—— 施 欣 郭 瑾 王鴻捷

1 研究背景

我國(guó)血站信息化建設(shè)起步于20世紀(jì)80年代末期，90年代中期隨著電腦和局域網(wǎng)的發(fā)展得以普及[1]。2006年《血站管理辦法》《血站質(zhì)量管理規(guī)范》《血站實(shí)驗(yàn)室質(zhì)量管理規(guī)范》相繼發(fā)布，要求血站必須應(yīng)用計(jì)算機(jī)管理采供血和相關(guān)服務(wù)過程。采供血過程信息化成為法規(guī)強(qiáng)制性要求[2]，這促進(jìn)了血站信息化發(fā)展。

目前，血站信息化已進(jìn)入相對(duì)成熟階段，但業(yè)務(wù)電子記錄應(yīng)用緩慢，主要存在兩種現(xiàn)象：一是保持了繁多的書面手工記錄，這種記錄以手工填寫紙質(zhì)記錄表單和手簽名方式生成，并轉(zhuǎn)化為紙質(zhì)檔案保存，如獻(xiàn)血者獻(xiàn)血記錄等；二是保持了書面形式記錄，這種記錄以打印輸出的紙質(zhì)記錄表單和手簽名方式生成，也被轉(zhuǎn)化為紙質(zhì)檔案保存，如血液檢測(cè)(篩查)過程記錄、血液發(fā)放記錄等。

出現(xiàn)上述現(xiàn)象，與行業(yè)管理部門及業(yè)內(nèi)人士對(duì)電子記錄的理解和血液管理信息系統(tǒng)的信任度直接相關(guān)[3-4]。究其原因有：第一，系統(tǒng)安全程度未達(dá)到業(yè)務(wù)管理要求和預(yù)期，在系統(tǒng)異地災(zāi)備機(jī)制甚至系統(tǒng)備份機(jī)制尚未健全的情況下，一旦發(fā)生意外，數(shù)據(jù)記錄可能無(wú)法恢復(fù)；第二，不同版本系統(tǒng)的數(shù)據(jù)庫(kù)結(jié)構(gòu)、數(shù)據(jù)代碼、數(shù)據(jù)格式等環(huán)節(jié)標(biāo)準(zhǔn)化程度低，導(dǎo)致系統(tǒng)升級(jí)后無(wú)法保證原系統(tǒng)數(shù)據(jù)的完整性和可追溯性；第三，缺乏電子記錄的行業(yè)指引；第四，對(duì)電子記錄的理解和認(rèn)識(shí)不到位，如把血液管理信息系統(tǒng)中儲(chǔ)存的電子數(shù)據(jù)籠統(tǒng)地理解為血站的電子記錄，把信息系統(tǒng)的打印輸出添加手工簽名認(rèn)作原始書面記錄，甚至認(rèn)為只有書面形式的手工原始記錄經(jīng)過電子轉(zhuǎn)化(如掃描)后的記錄才是電子記錄等。

基于此，本研究從電子記錄概念及內(nèi)涵、法律效力出發(fā)，提出了血站業(yè)務(wù)記錄電子化的實(shí)施策略。

2 相關(guān)概念及內(nèi)涵

2.1 記錄、業(yè)務(wù)記錄與電子記錄

記錄即寫入有形媒介并且能夠以可認(rèn)知形式恢復(fù)的信息。紙質(zhì)(書面)記錄的優(yōu)點(diǎn)在于它能夠可靠地記錄相關(guān)信息,使之有據(jù)可查。

《血站質(zhì)量管理規(guī)范》對(duì)業(yè)務(wù)記錄的要求為：記錄體系必須完整，應(yīng)包括從獻(xiàn)血者篩選、登記到血液采集、檢測(cè)、制備、儲(chǔ)存、發(fā)放和運(yùn)輸全過程，保證其可追溯。《血站實(shí)驗(yàn)室質(zhì)量管理規(guī)范》還要求：建立和保持完整的血液檢測(cè)相關(guān)記錄，種類至少應(yīng)包括標(biāo)本登記、處理、保存、銷毀記錄，試劑管理及使用記錄，檢測(cè)過程和結(jié)果的原始記錄與分析記錄，質(zhì)量控制記錄，設(shè)備運(yùn)行、維護(hù)和校驗(yàn)記錄，實(shí)驗(yàn)室安全記錄，醫(yī)療廢棄物處理記錄等。

電子記錄是指文本、圖形、數(shù)據(jù)、音頻或其他數(shù)字形式的任意信息形式的組合，由計(jì)算機(jī)系統(tǒng)創(chuàng)建、修改、維護(hù)、存檔、檢索或分發(fā)，包括數(shù)據(jù)、電子郵件以及計(jì)算機(jī)服務(wù)器和終端設(shè)備儲(chǔ)存的任何電子文檔。在我國(guó)相關(guān)法規(guī)[5]中，還使用了“數(shù)據(jù)電文”這一概念。

從技術(shù)層面來(lái)看，血站在計(jì)算機(jī)系統(tǒng)中的信息都可以統(tǒng)稱為電子記錄。但由于采供血行業(yè)的特殊性，這些電子記錄只有符合其專業(yè)規(guī)范或標(biāo)準(zhǔn)時(shí)，才是真正意義上的業(yè)務(wù)電子記錄[6]。美國(guó)食品藥品監(jiān)督管理局(Food and Drug Administration，F(xiàn)DA)在《21CFR-Part11 電子記錄和電子簽名的范圍和應(yīng)用行業(yè)指南》中建議：對(duì)于現(xiàn)有法規(guī)要求保持的記錄，應(yīng)事先決定是依賴電子記錄還是紙質(zhì)記錄，并形成書面文件，如在標(biāo)準(zhǔn)操作規(guī)程或需求規(guī)格說(shuō)明書中予以規(guī)定。

2.2 簽名與電子簽名

簽名即某人在某一書面文件上簽署自己的名字以表明對(duì)該文件承擔(dān)責(zé)任的行為。簽名的基本功能有二：一是確定一份文件的作者；二是證實(shí)該作者同意文件內(nèi)容。簽名的另一項(xiàng)輔助性功能在于證明文件的完整性。

電子簽名是指數(shù)據(jù)電文中用于識(shí)別簽名人身份并表明簽名人認(rèn)可其中內(nèi)容的數(shù)據(jù)。電子簽名有如下特性：一是以電子形式出現(xiàn)；二是附著于電子記錄，可以作為電子記錄的組成部分，與電子記錄具有某種邏輯關(guān)系；三是必須能夠識(shí)別簽名人身份，并表明簽名人認(rèn)可電子記錄內(nèi)容。

3 電子記錄的法律效力

在應(yīng)用電子記錄和電子簽名時(shí)，電子記錄和電子簽名能否達(dá)到與書面記錄和手工簽名同等的法律效力始終困擾著血站。盡管血站業(yè)務(wù)記錄已經(jīng)出現(xiàn)在民事、政務(wù)和社會(huì)活動(dòng)中，但血站管理者及行業(yè)監(jiān)管部門對(duì)于業(yè)務(wù)電子記錄能否在涉及訴訟時(shí)作為證據(jù)被采信仍存在疑慮。

證據(jù)的可采性是保證證據(jù)法律效力的關(guān)鍵，證據(jù)必須具備真實(shí)性、關(guān)聯(lián)性和合法性(“三性標(biāo)準(zhǔn)”)，才能確保電子證據(jù)的可采性[7]。書面記錄、手簽名和原件構(gòu)成了書面記錄效力判定的“三要件”。目前，國(guó)際上許多國(guó)家已經(jīng)將電子證據(jù)作為一類獨(dú)立的證據(jù)，其證據(jù)效力判定基于“功能等同”規(guī)則，這種規(guī)則參照的是傳統(tǒng)書面記錄形式[8]。

電子記錄符合書面形式的判定標(biāo)準(zhǔn)是指所含信息持續(xù)保持可以被調(diào)取和查閱的狀態(tài)。就一份電子文檔而言，只要能夠讓人閱讀、理解，即滿足該標(biāo)準(zhǔn)。其關(guān)鍵在于存儲(chǔ)介質(zhì)沒有遭到破壞，并且調(diào)取、識(shí)別信息的系統(tǒng)被保留。但在實(shí)際業(yè)務(wù)活動(dòng)中，對(duì)系統(tǒng)的保留較困難，導(dǎo)致電子記錄無(wú)法調(diào)取和閱讀。解決方案是：建立專門的電子記錄存檔系統(tǒng)，并采取文件固化技術(shù)對(duì)電子記錄的顯示形式進(jìn)行固化。

同時(shí)，還必須確立如何使電子記錄歸屬于特定人的規(guī)則，可以通過經(jīng)過電子認(rèn)證(Certificate Authority，CA)的數(shù)字簽名解決這一問題。

此外，電子記錄原件屬性聚焦在兩個(gè)關(guān)鍵特性上：一是存儲(chǔ)介質(zhì)可與存儲(chǔ)內(nèi)容分離(傳輸和拷貝等)。電子記錄可以在不同存儲(chǔ)介質(zhì)之間快速傳播，事實(shí)上其已經(jīng)不再有“原件”概念，這給電子記錄的真實(shí)性證明增加了困難；二是可以實(shí)現(xiàn)更改不留痕。由于電子記錄對(duì)存儲(chǔ)介質(zhì)具有依賴性，其存儲(chǔ)信息只能經(jīng)過系統(tǒng)解碼才能顯示，這給電子記錄的完整性證明增加了難度。

目前，針對(duì)電子記錄原件屬性的判定，普遍采取的策略是：以信息系統(tǒng)和電子記錄的完整性推斷電子記錄的真實(shí)性，打破了電子記錄無(wú)法提供“原件”的屏障。完整性包括電子記錄本身的完整性和電子記錄所依托的計(jì)算機(jī)系統(tǒng)的完整性。電子記錄本身的完整性涉及形式上的完整性和內(nèi)容上的完整性：形式上的完整性是指電子記錄必須保持生成之時(shí)的原狀，包括格式調(diào)整在內(nèi)的任何更改都將視為完整性受到破壞；內(nèi)容上的完整性是指電子記錄自形成之時(shí)起,其內(nèi)容保持完整，未遭到非必要的添加或刪除。計(jì)算機(jī)系統(tǒng)完整性則有三層含義：一是計(jì)算機(jī)等存儲(chǔ)電子數(shù)據(jù)的系統(tǒng)處于正常運(yùn)行狀態(tài)；二是電子數(shù)據(jù)產(chǎn)生于業(yè)務(wù)活動(dòng)進(jìn)行時(shí)或即后制作階段，不屬于為訴訟而專項(xiàng)制作或其生成受提供證據(jù)者主觀控制；三是記錄系統(tǒng)在正常運(yùn)行狀態(tài)下對(duì)業(yè)務(wù)活動(dòng)有完整記錄。

以上要件的實(shí)現(xiàn)都需要專業(yè)性較強(qiáng)的技術(shù)措施來(lái)提供支持，采取了必要安全技術(shù)措施的電子記錄可被認(rèn)為等同于書面記錄，也就可被認(rèn)定為有效證據(jù)。

4 應(yīng)用建議

4.1 從法規(guī)層面規(guī)定血站業(yè)務(wù)記錄要求

相關(guān)管理部門需要根據(jù)《血站管理辦法》《血站質(zhì)量管理規(guī)范》《血站實(shí)驗(yàn)室質(zhì)量管理規(guī)范》及其他相關(guān)法規(guī)要求，參照世界衛(wèi)生組織(World Health Organization，WHO)《數(shù)據(jù)和記錄管理良好實(shí)踐指南(WHO TRS 996 Annex05)》，制定我國(guó)血站業(yè)務(wù)電子記錄管理規(guī)范，進(jìn)一步明確血站業(yè)務(wù)記錄的范圍、內(nèi)容、要素和書面格式，并參照其他行業(yè)標(biāo)準(zhǔn)制定血站業(yè)務(wù)電子記錄通用要求。食品行業(yè)標(biāo)準(zhǔn)《食品生產(chǎn)加工企業(yè)電子記錄通用要求(GB/T30644-2014)》以及美國(guó)《21CFR-Part11電子記錄和電子簽名》[9]和美國(guó)《FDA Part11電子記錄和電子簽名 范圍和應(yīng)用指南》[10]都為我國(guó)血站實(shí)施電子記錄提供了參考。

4.2 制定血液管理信息系統(tǒng)數(shù)據(jù)標(biāo)準(zhǔn)

血站應(yīng)制定電子記錄相關(guān)數(shù)據(jù)格式、代碼等標(biāo)準(zhǔn)，避免因數(shù)據(jù)遷移導(dǎo)致的數(shù)據(jù)不完整和不可追溯問題的發(fā)生。電子記錄的標(biāo)準(zhǔn)化是保證數(shù)據(jù)遷移完整性的路徑，只有建立統(tǒng)一的電子記錄數(shù)據(jù)標(biāo)準(zhǔn)，方能實(shí)現(xiàn)歷史記載業(yè)務(wù)電子數(shù)據(jù)的隨時(shí)可讀、可查、可用。目前，國(guó)內(nèi)已有北京、浙江等地探索血液電子信息的標(biāo)準(zhǔn)化，建立了《血液管理信息指標(biāo)代碼與數(shù)據(jù)結(jié)構(gòu)(DB11/T486-2007)》《血液信息系統(tǒng)基本建設(shè)規(guī)范-第2部分-血站信息系統(tǒng)基本數(shù)據(jù)集(DB33/T 918.2—2014)》。

4.3 對(duì)血液管理信息系統(tǒng)進(jìn)行全面確認(rèn)

電子記錄應(yīng)用的基礎(chǔ)是信息系統(tǒng)按照預(yù)期規(guī)則穩(wěn)定運(yùn)行。通過系統(tǒng)確認(rèn)活動(dòng)，可以保障血液管理信息系統(tǒng)的可用和安全。美國(guó)FDA《軟件確認(rèn)的一般性原則》《采供血機(jī)構(gòu)計(jì)算機(jī)系統(tǒng)用戶驗(yàn)證指南》已被廣泛采納，中國(guó)輸血協(xié)會(huì)《血站信息系統(tǒng)確認(rèn)指南(T/CSBT003-2019)》和上海地方標(biāo)準(zhǔn)《血站信息系統(tǒng)確認(rèn)規(guī)范(DB31/T561-2011)》也可作為全面確認(rèn)血站計(jì)算機(jī)系統(tǒng)的參考。

4.4 構(gòu)建血站電子記錄管理系統(tǒng)

WHO《數(shù)據(jù)和記錄管理良好實(shí)踐指南》[11]建議：用于作為證據(jù)的業(yè)務(wù)數(shù)據(jù)和記錄必須保持其完整性，而完整性又體現(xiàn)為可歸屬性(Attributable)、易讀性(Legible)、同步性(Contemporaneous)、原始性(Original)和準(zhǔn)確性(Accurate)，簡(jiǎn)稱ALCOA規(guī)則。這與前述記錄證據(jù)效力判斷的“三性標(biāo)準(zhǔn)”一致。實(shí)現(xiàn)ALCOA規(guī)則最有效的方法是在現(xiàn)行血站管理信息系統(tǒng)基礎(chǔ)上，建立血站電子記錄管理系統(tǒng)，以PDF或OFD等格式將約定記錄的相關(guān)電子信息轉(zhuǎn)化成固化的原始電子記錄[12-14]，便于隨時(shí)檢索、存取、查閱和利用。

4.5 采用電子簽名的CA認(rèn)證[15]

首先，應(yīng)確定血站電子簽名的適用條件和采用的技術(shù)方案。其次，應(yīng)嚴(yán)格配置用戶和密碼，并可在電子簽名中加入生物學(xué)屬性要素(如指紋)，以保證電子簽名的真實(shí)性[16]，有條件的血站還可采用CA認(rèn)證。CA認(rèn)證是指由第三方為血站的電子簽名相關(guān)各方提供真實(shí)性、可靠性驗(yàn)證的服務(wù)活動(dòng)。血站可遵從《衛(wèi)生系統(tǒng)電子認(rèn)證服務(wù)管理辦法(試行)》采用CA認(rèn)證，以便為電子記錄的可采性提供保障。