医师电子签名的「安全感」何在？从授时中心遭网络攻击看电子病历安全防线

作者简介：刘鑫  中国政法大学教授

国家授时中心遭美国国家安全局网络攻击的事件，为我国关键信息系统安全敲响了警钟。作为“北京时间”的核心保障，授时中心的精准服务与医疗领域电子病历的合法性息息相关。当前多数医院电子病历依赖其时间戳构建可靠电子签名，而此次攻击事件暴露出的安全问题，让电子病历签名的“安全感”成为亟待审视的问题。本文结合该事件，深入剖析潜在风险，为医疗信息安全防护提供思考与借鉴。

一、美国国家安全局攻击事件概况

    2025年10月19日上午，我国家安全机关披露了美国国家安全局（以下简称NSA）对国家授时中心（以下简称“授时中心”）实施重大网络攻击活动。经我国家安全机关缜密调查发现，美国国家安全局针对国家授时中心的网攻活动蓄谋已久，呈现递进式、体系化特点。我国家安全机关见招拆招，固定美方网攻证据，指导国家授时中心开展清查处置，斩断攻击链路，升级防范措施，消除危害隐患。

二、对我国乃至全球的危害和影响巨大

    国家授时中心，绝非寻常的科研机构，它是“北京时间”的唯一合法“产婆”与“守护者”。其战略地位，远超普通人的想象。试想，若无其提供的高精度授时服务，国家通信将陷入混乱，金融交易可能瞬间蒸发千亿，电力调度将面临大面积停电的灾难，交通运输系统瘫痪，卫星导航精度荡然无存，甚至国防军事行动都将寸步难行。更甚者，它还是国际标准时间（UTC）测算的重要贡献者，我国在此领域的权重已跃升至19.51%，位居世界第二。这不仅仅是数字上的荣耀，更是全球时间秩序中不可或缺的中国力量。

三、对我国医疗机构电子病历系统的影响

    目前我国《电子病历应用管理规范》第10条规定，有条件的医疗机构电子病历系统可以使用电子签名进行身份认证，可靠的电子签名与手写签名或盖章具有同等的法律效力。第11条规定，电子病历系统应当采用权威可靠时间源。因此，目前我国医疗机构的电子病历系统（达到6级以上的）应当有可靠的电子签名，带有国家授时中心时间戳的电子签名为可靠电子签名，目前很多医院的电子病历系统使用的就是国家授时中心的时间戳的电子签名。一旦我国家授时中心授时系统被网络攻击瘫痪，必然影响我国医疗机构电子病历系统的运行。具体有以下负面影响。

（一）电子病历法律效力受损

1.签名时间可信度受质疑：电子签名的时间准确性无法保证，在医疗纠纷中可能无法作为有效证据。

2.病历完整性难以自证：无法证明病历在签名后未被篡改，削弱其作为法律证据的能力。

（二）医疗系统运行混乱

1.病历时间记录混乱：导致患者诊疗时间线错误，影响医生判断。

2.系统协同工作故障：影响与医保、药房等系统的数据交换，导致业务流程中断。

（三）医疗数据管理与安全

1.数据追溯与审计困难：病历的创建、修改时间不可靠，影响内部审计和事故追踪。

2.数据完整性受威胁：削弱了时间戳提供的防篡改能力，增加数据被恶意篡改的风险。

四、对电子病历创建和修改时间溯源的影响

（一）对“未来”病历的影响：创建与修改时间不可靠

    当授时中心的设备受到破坏，无法提供准确、可信的时间戳时。一方面，新病历的创建，系统无法为新录入的病历打上具有法律效力的、可靠的时间戳。这份病历的“出生证明”时间是不被认可的。另一方面，医务人员对现有病历的修改，任何对病历的修改、补充操作，其时间点也无法被可靠地标记。这在审计追踪（AuditTrail）中留下了无法弥合的断点。

    由此导致的直接后果就是，在医疗纠纷或司法鉴定中，对于这段时间内产生的病历内容，其生成和修改的具体时间将受到质疑。因为无法证明“在某个时间点之后，病历内容没有被再次篡改”，这直接动摇了电子病历作为法律证据的完整性和不可否认性。

（二）对“历史”病历的影响：验证困难与法律效力的相对稳定

    对于在破坏事件之前就已经生成并使用了可靠时间戳签名封存的病历，情况则有所不同。

    一方面，已经形成的电子病历数据具有法律效力的稳定性。根据《电子签名法》，一份电子文件在签名时如果满足了“可靠电子签名”的条件（包括可靠的时间戳），那么它在签名完成的那一刻起就具备了法律效力。这个效力是既成事实。事后时间戳服务出现临时中断，并不会追溯性地否定之前已经合法生效的签名。可以类比为，一份已经由公证处公证过的纸质文件，不会因为后来公证处的印章暂时丢失而失效。

    另一方面，对现有电子病历数据的溯源验证过程面临暂时性困难。然而，在授时中心服务中断期间，如果需要验证某份历史病历上的时间戳是否真实有效，这个验证过程可能会失败或无法进行。因为验证系统需要连接时间戳权威机构（TSA）的服务来核对时间戳凭证。这会为即时的司法举证或跨机构调阅带来技术障碍。

    一个重要的例外——长期验证（LTV）。如果电子病历系统实施了“长期验证”机制，即在进行时间戳签名时，已将当时的时间戳验证信息（如时间戳Token和验证路径）一并打包并再次签名保存，那么即使在将来时间戳服务中断或证书过期，依然可以独立验证这份历史病历在签名时刻的有效性。一个健全的系统应该考虑这种机制。

五、时间戳服务中断潜在风险的应对

    虽然授时中心遭遇严重破坏是小概率事件，但未雨绸缪总是明智的。各医疗机构和各级卫生健康行政管理部门可以从以下几个方面予以应对。

（一）强化技术冗余

    电子病历系统可以考虑配置多时间源，例如接入其他合规的第三方时间戳服务机构。也可以在电子病历系统设计时考虑电子病历系统实施“长期验证”机制。这些机构的时间源也来自国家授时中心，但可作为备用方案提升系统韧性。

（二）健全应急预案

    医疗机构应制定针对时间戳服务中断的应急预案，明确在异常期间如何记录和确认关键医疗行为的时间，以最大限度地保障患者安全和医疗连续性。

（三）关注权威指引

    国家相关部门在网络攻击事件发生时，对我国家授时中心提供的时间戳服务情况保持高度的关注和研判，及时发布预警信息。各医疗机构也应密切关注国家卫生健康委员会、国家授时中心等官方机构在极端情况下的公告和指导政策。

结语

    授时中心遇袭事件警示我们，关键基础设施的安全是医疗信息系统稳定运行的基石。电子病历的法律效力与医疗安全，离不开可靠的时间戳与电子签名技术支撑。面对复杂的网络安全环境，医疗机构需通过技术冗余、应急预案等多重手段筑牢防线，同时紧跟权威部门指引。唯有未雨绸缪、主动防范，才能在极端情况下守护医疗数据安全，保障医患双方合法权益，筑牢医疗行业的网络安全屏障。

作者单位及职称：中国政法大学教授

中国研究型医院学会医药法律专业委员会"忠言法语"公众号2025年第132期

投稿邮箱：yyflzwh@163.com

我们诚挚邀请各位专家学者、法律实务工作者、医药行业从业者积极投稿，分享您的研究成果和实践经验，共同推动医药法律领域的繁荣发展！

忠言法语中国研究型医院学会医药法律专业委员会学术平台。秉持专业、客观、公正，汇聚业内权威，深度剖析医药领域法律政策，解读热点案例。以法为盾，守护医药行业健康发展，以言为刃，拨开法律迷雾，助力各方依法依规，在医药之途稳健前行，共筑法治医药新生态。