电子病历法律效力是电子病历试点工作的关键

电子病历法律效力是电子病历试点工作的关键季金奎中国数字医疗网本人结合多年针对国内外相关法律法规和技术标准的研究，结合我国医疗信息系统的现状，就我国《电子病历工作试点方案》中解决电子病历法证作用的必要性和方法提出一点看法和建议。【HC3i专稿2010年10月27日】卫生部2010年10月14日发布《卫生部关于开展电子病历试点工作的通知》及《电子病历工作试点方案》，决定在北京市等22个省（区、市）部分区域和医院开展电子病历试点工作，鼓励有条件的省份推荐1-2家符合条件的县级医院参加试点,这是卫生部推进我国医疗医疗行业信息化的一项重大举措，必将受到医患双方的普遍欢迎和支持。卫生部颁发的《全国医院工作条例》指出：“病案是医疗、教学和科研的重要资料，也是法律的依据”。这就是说，作为病案重要资料的病历，它具有两个重要作用：一个是资料作用，另一个是法律依据即法证作用。现实生活中，人们往往只关注了病历的资料作用而对其法律证据的作用并没有引起足够的重视。随着试点工作的展开，社会大规模的普及和应用电子病历，一方面提升了人们对电子病历的法证作用的认识，同时对如何采取相应的技术手段来保障病历的法律效力，也提出了新的挑战。本人结合多年针对国内外相关法律法规和技术标准的研究，结合我国医疗信息系统的现状，就我国《电子病历工作试点方案》中解决电子病历法证作用的必要性和方法提出一点看法和建议。一、医院为什么必须解决电子病历的法律效力问题1、保护医院自身权益、降低医院运营风险传统意义上，医院管理者往往认为医院掌握了病历的制作和修改权，在出现医患纠纷时就可以处于优势地位。这一观点和做法将随着法律法规的健全而越来越行不通。2001年12月21日,最高人民法院颁布的《关于民事诉讼证据的若干规定》中明确规定：由医疗纠纷引起的诉讼案件,应“由医疗机构就医疗行为与损害结果之间不存在因果关系及不存在医疗过错承担举证责任”。2010年7月1日起实施的《中华人民共和国侵权责任法》规定：“患者有损害，因下列情形之一的，推定医疗机构有过错：（一）违反法律、行政法规、规章以及其他有关诊疗规范的规定；（二）隐匿或者拒绝提供与纠纷有关的病历资料；（三）伪造、篡改或者销毁病历资料”。卫生部2010年2月22日发布《电子病历基本规范（试行）》中也对电子病历的完整性保障做了相关的规定。这些法律法规的实施，明显加大了医疗机构的举证责任，而这些举证要靠技术手段和科学依据才能有效，否则，单凭口头申述是没有说服力也不会被采信的。现实生活中，那些以和医院打官司作为盈利手段的职业“医闹”，他们正是利用了医方不能有效举证这一点。实现电子病历后，对医院方面来说更必须采取有技术效手段来完善自身信息系统建设，以保障在出现纠纷时能有效举证，否则将仍然处于不利的地位。2、提高医院内部管理水平，建立内部责任认定体系医患纠纷中有部分原因是由于医院内部人员责任心不强或诊疗水平有限导致的，医院有必要建立内部责任认定体系，加强管理。在日常工作中，如果采取了有效的技术手段能使诊疗过程中的电子数据不可篡改和伪造，将提升医护人员的工作责任心，出现纠纷的时候可以追索相关责任人。3、降低医疗机构运营成本、构建节约型社会医院信息化后的数据如果能达到《电子签名法》中第二章有关数据电文书面形式的要求，则可以直接存档和使用，不需要打印签字。这将为信息的利用带来便利，同时节约了大量的打印、存储消耗，也节约了时间，提高了效率，降低了医疗机构的运营成本。二、医院电子数据具有法律效力的关键要素根据证据规则的有关要求，作为不可否认的法律证据应该具有唯一性，即出示的证据能确定是什么时间、由谁签发或制作、内容是什么，其中任何一个要素存在不确定因素就会导致证据力不足，这也就证据的3W（WHEN、WHO、WHAT）特性。如果不能确定，也就是说证据可以列举反证，将导致证据力缺失，举证困难。由于电子数据在计算机系统和载体上可以被无痕修改的特点，在作为直接证据时往往因为其不确定性而被轻易列举反证而不被采信。因此，医院电子数据具有法律效力的关键要素是采取什么样的技术手段和技术服务，使诊疗过程中的数据具有医患双方都不可否认和抵赖的特性。目前有的医院采取了数字签名技术，以为这样就可以解决了电子病历的法律效力问题。研究中发现，大部分系统只采用了数字证书的身份认证功能，即在登陆系统时替代用户名密码，即使对电子病历数据进行了数字签名，也只采用了普通数字签名（国标GB/T25064-2010中的BES电子签名类型）。我们知道，这种普通签名只能用在通信过程中防止数据篡改和证明发送数据的主体，并不适用在医疗诊断数据的长期保存和作为证据使用。因为，在医院系统中，如果电子数据、签名数字证书、系统时间完全掌握在医院手中，患者处于弱势地位，医院完全可能根据需要篡改或伪造病历中的数据和时间信息，即使采取了普通电子签名，也可以对数据明文重新签名。另外，因为数字证书只有一年的有效期并且可以随时吊销，医院完全可以对其电子签名的电子病历以签名证书失效为理由，否认患者持有的具有医院电子签名的电子病历，也就是说现在大部分医院采取的所谓电子签名并不能真正解决电子病历的法律效力问题。三、完整解决电子病历法律效力的必要手段和方法1、电子病历系统中数据电文应采取的电子签名格式根据司法证据规则以及《电子签名法》第二章数据电文书面形式和第十三条可靠电子签名的要求，医院电子病历等诊疗信息数据必须具有唯一性且可验证，也就是说医院的电子数据生成时必须采取《国标GB/T25064-2010》中的ES-T、ES-C、ES-X0、ES-X1、ES-X2、ES-X3、ES-X4格式进行签名，在电子病历归档时则采取ES-A格式进行签名。下图是相关电子签名格式：2、选择有资质的可信任服务提供者（TSP）根据《国标GB/T25064-2010》的要求，可信服务提供者（TrustedServiceProvider简称TSP）包括提供数字证书的机构(CertificationAuthority简称CA)和提供可信时间戳的专业时间戳服务机构（TimeStampAuthority简称TSA）。目前我国对CA是实行行政许可制，由工业和信息化部负责实施，CA被行政许可的业务范围只是对社会提供数字证书认证服务。TSA则由国家法定时间源--国家授时中心负责建设和保障，统一对社会提供可信时间戳服务。本文附件列举了目前我国有资质的CA和TSA机构名单。这里还要特别强调一点，有些医院虽然采用了具有资质的CA对电子数据进行了签名，但在可信时间戳的选择和使用上却没有引起足够的重视，具体表现在：有的没有使用可信时间戳，有的采用厂家提供的时间戳软件用医院自己的系统签发时间戳，还有的采用了非可信时间戳机构（如CA）提供的时间戳。这些时间戳的使用使电子病历作为法证时存在时间可以被篡改的不确定因素，有可能导致医院在纠纷举证时的法律风险。3、可靠电子签名和可信时间戳的使用是解决电子病历法律效力关键医院信息系统产生的电子病历，如果同时采用了可靠电子签名和可信时间戳作为技术保障手段，这样便可以确定其唯一性。一旦出现纠纷，便可作为有效的法证，以保护医院的合法权益。4、制定周密可靠的电子签名策略选择对什么样的数据进行电子签名，如何制定周密可靠的签名策略是解决医患纠纷的一个重要问题，这点需要医院在电子病历系统建设时需要通盘考虑的问题。在现代医学上，根据对诊断的贡献权重：病理诊断影像学诊断实验室诊断病历；根据对司法鉴定上的优先考虑：病理诊断影像学诊断实验室诊断医嘱病历。病理诊断、影像报告和实验室检查等数据，决定了医生对病人的诊断和处理，由于数据量少，数据更有可能、也更容易被篡改。如果把阴性的结果篡改为阳性，将导致后续的诊断和治疗的不同，后果更为严重；而病人的医嘱，是客观如实反映了医生对病人的诊断和处理，直接影响到病人的预后等因素，大部分的医疗纠纷往往发生在这里。因此，医院的电子签名策略制定时应该从数据源头开始，如医院的HIS系统、PACS和LIS等方面。四、建议与总结综上所述，依据我国现行的法律法规，医疗机构如果采取了正确的技术手段和管理方法，就可以解决电子病历作为与纸质病历具有同等法律效力的问题。建议卫生管理部门在试点初期就能对电子病历法律效力问题引起足够重视，组织专家对医疗机构和系统集成商进行技术标准和解决方案的培训；对电子病历系统采取的电子签名格式和签名内容进行选择和审定，指导医疗机构和系统集成商采取符合相关标准的技术手段，以保障电子病历法律效力。电子病历的推广利国利民，在采取了可靠技术和管理手段之后，管理部门应与司法部门紧密沟通，同时加大电子病历法律效力的宣传力度，消除医患双方对电子病历法律效力的质疑，降低医疗机构的法律风险，真正实现医疗机构的信息化、现代化，推进低碳经济、加快和谐社会的建设。关于本文作者季金奎，曾任原信息产业部政策法规司司长、信息化推进司司长兼电子认证服务管理办公室主任，现任中国PKI联盟秘书长。附件：《国标GB/T25064-2010》中可信服务提供者（TrustedServiceProvider简称TSP）名单：TSA可信时间戳机构（TimeStampAuthority）：注：此名单来源国家授时中心联合信任时间戳服务中心数字证书认证机构(CertificationAuthority)：注：此名单来源于2010年10月工业和信息化部官方网站1山东省数字证书认证管理有限公司2中金金融认证中心有限公司3北京天威诚信电子商务服务有限公司4陕西省数字证书认证中心有限责任公司5国投安信数字证书认证有限公司6广东省电子商务认证有限公司7广东数字证书认证中心有限公司8上海市数字证书认证中心有限公司9北京数字证书认证中心有限公司10辽宁数字证书认证管理有限公司11湖北省数字证书认证管理中心有限公司12颐信科技有限公司13江苏省电子商务证书认证中心有限责任公司14东方中讯数字证书认证中心有限公司15浙江省数字证书认证中心有限公司16福建省数字安全证书管理有限公司17新疆数字证书认证中心（有限公司）18河南省数字证书有限责任公司19北京国富安电子商务安全认证有限公司20安徽省电子认证管理中心有限责任公司21河北省电子商务认证有限公司22西部安全认证中心有限责任公司23天津远博网络有限公司24山西省数字证书认证中心（有限公司）25深圳市电子商务安全证书管理有限公司26天津信息港电子商务有限公司27江西省数字证书有限公司28中网威信电子安全服务有限公司29北京中认环宇技术开发有限公司30湖南省数字认证服务中心有限公司