血站业务电子记录应用研究

—— 施 欣 郭 瑾 王鸿捷

1 研究背景

我国血站信息化建设起步于20世纪80年代末期，90年代中期随着电脑和局域网的发展得以普及[1]。2006年《血站管理办法》《血站质量管理规范》《血站实验室质量管理规范》相继发布，要求血站必须应用计算机管理采供血和相关服务过程。采供血过程信息化成为法规强制性要求[2]，这促进了血站信息化发展。

目前，血站信息化已进入相对成熟阶段，但业务电子记录应用缓慢，主要存在两种现象：一是保持了繁多的书面手工记录，这种记录以手工填写纸质记录表单和手签名方式生成，并转化为纸质档案保存，如献血者献血记录等；二是保持了书面形式记录，这种记录以打印输出的纸质记录表单和手签名方式生成，也被转化为纸质档案保存，如血液检测(筛查)过程记录、血液发放记录等。

出现上述现象，与行业管理部门及业内人士对电子记录的理解和血液管理信息系统的信任度直接相关[3-4]。究其原因有：第一，系统安全程度未达到业务管理要求和预期，在系统异地灾备机制甚至系统备份机制尚未健全的情况下，一旦发生意外，数据记录可能无法恢复；第二，不同版本系统的数据库结构、数据代码、数据格式等环节标准化程度低，导致系统升级后无法保证原系统数据的完整性和可追溯性；第三，缺乏电子记录的行业指引；第四，对电子记录的理解和认识不到位，如把血液管理信息系统中储存的电子数据笼统地理解为血站的电子记录，把信息系统的打印输出添加手工签名认作原始书面记录，甚至认为只有书面形式的手工原始记录经过电子转化(如扫描)后的记录才是电子记录等。

基于此，本研究从电子记录概念及内涵、法律效力出发，提出了血站业务记录电子化的实施策略。

2 相关概念及内涵

2.1 记录、业务记录与电子记录

记录即写入有形媒介并且能够以可认知形式恢复的信息。纸质(书面)记录的优点在于它能够可靠地记录相关信息,使之有据可查。

《血站质量管理规范》对业务记录的要求为：记录体系必须完整，应包括从献血者筛选、登记到血液采集、检测、制备、储存、发放和运输全过程，保证其可追溯。《血站实验室质量管理规范》还要求：建立和保持完整的血液检测相关记录，种类至少应包括标本登记、处理、保存、销毁记录，试剂管理及使用记录，检测过程和结果的原始记录与分析记录，质量控制记录，设备运行、维护和校验记录，实验室安全记录，医疗废弃物处理记录等。

电子记录是指文本、图形、数据、音频或其他数字形式的任意信息形式的组合，由计算机系统创建、修改、维护、存档、检索或分发，包括数据、电子邮件以及计算机服务器和终端设备储存的任何电子文档。在我国相关法规[5]中，还使用了“数据电文”这一概念。

从技术层面来看，血站在计算机系统中的信息都可以统称为电子记录。但由于采供血行业的特殊性，这些电子记录只有符合其专业规范或标准时，才是真正意义上的业务电子记录[6]。美国食品药品监督管理局(Food and Drug Administration，FDA)在《21CFR-Part11 电子记录和电子签名的范围和应用行业指南》中建议：对于现有法规要求保持的记录，应事先决定是依赖电子记录还是纸质记录，并形成书面文件，如在标准操作规程或需求规格说明书中予以规定。

2.2 签名与电子签名

签名即某人在某一书面文件上签署自己的名字以表明对该文件承担责任的行为。签名的基本功能有二：一是确定一份文件的作者；二是证实该作者同意文件内容。签名的另一项辅助性功能在于证明文件的完整性。

电子签名是指数据电文中用于识别签名人身份并表明签名人认可其中内容的数据。电子签名有如下特性：一是以电子形式出现；二是附着于电子记录，可以作为电子记录的组成部分，与电子记录具有某种逻辑关系；三是必须能够识别签名人身份，并表明签名人认可电子记录内容。

3 电子记录的法律效力

在应用电子记录和电子签名时，电子记录和电子签名能否达到与书面记录和手工签名同等的法律效力始终困扰着血站。尽管血站业务记录已经出现在民事、政务和社会活动中，但血站管理者及行业监管部门对于业务电子记录能否在涉及诉讼时作为证据被采信仍存在疑虑。

证据的可采性是保证证据法律效力的关键，证据必须具备真实性、关联性和合法性(“三性标准”)，才能确保电子证据的可采性[7]。书面记录、手签名和原件构成了书面记录效力判定的“三要件”。目前，国际上许多国家已经将电子证据作为一类独立的证据，其证据效力判定基于“功能等同”规则，这种规则参照的是传统书面记录形式[8]。

电子记录符合书面形式的判定标准是指所含信息持续保持可以被调取和查阅的状态。就一份电子文档而言，只要能够让人阅读、理解，即满足该标准。其关键在于存储介质没有遭到破坏，并且调取、识别信息的系统被保留。但在实际业务活动中，对系统的保留较困难，导致电子记录无法调取和阅读。解决方案是：建立专门的电子记录存档系统，并采取文件固化技术对电子记录的显示形式进行固化。

同时，还必须确立如何使电子记录归属于特定人的规则，可以通过经过电子认证(Certificate Authority，CA)的数字签名解决这一问题。

此外，电子记录原件属性聚焦在两个关键特性上：一是存储介质可与存储内容分离(传输和拷贝等)。电子记录可以在不同存储介质之间快速传播，事实上其已经不再有“原件”概念，这给电子记录的真实性证明增加了困难；二是可以实现更改不留痕。由于电子记录对存储介质具有依赖性，其存储信息只能经过系统解码才能显示，这给电子记录的完整性证明增加了难度。

目前，针对电子记录原件属性的判定，普遍采取的策略是：以信息系统和电子记录的完整性推断电子记录的真实性，打破了电子记录无法提供“原件”的屏障。完整性包括电子记录本身的完整性和电子记录所依托的计算机系统的完整性。电子记录本身的完整性涉及形式上的完整性和内容上的完整性：形式上的完整性是指电子记录必须保持生成之时的原状，包括格式调整在内的任何更改都将视为完整性受到破坏；内容上的完整性是指电子记录自形成之时起,其内容保持完整，未遭到非必要的添加或删除。计算机系统完整性则有三层含义：一是计算机等存储电子数据的系统处于正常运行状态；二是电子数据产生于业务活动进行时或即后制作阶段，不属于为诉讼而专项制作或其生成受提供证据者主观控制；三是记录系统在正常运行状态下对业务活动有完整记录。

以上要件的实现都需要专业性较强的技术措施来提供支持，采取了必要安全技术措施的电子记录可被认为等同于书面记录，也就可被认定为有效证据。

4 应用建议

4.1 从法规层面规定血站业务记录要求

相关管理部门需要根据《血站管理办法》《血站质量管理规范》《血站实验室质量管理规范》及其他相关法规要求，参照世界卫生组织(World Health Organization，WHO)《数据和记录管理良好实践指南(WHO TRS 996 Annex05)》，制定我国血站业务电子记录管理规范，进一步明确血站业务记录的范围、内容、要素和书面格式，并参照其他行业标准制定血站业务电子记录通用要求。食品行业标准《食品生产加工企业电子记录通用要求(GB/T30644-2014)》以及美国《21CFR-Part11电子记录和电子签名》[9]和美国《FDA Part11电子记录和电子签名 范围和应用指南》[10]都为我国血站实施电子记录提供了参考。

4.2 制定血液管理信息系统数据标准

血站应制定电子记录相关数据格式、代码等标准，避免因数据迁移导致的数据不完整和不可追溯问题的发生。电子记录的标准化是保证数据迁移完整性的路径，只有建立统一的电子记录数据标准，方能实现历史记载业务电子数据的随时可读、可查、可用。目前，国内已有北京、浙江等地探索血液电子信息的标准化，建立了《血液管理信息指标代码与数据结构(DB11/T486-2007)》《血液信息系统基本建设规范-第2部分-血站信息系统基本数据集(DB33/T 918.2—2014)》。

4.3 对血液管理信息系统进行全面确认

电子记录应用的基础是信息系统按照预期规则稳定运行。通过系统确认活动，可以保障血液管理信息系统的可用和安全。美国FDA《软件确认的一般性原则》《采供血机构计算机系统用户验证指南》已被广泛采纳，中国输血协会《血站信息系统确认指南(T/CSBT003-2019)》和上海地方标准《血站信息系统确认规范(DB31/T561-2011)》也可作为全面确认血站计算机系统的参考。

4.4 构建血站电子记录管理系统

WHO《数据和记录管理良好实践指南》[11]建议：用于作为证据的业务数据和记录必须保持其完整性，而完整性又体现为可归属性(Attributable)、易读性(Legible)、同步性(Contemporaneous)、原始性(Original)和准确性(Accurate)，简称ALCOA规则。这与前述记录证据效力判断的“三性标准”一致。实现ALCOA规则最有效的方法是在现行血站管理信息系统基础上，建立血站电子记录管理系统，以PDF或OFD等格式将约定记录的相关电子信息转化成固化的原始电子记录[12-14]，便于随时检索、存取、查阅和利用。

4.5 采用电子签名的CA认证[15]

首先，应确定血站电子签名的适用条件和采用的技术方案。其次，应严格配置用户和密码，并可在电子签名中加入生物学属性要素(如指纹)，以保证电子签名的真实性[16]，有条件的血站还可采用CA认证。CA认证是指由第三方为血站的电子签名相关各方提供真实性、可靠性验证的服务活动。血站可遵从《卫生系统电子认证服务管理办法(试行)》采用CA认证，以便为电子记录的可采性提供保障。