构建河南省统一医疗卫生行业信息安全及法律效力保障服

构建河南省统一医疗卫生行业信息安全及法律效力保障体系河南省卫生信息化培训材料保障医疗电子数据法律效力的服务机构的作用1相关法律、法规、标准及规范介绍2构建医疗电子数据法律保障体系的必要性34保障医疗电子数据法律效力的体系架构5目录典型应用介绍6如何有效实施和关键问题分析讨论与回顾67构建医疗电子数据法律保障体系的必要性陈竺：随着我国卫生信息化的快速发展，也带来了诸多问题和挑战，如电子医疗文书的法律效力和司法取证问题，患者隐私保护问题，以及如何防范信息泄露、防篡改等技术问题，这些问题都直接或间接的影响卫生信息化充分发挥应有的作用。依法开诊卫生信息化建设是加快我国卫生信息化建设的基本原则和基本要求！解决电子病历法律效力的迫切性和必要性孟群主任在3月19日《卫生部电子病历与医院信息化建设座谈会》上的讲话：“十二五”期间医院信息化建设发展的重点任务可归纳为三个方面：一是提升应用水平。二是创新服务模式。三是推进立法建制，即抓紧研究、确立我国电子病历和健康档案法律地位，完善电子病历和健康档案应用管理和隐私保护制度，制定出台我国卫生领域电子签名法实施细则，为医疗卫生信息化和卫生事业的可持续发展保驾护航。卫生部统计信息中心主任孟群构建医疗电子数据法律保障体系的必要性构建医疗电子数据法律保障体系的必要性法院医政管理部门律师、学者社会大众、患者医生医院原告：患者家属诉求：父亲因心衰死亡，要求医院赔偿。理由：医院修改了电子病历被告：某医院法官：根据侵权责任法第58条规定：患者有损害，医疗机构需要举证自己未篡改伪造、隐匿病历。否则推定医疗机构有过错！医院的信息系统、电子签名等全部由医院控制，医院如何证明自己没有重新生成电子病历数据、没有重新进行电子签名。。。。构建医疗电子数据法律保障体系的必要性v无纸化医院是医院信息化发展的最高境界v无纸化医院发展过程中面临的一个瓶颈是医疗信息化数据的法律效力问题。构建医疗电子数据法律保障体系的必要性保障电子病历法律效力是建立和谐医患关系，增进医患信任的基础！构建医疗电子数据法律保障体系的必要性解决电子病历法律效力的迫切性和必要性孟群在3月19日《卫生部电子病历与医院信息化建设座谈会》上的讲话：“十二五”期间医院信息化建设发展的重点任务可归纳为三个方面：一是提升应用水平。二是创新服务模式。三是推进立法建制，即抓紧研究、确立我国电子病历和健康档案法律地位，完善电子病历和健康档案应用管理和隐私保护制度，制定出台我国卫生领域电子签名法实施细则，为医疗卫生信息化和卫生事业的可持续发展保驾护航。卫生部统计信息中心主任孟群构建医疗电子数据法律保障体系的必要性v《民事诉讼法》v《电子签名法》v《侵权责任法》v《电子病历基本功能规范》v《电子病历基本规范（试行）》v《电子病历分级评级标准（试行）》v《卫生系统电子认证服务管理办法（试行）》v国标《GB/T25064电子签名格式标准》v《基于居民健康档案的区域卫生信息平台技术规范》（征求意见稿）v《基于电子病历的医院信息平台技术规范》（征求意见稿）相关法律、法规、标准及规范介绍n随着医院信息化的发展，电子文件、电子数据成为记录医疗过程的主要载体。n电子文件存在易被篡改和灭失的脆弱性。n如何保障电子病历数据具有与传统纸质病历具有同等法律效力，使其资料作用和法证作用得到认可是医院信息化必须考虑的问题。n3W问题是电子病历具备法律效力的基本要素n民事诉讼法第六十八条，证据应当是原件ElectronicdataauthenticityproofsforthethirdpartyWHENWHATWHO修改痕迹折痕章印手印指纹腐蚀老化笔记特征标记相关法律、法规、标准及规范介绍第五条符合下列条件的数据电文，视为满足法律、法规规定的原件形式要求：(一)能够有效地表现所载内容并可供随时调取查用；(二)能够可靠地保证自最终形成时起，内容保持完整、未被更改。《电子签名法》的两个重要作用•一：解决数据电文原件形式，规定了满足一定条件的数据电文具有和纸质文件同等法律效力，不得因采取数据电文形式而否认其证据效力。•二：解决可靠的电子签名与手写签名或者盖章具有同等的法律效力，规定了可靠电子签名的条件。第十三条电子签名同时符合下列条件的，视为可靠的电子签名：（一）电子签名制作数据用于电子签名时，属于电子签名人专有；（二）签署时电子签名制作数据仅由电子签名人控制；（三）签署后对电子签名的任何改动能够被发现；（四）签署后对数据电文内容和形式的任何改动能够被发现。当事人也可以选择使用符合其约定的可靠条件的电子签名。第十四条可靠的电子签名与手写签名或者盖章具有同等的法律效力。电子病历法律效力的法律基础2010年2月22日卫生部发布《电子病历基本规范（试行）》实施电子病历重在保证医患双方合法权益，医疗机构对电子病历的建立、使用、保存、和管理实施有效的措施，防止电子病历篡改、伪造。2010年7月1日起实施的依据《中华人民共和国侵权责任法》第五十八条规定：患者有损害，因下列情形之一的，推定医疗机构有过错：（三）伪造、篡改或者销毁病历资料。2001年12月21日,最高人民法院颁布的《关于民事诉讼证据的若干规定》中明确规定：由医疗纠纷引起的诉讼案件,应“由医疗机构就医疗行为与损害结果之间不存在因果关系及不存在医疗过错承担举证责任”卫生部可信时间戳与电子病历法律效力论证会材料现行法律、法规对电子病历的要求相关法律、法规、标准、规范介绍《基于居民健康档案的区域卫生信息平台技术规范》《基于电子病历的医院信息平台技术规范》卫生部《电子病历系统应用水平分级评价方法及标准》解读可靠电子签名：普通电子签名+可信时间戳法律效力的第三方可信时间戳：指国家授时中心签发的可信时间戳解读中明确了：电子认证服务机构与时间戳服务机构的的作用和区别卫生部《电子病历系统应用水平分级评价方法及标准》解读电子病历法律效力的关键问题纸质病历是被法律所认可，可以做为法律证据使用。如果能保障电子病历与纸质病历具有同等法律效力是也就解决了电子病历得法律效力问题。1身份是真实的5法律是保障的2行为是规范的3责任是明确的4数据是安全的确保网络环境下业务参与各方身份真实可靠的确保业务参与各方在规定权限范围内操作，有效防范越权访问建立安全可信的责任认定机制，有效防止抵赖数据的存储是是完整的，不能篡改的，数据的传输是安全的，不会被拦截和窃听数据是被法律承认的，系统是承载法律责任的建设目标保障医院信息系统法律效力的系统架构安全平台的服务模式国家授时中心时间戳服务LDAPTSA+CA平台服务模式TSA和CA的作用与区别TSA可信时间戳服务中心（TimeStampAuthority）由国家授时中心负责建设并提供授时和守时保障，提供具有法律效力的可信时间戳签发服务，解决各种类型的电子数据、电子文件符合电子签名法要求的原件形式，保障数据电文至形成时起内容完整、未被更改，使电子数据文件具有法律效力。是用来证明电子数据产生时间和内容完整性的权威第三方服务机构。我国现在已经建设了国家授时中心联合信任时间戳服务中心机构名单详见国家授时中心官方网站：数字证书认证服务中心(CertificationAuthority)由国家工业和信息化部进行审批的第三方数字证书颁发机构，签发的数字证书主要用于网络身份认证和对电子数据进行数字签名，用于证明签名者的身份，使数字签名具有与手写签名或盖章具有同等的法律效力。使用来证明签名者身份的第三方。工业和信息化部现在已经批准了30家CA服务机构。目前卫生部审核了22家CA机构名单详见工业和信息化部和卫生部网站两个独立第三方服务机构：根据《电子签名格式标准》（GB/T25064-2010）中描述的可信服务提供者（TrustedServiceProvider简称TSP）包括：1、TSA可信时间戳服务中心（TimeStampAuthority）2、CA数字证书认证服务中心(CertificationAuthority)TSA用于解决数据电文原件形式、法律效力CA用于解决可靠电子签名、身份认证数字证书保障电子病历的法律效力的技术基础CA/数字证书的作用数字证书的内涵•数字签名•数据加密•身份认证CA/数字证书的作用原件？第三方数字证书在解决电子病历法律效力中的作用：证明电子病历的签发主体，解决电子签名与手写签名具有同等法律效率问题。问题：•在数字证书吊销、过期等情形，证书失效后的数字签名无法有效验证；签名人可以拒绝承担签名责任；•由于病历数据、签名的数字证书、签名数据以及信息系统完全由医院控制，医院可以删除签名数据、修改病历数据后重新签名，在纠纷举证时无法证明病历数据原始性而存在法律风险。数字证书的类型个人证书机构证书业务证书设备证书颁发SD型医疗身份卡颁发USB型医疗身份卡数字证书的种类国家授时中心联合信任时间戳服务中心介绍国家授时中心联合信任时间戳服务中心(NTSCUniTrustTimeStampAuthority)是由我国唯一法定时间源--国家授时中心负责建设的我国权威第三方可信时间戳服务机构。作为国内权威专业时间戳服务机构，联合信任时间戳服务中心为我国电子商务、电子政务、电子医疗、知识产权保护、司法等诸多领域提供具有法律效力的第三方可信时间戳服务。该时间戳服务中心由北京联合信任技术服务有限公司负责应用技术支持和接入服务。我国可信时间戳服务体系时间戳中心二级接入总站时间戳中心二级接入总站可信时间戳：是由国家授时中心联合信任时间戳服务中心签发的具有法律效力的电子凭证。能可靠地证明数据电文自最终形成时起，内容保持完整、未被更改；可信时间戳服务：是国家法定时间服务的延伸，是保障无纸化法律效力重要基础。可信时间戳服务的作用TSA可信时间戳的作用《GB/T25064-2010》高级电子签名格式架构可信时间戳能可靠地保证数据电文自最终形成时起，内容保持完整、未被更改。是解决各种电子数据符合法律要求的原件形式和实现业务无纸化的有效电子凭证可信时间戳保障数字签名符合高级电子签名格式要求，实现长效电子签名。ü可信时间戳解决了医院信息系统中的医疗数据法律效力。通过对各类医疗数据、医疗记录、影像资料等申请可信时间戳认证，保证了医疗数据满足《电子签名法》对电子数据符合原件形式的要求。实现医疗机构无纸化、档案电子化、电子病历合法化；在医患纠纷时降低医院举证成本、保障医院的合法权益。可信时间戳保证了电子签名的有效性，解决了医院只使用电子签名，在数字证书吊销、过期等存在的签名数据无法验证等法律风险。ü可信时间戳的使用实现了医院内部电子数据可追溯、可审计、防篡改、抗抵赖等功能，确保了医院电子数据的安全，是医院内部责任认定不可或缺的基础保障。ü可信时间戳使医疗机构的信息系统符合卫生部关于电子病历的有关规定中对电子数据内容完整、不可篡改、时间准确等方面的要求。符合《电子病历系统应用水平分级评价及标准》及《基于居民健康档案的区域卫生信息平台技术规范》、《基于电子病历的医院信息平台技术规范》中对时间戳的要求。ü可信时间戳的作用医生工作站电子病历客户端医院内网电子病历系统数字签名/验证服务器电子签章与时间戳服务器区域医疗交换前置机医院信息化系统电子签名客户端电子签章标准时间源设备可信时间戳与普通时间戳的区别医院可以修改标准时间设备和时间戳服务器的时间，重新签发时间戳。在纠纷举证时，医院无法证明自己没有修改时间戳签发时间和无法证明没有重新签发时间戳。导致电子病历不具备《电子签名法》规定的数据电文原件形式。使用非法定时间机构签发的时间戳也存在签发机构时间不权威的问题。修改时间重新签发时间戳可信时间戳在医院的具体应用1、可信时间戳在HIS中的应用解决方案2、可信时间戳在PACS中的应用解决方案3、可信时间戳在LIS中的应用解决方案4、可信时间戳在电子签章中的应用解决方案•诊疗过程医疗档案1、可信时间戳在居民健康档案中的应用解决方案2、可信时间戳在电子病案中的解决方案（病历锁定、病历归档、病历使用等环节）对重点诊疗过程记录申请时