中国国际医疗器械设计与制造技术展览会(Medtec China)2021

专注于为医疗器械研发与生产服务

2021年9月1-3日 | 上海世博展览馆2&4号馆

数字认证证书在医疗器械注册工作中的应用与管理初探

2021-02-03

随着互联网和信息技术的飞速发展,信息技术的各项应用也越来越广泛和普及。作为生活和工作不可或缺的载体和手段,网络和信息技术在带来便利的同时,也衍生出了许多新的问题,其中网络信息安全问题直接关系到国家、组织和公民的安全和切身利益,解决这一问题迫在眉睫。

近年来,随着信息化的发展,在网络安全领域涌现出了多种安全技术和规范,在各行各业保障着人们数据信息的安全。其中,作为网络和信息安全重要保护手段之一的数字认证技术已得到了广泛的应用。

1. 数字认证技术有关基本概念介绍

1.1 数字认证证书

数字认证证书通常简称为CA证书,是由经过国家批准的电子认证服务机构(Certificate Authority,CA)签发的包含数字证书使用者身份信息和公开密钥的电子文件,通常存储于一个被称为USB KEY的介质中,在系统中用来标示用户的身份,作为一种网上信息传输安全保障体系,用于进行身份、操作权限、访问控制等的确定和认证[1]。

1.2 电子签章和验章

电子印章,顾名思义就是物理印章的电子化,是物理印章在信息系统中的电子化延伸或新的表现形式,是一种具有和实物印章具有同等视觉效果与法律效力的电子文件。在视觉上,电子印章与实物印章具有相同的效果,同时,通过信息化技术与现代密码技术的安全融合,电子印章还在安全性上提供了更高的保障,从而保证其加盖的电子文件具有同等法律公信力。使用电子印章签署电子文件的过程称为电子签章,类似于用实物印章在纸质文件上盖章。对电子文件上的电子印章进行正确性和有效性的检验过程称为电子签章验证,简称验章[2]。

2. 数字认证技术在医疗器械注册中的应用与管理

2.1 背景介绍

近年来,随着无纸化办公和网络化、移动化应用需求的长足发展,CA证书作为保障网络信息安全的重要手段在各行各业中得到了广泛的应用:如在医疗卫生行业中电子病历、保险行业中的电子保单、银行体系的网上银行、电子商务中的电子发票以及政府事业单位中电子政务的推行等,CA证书都作为必备的安全手段之一承担了极其重要的角色。

中共中央办公厅、国务院办公厅于2017 年10 月发布了《关于深化审评审批制度改革鼓励药品医疗器械创新的意见》(厅字[2017]42 号)[3] 提出食品药品监管部门应“加快医疗器械审评审批信息化建设,制定注册申请电子提交技术要求,完善电子通用技术文档系统,逐步实现各类注册申请的电子提交和审评审批”。为落实上述意见要求,国家药品监督管理局医疗器械技术审评中心(以下简称“器审中心”)牵头组织开展医疗器械审评审批信息化系统建设工作。

审评审批信息化系统建设首先需考虑如何成功搭建系统,而搭建一个安全稳定的在线申报和审评审批信息系统离不开一个安全的网络平台。开放的网络平台系统通常比较脆弱,容易受到攻击,且被攻击时很难及时发现和制止,所以,网络环境的信息安全通常是电子政务建设中至关重要的问题[4]。党的十八大以来,习近平总书记高度重视网络安全和信息化工作,先后就网络安全和信息化工作发表了一系列重要讲话,并在中央网络安全和信息化领导小组第一次会议上的讲话中强调“网络安全和信息化是一体之两翼、驱动之双轮,必须统一谋划、统一部署、统一推进、统一实施”[5]。

党的十九大以来,为适应网络信息化发展,根据党中央国务院关于网络安全与信息化工作的决策部署,国家药监局积极探索,推进“智慧监管”,并于2019 年5 月印发了《国家药品监督管理局关于加快推进药品智慧监管的行动计划》[6](以下简称《行动计划》),统筹管理,协同建设,努力实现监管与信息技术融合发展,开创“严管”加“巧管”的监管新局面。

在此背景下,为提高注册申报和审评审批信息系统的安全性,且出于对电子申报资料安全有效性和身份确认的需要,按照《中华人民共和国网络安全法》《中华人民共和国电子签名法》以及《电子认证服务管理办法》等相关法律法规的要求,依托《国务院关于在线政务服务的若干规定》(国令第716 号)[7] 中关于电子签章、电子档案的有关规定,器审中心建设了医疗器械产品注册申请资料提交、受理、审评、审批一体化的eRPS系统和在线审评信息系统,并向医疗器械生产企业等行政相对人发放第三方认证机构提供的CA证书,以方便行政相对人登录eRPS 系统、对注册申报资料进行电子签章、上传电子资料。

2.2 数字认证技术在医疗器械注册中的应用和管理

2.2.1 应用
在eRPS 系统正式启用之前,器审中心发布《关于医疗器械注册电子申报信息系统数字认证(CA)证书申领有关事宜的通知》,开启了面向境内第三类医疗器械生产企业和进口医疗器械生产企业代理人免费发放CA证书的工作。

器审中心发放的CA证书由北京数字认证股份有限公司(以下简称BJCA)提供。BJCA是工业和信息化部批准的电子认证服务机构和国家密码管理局批准的电子政务电子认证服务机构,遵照《中华人民共和国电子签名法》为用户提供数字证书相关的电子认证服务。其提供的电子认证解决方案以密码技术为基础,主要用于以身份认证、授权管理和责任认定为主要内容的网络信任体系建设以及信息保护,能帮助用户建立起身份可信、电文可信、行为可信的安全可信网络空间[8]。

CA证书以USB KEY为介质,与eRPS系统配套使用,作为申请用户认证登录eRPS 系统、上传电子申报资料的身份验证凭证和电子签章工具,以保障其申报资料和电子签章的真实性和可靠性。境内第三类医疗器械生产企业申请人和进口医疗器械生产企业代理人可进入“医疗器械注册企业服务平台”进行申领。器审中心相关工作人员对申领资料进行审核后,由申请人/代理人委派人员前往中心现场领取CA证书介质。

领取到CA证书的申请人/代理人即可通过eRPS 系统的网页端或经下载安装eRPS 客户端实现注册申报及其他相关功能,使用者可在两种方式二选一即可。两种方式在使用便捷性上各具优势:网页端具有在线互联和及时更新的优势,可登录进入“申请人之窗”并实时查询申报项目进度;客户端则重点突出电脑本地文件关联以及离线资料转移的优势,使用者可根据其具体使用习惯选择一种方式进行申报资料的提交。另外,所有注册申报资料均需加盖电子印章,并且经系统验章通过才能成功完成提交。申请人/ 代理人通过eRPS客户端实现对注册申报资料的电子签章和验章。CA证书与eRPS 系统结合,利用电子签名技术识别签章单位身份并表明签章单位认可其中内容的数据。

2.2.2 管理
CA证书是企业登录eRPS系统的介质,是处理与注册申报各相关事项的必要身份凭证。因此,器审中心在其联合高研院、行业协会、省级药品监督管理局等机构举办的多期公益培训班中均再三强调CA证书的重要性,并建议各申领企业建立其内部的CA证书管理制度。

对于已领取CA证书的申请人/代理人,当其证书涉及到的相关身份信息发生变更之时,如企业名称、单位公章等已写入CA证书的信息发生了变化,则需在eRPS系统内CA管理平台上提交申请并预约时间后,前往器审中心进行CA证书信息变更的操作。

另外,配合eRPS 系统的使用,器审中心内部也启用了CA制度,依据所在岗位和职责权限对各工作人员的CA证书权限进行设置和限定,为申报资料安全保驾护航,同时在审评系统中对审阅记录全程留痕,保证可追溯性。

3. 数字认证技术在医疗器械注册中应用的优势

3.1 降低注册成本,提升工作效率
CA证书与eRPS系统的配合使用助推了医疗器械注册申报电子化的顺利实施,大大降低了申请人的注册成本,使审a评审批工作效率得到了显著的提高。

通过使用CA证书登录eRPS系统远程提交电子资料,申请人不再需要花费大量的人力物力用以准备纸质资料,也不需要往返奔波、排队递交。一方面,电子申报和审评系统改变了纸质资料在各机构、部门间的传统流转方式,实现了注册电子文件在各环节间的快速流转。另一方面,审评员通过CA证书登录审评信息系统,审阅电子资料,摆脱了纸质资料流转的各种限制,免去了纸质资料的转运和保管所耗费的时间和人力精力,并且持个人CA登录审评系统调阅个人权限内资料,使项目小组各成员的审评工作得以同步开展。而清晰的RPS ToC目录结构让审评员可快速、精准检索定位到各部分资料。

2020 年初,面对突如其来的新型冠状肺炎疫情,CA证书与eRPS 系统结合带来的这一优势更是体现得淋漓尽致。申请人在家通过CA登录eRPS系统远程提交,审评员在家持个人CA远程登录审评系统在线审评,双方全程即时沟通,CA证书为信息的安全传输保驾护航。在保障正常注册申报工作不断不乱的同时,迅速地组建了应急审评审批团队,最大限度地减少了医疗器械研发、申报人员的流动聚集,阻断了病毒传播扩散渠道,降低了感染风险;同时,这道无形的安全屏障也大大缓解了各方人员的心理压力,切实保障了相关人员的身心健康,真正实现了保障疫情防控和应急审评工作的齐头并进,确保了疫情防控阻击战的顺畅高效[9]。

3.2 为系统和资料的安全提供有力保障

通过高安全性和高可靠性的身份验证机制、加密传输协议增强认证体系、完整性保护机制以及可靠的责任认定机制,利用数字证书、电子签章、加密等技术最终实现非法用户进不来、无权用户看不到、重要内容改不了、数据操作赖不掉,CA证书在企业端和审评端的应用为eRPS系统和审评信息系统提供了高真实性和安全性的操作环境保障[10]。另外,审评员审阅电子资料时,电脑界面显示审阅人员CA登录信息水印,有效避免了资料被拍照外泄,消除了信息泄露的安全隐患。

3.3 规范工作流程,保证可追溯性
审评员通过各自的CA证书登陆审评系统,根据操作权限审阅企业提交的电子资料。CA认证技术对登录审评系统的每一个用户都能有效地进行身份确认,确定其操作权限,便于责任落实和工作量统计,对审评审批操作的规范化和风险防范都发挥了重要作用[11]。同时,审评过程中对电子资料的审阅记录全程留痕,也在内部管理上提供了可追溯责任的技术手段。

3.4 解决数据的法律效力问题
根据《国务院关于在线政务服务的若干规定》(国令第716号)第八、第九条的相关规定,使用CA证书添加的电子签章与手写签名或者加盖公章具有同等的法律效力,电子印章与实物印章具有同等法律效力,加盖电子印章的电子材料合法有效。CA证书的引入使器审中心各平台的数据得以满足相关法律要求,使其可以作为有效的法律证据存在和保留[12]。

数字认证技术在医疗器械注册中应用存在的问题和思考

4.1 网络信息安全意识
在当前网络信息时代,在线数据传输、远程办公已逐渐成为日常,但仍有很多人对信息安全的认知和相关的防护意识严重滞后于信息技术的快速发展。CA证书通过信息技术手段在一定程度上保证了数据的安全性,但不论技术如何进步,若使用者对于网络信息安全的意识得不到提升,无疑将会是任何信息系统的最大安全漏洞。因此,不论是作为CA证书使用者,亦或是证书发放者,均应重视对于信息安全和保障信息安全手段——CA证书相关知识的宣贯,切实普及全员对于CA证书重要性的认知,提升网络信息安全意识。

4.2 完善制度,规范管理

对于企业而言,CA证书的重要性等同于公章;对于审评员而言,CA证书是进入审评系统的凭证,二者均需建立起规范的CA证书管理制度。除了常规的领取、变更信息、补办、注销等事项外,对于CA证书管理员/ 持有人休假期间,USB KEY 授权使用(如有必要)等特殊情形下的问题,管理制度需进一步考虑和完善,严格规范控制,同时也应避免对工作造成不必要的影响。另外,还需积极开展对CA证书的应用评估,及时总结经验成效,改进不足,夯实证书应用的基础。同时,要强化对CA证书等计算机信息安全管理措施执行的日常监督,切实保证规章制度的约束力[13]。另一方面,CA证书的使用者也应自觉遵守相关制度,谨慎保管介质,规范使用证书。

4.3 整合系统,简化程序
随着国务院《关于加快推进“互联网+政务服务”工作的指导意见》的实施,电子政务的全面推广与系统互联将是必然趋势。考虑到目前已实行信息化的单位是自成系统,如同样采取BJCA提供的CA证书实现电子化的国家药品监督管理局药物审评中心与器审中心,行政相对人在办理不同部门有关的事务时需分别向各单位申请不同的CA证书(或其他信息安全保障措施),这无疑大大增加了行政相对人的负担。下一步应考虑如何建立一个统一的CA证书管理系统/ 平台,将各单位的身份认证系统集成入统一认证系统/平台,通过唯一的入口,进行一次身份认证即可完成登录,链接至不同系统,从而简化程序,减轻负担,进一步方便行政相对人网上办事[14];同时,也着重提高访问关键信息系统的控制能力,为国家药品监管应用平台建设夯实基础。

4.4 注重宣贯,增强服务意识

作为医疗器械审评审批信息化建设的初尝试,eRPS 系统与CA证书在医疗器械注册工作者眼中正逐渐由陌生变得熟悉,并随着系统的不断优化以及使用优势的体现,渐渐地为越来越多人所接受。但另一方面,对于大多初次接触到此类系统的使用者来说,在使用过程中仍存在大量的疑问。因此,器审中心仍需进一步提升服务意识,通过共性问题解答、相关渠道咨询、提供远程指导等方式,助力eRPS系统与CA证书的推广。同时,会同相关行业协会、社会团体等组织的培训推广和宣贯仍将是一项必要且重要的工作,以使更多的医疗器械注册工作人员能够经过培训理解和掌握电子申报要求,顺利进行电子申报注册。

4.5 优化流程,提升效率

随着医疗器械电子申报制度的持续推行,越来越多的医疗器械企业开始尝试并接受使用CA证书与eRPS系统进行注册申报。在实际工作中,逐渐暴露当前申请程序中的有关问题:如按照目前的程序,CA证书的申领、发放、变更信息等均需申请人/ 代理人先向器审中心提出申请,再由申请人/代理人委派人员前往中心现场领取CA证书介质(疫情期间暂时改为邮寄),所需时间约为15~20 个工作日,其间如发生资料审核不通过等情形耗时则更长。涉及需变更CA证书管理人员时,可能容易产生“业务脱节”。因此,仍需根据工作实际需要及时总结,调整优化流程,提升工作效率。

5. 小结

随着网络时代的发展,信息化建设的重要性日益凸显,网络安全问题的保障一刻不能松懈。CA证书的应用在构建安全可靠的电子申报和审评信息系统使用环境中发挥了至关重要的作用,对于适应“互联网+”政务服务需要,推进“智慧监管”工作,提升政务部门现代化、多元化服务能力,具有重要的意义。而如何通过不断优化对CA证书的有效管理从而进一步加强网络和信息安全保障将是一个长期持续的重要课题。

文章来源:中国医疗器械行业协会转载中国医疗器械信息