互联网诊疗监管拉开序幕，解读“互联网+医疗”管理新规

2018年9月13日，为贯彻落实《国务院办公厅关于促进“互联网+医疗健康”发展的意见》有关要求，进一步规范互联网诊疗行为，发挥远程医疗服务积极作用，提高医疗服务效率，保证医疗质量和医疗安全，国家卫生健康委员会和国家中医药管理局组织制定了《互联网诊疗管理办法（试行）》《互联网医院管理办法（试行）》《远程医疗服务管理规范（试行）》，这标志着互联网诊疗及健康医疗大数据监管正式落地。

一、制定背景

4月12日，李克强总理主持召开国务院常务会议，审议原则通过了促进“互联网+医疗健康”发展的意见，确定发展“互联网+医疗健康”措施，强调加快发展“互联网+医疗健康”，缓解看病就医难题，提升人民健康水平。

4月25日，《国务院办公厅关于促进“互联网+医疗健康”发展的意见》正式印发，提出鼓励医疗机构应用互联网等信息技术拓展医疗服务空间和内容，构建覆盖诊前、诊中、诊后的线上线下一体化医疗服务模式，允许依托医疗机构发展互联网医院。同时，对发展远程医疗提出明确要求。

9与13日，为了加强对互联网医疗数据的管理，国家卫生健康委员会（以下简称“卫健委”）制定并发布了《国家健康医疗大数据标准、安全和服务管理办法（试行）》（以下简称“《医疗大数据管理办法》”）以及相关解读稿。

继《医疗大数据管理办法》及其解读稿之后，国家卫健委于次日即发布了互联网医疗的三份文件，以完善对互联网诊疗行为的管理。

二、规范主体

从三份文件的官方解读来看，三份文件约束的主体是通过互联网提供医疗服务的主体，根据使用的人员和服务方式进行分类，“互联网+医疗服务”可以分为以下三类：

第一类为远程医疗，由医疗机构之间使用本机构注册的医务人员，利用互联网等信息技术开展远程会诊和远程诊断。

第二类为互联网诊疗活动，由医疗机构使用本机构注册的医务人员，利用互联网技术直接为患者提供部分常见病、慢性病复诊和家庭医生签约服务。

第三类为互联网医院，包括作为实体医疗机构第二名称的互联网医院，以及依托实体医疗机构独立设置的互联网医院。

国家卫健委根据此种分类，对三类互联网医疗服务提供者分别进行更具针对性和指导性的管理。虽然三份文件分别针对不同的人员和服务方式，但是由于互联网医疗服务本身具有交叉性和广泛性，实质上互联网医疗服务提供者可能同时受以上三份文件的规制。例如：根据《远程医疗服务管理规范（试行）》第一条的规定，邀请方通过信息平台直接邀请医务人员提供在线医疗服务的，必须申请设置互联网医院。邀请方在远程医疗服务中仍然需要遵循《互联网医院管理办法（试行）》的规定，对互联网医院进行合规管理。如互联网医院在网上提供复诊行为，还需要遵守《互联网诊疗管理办法（试行）》的规定。

三、合规要求

1.提供互联网医疗服务的行政许可

互联网诊疗活动必须取得准入资格，提供互联网诊疗活动的医疗机构须具有《医疗机构执业许可证》，其营业执照副本中须明确有“互联网诊疗”类别的服务方式。

《互联网诊疗管理办法（试行）》

第三条 国家对互联网诊疗活动实行准入管理。

第五条 互联网诊疗活动应当由取得《医疗机构执业许可证》的医疗机构提供。

第九条 执业登记机关按照有关法律法规和规章对医疗机构登记申请材料进行审核。审核合格的，予以登记，在《医疗机构执业许可证》副本服务方式中增加“互联网诊疗”。审核不合格的，将审核结果以书面形式通知申请人。

设立互联网医院提供医疗服务的，应当遵守《互联网医院管理办法（试行）》的规定，向卫生健康行政部门提出申请，取得《设置医疗机构批准书》、进行执业登记后再提供互联网医疗服务。

《互联网医院管理办法（试行）》

第三条 国家按照《医疗机构管理条例》、《医疗机构管理条例实施细则》对互联网医院实行准入管理。

2.有限的互联网诊疗服务

互联网医院除了远程医疗行为以外，仅能开展部分慢性病复诊互联网诊疗服务活动。《互联网诊疗管理办法(试行)》要求不得对首诊患者开展互联网诊疗活动，医疗机构和互联网医院在互联网上开展部分常见病、慢性病复诊时，医生应检查患者病历资料，确定患者在实体医疗机构首诊明确为某种或某几种常见病、慢性病后，方可针对相同诊断进行复诊。

《互联网诊疗管理办法（试行）》

第二条 互联网诊疗是指医疗机构利用在本机构注册的医师，通过互联网等信息技术开展部分常见病、慢性病复诊和家庭医生签约服务。

《互联网医院管理办法（试行）》

第十九条 患者在实体医疗机构就诊，由接诊的医师通过互联网医院邀请其他医师进行会诊时，会诊医师可以出具诊断意见并开具处方；患者未在实体医疗机构就诊，医师只能通过互联网医院为部分常见病、慢性病患者提供复诊服务。互联网医院可以提供家庭医生签约服务。

当患者病情出现变化或存在其他不适宜在线诊疗服务的，医师应当引导患者到实体医疗机构就诊。

3.保障信息系统安全

《互联网诊疗管理办法（试行）》与《互联网医院管理办法》提出了极高的网络安全保护要求，医疗机构的信息系统应当参照《信息系统安全等级保护基本要求》及《信息安全技术 网络安全等级保护定级指南（征求意见稿）》的规定采取高级别的安全保护措施保障诊疗信息系统的安全，要求医疗机构的信息系统必须实施第三级信息安全等级保护，与《网络安全法》一脉相承，互联网诊疗新规体现出了更严厉、更高标准的网络安全保护要求。

《互联网诊疗管理办法（试行）》

第十三条 医疗机构开展互联网诊疗活动，应当具备满足互联网技术要求的设备设施、信息系统、技术人员以及信息安全系统，并实施第三级信息安全等级保护。

《互联网医院管理办法》

第十五条 互联网医院信息系统按照国家有关法律法规和规定，实施第三级信息安全等级保护。

《互联网医院基本标准（试行）》

四、房屋和设备设施 信息系统实施第三级信息安全等级保护。

《信息系统安全等级保护基本要求》

第三级安全保护能力：应能够在统一安全策略下防护系统免受来自外部有组织的团体、拥有较为丰富资源的威胁源发起的恶意攻击、较为严重的自然灾难、以及其他相当危害程度的威胁所造成的主要资源损害，能够发现安全漏洞和安全事件，在系统遭到损害后，能够较快恢复绝大部分功能。

4.严格的数据保护管理

健康医疗大数据，是指在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据，[1] 属于个人敏感信息，新规体现了监管部门对此加大监管和保护力度的决心。《国家健康医疗大数据标准、安全和服务管理办法（试行）》明确健康医疗大数据的定义、内涵和外延，以及制定办法的目的依据、适用范围、遵循原则和总体思路等，明确各级卫生健康行政部门的边界和权责，各级各类医疗卫生机构及相应应用单位的责权利，并对三个方面进行了规范。一是标准管理，明确开展健康医疗大数据标准管理工作的原则，以及各级卫生健康行政部门的工作职责。提倡多方参与标准管理工作，完善健康医疗大数据标准管理平台，并对标准管理流程、激励约束机制、应用效果评估、开发与应用等作出规定。二是安全管理，明确健康医疗大数据安全管理的范畴，建立健全相关安全管理制度、操作规程和技术规范，落实“一把手”负责制，建立健康医疗大数据安全管理的人才培养机制，明确了分级分类分域的存储要求，对网络安全等级保护、关键信息基础设施安全、数据安全保障措施、数据流转全程留痕、数据安全监测和预警、数据泄露事故可查询可追溯等重点环节提出明确的要求。三是服务管理，明确相关方职责以及实施健康医疗大数据管理服务的原则和遵循，实行“统一分级授权、分类应用管理、权责一致”的管理制度，明确了责任单位在健康医疗大数据产生、收集、存储、使用、传输、共享、交换和销毁等环节中的职能定位，强化对健康医疗大数据的共享和交换。同时，在管理监督方面，强调了卫生健康行政部门日常监督管理职责，要求各级各类医疗卫生机构接入相应区域全民健康信息平台，并向卫生健康行政部门开放监管端口。定期开展健康医疗大数据应用的安全监测评估，并提出建立健康医疗大数据安全管理工作责任追究制度。[2] 

《医疗大数据管理办法》第十七条规定，责任单位应当建立健全相关安全管理制度、操作规程和技术规范，落实“一把手”责任制，加强安全保障体系建设，强化统筹管理和协调监督，保障健康医疗大数据安全。落实“一把手”责任制的规定，与《网络安全法》及其配套法规中的责任承担主体“直接负责的主管人员和其他直接责任人员”的规定相比更为严格，互联网医疗单位负责人应当尤为重视比对新规要求进行自纠自查及合规整改。

关于数据的使用权限，《医疗大数据管理办法》第二十二条规定，责任单位应当按照《网络安全法》的要求，严格规范不同等级用户的数据接入和使用权限，并确保数据在授权范围内使用。任何单位和个人不得擅自利用和发布未经授权或超出授权范围的健康医疗大数据，不得使用非法手段获取数据。由于健康医疗大数据属于个人信息范畴，针对个人信息，《网络安全法》规定网络运营者收集、使用个人信息，应当遵循合法、正当、必要的原则，公开收集、使用规则，明示收集、使用信息的目的、方式和范围，并经被收集者同意。因此，责任单位应当向用户明示健康医疗数据的使用目的、方式及范围，并严格在用户同意的范围内使用数据，这对鲜少让用户勾选隐私保护政策的医疗服务机构来说无疑是巨大的合规新挑战。

随着三份文件及《医疗大数据管理办法》的出台，我国互联网诊疗及健康医疗大数据的监管拉开序幕。在我国目前的法律体系下，相关的法律法规有《网络安全法》《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》《医疗机构病历管理规定》《人口健康信息管理办法（试行）》《国家健康医疗大数据标准、安全和服务管理办法（试行）》《互联网诊疗管理办法（试行）》、《互联网医院管理办法（试行）》《远程医疗服务管理规范（试行）》《电子病历基本规范》《处方管理办法》《卫生行业信息安全等级保护工作的指导意见》以及各地方出台的《促进和规范健康医疗大数据应用发展的实施意见》等。近年来，“云大物移智”等新兴技术与健康医疗加速融合，互联网诊疗及健康医疗大数据蓬勃发展，带来健康医疗模式的深刻变化，提升健康医疗服务效率和质量，互联网医疗服务提供者既要顺应需求、充分发挥数据的核心竞争优势，又要时时自纠自查，对许可准入、商业模式、管理流程等进行合规梳理，在合法合规的基础上实现企业的长足发展。

[1] 《国家健康医疗大数据标准、安全和服务管理办法（试行）》第四条

[2] 《国家健康医疗大数据标准、安全和服务管理办法（试行）》解读稿， 规划发展与信息化司，2018年9月13日

本文仅为我们对相关法律法规的一般解读，不能作为正式法律意见和建议，如果您有特定的问题，请与观韬中茂律师事务所联系咨询事宜。

作者简介：吴丹君律师，观韬中茂上海办公室合伙人，首席数据官联盟专家组成员及法律顾问、深圳市大数据研究与应用协会法律专家。吴律师专注于互联网、数据信息领域的法律服务，包括网络安全、数据信息管理保护、隐私保护体系建设、数据公开等，为多家国有企业、跨国企业以及互联网大数据企业提供网络安全、数据合规法律服务。吴律师的执业领域为互联网|数据信息、兼并收购、外商直接投资、酒店等，曾多次就互联网法院、共享单车等互联网热点事件接受《中国青年报》《中国企业报》等媒体采访报道，其撰写的四十余篇数据合规专业法律文章被知名互联网媒体广泛转载。 

吴丹君

合伙人

观韬中茂上海办公室

电话：（86-21）3135 9919 

传真：（86-21）3135 9929

电子邮箱：wudj@guantao.com