什么样算作是电子签名？

beiying1007

如题，对电子签名一直不太理解，什么样算是电子签名。

比如：

登录设备需要输入账号、密码，是否算电子签名？
设备使用过程中记录审计追踪信息，输入账号密码确认是否算是电子签名？

另外要保证电子签名使用合规，应该考虑哪些因素？


希望大佬们予以解答，谢谢！

123升水

借楼，同问               

寒雨是冷刺

不算，无纸化的电子记录，例如电子批记录，那些记录操作人、复核人的签字才是

henryizhao

签名是一个确认的过程，例如手写签名，代表你个人对一份文件的认可
登陆系统，更像是用钥匙进入受控房间的过程

Tay

我用ER和ES表示电子记录和电子签名。
首先看FDA 21CFR part11中的定义：
(7) Electronic signature means a computer data compilation of any symbol or series of symbols executed, adopted, or authorized by an individual to be the legally binding equivalent of the individual's handwritten signature.
电子签名系指与手写签名具有相同法律效力，且由一个个体签署、采纳或授权的符号或一系列符号的计算机数据编制。
其次，ES应该能与其签署的ER绑定，即在受监管的ER上能看到ES的表示，并且不能去除，不能复制，如果ER被修改，那么已经生成的ES应有明显表示。
所以你说的登录设备、记录审计追踪而所需要输入账号密码进行确认的，仅仅是一种授权，并没有ER与之关联，就像在纸质上签字一样，必须有ER .ES才能存活。
电子签名合规主要参考FDA 21CFR Part11，另外可以看一下国内的电子签名管理法，设计思路上主要考虑到：
1. ES至少包含账户信息，密码以及对当前动作的说明，时间戳。
2.ES实现方式：统一的，一致的
3.ES可溯源性
4.ES应该能与其签署的ER绑定，即在受监管的ER上能看到ES的表示，并且不能去除，不能复制，如果ER被修改，那么已经生成的ES应有明显表示。
ES作为身份信息，和用户账户一样，要侧重管理

915_雨

1.算
2.密码只有自己知道，并对这账户做的事负责。

倾倾竹音

我认为任何关键步骤，如登录系统、修改参数、生成电子报表、审核电子报表等关键动作所伴随的身份确认（输入适当账号和密码）都可以算做电子签名。
如何合规管理电子签名：1.URS阶段就要对电子签名提出要求，比如三级权限、密码复杂度等要求；2.确保密码只有持有者本人可知（实践中也是最难实现的）；2.制定管理规程，规定密码更换周期、各级权限谁来持有等；3.对于入职离职人员应及时更新系统里的账号信息。

beiying1007

Tay 发表于 2023-5-30 15:32
我用ER和ES表示电子记录和电子签名。
首先看FDA 21CFR part11中的定义：
(7) Electronic signature means ...

感谢回答，非常专业

小金库

专业啊

无际无边

henryizhao 发表于 2023-05-30 15:30
签名是一个确认的过程，例如手写签名，代表你个人对一份文件的认可
登陆系统，更像是用钥匙进入受控房间的过程

这个比喻很形象，登录账号只是给你钥匙，你可以使用，电子签名是对你做的事情，记录的签字确认

来自安卓APP客户端

老K

采用电子的方式对你所做的事或所确认的事或认可的事，做一个具有能代表你本人同意的标记。
以上是个人理解的描述，可能不是很权威和严谨。
我想登录账号这种行为应该不算。但是当你在电子系统或叫计算机化系统中的浏览、批复、操作等信息被以你个人密码的形式跟你个人绑定并可追踪，这种应该算是一种电子签名。

旭东123

当你登录上了你的账号，那这个账号的每个行为实质都有你的“签名”记录（每一个行为都可追溯到是谁操作）

Keves

感觉是越来越卷了，有了分级登录密码和可追溯的日志记录就能能说明操作独立性了，电子签名听起来有点复杂了。

清灯古佛

电子签名，各国都有相应法规，对我们来说典型的是美国的Part 11， 和中国的电子签名法。当然，两者在法律上存在有典型的差异。举个最简单的例子，目前世界上最大的电子签名公司DocuSign（美国公司）提供的电子签名在中国就不具备充足的法律效力（除非双方在合同中约定认可其效力），这是因为DocuSign提供的签名认证不完全满足中国法规的要求。

就登录账号和密码算不算电子签名。中美法规的要求也是有区别的。首先，电子签名必须具有可追溯性，即追溯到签名的人、时间和事项，缺一不可，即签名里必须包含这三个内容。对于美国法律来说，如果能够满足这三个条件，且设备是专用设备，那么登录账号和密码是可以作为电子签名，即后续做操作时仅需要输入登录账号或密码其中一项即可，但如果不是专用的，那就不能认为是电子签名，即进行每次电子签名操作时都需要输入密码。所以楼上的解释很到位，登录类似于房间钥匙，后面的记录操作才是电子签名。再举个例子，登录类似于灌装间的门禁，而后面检验操作记录才是签名。

对于中国法律来说，即使专用设备，登录也不是电子签名。因为中国法律里的电子签名是严格的电子签名，它认为登录动作和签名动作不是一个时间点，不能代替。

第二，中美两国在电子签名的认证方式上是不一样的。中国的电子签名当前采纳的是严格的数字签名，需要有第三方数字证书，并且关联到国家平台。而美国的电子签名采取的是宽泛的电子签名，并没有严格要求有第三方数字证书。

知乎上有很多关于电子签名的探讨。

峰ge82zn29

上面提到的都在电子批记录包含，电子批是指生产制造过程执行全流程的数据，合规/数据完整/可追溯等等

制药企业小菜鸟

若首次输入账号密码后，后续所有的操作都不会再进行密码和账号的弹框确认，所有的操作记录都显示首次输入的账号；这样的情况下账号不代表电子签名代表什么呢

准圣级药老

账号的专一性、密码的保密性以及人员的受权，我觉得是可以认可的

火页仔

那些说审计追踪记录了登录者的所有信息和动作，就觉得可以代替电子签名的同学是不是真的有读过Part 11的原文啊。。。

Sec. 11.50 Signature manifestations.
(a) Signed electronic records shall contain information associated with the signing that clearly indicates all of the following:

(1) The printed name of the signer;

(2) The date and time when the signature was executed; and

(3) The meaning (such as review, approval, responsibility, or authorship) associated with the signature.

(b) The items identified in paragraphs (a)(1), (a)(2), and (a)(3) of this section shall be subject to the same controls as for electronic records and shall be included as part of any human readable form of the electronic record (such as electronic display or printout).

清灯古佛

没法上传附件，只好复制粘贴，
摘自Part 11
(a) Signed electronic records shall contain information associated with the signing that clearly
indicates all of the following:
签署电子记录应包含能清晰显示如下所有与签名相关的信息：
(1) The printed name of the signer;
用印刷体书写出签名者的名字
(2) The date and time when the signature was executed; and
签名生效的日期和时间；和
(3) The meaning (such as review, approval, responsibility, or authorship) associated with the
signature.
和签名相关的含意（例如回顾、批准、职责、或原创作者）
(b) The items identified in paragraphs (a)(1), (a)(2), and (a)(3) of this section shall be subject to the
same controls as for electronic records and shall be included as part of any human readable form of
the electronic record (such as electronic display or printout).
该条款已识别出在这一部分 (a)(1)、(a)(2)和(a)(3)节应服从于和电子记录同样的控制并且应该被
包括人们易读的电子记录的形式（例如电子显示或打印输出）
Sec. 11.70 Signature/record linking.
11.70 签名/记录连接
Electronic signatures and handwritten signatures executed to electronic records shall be linked to
their respective electronic records to ensure that the signatures cannot be excised, copied, or
otherwise transferred to falsify an electronic record by ordinary means.
在电子记录上签署的电子签名和手签名应该链接到它们各自的电子记录以保证电子签名不能
够被删去、拷贝或者其他方面的转移以至于使用普通手段伪造一个电子记录。

Sec. 11.200 Electronic signature components and controls.
11.200 电子签名的成分及管理
(a) Electronic signatures that are not based upon biometrics shall:
不依据生物测定学的电子签名应：
(1) Employ at least two distinct identification components such as an identification code and
password.
使用至少二种截然不同的证明成分，例如识别码和密码。

(i) When an individual executes a series of signings during a single, continuous period of controlled
system access, the first signing shall be executed using all electronic signature components;
subsequent signings shall be executed using at least one electronic signature component that is only
executable by, and designed to be used only by, the individual.
当一个人在一个独立的持续受控的系统登录期间内签署了一系列的签名， 签署的第一个签名将
使用所有的电子签名成分。 后续签署的签名应使用至少一种的电子签名的成分。 该成分只能由
个人签署，并且设计只能由个人来使用。
(ii) When an individual executes one or more signings not performed during a single, continuous
period of controlled system access, each signing shall be executed using all of the electronic
signature components.
当一个人不在一个独立的持续受控的系统登录期间内签署一个或多个签名时， 每一个被签署的
签名应使用所有的电子签名成分。
(2) Be used only by their genuine owners; and
仅被他们真正的所有者使用；和
(3) Be administered and executed to ensure that attempted use of an individual's electronic signature
by anyone other than its genuine owner requires collaboration of two or more individuals.
管理和签署以确保任何除其真正所有者外的其他人尝试使用该电子签名时需要二个或更多的
人的协作
(b) Electronic signatures based upon biometrics shall be designed to ensure that they cannot be used
by anyone other than their genuine owners.
依据生物测定学的电子签名应被设计成能确保他们不能被真正所有者之外的其他人使用
Sec. 11.300 Controls for identification codes/passwords.

11.300 识别代码和密码的管理
Persons who use electronic signatures based upon use of identification codes in combination with
passwords shall employ controls to ensure their security and integrity. Such controls shall include:
人们使用基于利用识别码和密码混合的电子签名应使用管理以保证他们的安全和完整， 这种管
理应包括：
(a) Maintaining the uniqueness of each combined identification code and password, such that no two
individuals have the same combination of identification code and password.
保持每一的识别码和密码结合的唯一性，也就是不会有二个人有相同的识别码和密码。
(b) Ensuring that identification code and password issuances are periodically checked, recalled, or
revised (e.g., to cover such events as password aging).
保证识别码和密码发布能定期被检查、 收回或是修订（举例来说，覆盖象密码老化这样的事件）
(c) Following loss management procedures to electronically deauthorize lost, stolen, missing, or
otherwise potentially compromised tokens, cards, and other devices that bear or generate
identification code or password information, and to issue temporary or permanent replacements
using suitable, rigorous controls.
按照损失管理过程对丢失、被盗、找不到或有损伤可能的记号、卡片及其他装置（生成或创建
识别码或口令信息的装置） 进行电子失效，并应用适当、严格的控制发行临时或永久的代用品。
(d) Use of transaction safeguards to prevent unauthorized use of passwords and/or identification
codes, and to detect and report in an immediate and urgent manner any attempts at their unauthorized
use to the system security unit, and, as appropriate, to organizational management.
处理安全装置的使用以防止未被授权的密码或识别码的使用， 采取立即和紧急的措施检测并报
告任何试图未授权使用系统的安全单位，和适当的，组织管理。
(e) Initial and periodic testing of devices, such as tokens or cards, that bear or generate identification
code or password information to ensure that they function properly and have not been altered in an
unauthorized manner.
最初的和定期的设备测试， 例如记号或卡片， 包含或产生识别代码或密码信息， 以保证他们行
使适当的职责和用一种未被授权的行为被改变。
Authority: 21 U.S.C. 321-393; 42 U.S.C. 262.
Source: 62 FR 13464, Mar. 20, 1997, unless otherwise noted

以下摘自中国电子签名法

第三章　电子签名与认证

    第十三条　电子签名同时符合下列条件的，视为可靠的电子签名：

    （一）电子签名制作数据用于电子签名时，属于电子签名人专有；

    （二）签署时电子签名制作数据仅由电子签名人控制；

    （三）签署后对电子签名的任何改动能够被发现；

    （四）签署后对数据电文内容和形式的任何改动能够被发现。

    当事人也可以选择使用符合其约定的可靠条件的电子签名。

第十六条　电子签名需要第三方认证的，由依法设立的电子认证服务提供者提供认证服务。

第三十四条　本法中下列用语的含义：

    （一）电子签名人，是指持有电子签名制作数据并以本人身份或者以其所代表的人的名义实施电子签名的人；

    （二）电子签名依赖方，是指基于对电子签名认证证书或者电子签名的信赖从事有关活动的人；

    （三）电子签名认证证书，是指可证实电子签名人与电子签名制作数据有联系的数据电文或者其他电子记录；

    （四）电子签名制作数据，是指在电子签名过程中使用的，将电子签名与电子签名人可靠地联系起来的字符、编码等数据；

    （五）电子签名验证数据，是指用于验证电子签名的数据，包括代码、口令、算法或者公钥等。

峰ge82zn29

这个可以了解下，不知是否有帮助