电子记录电子签名验证

1、电子记录电子签名验证精 编 Jenny was compiled in January 2021 电子签名 联邦法规21章第11款 电子记录；电子签名 分章A 一般规定 适用范围 履行 定义 分章B电子记录 封闭系统的控制 开放系统的控制 签名的验证 签名/记录连接 分章C电子签名 一般要求 电子签名的构成及控制 识别代码和密码的控制 分章A 一般规定 适用范围 (a) 本条款的规则提供了标准，在此标准之下FDA将认为 电子记录、电子签名、和在电子记录上的手签名是可信赖 的、可靠的并且通常等同于纸制记录和在纸上的手写签 名。 (b) 本条款适用于在FDA规则中阐明的在任何记录的要求 下，以电子

2、表格形式建立、修改、维护、归档、检索或传 送的记录。本条款同样适用于在联邦食品、药品和化妆 品法案和公众健康服务法案要求下的呈送给FDA的 电子记录，即使该记录没有在FDA规则下明确识别。然 而，本条款不适用于现在和已经以电子的手段传送的纸制 记录。 (c) 一旦电子签名和与它相关的电子记录符合本条款的要 求，FDA将会认为电子签名等同于完全手签名、缩写签名、 和其他的FDA规则所求的一般签名。除非被从1997年8月 20日起(包括该日)生效后的规则明确地排除在外。 (d) 依照本条款，除非纸制记录有特殊的要求，符合本条 款要求的电子记录可以代替纸制记录使用。 (e) 在本条款下维护计算机系统

3、(包括硬件和软件)、控 制权、和随附的文件应便于被FDA用到，和服从于FDA的 监管。 履行 (a) 需要维护，但不提交给FDA的记录，如果符合本条款 的要求，人们可以使用全部或部分电子记录代替纸制记录或 用电子签名代替传统签名。 (b) 提交给FDA的电子记录，人们可以使用全部或部分电 子记录代替纸制记录或电子签名代替传统签名(手签名) 假如： (1) 符合条款的要求；和 (2) 提交的文件或部分文件，作为FDA以电子形式接收的 提交物的类型已经被编号为92S-0251公共摘要识别出来。 这个摘要将明确地识别出，何种类型文件或部分文件在没 有纸制记录和FDA接收单位(举例来说，特定的中心，办

4、公 室，部门、分支机构)时的电子形式提交物是可接受的。如 果没有在公共摘要上明确出来，他们以电子形式提交给FDA 接收单位的文件将不被认为是正式的；这种文件的书面形 式将被认为是正式的但必须伴有电子记录。人们期望与未 来的FDA接收单位就详细的(举例来说，传送的方法、媒 体、文件格式和技术协议)怎样和是否进行电子的提交物 进行协商。 定义 (a) 包含于法案201部分中术语的定义和翻译同样适用于 那些在本条款中使用到的术语。 (b) 下列术语的定义同样适用于本条款 (1) 法案是指联邦食品、药品、化妆品法案 (2)机构是指美国食品和药品管理局(FDA) (3) 生物测定学是指一种基于个人的身体

5、特征及重复行为 (这些特征和行为对个人来说是唯一的和可以测量的)的 测量来校验个人身份的方法。 (4) 封闭的系统是指一种环境，在此环境中系统的登录是 被那些对系统上电子记录的内容负责的人们所控制。 (5) 数字签名是指一种基于发信方鉴别加密的方法，使用一 套规则和一系列参数计算以使签名者的身份和数据的完整 性能被校验。 (6) 电子记录是指任何文本、图表、数据、声音、图示的或 其他的以电子形式表现的信 息的混合，它的建立、修改、维护、归档、检索或分发是 由计算机系统来完成的。 (7) 电子签名是指一种由一个人执行、采用或批准成为与 其个人的手写签名具有相同的法律效力的计算机数据的任 意符号或

6、一系列符号的编译。 (8) 手签名是指个人的手迹签名或合法的标志，以永久的形 式书写真实意图所采纳的个人签名或合法标志。用书写及 标志工具(例如一支钢笔或尖笔)的签字行为是被保存 的。手写签名或合法的标志当约定俗成地适用于书面上， 也可以适用于其它的获取名字及标志的设备。 (9) 开放系统是指一种环境，在此环境中系统的登录不是被 那些对系统上电子记录的内 容负责的人所控制。 子分章B电子记录 封闭系统的管理 人们使用封闭系统来建立、修改、维保、或传送电子记录 应该使用设计的能够保证记录真实性、完整性和适当的机 密性的程序和控制，以保证签名者不能轻易地否认已经签 署的记录是不真实的。这样的程序和

7、控制应包括如下： (a) 系统的验证以保证准确、可靠、稳定地预期性能，有 能力识别无效的和被改变的记录。 (b) 确保产生人们易读的和适合FDA检查、回顾、和拷贝 的电子形式的准确的、完整的记录的副本。当人们怀疑FDA 执行这样的电子记录回顾和拷贝的能力时，应该联络FDAo (c) 记录的保护以使记录能够在整个的保存期内是准确的 和易于检索的。 (d) 通过授权个人用户以限制系统的登录。 (e) 使用安全的、计算机产生的、时间印记的审核跟踪以 便独立地记录操作者登录和建立、修改、或删除电子记录 的行为的日期和时间。记录的改变不能使先前的记录信息 被覆盖。这样的审核跟踪文档将至少被保留这样一段时

8、 间，这取决于从属于的电子记录在FDA复查和拷贝时保证 是可得到的。 (f) 必要时，使用操作系统检查以加强进程和事件的排 序。 (g) 使用验证检查以保证只有被授权用户才可以使用系 统，以电子方式签署记录，使用操作或计算机系统的输入 输出设备，改变记录或手工执行操作。 (h) 必要时使用设备(举例来说，终端)检查以确定数据 输入来源或操作指导的有效性。 (i) 确定开发、维护或使用电子记录/电子签名系统的人员 应具备与执行他们被指派的任务相应的教育、培训和经 验。 (j) 为了阻止记录和签名的伪造，确立与坚持源自个人电 子签名行为的责任与职责的书面策略。 (k) 在系统文件方面运用适当的控制

9、包括： (l) 在分发的，有权使用，系统运转和维护方面使用的 文件有足够的控制。 (2) 修订和改变控制程序以保持一个以时间顺序产生和 修改的系统文件的审核跟踪。 开放系统的管理 人们使用开放系统来建立、修改、保持、或传送电子记录 将使用设计程序和控制以保证电子记录从他们的创建处到 他们的接收处的真实性、完整性和机密性。这种程序和控 制应包括那些在中被识别的，必要时，附加的测量例如文 档的加密术和运用适当的数字签名标准以保证，在此环境 下，记录必要的正确性、完整性、和机密性。 签名的显示 Q)签署电子记录应包含能清晰显示如下所有与签名相关的 信息： (1) 用印刷体书写出签名者的名字 (2)

10、签名生效的日期和时间；和 (3) 和签名相关的含意(例如回顾、批准、职责、或原 创作者) (b)该条款已识别出在这一部分) (1), (a) (2), and (a) (3) 节应服从于和电子记录同样的控制并且应该被包括人们易 读的电子记录的形式(例如电子显示或打印输出) 签名/记录连接 在电子记录上签署的电子签名和手签名应该链接到它们各 自的电子记录以保证电子签名不能够被删去、拷贝或者其 他方而的转移以至于使用普通手段伪造一个电子记录。 分章C电子签名 一般要求 (a)每一电子签名应是唯一对应单独一个人的并且不能被 再使用、或再分配给其他任何人。 （b）在一个组织建立，分配，证明，或批准一个

11、人的电子 签名或其他的任何这样的电子签名的要素前，组织将校验 个人的身份。 （C）签名者使用电子签名前或使用时应向FDA证明，从 1997年8月20日起及以后在他们系统上的电子签名，与传 统的手写签名有同等的法律效力。 （1）证明要以书面形式提交到”地方运转办公室”并采 用传统的手写签名， （2）应FDA要求，人们在使用电子签名时，应提供一份 明确电子签名与签字者手写签名具有同等的法律效力的附 加的证明书或证据。 电子签名的成分及管理 （a）不依据生物测定学的电子签名应： （1）使用至少二种截然不同的证明成分，例如识别码和 密码。 （i）当一个人在一个独立的持续受控的系统登录期间内 签署了一系

12、列的签名，签署的第一个签名将使用所有的电 子签名成分。后续签署的签名应使用至少一种的电子签名 的成分。该成分只能由个人签署，并且设计只能由个人来 使用。 (ii)当一个人不在一个独立的持续受控的系统登录期间 内签署一个或多个签名时，每一个被签署的签名应使用所 有的电子签名成分。 (2) 仅被他们真正的所有者使用；和 (3) 管理和签署以确保任何除其真正所有者外的其他人 尝试使用该电子签名时需要二个或更多的人的协作。 (b)依据生物测定学的电子签名应被设计成能确保他们不 能被真正所有者之外的其他人使用。 识别代码和密码的管理 人们使用基于利用识别码和密码混合的电子签名应使用管 理以保证他们的安全和完整，这种管理应包括： (a) 保持每一的识别码和密码结合的唯一性，也就是不会 有二个人有相同的识别码和密码。 (b) 保证识别码和密码发布能定期被检查、收回或是修订 (举例来说，覆盖象密码老化这样的事件) (c) 按照损失管理过程对丢失、被盗、找不到或有损伤可 能的记号、卡片及其他