|
生命科学行业小伙伴经常写设备系统URS的时候会加入电子签名的要求,最典型的就是要符合21 CFR part 11《电子记录,电子签名》,还有的会要求符合《中华人民共和国电子签名法》。但是到系统安装现场进行验证时,仅验证账户密码及签名含义的内容,对于这种方式是否符合上面两个法规要求呢?本文进行简单分析。 一、电子签名的定义 1、21 CFR part 11《电子记录,电子签名》:“电子签名是指由个人执行、采用或授权的任何符号或一系列符号的计算机数据汇编作为个人手写签名的具有法律约束力的等同物。” 2、《中华人民共和国电子签名法》2019修正版:“本法所称电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据” 从法规中可以看出,电子签名包含几个要素:电子形式、个人身份追踪、个人认同。 但是,对于《中华人民共和国电子签名法》2019修正版还单独列出了可靠电子签名的描述和定义,如下: “第十三条 电子签名同时符合下列条件的,视为可靠的电子签名: 第十四条 可靠的电子签名与手写签名或者盖章具有同等的法律效力。” 而在CFDI发布的《疫苗生产检验电子化记录技术指南(试行)》和《血液制品生产检验电子化记录技术指南(试行)》均提到了可靠电子签名的要求“可靠的电子签名指符合《中华人民共和国电子签名法》第十三条规定的电子签名。可靠的电子签名与手写签名或盖章具有同等的法律效力。 ” 所以,在法规定义上是存在电子签名和可靠电子签名两个定义的,在需求提出、建设设计、验证放行、运维管理方面均有不同的策略。 二、法规对电子签名的要求 从法规可以看出21 CFR part 11描述了电子签名需要等同法律约束,而《中华人民共和国电子签名法》没有相关描述,但是《中华人民共和国电子签名法》描述了可靠电子签名具有同等法律效力。 电子签名在21 CFR part 11描述了以下要求: “第11.50节 签名表现。 (a)签名的电子记录应包含与签名相关的信息,明确表明以下所有内容 (1)签署人打印的姓名; (2)签署日期和时间;以及 (3)与签名相关的含义(如审查、批准、责任或作者身份) (b)本节(a)(1)、(a)(2)和(a)(3)段中列出的项目应受到与电子记录相同的控制,并应作为电子记录的任何可读形式(如电子显示或打印件)的一部分包括在内。电子签名和手写签名必须与各自的电子记录相关联,以确保签名不能被删除、复制或以其他方式转移,从而无法通过常规手段伪造电子记录。 第11.100条 一般要求。 (a)每个电子签名应只属于一个人,不应被其他人重新使用或重新分配。 (b)在一个组织建立、分配、认证或以其他方式批准个人的电子签名或这种电子签名的任何要素之前,该组织应验证该个人的身份。 (c) 使用电子签名的人,在使用前或在使用时,应向该机构证明,其系统中在1997年8月20日或之后使用的电子签名,是传统手写签名的具有法律约束力的等同物。 (1)认证应提交给区域业务办公室(HFC-100),地址为马里兰州罗克维尔市费舍尔斯巷5600号,邮编20857,并以传统手写名形式签。 (2) 使用电子签名的人在代理请求下,应提供额外的认证或证词,证明特定的电子签名是签名者手写签名的具有法律约束力的等同物。 第11.200节 电子签名组件和控制。 (a) 非基于生物特征的电子签名应: (1)至少使用两个不同的身份识别组件,如身份识别码和密码。 一)当个人在一次连续的受控系统访问期间执行一系列签名时,第一个签名应使用所有电子签名组件执行;随后的签名应使用至少一个电子签名组件执行,该组件只能由该个人执行并设计为只能由该个人使用。 三)当个人执行一个或多个在单一、连续的受控系统访问期间未执行的签名时,每个签名均应使用所有电子签名组件执行。 (2)只由真正的所有者使用;以及 (3)进行管理和执行,以确保除真正所有者外,任何人企图使用个人的电子签名都需要两个或更多人的合作。 b)基于生物特征的电子签名应被设计为只能由其真正所有者使用。” 从法规可以看出,电子签名包含以下要求: 1.可以是生物识别或非生物识别; 2.签名不可被重新分配; 3.签名包含的内容; 4.签名建立和签名前识别个人身份; 5.向官方机构证明签名具有同等法律效力; 6.如果企图使用他人电子签名需要更多人配合。 《中华人民共和国电子签名法》对可靠电子签名有了更多的要求,具体如下: 1.电子签名制作数据用于电子签名时,属于电子签名人专有 即真实用户的实名认证信息,可以作为一个用户的真实身份的载体。对于产品软件来说核心是确认当前的登录用户背后是一个真实的自然人(在部分情况下也可以是对应机构的代表人,如企业的法定代表人,或者是获得企业授权的经办人)。 对应功能: 个人实名认证——身份证二要素、手机号三要素、刷脸认证、人工实名 企业实名认证——企业四要素实名认证、银行打款认证、法定代表人授权认证等 对于数字证书的申请来说,真实身份的审核是证书发放机构的义务,需要确认对应用户信息后方可制发对应身份的数字证书。 2.签署时电子签名制作数据仅由电子签名人控制 签名过程中如何确认是仅电子签名人控制,目前行业内比较常见的方案是意愿认证。就好比你只是有网银账号是不够的,当需要你付款时你需要进行指纹、刷脸、短信或密码的验证方可执行支付动作。 电子签名中同理,但是依据实际的运用场合,也有类似用户登录状态代替每次签署意愿的情况,不过现实过程中会存在被他人盗用的风险。 对应功能: 密码认证/指纹认证/刷脸认证/短信认证/Ukey认证/双录认证 3.签署后对电子签名的任何改动能够被发现 4.签署后对数据电文内容的任何改动能够被发现 合理运用电子签名技术规范,可以实现上述效果。按照上述结构描述,也可进一步验证dataHash的具体内容与对原文进行重新摘要后获得的摘要值进行对比后获得原文是否被篡改的结论。 当然,我们日常使用的DMS系统,在文件改动后,文件变成草稿状态也是一种原文被改旧会被发现的情况。 三、对电子签名的验证要求 日常验证电子签名时,很多企业仅验证电子签名三要素,就认为符合21 CFR part11要求,但是从21 CFR part11描述内容来看是远远不够的,需要针对上一部分进行全面验证。 对于可靠的电子签名则需要更多的如授权、密钥、改动、时间戳等多层级的验证。 四、制药行业哪些地方需要可靠的电子签名 1.CFDI发布的《疫苗生产检验电子化记录技术指南(试行)》 “有条件的,建议采用可靠的电子签名,利用密码技术采用第三方CA证书。法定代表人、主要负责人和生产管理负责人、质量管理负责人、质量受权人等关键岗位人员的电子签名应当采用可靠的电子签名。可靠的电子签名与手写签名或善章具有同等的法律效力。 有条件的,建议采用可靠的电子签名,利用密码技术采用第三方CA证书。法定代表人、主要负责人和生产管理负责人、质量管理负责人、质量受权人等关键岗位人员的电子签名应当采用可靠的电子签名。可靠的电子签名与手写签名或善章具有同等的法律效力。” 2.CFDI《血液制品生产检验电子化记录技术指南(试行)》 “所有用于批签发的电子文件,应当使用可靠的电子签名; 应当根据物料和产品批准放行的操作规程,在电子检验报告单或产品审核报告单等文件中给予明确的结论,如批准放行、拒绝放行或其他决定,并根据放行的职责进行电子签名。经可靠的电子签名后的电子检验报告单与纸质检验报告单具有同等法律效力。 法定代表人、主要负责人、生产管理负责人、质量管理负责人、质量受权人等关键岗位人员的电子签名应当使用第三方CA机构颁发的数字证书实现可靠的电子签名,可靠的电子签名与手写签名或善章具有同等的法律效力。” 从上述两个指南可以看出,对于疫苗和血液制品已经多个场景要求使用带CA证书的可靠电子签名,而传统的通过账户密码管理的电子签名不具备可靠电子签名的条件,如: 专有性:账户密码可能并不具有专有性,容易被盗取或破解。 控制性:密码本身无法证明签署人对内容的认可,因为输入密码的行为可能是被迫的或者无意识的。 改动可发现性:密码本身无法证明签署后对数据电文内容和形式的任何改动能够被发现。 但是,目前这类电子签名还没有见到相关的官方缺陷,有些公司为了成本考虑处于观望状态。 总结,对于电子签名而言,在官方有两种定义,分别为电子签名和可靠的电子签名,这两种在管理上有很大的差异,而 21 CFR part 11和电子签名法之间定义也有一定差异;所以在编制URS时需要考虑情况。要根据法规对电子签名要求的详细程度进行电子签名验证,而不是简单的验证签名三要素。最后,对于疫苗和血液制品,官方已经对部分情况要求可靠的电子签名了,而传统的账号密码形式是无法满足可靠电子签名的要求,虽然目前没有相关缺陷,但这是一个潜在问题,企业要进行关注。最后建议公司建立电子签名管理的SOP,确定需求定义、选择范围、验证策略、运维管理等内容,以便有效的管理电子签名。 感兴趣小伙伴麻烦关注转发,谢谢大家。 |
|
|
