电子病历中，哪些电子签名才是合法的？

燕园医院管理培训中心 1月16日

导语

《电子病历应用管理规范（试行）》指出，有条件的医疗机构电子病历系统可以使用电子签名进行身份认证，应当采用权威可靠时间源。可靠的电子签名与手写签名或盖章具有同等的法律效力。这说明，电子签名的安全合规问题已经成为了业内亟待解决的重点任务。

那么，何谓可靠的电子签名？电子病历中电子签名的认证方式，哪些是合法的？电子病历中的电子签名需要第三方认证吗？

2020年1月9日，浙江省人民医院质量管理办公室主任张勤老师做客燕园远程直播课堂，讲授《医疗质量安全核心制度解读与落实》，为我们详解十八项核心制度。在讲到“病历管理制度”这一核心制度时，张老师就为我们详细讲解了上面这几个问题。

何谓可靠的电子签名？

根据《中华人民共和国电子签名法》第二条规定，电子签名是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据。

根据《中华人民共和国电子签名法》第十三条规定，电子签名同时符合下列条件的，视为可靠的电子签名：

（1）电子签名制作数据用于电子签名时，属于电子签名人专有；
（2）签署时电子签名制作数据仅由电子签名人控制；
（3）签署后对电子签名的任何改动能够被发现；
（4）签署后对数据电文内容和形式的任何改动能够被发现。

电子签名的认证方式，哪些是合法的？

《电子病历系统功能规范（试行） 》第八条规定 ，电子病历系统的使用者必须经过规范的用户认证，至少支持用户名/密码、数字证书、指纹识别中的一种认证方式。

《电子病历系统功能规范（试行） 》第八条同时规定，医疗机构采用用户名/密码认证方式时，应满足以下几个要求：

①应要求用户必须修改初始密码，并提供密码强度认证规则验证功能，避免用户使用过于简单的密码。
②设置密码有效期，用户使用超过有效期的密码不能登录系统。
③设置账户锁定阈值时间，用户多次登录错误时，自动锁定该账户，管理员有权限解除账户锁定。
④系统采用用户名/密码认证方式时，管理员有权限重置密码。

当“员工工号+密码”的方式在满足上述条件下，就可以认定为是合格的电子签名。

此外，使用用户名/密码的认证方式的医疗机构，应当告知医护人员确保本人用户名和密码不能泄露，对使用该用户名产生的结果负责。

电子病历中电子签名需要第三方认证吗？

《中华人民共和国电子签名法》第十六条规定，电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务。但是，目前卫生健康行政部门没有特别要求电子签名必须通过第三方认证。

因此，张勤老师讲到，未做第三方认证的电子病历中的电子签名仍可成为可靠的电子签名，但医疗机构应当对此予以确认，并对所有以用户名/密码认证方式作为电子签名的医疗文书承担法律责任。