联邦法规：21CFR Part11“电子数据,电子签名,审计追踪” 中英对照

PART11ElectronicRecords;ElectronicSignatures第11款　电子；电子签名SubpartA--GeneralProvisions分章A一般规定Sec.11.1Scope.11.1适用范围(a)Theregulationsinthispartsetforththecriteriaunderwhichtheagencyconsiderselectronicrecords,electronicsignatures,andhandwrittensignaturesexecutedtoelectronicrecordstobetrustworthy,reliable,andgenerallyequivalenttopaperrecordsandhandwrittensignaturesexecutedonpaper.本条款的规则提供了，在此标准之下FDA将认为电子记录、电子签名、和在电子记录上的手签名是可信赖的、可靠的并且通常等同于纸制记录和在纸上的手写签名。(b)Thispartappliestorecordsinelectronicformthatarecreated,modified,maintained,archived,retrieved,ortransmitted,underanyrecordsrequirementssetforthinagencyregulations.ThispartalsoappliestoelectronicrecordssubmittedtotheagencyunderrequirementsoftheFederalFood,Drug,andCosmeticActandthePublicHealthServiceAct,evenifsuchrecordsarenotspecificallyidentifiedinagencyregulations.However,thispartdoesnotapplytopaperrecordsthatare,orhavebeen,transmittedbyelectronicmeans.本条款适用于在FDA规则中阐明的在任何记录的要求下，以电子表格形式建立、修改、维护、归档、检索或传送的记录。本条款同样适用于在《联邦食品、药品和化妆品法案》和《公众健康服务法案》要求下的呈送给FDA的电子记录，即使该记录没有在FDA规则下明确识别。然而，本条款不适用于现在和已经以电子的手段传送的纸制记录。(c)Whereelectronicsignaturesandtheirassociatedelectronicrecordsmeettherequirementsofthispart,theagencywillconsidertheelectronicsignaturestobeequivalenttofullhandwrittensignatures,initials,andothergeneralsigningsasrequiredbyagencyregulations,unlessspecificallyexceptedbyregulation(s)effectiveonorafterAugust20,1997.一旦电子签名和与它相关的电子记录符合本条款的要求，FDA将会认为电子签名等同于完全手签名、缩写签名、和其他的FDA规则所求的一般签名。除非被从1997年8月20日起（包括该日）生效后的规则明确地排除在外。(d)Electronicrecordsthatmeettherequirementsofthispartmaybeusedinlieuofpaperrecords,inaccordancewith11.2,unlesspaperrecordsarespecificallyrequired.依照本条款11.2，除非纸制记录有特殊的要求，符合本条款要求的电子记录可以代替纸制记录使用。(e)Computersystems(includinghardwareandsoftware),controls,andattendantdocumentationmaintainedunderthispartshallbereadilyavailablefor,andsubjectto,FDAinspection.在本条款下维护计算机系统（包括硬件和软件）、控制权、和随附的文件应便于被FDA用到，和服从于FDA的监管。(f)Thispartdoesnotapplytorecordsrequiredtobeestablishedormaintainedby1.326through1.368ofthischapter.Recordsthatsatisfytherequirementsofpart1,subpartJofthischapter,butthatalsoarerequiredunderotherapplicablestatutoryprovisionsorregulations,remainsubjecttothispart.[62FR13464,Mar.20,1997,asamendedat69FR71655,Dec.9,2004]这部分内容不适用于根据本章1.326至1.368建立或维护的记录。需要满足第一章（part1），和本章中子章节J要求的记录，如果同时在其他应用法规或条款中也有要求，则根据这部分内容执行。[62FR13464，1997年3月20日，在2004年12月9日的69FR71655中做了修订]Sec.11.2Implementation.11.2　履行(a)Forrecordsrequiredtobemaintainedbutnotsubmittedtotheagency,personsmayuseelectronicrecordsinlieuofpaperrecordsorelectronicsignaturesinlieuoftraditionalsignatures,inwholeorinpart,providedthattherequirementsofthispartaremet.需要维护，但不提交给FDA的记录，如果符合本条款的要求,人们可以使用全部或部分电子记录代替纸制记录或用电子签名代替传统签名。(b)Forrecordssubmittedtotheagency,personsmayuseelectronicrecordsinlieuofpaperrecordsorelectronicsignaturesinlieuoftraditionalsignatures,inwholeorinpart,providedthat:提交给FDA的电子记录，人们可以使用全部或部分电子记录代替纸制记录或电子签名代替传统签名（手签名）假如：(1)Therequirementsofthispartaremet;and符合条款的要求；和(2)ThedocumentorpartsofadocumenttobesubmittedhavebeenidentifiedinpublicdocketNo.92S-0251asbeingthetypeofsubmissiontheagencyacceptsinelectronicform.Thisdocketwillidentifyspecificallywhattypesofdocumentsorpartsofdocumentsareacceptableforsubmissioninelectronicformwithoutpaperrecordsandtheagencyreceivingunit(s)(e.g.,specificcenter,office,division,branch)towhichsuchsubmissionsmaybemade.Documentstoagencyreceivingunit(s)notspecifiedinthepublicdocketwillnotbeconsideredasofficialiftheyaresubmittedinelectronicform;paperformsofsuchdocumentswillbeconsideredasofficialandmustaccompanyanyelectronicrecords.Personsareexpectedtoconsultwiththeintendedagencyreceivingunitfordetailsonhow(e.g.,methodoftransmission,media,fileformats,andtechnicalprotocols)andwhethertoproceedwiththeelectronicsubmission.提交的文件或部分文件，作为FDA以电子形式接收的提交物的类型已经被编号为92S-0251公共摘要识别出来。这个摘要将明确地识别出，何种类型文件或部分文件在没有纸制记录和FDA接收单位（举例来说，特定的中心，办公室，部门、分支机构）时的电子形式提交物是可接受的。如果没有在公共摘要上明确出来，他们以电子形式提交给FDA接收单位的文件将不被认为是正式的；这种文件的面形式将被认为是正式的但必须伴有电子记录。人们期望与未来的FDA接收单位就详细的（举例来说，传送的方法、媒体、文件格式和技术）怎样和是否进行电子的提交物进行协商。Sec.11.3Definitions.11.3　定义(a)Thedefinitionsandinterpretationsoftermscontainedinsection201oftheactapplytothosetermswhenusedinthispart.包含于法案201部分中术语的定义和翻译同样适用于那些在本条款中使用到的术语。(b)Thefollowingdefinitionsoftermsalsoapplytothispart:下列术语的定义同样适用于本条款：(1)ActmeanstheFederalFood,Drug,andCosmeticAct(secs.201-903(21U.S.C.321-393)).法案是指联邦食品、药品、化妆品法案（21U.S.C.321-393）(2)AgencymeanstheFoodandDrugAdministration.机构是指美国食品和药品管理局(3)Biometricsmeansamethodofverifyinganindividual'sidentitybasedonmeasurementoftheindividual'sphysicalfeature(s)orrepeatableaction(s)wherethosefeaturesand/oractionsarebothuniquetothatindividualandmeasurable.生物测定学是指一种基于个人的身体特征及重复行为（这些特征和行为对个人来说是唯一的和可以测量的）的测量来校验个人身份的方法。(4)Closedsystemmeansanenvironmentinwhichsystemaccessiscontrolledbypersonswhoareresponsibleforthecontentofelectronicrecordsthatareonthesystem.封闭的系统是指一种环境，在此环境中系统的登录是被那些对系统上电子记录的内容负责的人们所控制。(5)Digitalsignaturemeansanelectronicsignaturebaseduponcryptographicmethodsoforiginatorauthentication,computedbyusingasetofrulesandasetofparameterssuchthattheidentityofthesignerandtheintegrityofthedatacanbeverified.数字签名是指一种基于发信方鉴别加密的方法，使用一套规则和一系列参数计算以使签名者的身份和数据的完整性能被校验(6)Electronicrecordmeansanycombinationoftext,graphics,data,audio,pictorial,orotherinformationrepresentationindigitalformthatiscreated,modified,maintained,archived,retrieved,ordistributedbyacomputersystem.电子记录是指任何文本、图表、数据、声音、图示的或其他的以电子形式表现的信息的混合，它的建立、修改、维护、归档、检索或分发是由计算机系统来完成的。(7)Electronicsignaturemeansacomputerdatacompilationofanysymbolorseriesofsymbolsexecuted,adopted,orauthorizedbyanindividualtobethelegallybindingequivalentoftheindividual'shandwrittensignature.电子签名是指一种由一个人执行、采用或批准成为与其个人的手写签名具有相同的法律效力的计算机数据的任意符号或一系列符号的编译(8)Handwrittensignaturemeansthescriptednameorlegalmarkofanindividualhandwrittenbythatindividualandexecutedoradoptedwiththepresentintentiontoauthenticateawritinginapermanentform.Theactofsigningwithawritingormarkinginstrumentsuchasapenorstylusispreserved.Thescriptednameorlegalmark,whileconventionallyappliedtopaper,mayalsobeappliedtootherdevicesthatcapturethenameormark.手签名是指个人的手迹签名或合法的标志，以永久的形式书写真实意图所采纳的个人签名或合法标志。用书写及标志工具（例如一支钢笔或尖笔）的签字行为是被保存的。手写签名或合法的标志当约定俗成地适用于书面上，也可以适用于其它的获取名字及标志的设备。(9)Opensystemmeansanenvironmentinwhichsystemaccessisnotcontrolledbypersonswhoareresponsibleforthecontentofelectronicrecordsthatareonthesystem.开放系统是指一种环境，在此环境中系统的登录不是被那些对系统上电子记录的内容负责的人所控制。SubpartB--ElectronicRecords子分章B—电子记录Sec.11.10Controlsforclosedsystems.11.10　封闭系统的管理Personswhouseclosedsystemstocreate,modify,maintain,ortransmitelectronicrecordsshallemployproceduresandcontrolsdesignedtoensuretheauthenticity,integrity,and,whenappropriate,theconfidentialityofelectronicrecords,andtoensurethatthesignercannotreadilyrepudiatethesignedrecordasnotgenuine.Suchproceduresandcontrolsshallincludethefollowing:人们使用封闭系统来建立、修改、维保、或传送电子记录应该使用设计的能够保证记录真实性、完整性和适当的机密性的程序和控制，以保证签名者不能轻易地否认已经签署的记录是不真实的。这样的程序和控制应包括如下：(a)Validationofsystemstoensureaccuracy,reliability,consistentintendedperformance,andtheabilitytodiscerninvalidoralteredrecords.系统的验证以保证准确、可靠、稳定地预期性能，有能力识别无效的和被改变的记录。(b)Theabilitytogenerateaccurateandcompletecopiesofrecordsinbothhumanreadableandelectronicformsuitableforinspection,review,andcopyingbytheagency.确保产生人们易读的和适合FDA检查、回顾、和拷贝的电子形式的准确的、完整的记录的副本。Personsshouldcontacttheagencyifthereareanyquestionsregardingtheabilityoftheagencytoperformsuchreviewandcopyingoftheelectronicrecords.当人们怀疑FDA执行这样的电子记录回顾和拷贝的能力时，应该联络FDA。(c)Protectionofrecordstoenabletheiraccurateandreadyretrievalthroughouttherecordsretentionperiod.记录的保护以使记录能够在整个的保存期内是准确的和易于检索的。(d)Limitingsystemaccesstoauthorizedindividuals.通过授权个人用户以限制系统的登录。(e)Useofsecure,computer-generated,time-stampedaudittrailstoindependentlyrecordthedateandtimeofoperatorentriesandactionsthatcreate,modify,ordeleteelectronicrecords.Recordchangesshallnotobscurepreviouslyrecordedinformation.Suchaudittraildocumentationshallberetainedforaperiodatleastaslongasthatrequiredforthesubjectelectronicrecordsandshallbeavailableforagencyreviewandcopying.使用安全的、计算机产生的、时间印记的审核跟踪以便独立地记录操作者登录和建立、修改、或删除电子记录的行为的日期和时间。记录的改变不能使先前的记录信息被覆盖。这样的审核跟踪文档将至少被保留这样一段时间，这取决于从属于的电子记录在FDA复查和拷贝时保证是可得到的。(f)Useofoperationalsystemcheckstoenforcepermittedsequencingofstepsandevents,asappropriate.必要时，使用操作系统检查以加强进程和事件的排序。(g)Useofauthoritycheckstoensurethatonlyauthorizedindividualscanusethesystem,electronicallysignarecord,accesstheoperationorcomputersysteminputoroutputdevice,alterarecord,orperformtheoperationathand.使用验证检查以保证只有被授权用户才可以使用系统，以电子方式签署记录，使用操作或计算机系统的输入输出设备，改变记录或手工执行操作。(h)Useofdevice(e.g.,terminal)checkstodetermine,asappropriate,thevalidityofthesourceofdatainputoroperationalinstruction.必要时使用设备（举例来说，终端）检查以确定数据输入来源或操作指导的有效性。(i)Determinationthatpersonswhodevelop,maintain,oruseelectronicrecord/electronicsignaturesystemshavetheeducation,training,andexperiencetoperformtheirassignedtasks.确定开发、维护或使用电子记录/电子签名系统的人员应具备与执行他们被指派的任务相应的教育、和经验。(j)Theestablishmentof,andadherenceto,writtenpoliciesthatholdindividualsaccountableandresponsibleforactionsinitiatedundertheirelectronicsignatures,inordertodeterrecordandsignaturefalsification.为了阻止记录和签名的伪造，确立与坚持源自个人电子签名行为的责任与职责的书面策略。(k)Useofappropriatecontrolsoversystemsdocumentationincluding:在系统文件方面运用适当的控制包括：(1)Adequatecontrolsoverthedistributionof,accessto,anduseofdocumentationforsystemoperationandmaintenance.在分发的，有权使用，系统运转和维护方面使用的文件有足够的控制。(2)Revisionandchangecontrolprocedurestomaintainanaudittrailthatdocumentstime-sequenceddevelopmentandmodificationofsystemsdocumentation.修订和改变控制程序以保持一个以时间顺序产生和修改的系统文件的审核跟踪。Sec.11.30Controlsforopensystems.11.30　开放系统的管理Personswhouseopensystemstocreate,modify,maintain,ortransmitelectronicrecordsshallemployproceduresandcontrolsdesignedtoensuretheauthenticity,integrity,and,asappropriate,theconfidentialityofelectronicrecordsfromthepointoftheircreationtothepointoftheirreceipt.人们使用开放系统来建立、修改、保持、或传送电子记录将使用设计程序和控制以保证电子记录从他们的创建处到他们的接收处的真实性、完整性和机密性。Suchproceduresandcontrolsshallincludethoseidentifiedin11.10,asappropriateandadditionalmeasuressuchasdocumentencryptionanduseofappropriatedigitalsignaturestandardstoensure,asnecessaryunderthecircumstances,recordauthenticity,integrity,andconfidentiality.这种程序和控制应包括那些在11.10中被识别的，必要时，附加的测量例如文档的加密术和运用适当的数字签名标准以保证，在此环境下，记录必要的正确性、完整性、和机密性。Sec.11.50Signaturemanifestations.11.50　签名的显示(a)Signedelectronicrecordsshallcontaininformationassociatedwiththesigningthatclearlyindicatesallofthefollowing:签署电子记录应包含能清晰显示如下所有与签名相关的信息：(1)Theprintednameofthesigner;用印刷体书写出签名者的名字(2)Thedateandtimewhenthesignaturewasexecuted;and签名生效的日期和时间；和(3)Themeaning(suchasreview,approval,responsibility,orauthorship)associatedwiththesignature.和签名相关的含意（例如回顾、批准、职责、或原创作者）(b)Theitemsidentifiedinparagraphs(a)(1),(a)(2),and(a)(3)ofthissectionshallbesubjecttothesamecontrolsasforelectronicrecordsandshallbeincludedaspartofanyhumanreadableformoftheelectronicrecord(suchaselectronicdisplayorprintout).该条款已识别出在这一部分(a)(1)、(a)(2)和(a)(3)节应服从于和电子记录同样的控制并且应该被包括人们易读的电子记录的形式（例如电子显示或打印输出）。Sec.11.70Signature/recordlinking.11.70　签名/记录连接Electronicsignaturesandhandwrittensignaturesexecutedtoelectronicrecordsshallbelinkedtotheirrespectiveelectronicrecordstoensurethatthesignaturescannotbeexcised,copied,orotherwisetransferredtofalsifyanelectronicrecordbyordinarymeans.在电子记录上签署的电子签名和手签名应该链接到它们各自的电子记录以保证电子签名不能够被删去、拷贝或者其他方面的转移以至于使用普通手段伪造一个电子记录。SubpartC--ElectronicSignatures分章C电子签名Sec.11.100Generalrequirements.11.100一般要求(a)Eachelectronicsignatureshallbeuniquetooneindividualandshallnotbereusedby,orreassignedto,anyoneelse.每一电子签名应是唯一对应单独一个人的并且不能被再使用、或再分配给其他任何人。(b)Beforeanorganizationestablishes,assigns,certifies,orotherwisesanctionsanindividual'selectronicsignature,oranyelementofsuchelectronicsignature,theorganizationshallverifytheidentityoftheindividual.在一个组织建立，分配，证明，或批准一个人的电子签名或其他的任何这样的电子签名的要素前，组织将校验个人的身份(c)Personsusingelectronicsignaturesshall,priortooratthetimeofsuchuse,certifytotheagencythattheelectronicsignaturesintheirsystem,usedonorafterAugust20,1997,areintendedtobethelegallybindingequivalentoftraditionalhandwrittensignatures.签名者使用电子签名前或使用时应向FDA证明，从1997年8月20日起及以后在他们系统上的电子签名，与传统的手写签名有同等的法律效力(1)Thecertificationshallbesubmittedinpaperformandsignedwithatraditionalhandwrittensignature,totheOfficeofRegionalOperations(HFC-100),5600FishersLane,Rockville,MD20857.证明要以书面形式提交到“地方运转办公室”（HFC-100,5600FishersLane,Rockville,MD20857）并采用传统的手写签名(2)Personsusingelectronicsignaturesshall,uponagencyrequest,provideadditionalcertificationortestimonythataspecificelectronicsignatureisthelegallybindingequivalentofthesigner'shandwrittensignature.应FDA要求，人们在使用电子签名时，应提供一份明确电子签名与签字者手写签名具有同等的法律效力的附加的证明书或证据Sec.11.200Electronicsignaturecomponentsandcontrols.11.200　电子签名的成分及管理(a)Electronicsignaturesthatarenotbaseduponbiometricsshall:不依据生物测定学的电子签名应：(1)Employatleasttwodistinctidentificationcomponentssuchasanidentificationcodeandpassword.使用至少二种截然不同的证明成分，例如识别码和密码。(i)Whenanindividualexecutesaseriesofsigningsduringasingle,continuousperiodofcontrolledsystemaccess,thefirstsigningshallbeexecutedusingallelectronicsignaturecomponents;subsequentsigningsshallbeexecutedusingatleastoneelectronicsignaturecomponentthatisonlyexecutableby,anddesignedtobeusedonlyby,theindividual.当一个人在一个独立的持续受控的系统登录期间内签署了一系列的签名，签署的第一个签名将使用所有的电子签名成分。后续签署的签名应使用至少一种的电子签名的成分。该成分只能由个人签署，并且设计只能由个人来使用。(ii)Whenanindividualexecutesoneormoresigningsnotperformedduringasingle,continuousperiodofcontrolledsystemaccess,eachsigningshallbeexecutedusingalloftheelectronicsignaturecomponents.当一个人不在一个独立的持续受控的系统登录期间内签署一个或多个签名时，每一个被签署的签名应使用所有的电子签名成分。(2)Beusedonlybytheirgenuineowners;and仅被他们真正的所有者使用；和(3)Beadministeredandexecutedtoensurethatattempteduseofanindividual'selectronicsignaturebyanyoneotherthanitsgenuineownerrequirescollaborationoftwoormoreindividuals.管理和签署以确保任何除其真正所有者外的其他人尝试使用该电子签名时需要二个或更多的人的协作(b)Electronicsignaturesbaseduponbiometricsshallbedesignedtoensurethattheycannotbeusedbyanyoneotherthantheirgenuineowners.依据生物测定学的电子签名应被设计成能确保他们不能被真正所有者之外的其他人使用Sec.11.300Controlsforidentificationcodes/passwords.11.300　识别代码和密码的管理Personswhouseelectronicsignaturesbaseduponuseofidentificationcodesincombinationwithpasswordsshallemploycontrolstoensuretheirsecurityandintegrity.Suchcontrolsshallinclude:人们使用基于利用识别码和密码混合的电子签名应使用管理以保证他们的安全和完整，这种管理应包括：(a)Maintainingtheuniquenessofeachcombinedidentificationcodeandpassword,suchthatnotwoindividualshavethesamecombinationofidentificationcodeandpassword.保持每一的识别码和密码结合的唯一性，也就是不会有二个人有相同的识别码和密码。(b)Ensuringthatidentificationcodeandpasswordissuancesareperiodicallychecked,recalled,orrevised(e.g.,tocoversucheventsaspasswordaging).保证识别码和密码发布能定期被检查、收回或是修订（举例来说，覆盖象密码老化这样的事件）(c)Followinglossmanagementprocedurestoelectronicallydeauthorizelost,stolen,missing,orotherwisepotentiallycompromisedtokens,cards,andotherdevicesthatbearorgenerateidentificationcodeorpasswordinformation,andtoissuetemporaryorpermanentreplacementsusingsuitable,rigorouscontrols.按照损失管理过程对丢失、被盗、找不到或有损伤可能的记号、卡片及其他装置（生成或创建识别码或口令信息的装置）进行电子失效，并应用适当、严格的控制发行临时或永久的代用品。(d)Useoftransactionsafeguardstopreventunauthorizeduseofpasswordsand/oridentificationcodes,andtodetectandreportinanimmediateandurgentmanneranyattemptsattheirunauthorizedusetothesystemsecurityunit,and,asappropriate,toorganizationalmanagement.处理安全装置的使用以防止未被授权的密码或识别码的使用，采取立即和紧急的措施检测并报告任何试图未授权使用系统的安全单位，和适当的，组织管理。(e)Initialandperiodictestingofdevices,suchastokensorcards,thatbearorgenerateidentificationcodeorpasswordinformationtoensurethattheyfunctionproperlyandhavenotbeenalteredinanunauthorizedmanner.最初的和定期的设备测试，例如记号或卡片，包含或产生识别代码或密码信息，以保证他们行使适当的职责和用一种未被授权的行为被改变。Authority:21U.S.C.321-393;42U.S.C.262.Source:62FR13464,Mar.20,1997,unlessotherwisenoted.备注：文中的“这部分内容”即指CFRTitle21Part11。-11-