电子签名的疑问

shgmp

     现在很多电子化系统，都是设置输入自己的名字（或者ID号）以及密码，登录到计算机化系统后，填写表单、或者进行操作等，如果表单中有姓名字样，则这个时候显示该系统的登录人员名字，比如张三；一些QC的分析仪器也是这样，在操作者处显示该系统的分析员登录姓名。那么请问这个显示的“张三”是属于常规说的电子签名吗？是属于21CPR PART11的电子签名吗？以这种姓名方式显示的电子记录，是否可以以电子记录保存，不再打印纸板记录？




补充内容 (2016-2-29 13:02):
这个签名是系统自动生成的，只要在登录系统时，输入了用户名和密码，那么在需要填写姓名的地方，系统都会自动调取登录的用户名，且不能修改，也不需要在需要显示人名的地方，人工再次输入自己的名字，请问这种名字，是不是电子签名？以这种方式生成的记录，是否可以作为电子记录管理，不再打印纸板记录？

beiwei5du

我个人大概举一个形象的例子（比如考试），就如@ztzhang 老师所说：电子签名是一种确认行为，签名必须有意义。
学生进入考场需要参考证才能进入（就像通过账号密码进行登录计算机化系统一样），老师发给卷子给每个同学，同学考完试交卷。
A同学交卷的时候，签下了自己的姓名（其签名是确认卷子里面的内容都是我本人填写的）；
B同学交卷的时候是，卷子上已经预先填充了B同学的名字，那么B同学就直接交卷了；
那么你觉得A，B同学的行为有什么不同？？？简单的说B同学在法规层面是并没有确认卷子里面的内容是自己本人填写的，即使B同学实际上确认过内容都是他填写的（因为B同学没有一个确认的活动记录体现，试卷上的预先签名打印上的，是没有意义的），不知道我说的清不清楚呢？？？@hoover  

ztzhang

我不知道你现在是否还有这个问题，我简单解释下：
首先，登陆用的ID显示在电子记录上，并不是电子签名。用户用自己的ID登陆，是用于保持其产生或处理的电子记录的可归属性Attributability，即证明是谁产生了这个电子记录。
电子签名是一种确认行为，签名必须有意义，比如确认电子记录是由我产生的，确认电子记录被复核，批准电子记录等。电子签名必须与所签的电子记录严格绑定，即当电子记录被修改后，原电子签名失效。
具体的实践是，某个具有电子签名功能的软件，比如LIMS，（目前大部分仪器软件不具备电子签名功能，除了Empower，Openlab这种，也要额外购买相应的模块），用户用自己的ID登陆，提交某个检测结果，系统弹出对话框，重新输入用户名和密码，完成电子签名动作。
如果有其他的关于电子记录电子签名，数据可靠性和计算机化系统的问题，都可以问我。

红茶.

（一）电子签名制作数据用于电子签名时，属于电子签名人专有；

    （二）签署时电子签名制作数据仅由电子签名人控制；

    （三）签署后对电子签名的任何改动能够被发现；

    （四）签署后对数据电文内容和形式的任何改动能够被发现。

shgmp

红茶. 发表于 2016-2-25 21:22
（一）电子签名制作数据用于电子签名时，属于电子签名人专有；

    （二）签署时电子签名制作数据仅由电 ...

还是不理解，

红茶.

shgmp 发表于 2016-2-26 13:16
还是不理解，

“以这种姓名方式显示的电子记录”——这个做不到防篡改吧。

hulugourd

如果这个签名只是你自己输入进去的，这个只是信息性质的，不是电子签名。电子签名的重点其实是签名，也就是要输入具有唯一性的密码或生物特征，效力等同于纸质签名。这个签名要符合21CFR PART11（US），如果是其他国家地区的也有对应的法规要求。另外，提醒一点，PART11不只是规范了电子签名，其实也包括了电子记录。所以如果不打印出来的话，还有其他部分要规范，自己看法规吧。

shgmp

红茶. 发表于 2016-2-26 13:41
“以这种姓名方式显示的电子记录”——这个做不到防篡改吧。

无法进行修改

shgmp

hulugourd 发表于 2016-2-26 15:34
如果这个签名只是你自己输入进去的，这个只是信息性质的，不是电子签名。电子签名的重点其实是签名，也就是 ...

这个签名是系统自动生成的，只要在登录系统时，输入了用户名和密码，那么在需要填写姓名的地方，系统都会自动调取登录的用户名，且不能修改，也不需要在需要显示人名的地方，人工再次输入自己的名字，请问这种名字，是不是电子签名？以这种方式生成的记录，是否可以作为电子记录管理，不再打印纸板记录？

红茶.

shgmp 发表于 2016-2-29 12:01
无法进行修改

你不能修改，不能代表人家不能修改。

红茶.

shgmp 发表于 2016-2-29 12:04
这个签名是系统自动生成的，只要在登录系统时，输入了用户名和密码，那么在需要填写姓名的地方，系统都会 ...

用秘钥加密，阅读者用公钥解密，或者免公钥也能读。但是只要秘钥加密了，任何对1010101010的修改，即导致秘钥加密失败，全文件报废。

普通的这种用户名+密码的形式，要是想改数据，不要太简单了。

shgmp

红茶. 发表于 2016-2-29 12:29
你不能修改，不能代表人家不能修改。

请问你说的人家，是需要哪些类型的人员是否可以修改？

shgmp

红茶. 发表于 2016-2-29 12:32
用秘钥加密，阅读者用公钥解密，或者免公钥也能读。但是只要秘钥加密了，任何对1010101010的修改，即导致 ...

可是现在大多数系统都是用户名+密码的方式，包括waters的HPLC等等。在审计时，也没有被检察官否决。

hulugourd

shgmp 发表于 2016-2-29 12:04
这个签名是系统自动生成的，只要在登录系统时，输入了用户名和密码，那么在需要填写姓名的地方，系统都会 ...

个人认为这个属于电子签名。但是是否可以作为电子记录管理和是否是电子签名不是直接对等关系。如果使用电子记录管理，则需要做很多验证工作，这往往和电子签名是一同进行的。比如PART11有一条：use of secure, computer-generated, time-stamped audit trail to independently record the date and time of operator entries and actions that create, modify, or delete electronic records.能实现这样的功能吗？有做过验证吗?

hoover

电子记录和电子签名是两个相关但又区别的事情。

电子签名在法律上等价于手签

就楼主的问题：每个系统都需要有唯一的用户名和密码（不管是简单的字符密码还是复杂的生物密码，如指纹、虹膜），这个属于系统访问的范畴，也算是基本的系统要求。
系统自动显示的操作员的名字，从你的描述来看，一般不认为是电子签名，除非你有其他的证据来支持。

就楼主的例子来看，在系统里面的操作，（如填写表单、修改、删除、审阅、批准等），在操作完成后，当保存数据或系统提交到后台数据库更新数据状态时，系统会弹出界面，要求操作员输入密码及操作的原因，只有完成这一步操作，系统才会真正的更改数据，这时候的签名才会被称为电子签名。
常见的电子签名也不需要再次输入用户名，只需要密码。

红茶.

shgmp 发表于 2016-2-29 13:05
可是现在大多数系统都是用户名+密码的方式，包括waters的HPLC等等。在审计时，也没有被检察官否决。

人家检查员又没说你这是电子签名。

红茶.

shgmp 发表于 2016-2-29 13:03
请问你说的人家，是需要哪些类型的人员是否可以修改？

任何人员，只要在电子签名后，即不能修改文件，或文件被修改，电子签名即失效。

shgmp

红茶. 发表于 2016-2-29 13:55
人家检查员又没说你这是电子签名。

那带有这样姓名的电子记录，是否可以将该电子记录作为主数据，不再打印纸板记录呢？

shgmp

hulugourd 发表于 2016-2-29 13:30
个人认为这个属于电子签名。但是是否可以作为电子记录管理和是否是电子签名不是直接对等关系。如果使用电 ...

这些工作我们验证过，就是在人员的电子名字上，都是系统根据登录名自动调取生成的，而不是常规的在需要填写名字的地方，再输入密码才显示人员姓名的方式，所以始终有疑问这样的系统产生的记录，是否可以作为电子记录管理，不再打印纸板签字了。能否通过欧盟、美国和中国的官方审计？

红茶.

shgmp 发表于 2016-3-1 14:10
那带有这样姓名的电子记录，是否可以将该电子记录作为主数据，不再打印纸板记录呢？

可以不打印，但最终是看企业有没有规定。

且，在法律上，两者的法律意义有差异，纸质版存在打印后篡改的可能。

shgmp

hoover 发表于 2016-2-29 13:47
电子记录和电子签名是两个相关但又区别的事情。

电子签名在法律上等价于手签

“就楼主的例子来看，在系统里面的操作，（如填写表单、修改、删除、审阅、批准等），在操作完成后，当保存数据或系统提交到后台数据库更新数据状态时，系统会弹出界面，要求操作员输入密码及操作的原因，只有完成这一步操作，系统才会真正的更改数据，这时候的签名才会被称为电子签名。”
我现在碰到的问题就是，该系统没有弹出窗口供再次输入人员密码，比如表单中有操作人：张三，   复核人：李四
这个张三和李四都是在这两个人分别登录时，分别在 操作人和复核人的地方显示他们的名字，是系统自动根据是谁登录的，自动调取显示对应的姓名。
那么这种情况产生的记录，是否为电子签名，是否可以作为纯电子记录管理，不再打印纸板手写再签名？

hoover

shgmp 发表于 2016-3-1 14:16
“就楼主的例子来看，在系统里面的操作，（如填写表单、修改、删除、审阅、批准等），在操作完成后，当保 ...

基本不能认为是电子签名，认为是电子记录（作为原始记录）也很勉强，除非你有其他的控制措施来支持。

简单的解决方案是，升级软件以满足Part 11的要求。

你的需求可以简单的归结为，没有电子签名的系统里的数据是否可以作为电子版的原始记录，从而不用打印纸质数据。

现在有很多关于数据完整性的介绍，应该能回答你的问题。

从以前FDA的审计报告和你现有的介绍来看，你就是打印了纸板记录，也会被FDA作为finding，已经有很多与你一样的例子了。