医疗行业时间戳应用法律效力探讨.docVIP

医疗行业时间戳应用法律效力探讨 　　摘 要 　　本文通过引入《电子病历系统功能应用水平分级评价方法及标准》提出的时间戳应用要求，参考我国现行的《中华人民共和国电子签名法》、《电子认证服务管理办法》和时间戳技术规范、等文件，对“法律效力”、“第三方”、“可信”等问题进行深入分析，展开了对医疗行业时间戳应用的法律效力的探讨。 　　【关键词】时间戳技术 标准时间 电子签名 可信服务 　　1 时间戳在医疗行业的应用背景 　　根据卫生部颁发的《电子病历系统功能应用水平分级评价方法及标准》（卫办医政发[2011]137号），要达7级完整电子病历系统，实现区域医疗信息共享的建设要求，就需要在电子病历系统中引入“具有法律效力的第三方可信时间戳”。 　　那么如何认定时间戳的法律效力，本文通过分析我国现行的相关法律政策，同时参考时间戳的相关技术标准，分析影响时间戳法律效力的要素，为医疗机构引入该技术手段提供参考。 　　2 影响时间戳法律效力的要素 　　按照《信息安全技术公钥基础设施 时间戳规范GB/T20520-2006》的定义，时间戳由时间戳服务机构签发的，使用数字签名技术产生的数据，签名的对象包括了原始文件信息、签名参数、签名时间等信息。它能证明数据电文在一个时间点是已经存在的、完整的、可?证的，主要用于数据电文的防篡改和事后抗抵赖，确定数据电文产生的准确时间。 　　结合《中华人民共和国电子签名法》和时间戳的定义，所谓“具有法律效力的第三方可信时间戳”归纳以下要素： 　　（1）时间戳签发机构为可信的第三方； 　　（2）时间戳数据所依赖的签名时间准确； 　　（3）时间戳是运用可靠的数字签名产生的数据。 　　下面具体针对这些要素进行阐述。 　　2.1 时间戳签发机构为可信的第三方 　　就目前信息化可信服务行业，只有电子签名建立了第三方认证机制，按照《电子签名法》第十六条的规定：“电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务”。根据此条规定，在我国已经有一批企业或机构获得了电子签名服务的行政许可，称为第三方电子认证服务机构。 　　电子签名和时间戳都为信息安全可信服务，在国家尚未对时间戳签发机构予以明确定义前，按照技术中立性原则 ，提供时间戳服务的机构可参考《电子签名法》和《电子认证服务管理办法》的要求，由国家相关主管部门（即工业和信息化部和国家密码管理局）依法对其进行认证许可，获得相关许可资质，才能是合法可信的。 　　卫生部于2009年12月发布了《卫生系统电子认证服务管理办法》，对全国卫生系统电子认证应用提出总体要求，并甄选了一批符合该管理办法的第三方电子认证服务机构，医疗机构可遵从该办法的要求，选择时间戳签发机构。 　　2.2 时间戳数据所依赖的签名时间准确 　　时间是客观存在的，世界只有一个标准时间，目前全世界遵循的是100多年前创建的格林威治时间。时间的保持和校准通过天文台精密仪器实现，目前世界各国都采用原子钟来保持标准时间，而后通过各种手段和媒介将时间信号送达用户，这些手段包括：短波、长波、电话网、互联网、卫星等，即为“授时”。 　　时间戳数据包含了签名时间，可理解为产生时间戳数据的准确时间，这个准确时间来源于一个可以守时的时间设备，同时该时间设备可通过任何一种授时手段定期同步国家认可 的时间信号，以保证该时间满足应用领域的精度要求。在医疗行业，对时间的精度无特殊的要求，时间记录到秒级已经完全符合病历记录的要求。因此，普通的时间设备便可满足医院对标准时间的需求，目前常见的如网络时间服务设备、卫星时间服务设备等。 　　2.3 时间戳是运用可靠的数字签名产生的数据 　　根据《电子签名法》和国家密码管理机构的相关要求，时间戳运用数字签名技术需要满足以下几个关键点： 　　（1）采用第三方电子认证服务机构签发的数字证书； 　　（2）可靠的PKI技术体系； 　　（3）采用符合国家有关规定的密码设备。 　　首先，“采用第三方电子认证服务机构签发的数字证书”保证了数字签名技术的认证方能够按照机构自身表述的认证规则办事；保证了数字证书内容的真实、准确。按照2.1节的分析，时间戳签发机构为第三方电子认证服务机构，因此第三方电子认证服务机构需要为自己签发一张用于时间戳签发的数字证书，提升了时间戳运用数字签名技术的可靠性。 　　其次，“可靠的PKI技术体系”保证电子认证服务机构知悉电子签名生成数据的可能用途、有效性且未发生失密，保证在认证服务时使用可信赖的系统和程序。从而采用“可靠的PKI技术体系”是时间戳运用数字签名技术的前提。 　　最后，数字签名技术是基于密码技术的应用，密码技术是否安全需要通过国家的认可。目前，我国关于密码技术在商用领域的使用是受到国家监管的。因此，时间戳签发机