李應(yīng)騫

摘 要：目前電子病歷系統(tǒng)已經(jīng)在各大醫(yī)療機(jī)構(gòu)普遍使用，但是各類醫(yī)院所使用的電子病歷系統(tǒng)各不相同，我國已經(jīng)在二零一零年二月十二日由衛(wèi)生部組織制定了《電子病歷基本規(guī)范（試行）》并開始試行，對電子病歷系統(tǒng)做出了初步的要求，規(guī)定了電子病歷系統(tǒng)應(yīng)具備的使用條件與管理規(guī)范，但對電子病歷所包含的電子數(shù)據(jù)如何保全并未提及。由于電子病歷所承載的電子數(shù)據(jù)在發(fā)生醫(yī)患糾紛時起著證據(jù)證明的重要作用，所以對于電子病歷法律效力的問題與如何對電子病歷所包含的電子數(shù)據(jù)保全尤為重要。本文期望從法律和技術(shù)交叉為電子病歷保全與認(rèn)證提供微薄的借鑒意義。

關(guān)鍵詞：電子病歷；電子數(shù)據(jù)；可信時間戳；電子簽名；電子數(shù)據(jù)保全與認(rèn)證

中圖分類號：TP393.08 文獻(xiàn)標(biāo)識碼：A 文章編號：2095-4379-（2016）35-0020-03

一、電子病歷證據(jù)概述

（一）電子病歷應(yīng)用現(xiàn)狀

電子病歷對患者的醫(yī)療信息進(jìn)行記錄起于上世紀(jì)七十年代，由歐美等國家率先使用，從最開始的簡單記錄患者信息逐步發(fā)展為今天的整個醫(yī)療領(lǐng)域電子信息化系統(tǒng)。

美國由于其較高的科技水平，在電子病歷的使用上遠(yuǎn)遠(yuǎn)領(lǐng)先于中國，到目前為止全美各個醫(yī)療機(jī)構(gòu)均已使用電子病歷進(jìn)行醫(yī)療應(yīng)用。同時日本的電子病歷應(yīng)用工作起步同樣較早，并且在電子病歷信息化使用上遙遙領(lǐng)先，其電子病歷的法律地位也為日本政府所認(rèn)可。①

同時我國對電子病歷的推廣工作也在逐步推進(jìn)，醫(yī)療信息化建設(shè)對此提出了明確的目標(biāo)，用以推動電子病歷使用率和醫(yī)療衛(wèi)生信息化發(fā)展。同時關(guān)于電子病歷所依托的電子數(shù)據(jù)也在訴訟法律得到了可作為法律證據(jù)形式的法律保障?！峨娮硬v基本規(guī)范（試行）》對于電子病歷的檔案建立、信息記錄、資料保存和記錄監(jiān)督等問題提出了相關(guān)規(guī)定，對于電子病歷病案信息的管做出了相應(yīng)的加強(qiáng)。

但是電子病歷在推廣的過程中也產(chǎn)生了相應(yīng)的問題，對于其所包含了病患信息的證據(jù)證明力一直存在質(zhì)疑，對于電子病歷的載體電子數(shù)據(jù)作為法律證據(jù)，其法律效力的不確定性和病患信息的特殊性讓電子病歷證據(jù)的證明力的界定更為重要。

（二）電子病歷應(yīng)當(dāng)滿足的條件

根據(jù)《中華人民共和國電子簽名法》、《電子病歷基本規(guī)范（試行）》等有關(guān)規(guī)范性法律文件的規(guī)定分析得出，可靠的電子病歷應(yīng)具備三個條件：可保存性，可讀性，真實(shí)性。②

其中可保存性即在醫(yī)院對電子病歷信息具有保存責(zé)任，病患相關(guān)就醫(yī)信息能夠完整的保存于患者對應(yīng)的病歷信息庫中，同時應(yīng)當(dāng)長時間的予以保存；可讀性即病患的就醫(yī)信息能夠被電子病歷系統(tǒng)完整讀取，能夠及時調(diào)閱；對于電子病歷的真實(shí)性即要求醫(yī)療機(jī)構(gòu)對于所使用的電子病歷系統(tǒng)所保存的電子病歷信息真實(shí)性予以保障，對病患信息未被篡改予以證明，同時在發(fā)生醫(yī)療糾紛時對相對應(yīng)的病歷信息予以舉證。

其中最困難的是對電子病歷真實(shí)性，即未被篡改的證明。保證電子病歷具備三個條件是醫(yī)療機(jī)構(gòu)自身責(zé)任，不過由于技術(shù)上存在一定困難，幾乎不存在這樣完全安全的系統(tǒng)，即使存在該系統(tǒng)，在此系統(tǒng)之下同樣需要醫(yī)療機(jī)構(gòu)通過遵守運(yùn)用規(guī)則、實(shí)施系統(tǒng)監(jiān)查等人員管理、組織健全等多方面的措施來證明醫(yī)療記錄的真實(shí)性。

然而在目前的技術(shù)和社會背景之下，并不存在可以放心使用，并且值得完全信任的可靠安全的電子病歷系統(tǒng)。

二、當(dāng)前我國電子病歷證據(jù)采信存在的難題

電子病歷所記錄的相關(guān)信息如若能在訴訟中作為相關(guān)證據(jù)來使用，應(yīng)當(dāng)具備法律規(guī)定的真實(shí)性、合法性與關(guān)聯(lián)性。但是在目前的訴訟程序中對電子病歷記錄信息的證據(jù)認(rèn)定仍存在障礙，使得電子病歷證據(jù)的證明力存在瑕疵。

我國目前已經(jīng)將電子數(shù)據(jù)明確列為了法定證據(jù)種類之中，對于數(shù)據(jù)電文在法律上的合法性予以了肯定，賦予了數(shù)據(jù)電文的證據(jù)資格。但是就目前而言并沒有電子證據(jù)的審查與認(rèn)定規(guī)則的完整規(guī)范，因此在實(shí)踐中對于電子證據(jù)的司法審查大不相同。由于電子病歷所記錄的病患信息承載于電子數(shù)據(jù)之上，同時這些電子數(shù)據(jù)又同電子設(shè)備、儲存媒介密不可分，同時數(shù)據(jù)電文在現(xiàn)有的儲存模式下極易受到難以察覺的破壞與篡改，因此在醫(yī)患糾紛發(fā)生時電子病歷作為證據(jù)提交法院進(jìn)行審查時，其真實(shí)性亦容易被多方質(zhì)疑，對于電子病歷證據(jù)能力的認(rèn)定產(chǎn)生了不小的阻礙。

保證電子病歷具備可保存性、可讀性、真實(shí)性是醫(yī)療機(jī)構(gòu)的責(zé)任，其中如何保障其真實(shí)性即數(shù)據(jù)不被篡改，是最為重要的問題。傳統(tǒng)保全方式在一定程度上可以保障病歷的真實(shí)性，但仍然存在漏洞。

（一）將數(shù)據(jù)以紙質(zhì)文件、軟盤等形式交給患者保存

傳統(tǒng)方式既是通過將病例信息以備份的形式交給患者，如果院方自行修改了患者的病例信息，患者便可以拿出院方簽章的備份數(shù)據(jù)證明院方修改過信息以維護(hù)自己的權(quán)利。

但是如果患者丟失上述信息，讓患者因此承擔(dān)敗訴后果顯失公平；另一方面，如果患者擅自篡改信息，例如惡意訴訟的患者，這樣病歷的真實(shí)性和完整性則難以認(rèn)證。

（二）使用不可改寫的媒體（例如光盤）存儲記錄

通過將病例信息以不可改寫的媒體（例如光盤）存儲記錄，以保證其真實(shí)性。

但是部分設(shè)備和媒體是可以通過技術(shù)手段進(jìn)行篡改的，例如篡改光盤中的信息只通過簡單的步驟則可以更改患者信息，第一步將保存有患者信息的光盤里的數(shù)據(jù)復(fù)制到硬盤之中，第二步在硬盤內(nèi)更改拷貝過來的患者信息，第三步將更改后形成的新的患者信息寫入新的光盤之中，最后丟棄原有關(guān)盤，因此患者的病歷信息同樣會被更改，這樣電子病歷證據(jù)的真實(shí)性則難以得到保障。

（三）使用不能更改數(shù)據(jù)的特殊設(shè)備進(jìn)行記錄

不能更改數(shù)據(jù)的特殊設(shè)備例如飛機(jī)黑匣子，飛機(jī)各機(jī)械部位和電子儀器儀表都裝有傳感器與之相連。黑匣子具有極強(qiáng)的抗火、耐壓、耐沖擊振動、耐海水（或煤油）浸泡、抗磁干擾等能力，即便飛機(jī)已完全損壞黑匣子里的記錄數(shù)據(jù)也能完好保存。

使用這種設(shè)備對電子病歷進(jìn)行保全可以很大程度上保障電子病歷信息的完整性和真實(shí)性，但也有不足之處：第一，設(shè)備由用戶管理使用，設(shè)備制造商和高級技術(shù)人員難以證明用戶有無篡改內(nèi)部數(shù)據(jù)；第二，此類設(shè)備運(yùn)用于電子病歷數(shù)據(jù)的保全成本較高，另一方面，醫(yī)療機(jī)構(gòu)收治患者數(shù)量大，所產(chǎn)生的電子病歷信息會占據(jù)很大的存儲空間，而增添特殊的存儲設(shè)備會導(dǎo)致費(fèi)用的增加，同時此類設(shè)備如果出現(xiàn)故障，需要在同樣對應(yīng)的設(shè)備中進(jìn)行備份，又將會是一筆成本支出。

因此醫(yī)療機(jī)構(gòu)使用此類設(shè)備進(jìn)行電子病歷信息保存的實(shí)際操作困難，成本大，難以落于實(shí)際。

（四）通過數(shù)據(jù)的更改記錄以證明信息為被篡改

此方法既是數(shù)據(jù)被更改之后，系統(tǒng)會生成更改記錄（即日志信息），所以可以查證病例信息有無被篡改。

但是同樣存在不足之處，第一使用某些軟件（如編輯軟件）篡改的時候不會生成日志信息；第二行為人篡改數(shù)據(jù)后，可以編輯或自制軟件更改刪除日志信息，也可以暫時保存日志文件，篡改后再恢復(fù)原狀。

這樣篡改數(shù)據(jù)之后，日志信息也無法證明數(shù)據(jù)是否被篡改。電子病歷如果使用此種方法難以證明其信息與原始信息一致，其證據(jù)證明力任然難以得到保證。

（五）對病歷信息進(jìn)行加密

用先進(jìn)的加密技術(shù)對數(shù)據(jù)進(jìn)行加密處理，以保障數(shù)據(jù)不會被沒有權(quán)限的訪問者更改。

但是存在以下問題：第一難以證明加密密鑰的發(fā)行人（或其他關(guān)系人）是否告知用戶加密密鑰；第二如果加密密鑰被泄漏，過去所有的數(shù)據(jù)都會失去可靠性。

通過以上對于電子病歷的傳統(tǒng)保全方式不難分析對于任何一方來說都不能百分之百的確保電子病歷所記錄信息的安全性，這就造成了發(fā)生醫(yī)患糾紛時難以通過認(rèn)定電子病歷沒有被篡改來支持某一方的訴訟請求。因此電子病歷做為證據(jù)被提出之后其真實(shí)性難以認(rèn)定，同時在目前對于電子病歷的審查機(jī)制并未完善的前提下，電子病歷更加容易被篡改，真實(shí)性更容易遭受各方的質(zhì)疑。

三、構(gòu)建電子病歷保全與認(rèn)證系統(tǒng)的思考

對于目前醫(yī)院已經(jīng)大范圍使用電子病歷系統(tǒng)，同時借助不斷發(fā)展的云端技術(shù)，利用計(jì)算機(jī)技術(shù)創(chuàng)立電子病歷保全與認(rèn)證云平臺，通過對醫(yī)院對患者的診斷生成的電子病歷信息，實(shí)時上傳到電子病歷保全與認(rèn)證平臺提供的醫(yī)院客戶端，由客戶端運(yùn)用時間戳技術(shù)和電子數(shù)據(jù)加密技術(shù)將其固定，并將隨機(jī)生成的加密函數(shù)值實(shí)時傳輸?shù)奖Ｈ行拇鎯σ詡洳轵?yàn)和認(rèn)證。

經(jīng)過保全后，任何對電子病歷的修改，都會導(dǎo)致加密函數(shù)值的變化。因此，電子病歷生成的時間及原始形態(tài)是否被修改，醫(yī)患雙方都可以向電子數(shù)據(jù)保全中心提出認(rèn)證申請，通過校驗(yàn)保全中心系統(tǒng)存儲的加密函數(shù)值得到是否修改的準(zhǔn)確的認(rèn)證結(jié)論。

電子病歷保全與認(rèn)證技術(shù)方案包括電子病歷保全和電子病歷認(rèn)證兩個方面的內(nèi)容。其保全與認(rèn)證都可以通過建設(shè)保全與認(rèn)證云平臺提供。

（一）電子病歷保全

其具體保全方法是通過保全中心提供的云平臺客戶端，對醫(yī)院實(shí)時上傳的電子病歷計(jì)算哈希值，將哈希值發(fā)送至保全中心的系統(tǒng)服務(wù)器，接受系統(tǒng)服務(wù)器返還的電子病歷登記證明書，將電子病歷及其證明書一同存儲在醫(yī)院信息系統(tǒng)。這種提交登記的方法可以確定電子病歷固定的精確時刻，并確定該電子病歷的安全身份標(biāo)識號碼。

（二）電子病歷真實(shí)性認(rèn)證

經(jīng)保全獲得電子病歷證明書的電子病歷，其客觀真實(shí)性能夠隨時提交認(rèn)證。其技術(shù)方法如下：對于提交認(rèn)證是否修改過的電子病歷，保全中心可以將提交認(rèn)證的電子病歷再次計(jì)算哈希值，并將該哈希值及電子病歷保全書所載登記號與存儲服務(wù)器記錄的原哈希值進(jìn)行比對。如果該電子病歷不是原始病歷，哪怕只是修改過一個標(biāo)點(diǎn)符號，其生成的哈希值必然與電子數(shù)據(jù)保全中心保存的原始病歷的哈希值不一致。由此即可準(zhǔn)確認(rèn)證該電子病歷是否經(jīng)過修改。

為保證電子數(shù)據(jù)保全與認(rèn)證服務(wù)云平臺的可信性，平臺定期計(jì)算集約了期間內(nèi)所有哈希鏈值的期間哈?？傊担ㄖ芄？傊担?，并在權(quán)威紙質(zhì)媒體上公開發(fā)布。在訴訟中法院等機(jī)構(gòu)有可能要求平臺證明服務(wù)器運(yùn)行過程中是否存在不當(dāng)操作，這時，通過重新計(jì)算周哈?？傊?，將其與在權(quán)威紙質(zhì)媒體上公布的周哈希總值進(jìn)行比對，便可證明沒有不當(dāng)操作行為，從而證明平臺的可信性。

由于該平臺只保存的是電子病歷信息的哈希值，而非保存的醫(yī)院的完整診療信息，不會占用過多的儲存空間，同時此保全與認(rèn)證方式能夠大大減少傳統(tǒng)保全與認(rèn)證的時間周期，并且不涉及可能侵犯他人隱私的法律風(fēng)險(xiǎn)，能夠從技術(shù)上保證電子病歷相關(guān)信息的未被篡改性，同時通過具有影響力媒體公布周期哈希值能夠較為中立的保證此平臺的可信賴性。

四、完善電子病歷司法鑒定的建議

目前對于電子病歷涉及的電子數(shù)據(jù)的法律已經(jīng)有了明確的立法規(guī)定，但是對于電子數(shù)據(jù)在司法鑒定程序的規(guī)定卻相對缺失。沒有具體的法律規(guī)定針對電子數(shù)據(jù)該如何進(jìn)行司法鑒定，這樣的缺失容易導(dǎo)致發(fā)生糾紛時，糾紛相對人提出的證據(jù)無法得到有效的法律支持，從而導(dǎo)致訴訟目的無法達(dá)成。針對電子病歷所涵蓋的電子數(shù)據(jù)司法鑒定提出如下建議：

其一，首先在現(xiàn)有的司法鑒定體系之下規(guī)范針對電子數(shù)據(jù)的司法鑒定，由國務(wù)院行政管理部門協(xié)同兩高共同協(xié)商制定相應(yīng)的司法鑒定程序要求，使電子數(shù)據(jù)的司法鑒定有法可依，在法律的軌道下進(jìn)行司法鑒定才能于法有據(jù)。

其二，嚴(yán)格規(guī)范電子數(shù)據(jù)司法鑒定機(jī)構(gòu)的準(zhǔn)入制度，由國務(wù)院行政部門制定相應(yīng)的電子數(shù)據(jù)鑒定機(jī)構(gòu)的設(shè)立條件，規(guī)范鑒定機(jī)構(gòu)準(zhǔn)入門檻，在經(jīng)營過程中由司法行政部門針對設(shè)立的電子數(shù)據(jù)的鑒定機(jī)構(gòu)進(jìn)行定期的檢查與評估，對于違法設(shè)立的鑒定機(jī)構(gòu)必須取消資格，對于違規(guī)的鑒定機(jī)構(gòu)規(guī)定相應(yīng)的整改期限，限期整改，逾期不予整改或整改不合格的取消其司法鑒定資格。

其三，針對電子數(shù)據(jù)司法鑒定機(jī)構(gòu)存在與偵查機(jī)關(guān)內(nèi)部，易形成自偵自查的問題，會使社會對于電子數(shù)據(jù)的鑒定結(jié)果的合法性產(chǎn)生懷疑，不利于電子數(shù)據(jù)的證據(jù)效力的采信，因此對應(yīng)當(dāng)將電子數(shù)據(jù)鑒定機(jī)構(gòu)獨(dú)立出偵查機(jī)關(guān)。設(shè)立獨(dú)立于偵查機(jī)關(guān)與訴訟機(jī)關(guān)的第三方中立電子數(shù)據(jù)鑒定機(jī)構(gòu)，通過行政立法手段設(shè)立行政許可制度，使電子數(shù)據(jù)鑒定機(jī)構(gòu)的中立性得以凸顯。同時由第三方設(shè)立的電子數(shù)據(jù)司法鑒定機(jī)構(gòu)，可以由其自身承擔(dān)自負(fù)盈虧的風(fēng)險(xiǎn)，有利于節(jié)省財(cái)政支出。同時實(shí)行行政指導(dǎo)、行業(yè)自律，從而促進(jìn)鑒定技術(shù)的提高。

其四，電子數(shù)據(jù)司法鑒定的標(biāo)準(zhǔn)化立法，由法律明確規(guī)定電子數(shù)據(jù)司法鑒定的程序。在對電子數(shù)據(jù)司法鑒定立法的同時可以借鑒國際上相對權(quán)威的計(jì)算機(jī)取證與司法鑒定的六項(xiàng)原則，即必須應(yīng)用標(biāo)準(zhǔn)的取證與司法鑒定過程；獲取證據(jù)時所采用的任何方法都不能改變原始證據(jù)；取證與司法鑒定人員必須經(jīng)過專門培訓(xùn)；完整地記錄證據(jù)的獲取、訪問、存儲或傳輸?shù)倪^程，并妥善保存這些記錄以備隨時查閱；每位保管電子證據(jù)的人員必須對其在該證據(jù)上的任何行為負(fù)責(zé)；任何負(fù)責(zé)獲取、訪問、存儲或傳輸電子證據(jù)的機(jī)構(gòu)有責(zé)任遵循以上原則。③借鑒國際原則有利于對我國的電子數(shù)據(jù)司法鑒定提供立法標(biāo)準(zhǔn)化。

電子數(shù)據(jù)作為電子病歷信息的承載載體，對其司法鑒定的專門立法，有利于在發(fā)生醫(yī)患糾紛時對對其電子數(shù)據(jù)進(jìn)行專門的司法鑒定，能夠進(jìn)一步提升電子病歷證據(jù)的證明能力，對電子病歷所包含的電子數(shù)據(jù)進(jìn)行司法鑒定，所形成的鑒定意見更能夠?yàn)樵V訟雙方所接受，也有利于解決社會矛盾。

[ 注 釋 ]

①俞康民.電子病歷發(fā)展趨勢[J].中華現(xiàn)代醫(yī)院管理雜志，2006，4（3）：68-69.

②<電子簽名法>第六條的規(guī)定：“符合下列條件的數(shù)據(jù)電文，視為滿足法律、法規(guī)規(guī)定的文件保存要求：（一）能夠有效地表現(xiàn)所載內(nèi)容并可供隨時調(diào)取查用；（二）數(shù)據(jù)電文的格式與其生成、發(fā)送或者接收時的格式相同，或者格式不相同但是能夠準(zhǔn)確表現(xiàn)原來生成、發(fā)送或者接收的內(nèi)容；（三）能夠識別數(shù)據(jù)電文的發(fā)件人、收件人以及發(fā)送、接收的時間”.

③麥永浩，孫國梓，許榕生等.計(jì)算機(jī)取證與司法鑒定[M].北京：清華大學(xué)出版社，2009：6-9.

[ 參 考 文 獻(xiàn) ]

[1]趙正輝，李寧倩.電子病歷醫(yī)患糾紛的新觸媒[N].人民法院報(bào)，2012-11-03.

[2]胡志堅(jiān).建設(shè)以電子病歷為核心的手術(shù)麻醉管理系統(tǒng)[J].福建電腦，2013，29（8）.

[3]衛(wèi)生部.衛(wèi)生部關(guān)于印發(fā)<電子病歷基本規(guī)范（試行）>的通知[Z].2010-02-22.

[4]俞康民.電子病歷發(fā)展趨勢[J].中華現(xiàn)代醫(yī)院管理雜志，2006，4（3）.

[5]劉葉琴.我市電子病歷的發(fā)展現(xiàn)狀的研究分析[J].內(nèi)蒙古中醫(yī)藥，2013，32（36）.

[6]許芳.電子病歷的法律問題芻議[J].法制與經(jīng)濟(jì)，2013（7）.

[7]熊志海.網(wǎng)絡(luò)證據(jù)收集與保全法律制度研究[M].北京：法律出版社，2013.

[8]朱建娜.電子病歷法律效力如何保障[N].北京日報(bào)，2014-02-12.

[9]崔新莉，董毓貴.電子病歷實(shí)施的難點(diǎn)及其對策[J].中國病案，2013（2）.

[10]翟方明.電子病歷證據(jù)運(yùn)用相關(guān)問題探討[J].證據(jù)科學(xué)，2013（2）.

[11]麥永浩，孫國梓，許榕生等.計(jì)算機(jī)取證與司法鑒定[M].北京：清華大學(xué)出版社，2009.

[12]孫亞男，柯艷.王忠慶等.數(shù)字簽名技術(shù)在電子病歷中的設(shè)計(jì)與實(shí)現(xiàn)[J].電子世界，2014（5）.

[13]孫琳琳，楊培林.淺議“電子數(shù)據(jù)”證據(jù)在司法實(shí)踐中的適用[J].法制博覽，2014（1）.

[14]季金奎.確保電子病歷具有法律效力[J].中國信息界，2011（2）.