【律师视点】辛小天：你应该了解的疫情阻断武器——互联网医疗

互联网和大数据产业在此次疫情中发挥了应有的优势。微信、百度等大型信息平台开设疫情动态专区，24小时实时疫情统计。大数据研究工作者尝试利用疫情数据，构建大数据模型预测新型肺炎疫情扩散、病毒变异和关键节点时间。无人机喊村里老奶奶回家、机器人给病房送餐送药，冰冷的AI机器在危难时刻散发着应有的热度。

疫情防护中，互联网医疗信息咨询平台、互联医院搭设的远程诊疗技术通过视音频与病患以及用户交流、查看电子病历进行诊疗，在防治交叉感染，协助患者自检，减轻门诊压力等方面发挥了重要的作用。有人形容“互联网问诊，成为抗击武汉新型冠状病毒看不见最大的武器。”

和很多网络新兴产业一样，互联网医疗前期经历过一段时间的野蛮生长，服务和资质相对比较混乱。

根据国家卫建委对全国“互联网＋医疗”的整体梳理，互联网+医疗大致分为两类：一类是利用互联网技术开展诊断和治疗的核心业务（包括互联网诊疗、互联网医院、远程诊疗等），第二类是如预约挂号、诊间结算、移动支付、信息推送等围绕诊断治疗以外的内容（例如互联网医疗保健信息服务、药品配送等）。显然以互联网医院为典型代表的第一类核心业务对行业的实质影响和监管需求更强烈。

互联网医院的目标是消除目前8%的三甲医院承担40%门诊量的不平衡状态，进行常规引流，实现50%的问诊在家完成，35%流向基层医疗机构，三甲医院只需承担大病问诊。乌镇、四川、银川等地区互联网医院模式的成功建立为行业崛起打了强心针。2018年国务院办公厅出台的《关于促进“互联网+医疗健康”发展的意见》为互联网医疗发展政策指明方向。根据统计，截至2019年11月底，已建成互联网医院数量达到294家。2016-2019年，互联网医院问诊量实现倍增式增长。

互联网诊疗和互联网医院具体实施的主要监管政策集中在2018年国家卫健委、国家中医药管理局印发的《互联网医院管理办法（试行）》、《互联网诊疗管理办法（试行）》、《远程医疗服务管理规范（试行）》三个文件中。同时各地也纷纷出台当地监管要求，例如宁夏、福建、山东、上海等省份均公布了有关政策。

按照现有政策，目前中国互联网核心业务类医疗运营的基本要求包括：

互联网医疗通行的三种模式：

(a) 实体医疗机构的“互联网诊疗”模式：模式相对最简单，只将医疗服务拓展到线上，在网上设置网络诊室和配备专门的医务人员，医师在线上以实体医院医师的身份从事医疗，《医疗机构执业许可证》副本应核准有“互联网诊疗”从业范围。

(b) 实体医疗机构的第二名称：该等模式下实体医疗机构搭建的信息平台，不在实体医疗机构外独立设置。

(c) 独立设置的互联网医院：2015年12月成立的“乌镇互联网医院”开创此模式之先河，其有自己的《医疗机构执业许可证》，医疗机构名称一栏中填写的是“乌镇互联网医院”，而不是其他实体医疗机构的名称。独立互联网医院的设置应满足《互联网医院基本标准（试行）》要求。

依托实体医疗机构是互联网诊疗和互联网医院的必备要求，同时现有政策允许第三方机构合作搭建互联网医院。第三方机构通常为实体医疗机构提供信息系统平台搭建，医师、药师等专业人员服务和信息技术支持服务。在一项统计中，互联网医院建设发起方企业类型高达14类。其中，互联网医疗企业占比最大高达46.5%，代表性企业包括微医、好大夫、京东医疗、阿里医疗等。

医疗机构开展互联网诊疗活动应当与其诊疗科目相一致。网上服务范围覆盖常见病、慢性病复诊和“互联网+”家庭医生签约等服务，不得对首诊患者开展互联网诊疗活动。

从业互联网医疗服务人员应为在从业机构注册的医师、护士，人员能够在国家医师、护士电子注册系统中查询。

医师开展互联网诊疗活动应当依法取得相应执业资质，具有3年以上独立临床工作经验。

互联网医疗不应等于患者用网络便利交换诊疗效果。针对互联网医院以及诊疗从业人员的严格资质限制有利于防范“魏则西事件”以及“莆田医生”的医疗质量风险。

医疗机构开展互联网诊疗活动应当按照《医疗机构病历管理规定》和《电子病历基本规范（试行）》等相关文件要求，为患者建立电子病历。

医疗机构开展互联网诊疗活动应当严格遵守《处方管理办法》等处方管理规定，在线开具的处方必须有医师电子签名。

特殊药品处方管理：医疗机构开展互联网诊疗活动时，不得开具麻醉药品、精神药品等特殊管理药品的处方；2019年《药品管理法》进一步放开除疫苗、血液制品、麻醉药品、精神药品、医疗用毒性药品、放射性药品等多种特殊管理类药品外的处方药网络销售。

儿童用药管理： 为低龄儿童（6岁以下）开具互联网儿童用药处方时，应当确认患儿有监护人和相关专业医师陪伴。这意味着互联网医疗信息平台应包括对于儿童患者以及监护人员身份确认以及获取监护人同意的确认体系搭建和证据留存。

按规定，经药师审核后，医疗机构、药品经营企业可委托符合条件的第三方机构配送。2018年4月，国务院正式下发《关于促进“互联网+医疗健康”发展的意见（国办发〔2018〕26号）》，探索放开院外处方和第三方配送。 

目前医药配送平台（O2O）大致分为几种类型：其一是自营型，自建门店、技术、运营、配送，如叮当快药，相关机构取得互联网药品服务交易资质，可以在网上自营售药并提供配送服务；第二种是提供药品经营第三方交易平台服务的企业，如阿里健康、饿了么、京东到家等，依据互联网药品信息服务资格，与药房、医院达成合作，从事药品信息展示以及配送服务；另外，个别地方政府也建立当地配送中心，例如杭州市探索建设了区域智慧云药房平台，为在主城区社区卫生服务中心就诊的签约服务病人提供16种慢性病长期处方药品的第三方免费配送服务。

等保要求：互联网医院信息系统按照国家有关法律法规和规定，实施第三级信息安全等级保护。

平台内容审核：互联网医院应当加强互联网医院信息平台内容审核管理，建立互联网医疗服务不良事件防范和处置流程。

数据要求：采取数据分类、重要数据备份、加密认证等措施。建立严格的电子实名认证和数据访问控制。

医疗机构在开展互联网诊疗活动时应保证互联网诊疗活动全程留痕、可追溯，建立数据访问控制信息系统，确保系统稳定和服务全程留痕。与实体医疗机构的系统实现数据交换与共享，以及向监管部门开放数据接口是确保数据完整和真实性的重要方式。

例如，江苏明确要求省内各级各类医疗卫生单位在开展互联网诊疗服务前，必须首先接入“江苏省互联网医疗服务监管系统”。该系统围绕互联网诊疗的事前、事中、事后3个阶段，对医疗机构、执业人员、诊疗、护理、处方5个方面15类服务行为进行监管。医生的每一次问诊，开出的每一张处方，护士上门服务的每一次记录在系统上都有迹可循。

远程医疗系统要求：针对远程医疗信息系统应当满足图像、声音、文字以及诊疗所需其他医疗信息的安全、实时传输，图像清晰，数据准确，符合《远程医疗信息系统建设技术指南》，满足临床诊疗要求。

可识别病患身份的个人医疗健康信息属于个人敏感信息，一旦发生信息泄露和不合理外传将给数据主体甚至社会公众造成重大不利影响。

“武汉返乡人员及患者个人隐私信息被大肆泄露一事”在近期引发热议和抨击，当地卫建局领导因将涉及新冠病毒患者及其亲属隐私的调查报告转给无关人员，进而导致在当地微信群中迅速转发传播，引起大量转发和议论，并引发部分市民恐慌，对疫情防控工作带来负面影响。

互联网诊疗依托数据网络传输，存在被截留、攻击等网络基因风险，同时因为参与方众多（除医疗机构外，还有第三方合建方，网站运营维护方等），削弱了数据保密和传输控制力。因此，落实个人隐私信息保护措施，保护患者隐私是互联网医院的必备要求。目前监管政策主要体现在：

❖ 患者知情同意：互联网医院必须对患者进行风险提示，获得患者的知情同意。不宜向患者说明病情的，应当征得其监护人或者近亲属书面同意。提供安全的信息查询和复制渠道。

❖ 保密和不外泄：互联网医院应当严格执行信息安全和医疗数据保密的有关法律法规，妥善保管患者信息、诊疗数据等，不得非法买卖、泄露患者信息。做好医疗数据安全存储和容灾备份，防控患者医疗信息泄露风险。

❖ 数据共享或转移管理：选择健康医疗大数据服务提供商时，应当确保其符合国家和行业规定及要求，具备履行相关法规制度、落实相关标准、确保数据安全的能力，建立数据安全管理、个人隐私保护、应急响应管理等方面管理制度。

❖ 安全事件应对：发生患者信息和医疗数据泄露时，医疗机构应当及时向主管的卫生健康行政部门报告，并立即采取有效应对措施。

❖ 远程传输安全：参与远程医疗运行各方应当加强信息安全和患者隐私保护，防止违法传输、修改，防止数据丢失，建立数据安全管理规程，确保网络安全、操作安全、数据安全、隐私安全。

❖ 敏感信息防护： 健康医疗大数据应当存储在境内安全可信的服务器上，因业务需要确需向境外提供的，应当按照相关法律法规及有关要求进行安全评估审核。地方各级卫生健康行政部门要建立健全患者信息等敏感数据对外共享的安全评估制度，确保信息安全。

❖ 与公共利益的平衡中的比例原则：健康医疗数据的公益和社会价值高于普通个人信息，尤其在发生战争、重大灾害、突发公共卫生事件等紧急状态下，有可能成为政府必须控制的信息，个人信息的披露也称为公民必须履行的义务。但该等情况下仍应注意个人隐私的保护，且信息的获取和使用应在法定范围内并遵循比例原则。

《信息安全技术 健康医疗数据安全指南（征求意见稿）》建议判断组织或个人能否决定健康医疗数据的处理目的、方式及范围可以考虑：

1) 该项健康医疗数据处理行为是否属于该组织或个人履行某项法律法规规定所必须；

2) 该项健康医疗数据处理行为是否为该组织或个人行使其公共职能所必须；

3) 该项健康医疗数据处理行为是否由该组织或个人自行决定；

4) 是否由相关个人或者政府授权。

目前互联网诊疗纠纷数量比较低，但由于参与方以及主体关系较传统医院模式更为复杂，因此仍不免成为大众关注的重点问题。

按照现有政策指导以及政府说明，各种模式下法律责任主体界定原则如下：

❖ 互联网诊疗责任主体就是提供互联网诊疗服务的实体医疗机构。

❖ 互联网医院的法律责任由落地的实体医疗机构和互联网医院共同来承担责任，两者之间的法律责任的分担根据协议各自承担；参与共建互联网医院的第三方与实体医疗机构间的责任按照合作协议书，该等合作协议书应明确各方在医疗服务、信息安全、隐私保护等方面的责任权利承担。

❖ 远程医疗服务分为两类，一种是远程会诊，一种叫远程诊断。在远程会诊中，会诊的受邀请方只是提供诊疗的意见，最后诊断和治疗的决策权依然在邀请方，所以相应的法律责任承担由邀请方来承担；在远程诊断中，由邀请方和受邀方两者共同来承担法律责任。

需要承认的是，互联网+医疗技术和监管目前尚未完善，包括数据打通和互操作性标准建立、电子签名、诊疗行为的证据固化、AI 技术和智能设备带来的新挑战、医疗机构与技术方、药械厂商、保险公司等多方资源和权责问题等等都是打造互联网+医疗全产业链条需要攻克的难关和挑战。

但没有达到满分的互联网+医疗健康在解决就医难，以及特别是突发公共卫生事件协作中已经展露出科技参与给人类带来的实质福利，我们更可喜的看到更多的创新模式以及技术与行业紧密融合的步伐也在越走越快（2019年5月7日健康报社发布了2019“互联网+医疗健康”便民惠民十大案http://www.sohu.com/a/314679711_120967）。

天灾人祸尽有不如意，但更应令我们坚信的是人性光辉和人类智慧给予我们走向更美好明天的信心和希望！

附：互联网+医疗主要法律法规标准

注：本文图片均来源于网上公开资源，任何问题请随时联系

【律师视点】辛小天：共享经济监管落地的几点畅想（上）

【律师视点】辛小天：共享经济监管落地的几点畅想（下）

【律师视点】辛小天：无人驾驶车辆信息和数据保护的法律监管思考

【律师视点】辛小天：从比特大陆上市看加密货币产业的全球监管

【律师视点】辛小天：数据合规的中西大餐， 能否尝出融合的味道？

【律师视点】辛小天：信息保护标准解读系列之二 | 《生物特征识别信息的保护要求》解读

辛小天，德衡律师集团合伙人，互联网与TMT业务中心总监， 网络空间安全战略与法律委员会委员，清华大学创业引导年度荣誉导师。曾就职于MayerBrown JSM 律师事务所，美国美富律师事务所，通用电气及奇虎360 。擅长投融资以及并购法律、互联网法律及合规风控、反垄断法、公司法及劳动相关法律、外商投资及外资公司设立相关法律、中国房地产开发、房产租赁、融资及抵押相关法律、酒店管理相关法律经验。主要业绩：奇虎360多个对外投资项目、奇虎360内部反舞弊等风控制度设立参与、阿里全资收购瀚海源项目法律顾问、乌云公司海外融资项目法律顾问、清华大数据产业联合会法律顾问，并协助多个投资项目、三里屯房地产项目法律咨询、喜来登、万豪、凯宾斯基、悦榕庄等数个酒店管理项目法律顾问、Apollo 基金中国反垄断申报等。

联系方式

电话：13911159437

邮箱：xinxiaotian@deheng.com