“互联网+医疗健康”回暖,全面解析互联网医院合规体系建设
2018年7月10日,国家卫生健康委员会、国家中医药管理局联合发布《关于深入开展“互联网+医疗健康”便民惠民活动的通知》(以下称“《通知》”)。《通知》共包含十部分三十条内容,分别从就医、结算、用药、公共卫生、电子健康信息等多个方面对“互联网+医疗健康”的发展提出了要求,以确保之后的互联网医疗体系更加便民惠民。
在经历了2013年的火爆和逐步沉寂后,今年互联网医疗整体上有回暖的趋势。4月25日,中共中央政治局委员、国务院副总理孙春兰走访了银川市第一人民医院和好大夫在线合作的远程专家门诊。4月28日,国务院发布《关于促进“互联网+医疗健康”发展的意见》(以下称“《意见》”)。6月4日,李克强总理在宁夏调研时也走访了银川市第一人民医院,在听取“互联网+医疗健康”工作汇报后对远程门诊、远程诊断等创新给予了充分肯定。相比2017年5月8日国家卫计委办公厅非公开印发的《互联网诊疗管理办法(试行)(征求意见稿)》(以下称“《管理办法》”)中诸多的限制性规定,《通知》的内容无疑给现阶段“互联网+医疗健康”的发展带来了积极的作用。
推动“互联网+健康医疗”服务是大势所趋,但加强互联网医疗体系建设,制定完善互联网医疗体系发展的法律法规,强化公民电子健康信息服务规范管理,明确信息使用权限,切实保障相关各方合法权益也是现实需求。互联网医疗体系在运营过程中涉及国家利益、公共安全、患者隐私、商业秘密等重要信息,中央、各部委、地方政府出台的法律、法规、规章中对其也有相应的特别规定。本文旨在分析《意见》《通知》内容的基础上,结合已有法律、法规、规章内容,为互联网医院合规体系的建设完善提供合规建议。
互联网医院的合规风险
一、行政许可
《意见》在主文中明确表示允许依托医疗机构发展互联网医院。医疗机构可以使用互联网医院作为第二名称,在实体医院基础上运用互联网技术提供安全适宜的医疗服务,同时支持医疗卫生机构、符合条件的第三方机构搭建互联网信息平台,开展远程医疗、健康咨询、健康管理等服务,《通知》也有类似规定[1]。从上文可以看出,国家鼓励发展互联网医院,并就其运营模式给出两种示例,一是由医疗机构自行建设互联网医院,对接的互联网企业只作为技术服务商,如广东省第二人民医院于2014年开设的广东省网络医院;二是由互联网企业自行架构医疗平台,通过对接大量的用户和医生资源实现医疗服务,如好大夫在线、春雨医生等。
关于医疗机构自行建设互联网医院的情形,鉴于互联网医院主要通过网络开展诊疗和开具处方服务,现行《执业医师法》、《处方管理办法》仅规定医师可在注册执业地点开展医疗、预防、保健业务以及行使处方权,并未就诊疗和处方的网络传输进行规定[2]。2014年8月21日实施的《国家卫生和计划生育委员会关于推进医疗机构远程医疗服务的意见》(以下称“《远程医疗服务意见》”)首次将远程医疗服务定义为医疗机构运用信息化技术,向医疗机构外的患者直接提供的诊疗服务,为医疗机构自行建设互联网医院提供了有效依据[3]。医疗除根据《医疗机构管理条例》依法申请领取《医疗机构执业许可证》,还应按照《远程医疗服务意见》的要求,确保服务质量,完善服务流程。
关于互联网企业自行架构医疗平台的情形,互联网企业在其中主要作为联系患者和医生的桥梁,本身并不需要具备医疗机构的资质,因而仅需根据《互联网信息服务管理办法》要求申请办理增值电信业务经营许可证或备案登记。应当注意的是,医疗平台在实际运营中可能产生处方及药品信息的流转,互联网企业拟向用户提供药品信息的,还应参照《互联网药品信息服务管理办法》办理《互联网药品信息服务资格证书》。
二、公民健康数据的存储与共享
《意见》在第八部分“加快实现医疗健康信息互通共享”中提出加快建设基础资源信息数据库,完善全员人口、电子健康档案、电子病历等数据库,健全分级诊疗系统,推动各级医院信息共享,《通知》也明确了2020年实现电子健康档案数据库与电子病历数据库互联对接,全方位记录、管理居民健康信息的目标。公民健康数据库的建立与共享已经成为摈除信息孤岛,构架一体化互联网医疗体系的重中之重。
然而,公民健康数据一般包括基因、血型、病史等多种生物信息,涉及个人隐私,属于《信息安全技术 公共及商用服务信息系统个人信息保护指南》中所定义的个人敏感信息的范围,一旦泄露或修改会对个人信息主体造成不良影响[4]。此外,国家卫计委2017年4月1日实施的《电子病历应用管理规范(试行)》要求电子病历使用的术语、编码、模板和数据应当符合相关行业标准和规范的要求,只有在保障信息安全的前提下,方能开展电子病历信息的有效共享[5]。因此,如何在有效避免泄露风险的前提下合法合规地进行公民健康数据的存储与授权移转,就成为各地互联网医院打通各自数据壁垒前应当着重思考的问题。
国家卫计委2014年5月5日出台的《人口健康信息管理办法(试行)》第九条规定人口健康信息实行分级存储,第十六条要求责任单位做好人口健康信息安全和隐私保护工作,按照国家信息安全等级保护制度要求制定安全管理制度、操作规程和技术规范。鉴于目前《网络安全法》(“以下称《网安法》”)所确定的网络安全等级保护制度已经逐步替代信息安全等级保护制度的作用,作为网络运营者的互联网医院在对公民健康数据进行分级存储的同时还应根据《网安法》要求制定网络安全保护制度。
三、全民健康信息平台的网络安全保护措施
纵观《意见》和《通知》的内容,二者皆提到了建立统一的“全民健康信息平台”的概念。根据国家互联网办公室发布的《数字中国建设发展报告(2017年)》,我国已建成全球最大的传染病疫情和突发公共卫生事件网络直报系统,国家省市县四级全民健康信息平台已初步实现联通全覆盖。作为政府极力推动建设的全民健康信息平台,其囊括了全员人口信息、居民电子健康档案、电子病历3大数据库,应当纳入《网安法》定义的关键信息基础设施范围,除应实行网络安全等级保护制度,制定内部安全管理制度和操作规程,采取技术措施防范病毒和网络攻击外,还需履行诸多特定义务。
互联网医院的合规建议
一、对于自行建设互联网医院的医疗机构
首先,医疗机构应当依法取得《医疗机构执业许可证》。在正式设立互联网医院后,应具备与所开展远程医疗服务相适应的诊疗科目及相应的人员、技术、设备、设施条件,并指定专门部门或者人员负责远程医疗服务仪器、设备、设施、信息系统的定期检测、登记、维护、改造、升级,确保远程医疗服务系统硬件和软件处于正常运行状态,符合远程医疗相关卫生信息标准和信息安全的规定,满足医疗机构开展远程医疗服务的需要。
其次,医疗机构之间通过互联网医院联合开展远程医疗服务的,要签订远程医疗合作协议,约定合作目的、合作条件、合作内容、远程医疗流程、双方权利义务、医疗损害风险和责任分担等事项,确保医疗机构之间权责分明。必要时还应向接受远程医疗服务的患者示明,以便患者及其家属及时了解相应法律关系。
最后,尊重患者知情同意权。互联网医院在开展远程诊疗和开具处方时应通过书面形式向患者充分告知需要收集的相关个人信息和医疗风险并征得其书面同意,不宜向患者本人说明的,还须征得其监护人或者近亲属书面同意。
二、对于互联网企业自行架构的医疗平台
首先,互联网企业在自行架构医疗平台前应办理增值电信业务经营许可证或备案登记,具备业务发展计划及相关技术方案,落实健全的网络与信息安全保障措施,包括网站安全保护措施、信息安全保密管理制度、用户信息安全管理制度等。若医疗平台向用户提供药品及医疗处方信息服务的,还应填写国家食品药品监督管理总局统一制发的《互联网药品信息服务申请表》,并向当地食药监部门提出申请。在取得经营资格,互联网企业作为网络运营者还应对平台内容信息及时审核,一旦发现虚假信息,及时停止传输并消除,保存有关记录,向有关主管部门报告。
其次,在提供在线诊疗服务时可能会收集到个人生物信息等用户隐私。互联网企业在用户注册医疗平台前还需及时履行告知义务,在隐私政策中以弹窗等形式予以明示,确保用户在知晓并合理授权后方可使用。必要时对个人信息进行匿名和模糊化处理,使其在传输过程中无法识别到特定个人。
三、对于全民健康信息平台
首先,全民健康信息平台应当履行其作为关键信息基础设施的安全保障义务。除《网安法》第二十一条规定外,还应参照《关键信息基础设施安全保护条例(征求意见稿)》的规定,设置专门网络安全管理机构和网络安全管理负责人,并对该负责人和关键岗位人员进行安全背景审查;定期对从业人员进行网络安全教育、技术培训和技能考核;对重要系统和数据库进行容灾备份,及时对系统漏洞等安全风险采取补救措施;制定网络安全事件应急预案并定期进行演练。
其次,对于公民健康数据的存储与传输合规,全民健康信息平台的运营者应当注意考量健康数据对个人的影响程度大小,分级存储,同时定期开展信息安全隐患排查、监测和预警。《意见》在“保障数据信息安全”部分明确患者信息等敏感数据应当存储在我国境内,确需向境外提供的,应当依照有关规定进行安全评估。全民健康信息平台的运营者在处理患者信息出境时可参照《个人信息和重要数据出境安全评估办法(征求意见稿)》,向患者说明数据出境的目的、范围、内容、接收方及接收方所在的国家或地区后取得患者或其家属的同意,同时报请行业主管或监管部门组织安全评估,重点评估其必要性以及对个人合法权益带来的风险等。
结语
从2013年火爆到其后的逐渐消沉再到2018年上半年的回暖,互联网医疗在短短几年里经历了严冬和盛夏,政策在其中的导向作用虽然巨大,但更深层次的原因还在于东西部医疗资源的分布不均。即便目前互联网医疗体系仍然存在无法跨地域医保支付、缺乏统一定价、资质审核等问题,互联网医疗体系的未来依然可期、可许。当然,互联网医疗在为民众带来便利的同时其运营中的合规风险仍不能小觑。作为网络运营者的医院以及互联网企业,只有逐步落实在行政许可、数据存储、共享以及日常运营中的合规管理与安全保护措施,方可行稳致远。
注释:
[1] 《关于深入开展“互联网+医疗健康”便民惠民活动的通知》一、就医诊疗服务更省心
[2] 《执业医师法》第十四条;《处方管理办法》第八条
[3] 《国家卫生和计划生育委员会关于推进医疗机构远程医疗服务的意见》二、明确服务内容,确保远程医疗服务质量安全(一)
[4] 《信息安全技术 公共及商用服务信息系统个人信息保护指南》3.7 个人敏感信息
[5] 《电子病历应用管理规范(试行)》第八条
本文仅为我们对相关法律法规的一般解读,不能作为正式法律意见和建议,如果您有特定的问题,请与观韬中茂律师事务所联系咨询事宜。
作者简介:吴丹君律师,观韬中茂上海办公室合伙人,首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。吴律师专注于互联网、数据信息领域的法律服务,包括网络安全、数据信息管理保护、隐私保护体系建设、数据公开等,为多家国有企业、跨国企业以及互联网大数据企业提供网络安全、数据合规法律服务。吴律师的执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等,曾多次就互联网法院、共享单车等互联网热点事件接受《中国青年报》《中国企业报》等媒体采访报道,其撰写的四十余篇数据合规专业法律文章被知名互联网媒体广泛转载。
作者简介:周天一律师助理,毕业于西南政法大学,法学学士。专注于数据信息领域的法律服务,执业领域为数据合规、公司业务、兼并收购、争议解决等。
吴丹君
合伙人
观韬中茂上海办公室
电话:(86-21)3135 9919
传真:(86-21)3135 9929
电子邮箱:wudj@guantao.com
周 天 一
律师助理
观韬中茂上海办公室
电话:(86-21)3135 9919
传真:(86-21)3135 9929
电子邮箱:zhouty@guantao.com
