)要求的原件形式

《中華人民共和國電子簽名法》第二章數(shù)據(jù)電文第五條中規(guī)定：“符合下列條件的數(shù)據(jù)電文，視為滿足法律、法規(guī)規(guī)定的原件形式要求：

能夠有效地表現(xiàn)所載內(nèi)容并可供隨時(shí)調(diào)取查用；能夠可靠地保證自最終形成時(shí)起，內(nèi)容保持完整、未被更改。但是，在數(shù)據(jù)電文上增加背書以及數(shù)據(jù)交換、儲(chǔ)存和顯示過程中發(fā)生的形式變化不影響數(shù)據(jù)電文的完整性。”

根據(jù)可信時(shí)間戳的基本功能，可信時(shí)間戳符合《中華人民共和國電子簽名法》第二章關(guān)于數(shù)據(jù)電文原件形式的要求，能有效證明數(shù)據(jù)電文（電子文件）產(chǎn)生的時(shí)間及內(nèi)容的完整性， 保證數(shù)據(jù)電文的客觀性、真實(shí)性，應(yīng)用于數(shù)據(jù)電文長期歸檔、保存、驗(yàn)證、及法律證據(jù)舉證。

（2）解決電子簽名的有效性

《中華人民共和國電子簽名法》中對電子簽名的定義為：“電子簽名，是指數(shù)據(jù)電文中以電子形式所含、所附用于識(shí)別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。本法所稱數(shù)據(jù)電文，是指以電子、光學(xué)、磁或者類似手段生成、發(fā)送、接收或者儲(chǔ)存的信息?！?/p>

根據(jù)已經(jīng)頒布實(shí)施的《國標(biāo)GB/T25064-2010》規(guī)定，電子簽名格式有如下幾種：基本電子簽名（BES）、帶時(shí)間戳的電子簽名（ES-T）、帶歸檔時(shí)間戳的電子簽名。這幾種形式的電子簽名雖證實(shí)了簽署人的身份，但如果文件沒有一個(gè)準(zhǔn)確可靠的簽署時(shí)間，即使附有電子簽名的文件也有可能不被承認(rèn)起不到抗抵賴的做用?？尚艜r(shí)間戳能為電子簽名提供確實(shí)的簽署時(shí)間，這樣既能證實(shí)簽署人的身份，亦能指出準(zhǔn)確的簽署時(shí)間，使人無從否認(rèn)。可信時(shí)間戳是電子簽名有效性的基本保障。

（3）在醫(yī)療衛(wèi)生信息系統(tǒng)中的作用

可信時(shí)間戳能為醫(yī)療數(shù)據(jù)電文（電子文件）在出現(xiàn)糾紛時(shí)能有效舉證，降低醫(yī)院的舉證成本，規(guī)避法律風(fēng)險(xiǎn)；為醫(yī)院信息系統(tǒng)中使用電子簽名的數(shù)據(jù)，提供標(biāo)準(zhǔn)中規(guī)定的可信時(shí)間戳，使醫(yī)療機(jī)構(gòu)的電子簽名格式滿足高級(jí)電子簽名的要求，保障醫(yī)療機(jī)構(gòu)電子簽名在簽名證書失效后應(yīng)然有效；為醫(yī)療信息電子數(shù)據(jù)（數(shù)據(jù)電文）的長期保存、歸檔提供客觀、安全、真實(shí)性保障；為醫(yī)院加強(qiáng)管理、建立內(nèi)部責(zé)任認(rèn)定體系提供基礎(chǔ)技術(shù)保障。

可信時(shí)間戳在醫(yī)療信息系統(tǒng)中的解決方案

1. 可信時(shí)間戳技術(shù)實(shí)現(xiàn)構(gòu)架

可信時(shí)間戳在醫(yī)療衛(wèi)生信息系統(tǒng)中的實(shí)現(xiàn)構(gòu)架主要由時(shí)間戳中間件應(yīng)用組件與可信時(shí)間戳數(shù)據(jù)庫存儲(chǔ)組件組成，時(shí)間戳服務(wù)中心提供符合國際標(biāo)準(zhǔn)的接口程序，醫(yī)療機(jī)構(gòu)幾乎不用修改系統(tǒng)既可以方便部署（圖3）。

2. 可信時(shí)間戳技術(shù)實(shí)現(xiàn)細(xì)節(jié)

（1）可信時(shí)間戳申請

聯(lián)合信任時(shí)間戳中間件采用異步的方式實(shí)現(xiàn)時(shí)間戳申請功能，通過UDP通訊協(xié)議方式訪問中間件通訊接口進(jìn)行請求可信時(shí)間戳申請操作。中間件接收到請求后，將請求數(shù)據(jù)存儲(chǔ)至數(shù)據(jù)庫中，并進(jìn)行應(yīng)答響應(yīng)結(jié)束此次通訊對話，以保證醫(yī)療工作流程的正常進(jìn)行。封裝成時(shí)間戳標(biāo)準(zhǔn)請求包，并按照請求的優(yōu)先級(jí)將發(fā)送至聯(lián)合信任時(shí)間戳中心進(jìn)行加蓋可信時(shí)間戳。成功返回可信時(shí)間戳后，將可信時(shí)間戳存儲(chǔ)至中間件存儲(chǔ)組件中。若發(fā)生異常情況，導(dǎo)致無法完成此次時(shí)間戳申請操作，中間件會(huì)將此數(shù)據(jù)請求進(jìn)行存檔。由按照規(guī)則自動(dòng)啟動(dòng)的異常處理模塊定時(shí)掃描的方式，重新處理此數(shù)據(jù)請求（圖4）。

（2）已加蓋時(shí)間戳醫(yī)療電子數(shù)據(jù)查詢驗(yàn)證

聯(lián)合信任時(shí)間戳中間件提供可信時(shí)間戳的驗(yàn)證接口，通過通訊接口的進(jìn)行交互可以已加蓋時(shí)間戳醫(yī)療電子數(shù)據(jù)是否被篡改或查詢可信時(shí)間戳簽名時(shí)間。驗(yàn)證接口提供3種驗(yàn)證成功后的返回?cái)?shù)據(jù)結(jié)果方式：

返回可信時(shí)間戳簽名時(shí)間

返回可信時(shí)間戳文件

返回可信時(shí)間戳簽名時(shí)間和可信時(shí)間戳文件

（3）可信時(shí)間戳技術(shù)實(shí)現(xiàn)特點(diǎn)

高可靠性：時(shí)間戳服務(wù)中心采取消息中間件與醫(yī)院信息系統(tǒng)鏈接，保障了申請時(shí)間戳的請求能不丟失，并完整地返回申請時(shí)間戳電子憑證。時(shí)間戳服務(wù)中心的高可靠和高速簽發(fā)能力保障了7x24小時(shí)不間斷服務(wù)。

數(shù)據(jù)安全性：系統(tǒng)采用時(shí)間戳專用隔離網(wǎng)關(guān)和中間件程序，上傳到時(shí)間戳中心的只是醫(yī)療數(shù)據(jù)的hash值，不上傳醫(yī)療數(shù)據(jù)內(nèi)容本身，從而保障了醫(yī)療信息數(shù)據(jù)的安全。針對不能鏈接外網(wǎng)的醫(yī)療信息系統(tǒng)，使用時(shí)間戳申請專用網(wǎng)閘等進(jìn)行內(nèi)外網(wǎng)分離。

適用性與跨平臺(tái)性：采用模塊化設(shè)計(jì)技術(shù)，便于升級(jí)和擴(kuò)展?？梢栽赨NIX、LINUX等多種操作系統(tǒng)平臺(tái)上運(yùn)行。

負(fù)載動(dòng)態(tài)均衡技術(shù)：根據(jù)用戶的實(shí)際需求，可以實(shí)現(xiàn)自動(dòng)負(fù)載動(dòng)態(tài)均衡，使得時(shí)間戳中間件能夠發(fā)揮最佳的使用效率。

（4）發(fā)生醫(yī)療糾紛爭議時(shí)時(shí)間戳證據(jù)的提取

在發(fā)生醫(yī)療糾紛時(shí)需要對醫(yī)療電子數(shù)據(jù)進(jìn)行驗(yàn)證時(shí)，需要提取醫(yī)院加蓋時(shí)間戳的電子數(shù)據(jù)原文和時(shí)間戳存儲(chǔ)服務(wù)器上的時(shí)間戳電子文件（或時(shí)間戳服務(wù)中心存儲(chǔ)的時(shí)間戳），由時(shí)間戳服務(wù)中心或其他第三方鑒定機(jī)構(gòu)按照時(shí)間戳技術(shù)標(biāo)準(zhǔn)出具驗(yàn)證報(bào)告，證明相關(guān)數(shù)據(jù)是否被篡改和產(chǎn)生的時(shí)間。

可信時(shí)間戳是保障醫(yī)療信息化系統(tǒng)法律效力的基礎(chǔ)

1. 合理使用時(shí)間戳解決醫(yī)療糾紛

醫(yī)療機(jī)構(gòu)需要制定科學(xué)有效的使用可信時(shí)間戳和電子簽名的策略，在容易出現(xiàn)糾紛的關(guān)鍵數(shù)據(jù)上合理使用，這樣既可以解決醫(yī)患糾紛時(shí)醫(yī)療機(jī)構(gòu)舉證困難、舉證成本高的問題，又可以解決醫(yī)療機(jī)構(gòu)在實(shí)際工作中由于工作需要合理修改診療數(shù)據(jù)給患者帶來的疑慮。

2. 長時(shí)間保持法律效力

醫(yī)療機(jī)構(gòu)需要長期歸檔保存的各類醫(yī)療數(shù)據(jù)、醫(yī)療記錄、影像資料等，通過加蓋時(shí)間戳，保證了醫(yī)療信息的時(shí)間及內(nèi)容真實(shí)可靠性，解決患者和司法機(jī)構(gòu)對電子病歷的篡改、偽造的質(zhì)疑，即使數(shù)年以后仍具有法律效力，客觀真實(shí)反映醫(yī)療過程，對界定工作責(zé)任、追究醫(yī)療事故起著致關(guān)重要的作用。

3. 院方可自行保存醫(yī)療數(shù)據(jù)

時(shí)間戳服務(wù)中心由我國唯一法定時(shí)間機(jī)構(gòu)負(fù)責(zé)監(jiān)控，保證了時(shí)間的權(quán)威、可靠、不可篡改。實(shí)施時(shí)間戳認(rèn)證后、院方有能力有效地保存經(jīng)權(quán)威時(shí)間認(rèn)證后的醫(yī)療數(shù)據(jù)，避免了數(shù)據(jù)保存在第三方處的存在的數(shù)據(jù)安全風(fēng)險(xiǎn)。

4. 使醫(yī)院持有具法律效力的醫(yī)療數(shù)據(jù)證據(jù)

由于醫(yī)院內(nèi)部系統(tǒng)時(shí)間、電子病歷數(shù)據(jù)、電子簽名證書等都完全由醫(yī)院控制，在醫(yī)院內(nèi)部責(zé)任認(rèn)定和醫(yī)患糾紛舉證時(shí)這些電子數(shù)據(jù)的可信性將受到質(zhì)疑及否認(rèn)，根據(jù)《中華人民共和國侵權(quán)責(zé)任法》、《最高人民法院關(guān)于民事訴訟證據(jù)的若干規(guī)定》，導(dǎo)致醫(yī)院處于極為不利的境地，醫(yī)院利益受到極大損害。

通過采用國家授時(shí)中心時(shí)間戳服務(wù)中心權(quán)威可信時(shí)間戳認(rèn)證，對醫(yī)療電子數(shù)據(jù)（電子病歷、各類醫(yī)療記錄、檢查報(bào)告、各類影像資料、圖片等）加蓋時(shí)間戳后進(jìn)行歸檔保存，有效保障了電子數(shù)據(jù)的完整性及產(chǎn)生時(shí)間的不可否認(rèn)，真實(shí)客觀的反映了醫(yī)療行為，符合相關(guān)法律規(guī)章規(guī)定，醫(yī)院具有法律效力的醫(yī)療數(shù)據(jù)證據(jù)，規(guī)避了院方利益受損的巨大風(fēng)險(xiǎn)，同時(shí)增強(qiáng)了系統(tǒng)安全性，醫(yī)院自己能保存醫(yī)療信息資料，避免泄露隱患。