國家藥品監(jiān)督管理局醫(yī)療器械技術(shù)審評中心 （北京 100089）

內(nèi)容提要：介紹數(shù)字認證技術(shù)在我國藥監(jiān)部門醫(yī)療器械注冊中的應用與管理，并結(jié)合實際應用情況對數(shù)字認證技術(shù)應用的優(yōu)勢以及存在問題進行分析與思考，并提出改進建議。

隨著互聯(lián)網(wǎng)和信息技術(shù)的飛速發(fā)展，信息技術(shù)的各項應用也越來越廣泛和普及。作為生活和工作不可或缺的載體和手段，網(wǎng)絡(luò)和信息技術(shù)在帶來便利的同時，也衍生出了許多新的問題，其中網(wǎng)絡(luò)信息安全問題直接關(guān)系到國家、組織和公民的安全和切身利益，解決這一問題迫在眉睫。

近年來，隨著信息化的發(fā)展，在網(wǎng)絡(luò)安全領(lǐng)域涌現(xiàn)出了多種安全技術(shù)和規(guī)范，在各行各業(yè)保障著人們數(shù)據(jù)信息的安全。其中，作為網(wǎng)絡(luò)和信息安全重要保護手段之一的數(shù)字認證技術(shù)已得到了廣泛的應用。

1.數(shù)字認證技術(shù)有關(guān)基本概念介紹

1.1 數(shù)字認證證書

數(shù)字認證證書通常簡稱為CA證書，是由經(jīng)過國家批準的電子認證服務機構(gòu)（Certificate Authority，CA）簽發(fā)的包含數(shù)字證書使用者身份信息和公開密鑰的電子文件，通常存儲于一個被稱為USB KEY的介質(zhì)中，在系統(tǒng)中用來標示用戶的身份，作為一種網(wǎng)上信息傳輸安全保障體系，用于進行身份、操作權(quán)限、訪問控制等的確定和認證[1]。

1.2 電子簽章和驗章

電子印章，顧名思義就是物理印章的電子化，是物理印章在信息系統(tǒng)中的電子化延伸或新的表現(xiàn)形式，是一種具有和實物印章具有同等視覺效果與法律效力的電子文件。在視覺上，電子印章與實物印章具有相同的效果，同時，通過信息化技術(shù)與現(xiàn)代密碼技術(shù)的安全融合，電子印章還在安全性上提供了更高的保障，從而保證其加蓋的電子文件具有同等法律公信力。使用電子印章簽署電子文件的過程稱為電子簽章，類似于用實物印章在紙質(zhì)文件上蓋章。對電子文件上的電子印章進行正確性和有效性的檢驗過程稱為電子簽章驗證，簡稱驗章[2]。

2.數(shù)字認證技術(shù)在醫(yī)療器械注冊中的應用與管理

2.1 背景介紹

近年來，隨著無紙化辦公和網(wǎng)絡(luò)化、移動化應用需求的長足發(fā)展，CA證書作為保障網(wǎng)絡(luò)信息安全的重要手段在各行各業(yè)中得到了廣泛的應用：如在醫(yī)療衛(wèi)生行業(yè)中電子病歷、保險行業(yè)中的電子保單、銀行體系的網(wǎng)上銀行、電子商務中的電子發(fā)票以及政府事業(yè)單位中電子政務的推行等，CA證書都作為必備的安全手段之一承擔了極其重要的角色。

中共中央辦公廳、國務院辦公廳于2017年10月發(fā)布了《關(guān)于深化審評審批制度改革鼓勵藥品醫(yī)療器械創(chuàng)新的意見》（廳字[2017]42號）[3]提出食品藥品監(jiān)管部門應“加快醫(yī)療器械審評審批信息化建設(shè)，制定注冊申請電子提交技術(shù)要求，完善電子通用技術(shù)文檔系統(tǒng)，逐步實現(xiàn)各類注冊申請的電子提交和審評審批”。為落實上述意見要求，國家藥品監(jiān)督管理局醫(yī)療器械技術(shù)審評中心（以下簡稱“器審中心”）牽頭組織開展醫(yī)療器械審評審批信息化系統(tǒng)建設(shè)工作。

審評審批信息化系統(tǒng)建設(shè)首先需考慮如何成功搭建系統(tǒng)，而搭建一個安全穩(wěn)定的在線申報和審評審批信息系統(tǒng)離不開一個安全的網(wǎng)絡(luò)平臺。開放的網(wǎng)絡(luò)平臺系統(tǒng)通常比較脆弱，容易受到攻擊，且被攻擊時很難及時發(fā)現(xiàn)和制止，所以，網(wǎng)絡(luò)環(huán)境的信息安全通常是電子政務建設(shè)中至關(guān)重要的問題[4]。黨的十八大以來，習近平總書記高度重視網(wǎng)絡(luò)安全和信息化工作，先后就網(wǎng)絡(luò)安全和信息化工作發(fā)表了一系列重要講話，并在中央網(wǎng)絡(luò)安全和信息化領(lǐng)導小組第一次會議上的講話中強調(diào)“網(wǎng)絡(luò)安全和信息化是一體之兩翼、驅(qū)動之雙輪，必須統(tǒng)一謀劃、統(tǒng)一部署、統(tǒng)一推進、統(tǒng)一實施”[5]。

黨的十九大以來，為適應網(wǎng)絡(luò)信息化發(fā)展，根據(jù)黨中央國務院關(guān)于網(wǎng)絡(luò)安全與信息化工作的決策部署，國家藥監(jiān)局積極探索，推進“智慧監(jiān)管”，并于2019年5月印發(fā)了《國家藥品監(jiān)督管理局關(guān)于加快推進藥品智慧監(jiān)管的行動計劃》[6]（以下簡稱《行動計劃》），統(tǒng)籌管理，協(xié)同建設(shè)，努力實現(xiàn)監(jiān)管與信息技術(shù)融合發(fā)展，開創(chuàng)“嚴管”加“巧管”的監(jiān)管新局面。

在此背景下，為提高注冊申報和審評審批信息系統(tǒng)的安全性，且出于對電子申報資料安全有效性和身份確認的需要，按照《中華人民共和國網(wǎng)絡(luò)安全法》《中華人民共和國電子簽名法》以及《電子認證服務管理辦法》等相關(guān)法律法規(guī)的要求，依托《國務院關(guān)于在線政務服務的若干規(guī)定》（國令第716號）[7]中關(guān)于電子簽章、電子檔案的有關(guān)規(guī)定，器審中心建設(shè)了醫(yī)療器械產(chǎn)品注冊申請資料提交、受理、審評、審批一體化的eRPS系統(tǒng)和在線審評信息系統(tǒng)，并向醫(yī)療器械生產(chǎn)企業(yè)等行政相對人發(fā)放第三方認證機構(gòu)提供的CA證書，以方便行政相對人登錄eRPS系統(tǒng)、對注冊申報資料進行電子簽章、上傳電子資料。

2.2 數(shù)字認證技術(shù)在醫(yī)療器械注冊中的應用和管理

2.2.1 應用

在eRPS系統(tǒng)正式啟用之前，器審中心發(fā)布《關(guān)于醫(yī)療器械注冊電子申報信息系統(tǒng)數(shù)字認證（CA）證書申領(lǐng)有關(guān)事宜的通知》，開啟了面向境內(nèi)第三類醫(yī)療器械生產(chǎn)企業(yè)和進口醫(yī)療器械生產(chǎn)企業(yè)代理人免費發(fā)放CA證書的工作。

器審中心發(fā)放的CA證書由北京數(shù)字認證股份有限公司（以下簡稱BJCA）提供。BJCA是工業(yè)和信息化部批準的電子認證服務機構(gòu)和國家密碼管理局批準的電子政務電子認證服務機構(gòu)，遵照《中華人民共和國電子簽名法》為用戶提供數(shù)字證書相關(guān)的電子認證服務。其提供的電子認證解決方案以密碼技術(shù)為基礎(chǔ)，主要用于以身份認證、授權(quán)管理和責任認定為主要內(nèi)容的網(wǎng)絡(luò)信任體系建設(shè)以及信息保護，能幫助用戶建立起身份可信、電文可信、行為可信的安全可信網(wǎng)絡(luò)空間[8]。

CA證書以USB KEY為介質(zhì)，與eRPS系統(tǒng)配套使用，作為申請用戶認證登錄eRPS系統(tǒng)、上傳電子申報資料的身份驗證憑證和電子簽章工具，以保障其申報資料和電子簽章的真實性和可靠性。境內(nèi)第三類醫(yī)療器械生產(chǎn)企業(yè)申請人和進口醫(yī)療器械生產(chǎn)企業(yè)代理人可進入“醫(yī)療器械注冊企業(yè)服務平臺”進行申領(lǐng)。器審中心相關(guān)工作人員對申領(lǐng)資料進行審核后，由申請人/代理人委派人員前往中心現(xiàn)場領(lǐng)取CA證書介質(zhì)。

領(lǐng)取到CA證書的申請人/代理人即可通過eRPS系統(tǒng)的網(wǎng)頁端或經(jīng)下載安裝eRPS客戶端實現(xiàn)注冊申報及其他相關(guān)功能，使用者可在兩種方式二選一即可。兩種方式在使用便捷性上各具優(yōu)勢：網(wǎng)頁端具有在線互聯(lián)和及時更新的優(yōu)勢，可登錄進入“申請人之窗”并實時查詢申報項目進度；客戶端則重點突出電腦本地文件關(guān)聯(lián)以及離線資料轉(zhuǎn)移的優(yōu)勢，使用者可根據(jù)其具體使用習慣選擇一種方式進行申報資料的提交。另外，所有注冊申報資料均需加蓋電子印章，并且經(jīng)系統(tǒng)驗章通過才能成功完成提交。申請人/代理人通過eRPS客戶端實現(xiàn)對注冊申報資料的電子簽章和驗章。CA證書與eRPS系統(tǒng)結(jié)合，利用電子簽名技術(shù)識別簽章單位身份并表明簽章單位認可其中內(nèi)容的數(shù)據(jù)。

2.2.2 管理

CA證書是企業(yè)登錄eRPS系統(tǒng)的介質(zhì)，是處理與注冊申報各相關(guān)事項的必要身份憑證。因此，器審中心在其聯(lián)合高研院、行業(yè)協(xié)會、省級藥品監(jiān)督管理局等機構(gòu)舉辦的多期公益培訓班中均再三強調(diào)CA證書的重要性，并建議各申領(lǐng)企業(yè)建立其內(nèi)部的CA證書管理制度。

對于已領(lǐng)取CA證書的申請人/代理人，當其證書涉及到的相關(guān)身份信息發(fā)生變更之時，如企業(yè)名稱、單位公章等已寫入CA證書的信息發(fā)生了變化，則需在eRPS系統(tǒng)內(nèi)CA管理平臺上提交申請并預約時間后，前往器審中心進行CA證書信息變更的操作。

另外，配合eRPS系統(tǒng)的使用，器審中心內(nèi)部也啟用了CA制度，依據(jù)所在崗位和職責權(quán)限對各工作人員的CA證書權(quán)限進行設(shè)置和限定，為申報資料安全保駕護航，同時在審評系統(tǒng)中對審閱記錄全程留痕，保證可追溯性。

3.數(shù)字認證技術(shù)在醫(yī)療器械注冊中應用的優(yōu)勢

3.1 降低注冊成本，提升工作效率

CA證書與eRPS系統(tǒng)的配合使用助推了醫(yī)療器械注冊申報電子化的順利實施，大大降低了申請人的注冊成本，使審評審批工作效率得到了顯著的提高。

通過使用CA證書登錄eRPS系統(tǒng)遠程提交電子資料，申請人不再需要花費大量的人力物力用以準備紙質(zhì)資料，也不需要往返奔波、排隊遞交。一方面，電子申報和審評系統(tǒng)改變了紙質(zhì)資料在各機構(gòu)、部門間的傳統(tǒng)流轉(zhuǎn)方式，實現(xiàn)了注冊電子文件在各環(huán)節(jié)間的快速流轉(zhuǎn)。另一方面，審評員通過CA證書登錄審評信息系統(tǒng)，審閱電子資料，擺脫了紙質(zhì)資料流轉(zhuǎn)的各種限制，免去了紙質(zhì)資料的轉(zhuǎn)運和保管所耗費的時間和人力精力，并且持個人CA登錄審評系統(tǒng)調(diào)閱個人權(quán)限內(nèi)資料，使項目小組各成員的審評工作得以同步開展。而清晰的RPS ToC目錄結(jié)構(gòu)讓審評員可快速、精準檢索定位到各部分資料。

2020年初，面對突如其來的新型冠狀肺炎疫情，CA證書與eRPS系統(tǒng)結(jié)合帶來的這一優(yōu)勢更是體現(xiàn)得淋漓盡致。申請人在家通過CA登錄eRPS系統(tǒng)遠程提交，審評員在家持個人CA遠程登錄審評系統(tǒng)在線審評，雙方全程即時溝通，CA證書為信息的安全傳輸保駕護航。在保障正常注冊申報工作不斷不亂的同時，迅速地組建了應急審評審批團隊，最大限度地減少了醫(yī)療器械研發(fā)、申報人員的流動聚集，阻斷了病毒傳播擴散渠道，降低了感染風險；同時，這道無形的安全屏障也大大緩解了各方人員的心理壓力，切實保障了相關(guān)人員的身心健康，真正實現(xiàn)了保障疫情防控和應急審評工作的齊頭并進，確保了疫情防控阻擊戰(zhàn)的順暢高效[9]。

3.2 為系統(tǒng)和資料的安全提供有力保障

通過高安全性和高可靠性的身份驗證機制、加密傳輸協(xié)議增強認證體系、完整性保護機制以及可靠的責任認定機制，利用數(shù)字證書、電子簽章、加密等技術(shù)最終實現(xiàn)非法用戶進不來、無權(quán)用戶看不到、重要內(nèi)容改不了、數(shù)據(jù)操作賴不掉，CA證書在企業(yè)端和審評端的應用為eRPS系統(tǒng)和審評信息系統(tǒng)提供了高真實性和安全性的操作環(huán)境保障[10]。另外，審評員審閱電子資料時，電腦界面顯示審閱人員CA登錄信息水印，有效避免了資料被拍照外泄，消除了信息泄露的安全隱患。

3.3 規(guī)范工作流程，保證可追溯性

審評員通過各自的CA證書登陸審評系統(tǒng)，根據(jù)操作權(quán)限審閱企業(yè)提交的電子資料。CA認證技術(shù)對登錄審評系統(tǒng)的每一個用戶都能有效地進行身份確認，確定其操作權(quán)限，便于責任落實和工作量統(tǒng)計，對審評審批操作的規(guī)范化和風險防范都發(fā)揮了重要作用[11]。同時，審評過程中對電子資料的審閱記錄全程留痕，也在內(nèi)部管理上提供了可追溯責任的技術(shù)手段。

3.4 解決數(shù)據(jù)的法律效力問題

根據(jù)《國務院關(guān)于在線政務服務的若干規(guī)定》（國令第716號）第八、第九條的相關(guān)規(guī)定，使用CA證書添加的電子簽章與手寫簽名或者加蓋公章具有同等的法律效力，電子印章與實物印章具有同等法律效力，加蓋電子印章的電子材料合法有效。CA證書的引入使器審中心各平臺的數(shù)據(jù)得以滿足相關(guān)法律要求，使其可以作為有效的法律證據(jù)存在和保留[12]。

4.數(shù)字認證技術(shù)在醫(yī)療器械注冊中應用存在的問題和思考

4.1 網(wǎng)絡(luò)信息安全意識

在當前網(wǎng)絡(luò)信息時代，在線數(shù)據(jù)傳輸、遠程辦公已逐漸成為日常，但仍有很多人對信息安全的認知和相關(guān)的防護意識嚴重滯后于信息技術(shù)的快速發(fā)展。CA證書通過信息技術(shù)手段在一定程度上保證了數(shù)據(jù)的安全性，但不論技術(shù)如何進步，若使用者對于網(wǎng)絡(luò)信息安全的意識得不到提升，無疑將會是任何信息系統(tǒng)的最大安全漏洞。因此，不論是作為CA證書使用者，亦或是證書發(fā)放者，均應重視對于信息安全和保障信息安全手段——CA證書相關(guān)知識的宣貫，切實普及全員對于CA證書重要性的認知，提升網(wǎng)絡(luò)信息安全意識。

4.2 完善制度，規(guī)范管理

對于企業(yè)而言，CA證書的重要性等同于公章；對于審評員而言，CA證書是進入審評系統(tǒng)的憑證，二者均需建立起規(guī)范的CA證書管理制度。除了常規(guī)的領(lǐng)取、變更信息、補辦、注銷等事項外，對于CA證書管理員/持有人休假期間，USB KEY授權(quán)使用（如有必要）等特殊情形下的問題，管理制度需進一步考慮和完善，嚴格規(guī)范控制，同時也應避免對工作造成不必要的影響。另外，還需積極開展對CA證書的應用評估，及時總結(jié)經(jīng)驗成效，改進不足，夯實證書應用的基礎(chǔ)。同時，要強化對CA證書等計算機信息安全管理措施執(zhí)行的日常監(jiān)督，切實保證規(guī)章制度的約束力[13]。另一方面，CA證書的使用者也應自覺遵守相關(guān)制度，謹慎保管介質(zhì)，規(guī)范使用證書。

4.3 整合系統(tǒng)，簡化程序

隨著國務院《關(guān)于加快推進“互聯(lián)網(wǎng)+政務服務”工作的指導意見》的實施，電子政務的全面推廣與系統(tǒng)互聯(lián)將是必然趨勢?？紤]到目前已實行信息化的單位是自成系統(tǒng)，如同樣采取BJCA提供的CA證書實現(xiàn)電子化的國家藥品監(jiān)督管理局藥物審評中心與器審中心，行政相對人在辦理不同部門有關(guān)的事務時需分別向各單位申請不同的CA證書（或其他信息安全保障措施），這無疑大大增加了行政相對人的負擔。下一步應考慮如何建立一個統(tǒng)一的CA證書管理系統(tǒng)/平臺，將各單位的身份認證系統(tǒng)集成入統(tǒng)一認證系統(tǒng)/平臺，通過唯一的入口，進行一次身份認證即可完成登錄，鏈接至不同系統(tǒng)，從而簡化程序，減輕負擔，進一步方便行政相對人網(wǎng)上辦事[14]；同時，也著重提高訪問關(guān)鍵信息系統(tǒng)的控制能力，為國家藥品監(jiān)管應用平臺建設(shè)夯實基礎(chǔ)。

4.4 注重宣貫，增強服務意識

作為醫(yī)療器械審評審批信息化建設(shè)的初嘗試，eRPS系統(tǒng)與CA證書在醫(yī)療器械注冊工作者眼中正逐漸由陌生變得熟悉，并隨著系統(tǒng)的不斷優(yōu)化以及使用優(yōu)勢的體現(xiàn)，漸漸地為越來越多人所接受。但另一方面，對于大多初次接觸到此類系統(tǒng)的使用者來說，在使用過程中仍存在大量的疑問。因此，器審中心仍需進一步提升服務意識，通過共性問題解答、相關(guān)渠道咨詢、提供遠程指導等方式，助力eRPS系統(tǒng)與CA證書的推廣。同時，會同相關(guān)行業(yè)協(xié)會、社會團體等組織的培訓推廣和宣貫仍將是一項必要且重要的工作，以使更多的醫(yī)療器械注冊工作人員能夠經(jīng)過培訓理解和掌握電子申報要求，順利進行電子申報注冊。

4.5 優(yōu)化流程，提升效率

隨著醫(yī)療器械電子申報制度的持續(xù)推行，越來越多的醫(yī)療器械企業(yè)開始嘗試并接受使用CA證書與eRPS系統(tǒng)進行注冊申報。在實際工作中，逐漸暴露當前申請程序中的有關(guān)問題：如按照目前的程序，CA證書的申領(lǐng)、發(fā)放、變更信息等均需申請人/代理人先向器審中心提出申請，再由申請人/代理人委派人員前往中心現(xiàn)場領(lǐng)取CA證書介質(zhì)（疫情期間暫時改為郵寄），所需時間約為15～20個工作日，其間如發(fā)生資料審核不通過等情形耗時則更長。涉及需變更CA證書管理人員時，可能容易產(chǎn)生“業(yè)務脫節(jié)”。因此，仍需根據(jù)工作實際需要及時總結(jié)，調(diào)整優(yōu)化流程，提升工作效率。

5.小結(jié)

隨著網(wǎng)絡(luò)時代的發(fā)展，信息化建設(shè)的重要性日益凸顯，網(wǎng)絡(luò)安全問題的保障一刻不能松懈。CA證書的應用在構(gòu)建安全可靠的電子申報和審評信息系統(tǒng)使用環(huán)境中發(fā)揮了至關(guān)重要的作用，對于適應“互聯(lián)網(wǎng)+”政務服務需要，推進“智慧監(jiān)管”工作，提升政務部門現(xiàn)代化、多元化服務能力，具有重要的意義。而如何通過不斷優(yōu)化對CA證書的有效管理從而進一步加強網(wǎng)絡(luò)和信息安全保障將是一個長期持續(xù)的重要課題。