汇业评论 | 互联网医院的主要法律合规问题(上)
文 | 黄春林 合伙人 柴明银 律师 汇业律师事务所
2020年2月底,上海市儿童医院、上海市徐汇区中心医院等先后获批互联网医院牌照,互联网医院落地再下一城。在此之前,为了推动互联网+战略在医疗领域的落地,国家发布了互联网医院设立、运营有关的几个主要法律法规,各地也相继制定了互联网医院设立的地方立法。
汇业律师事务所黄春林律师团队结合近期立法、审批实践,简要梳理互联网医院准入资质、技术路径、网络安全、数据合规等有关的主要法律问题如下:
一、互联网医疗≠互联网医院
根据国务院办公厅《关于促进“互联网+医疗健康”发展的意见》(国办发〔2018〕26号)等规定,国家鼓励发展“互联网+医疗健康”服务。参见规定及行业实践,“互联网+医疗健康”主要包括如下几种业态:(1)医疗机构、联合体应用互联网等信息技术拓展医疗服务空间和内容,实现资源互通、信息共享;(2)基于互联网的医疗健康信息分发和教育、培训;(3)通过互联网提高药品供给;(5)利用人工智能等信息技术为医疗健康赋能;(6)公共卫生体系的互联网化;等等。
根据《执业医师法》、《医疗机构管理条例》、《互联网医院管理办法(试行)》等规定,互联网医院是依托实体医疗结构而设立的,具有《医疗机构执业许可证》的,以互联网作为主要服务方式的医院。
因此,互联网+医疗≠互联网医院,互联网医院仅仅是“互联网+医疗健康”大量业态之一;而其他非医疗机构要经营“互联网+医疗健康”的某些业态(例如前述第(2)、(3)、(5)等),也并非一定需要申请设立互联网医院。
事实上,从上海等地互联网医院审批实践来看,非医疗机构运用信息化技术,只向患者提供诊疗活动以外的卫生保健信息服务,例如就诊导航、挂号预约、候诊提醒、报告查询、健康咨询、健康管理、医生论坛、文献提供等,无需申请设立互联网医院,但可能需要申请信息网络有关的其他许可或备案。
二、互联网医院的准入资质
根据《互联网医院管理办法(试行)》、《上海市互联网医院管理办法》等规定,互联网医院包括两类:
(1)作为实体医疗机构第二名称的互联网医院,即实体医疗机构自行或者与第三方机构合作搭建信息平台,使用在本机构和其他医疗机构注册的医师开展互联网诊疗活动所设置的互联网医院;
(2)依托实体医疗机构独立设置的互联网医院,即第三方机构依托实体医疗机构独立设置的互联网医院,可以使用在本机构和其他医疗机构注册的医师开展互联网诊疗活动。
具体比较如下:
注:互联网诊疗≠互联网医院
所谓互联网诊疗,是线下医疗手段的线上延伸,指由医疗机构使用本机构注册的医务人员,利用互联网技术直接为患者提供部分常见病、慢性病复诊和家庭医生签约服务。这种业态可以不申请设立互联网医院,但须根据《互联网诊疗管理办法(试行)》规定办理互联网诊疗活动的执业登记申请。
而互联网医院不仅可以使用在本机构注册医师开展互联网诊疗活动,还可以使用其他机构注册的医师开展互联网诊疗活动。
三、互联网医院不同技术路径的合规性
互联网医院的最大亮点就是通过互联网提供诊疗服务,因此,对外提供服务的网络系统就是互联网医院的“基础设施”。不同网络系统的技术路径,就决定了互联网医院本身的合规基石。
根据汇业黄春林律师团队有限调研,就目前市面上主流的互联网医院的网络系统之技术路径来看,主要分为两类:(1)平台型网络系统,指互联网医院的系统与网络平台其他模块、栏目处于同一网站或APP内,例如微医;(2)独立型网络系统,指互联网医院开发独立的小程序或APP,例如上海市儿童医院互联网医院、上海市徐汇区中心医院贯众互联网医院。
1
合规要点
而这两种模式都面临着一个共同的关键合规问题:在法律意义上,网络系统应当归持牌《医疗机构执业许可证》的互联网医院所有。汇业黄春林律师团队认为,根据《互联网医院管理办法(试行)》之附录《互联网医院基本标准(试行)》、《上海市互联网医院管理办法》等规定,并参照我国互联网业务许可监管、网络安全等级保护相关的法律法规,不管采取平台型网络系统还是独立性网络系统,其网络系统都应当满足如下合规要求:
网络系统应当由互联网医院运营
网络系统的三“流”合一为互联网医院
而其中的一个特殊情况是,在网络平台模式下,该平台除涉及互联网诊疗相关医疗服务外,还提供其他非诊疗服务(如健康咨询、健康管理、医生论坛、文献提供、食品销售等)。此种模式下,汇业黄春林律师团队建议平台应当按照业务类型分区经营,即设置独立的互联网医院模块\频道\系统(如SDK),公示持牌互联网医院主体信息,并由用户确认独立的用户协议及隐私政策等法律文件,相关数据亦应当独立于平台其他数据存储于独立的服务器和数据库。而其中的非互联网诊疗板块,可以由实际运营的多元主体根据业务形态,分别取得如下资质证照:增值电信业务经营许可证、药品经营许可证、医疗器械经营许可证/备案、医疗器械网络销售备案、食品经营许可证等。
2
行业合规实践
但实践中,我们调研了目前市面上主流的互联网医院的网络系统,基本不符合上述两条合规要求。即,作为互联网诊疗主要窗口和渠道的小程序、APP、网站等网络系统的法律上的运营实体、备案主体并非互联网医院而是其他关联方,例如乌镇某互联网医院;以及其中的用户协议、隐私政策等的签约主体也不是互联网医院而是其他关联方,例如上海某儿童医院互联网医院。
由此导致的法律风险就是,其他非持牌机构(关联方)无证(即《医疗机构执业许可证》)非法从事互联网诊疗服务,或者持牌的互联网医院的网络系统不符合《互联网医院管理办法(试行)》、《上海市互联网医院管理办法》等规定的准入要求及运营条件,因为很难想象,互联网医院的“基础实施”法律上归属于其他机构。
其实,参照银行、保险等金融行业就不难理解上述合规问题。银行、保险机构通过互联网展业的,银保监会对其网络系统有严格的规定,其中一个最基本的合规要求就是运营主体、备案实体只能是金融持牌机构,相关的协议主体、数据收集主体、资金经手主体只能是金融持牌机构。我们认为,作为关乎用户生命健康的医疗机构,无论从立法还是从监管实践的角度,相应的合规标准都不宜低于金融机构。
鉴于互联网医院的设置方式不同,实体医疗机构存在与第三方机构合作设置互联网医院或者第三方机构依托实体医疗机构独立设置互联网医院。
此时,各方之间通过协议、合同等方式明确各方内部在医疗服务、信息安全、隐私保护、医疗风险和责任分担等方面的责权利。但是,汇业黄春林律师团队理解,这里的合作协议的效力仅仅相当于公司设立时的股东协议,属于内部效力性文件,不得由此作为对抗第三方尤其是患者、用户的依据。当然也不能用合作协议上约定的内部分工(例如由第三方机构提供网络系统开发、运维等),来划分互联网医院网络系统的对外法律主体。
此外,《上海市互联网医院管理办法》第二十四条规定的非常明确,“互联网医院是互联网诊疗服务信息平台管理的责任主体,其主要负责人是第一责任人。”此外,根据《网络安全法》及等保2.0规定,网络系统的法律上运营者才是等保定级、备案、测评的适格主体。
根据公司法法人人格独立问题,并参考我国互联网准入监管实践,持牌公司的经营许可不能覆盖到关联公司,包括母、子公司。
因此,即便存在各种关联关系,持有《医疗机构执业许可证》的互联网医院的其他关联方(包括合作伙伴)不能作为其网络系统的法律上的运营实体(包括备案主体、协议主体等),开展互联网诊疗等持牌业务。
四、互联网医院网络系统的网络安全合规
(详见下期文章)
五、互联网医院的个人信息保护合规
(详见下期文章)
六、互联网医院的其他法律合规问题
(详见下期文章)
七、互联网医院相关的部分法律文件
黄春林
汇业律师事务所高级合伙人
黄春林律师,现为上海市律协互联网与信息技术专业委员会副主任,主要执业领域为网络与数据合规、高新技术及泛娱乐领域综合法律服务,常年为数十家境内外企业提供前瞻性法律服务解决方案,2019年在人民法院出版社出版专著《网络与数据法律实务:法律适用及合规落地》,多次被LegalBand、知产力等评为中国顶级律师。
作者往期文章推荐: