汇业评论 | 互联网医院的主要法律合规问题(下)
2020年2月底,上海市儿童医院、上海市徐汇区中心医院等先后获批互联网医院牌照,互联网医院落地再下一城。在此之前,为了推动互联网+战略在医疗领域的落地,国家发布了互联网医院设立、运营有关的几个主要法律法规,各地也相继制定了互联网医院设立的地方立法。
汇业律师事务所黄春林律师团队结合近期立法、审批实践及项目经验,简要梳理互联网医院准入资质、技术路径、网络安全、数据合规等有关的主要法律问题如下:
一、互联网医疗≠互联网医院
二、互联网医院的准入资质
三、互联网医院不同技术路径的合规性
(详见前期内容:互联网医院的主要法律合规问题(上))
四、互联网医院网络系统的网络安全合规
五、互联网医院的个人信息保护合规
(详见前期内容:互联网医院的主要法律合规问题(中))
六、互联网医院的其他法律合规问题
01
企业名称/经营范围当中能否
含有“互联网医院”等类似字样
根据《互联网医院管理办法(试行)》、《医疗机构管理条例》、《医疗机构管理条例实施细则》等规定,中国对互联网医院实行准入管理。根据《关于严格落实先照后证改革严格执行工商登记前置审批事项的通知》要求,除部分事项仍需登记前审批外,企业在办理工商登记时,不再需要提交相关审批部门的许可文件、证件。
因此,第三方机构拟依托实体医疗机构设置独立的互联网医院的,在办理工商登记时,可以且应当在名称中使用“互联网医院”字样,经营范围中也可以使用“互联网医院”、“医疗服务”或直接使用“内科”、“眼科”等字样,无需事先取得《设置医疗机构批准书》。但,在未获得批准及执业许可前,第三方机构不得直接从事互联网医院、互联网诊疗相关的经营活动。
根据汇业黄春林律师团队在公开渠道有限检索,截至目前,含有“互联网医院”字样的注册企业数据如下:
结合我国目前批准的互联网医院数据,从上表不难发现:
(1)目前大多数企业名称或经营范围中含有“互联网医院”等字样,但是未获得设立批准及执业许可,建议监管部门应当加强无证经营的查处力度;
(2)近半数企业是在近一年内注册的,这也主要是受益于《国务院办公厅关于促进“互联网+医疗健康”发展的意见》及《互联网医院管理办法(试行)》等政策、法规的推动作用;
(3)较早发布地方版互联网医院政策的宁夏等地,成为互联网医院设立的主要地,未来一旦爆发类似互联网金融的行业风险,该等地方的风险也会相对较为集中,尤其考虑到部分企业的资金实力相对较小。
02
互联网医院的其他法律合规问题
开设微信公众号、小程序、APP、网站等行为是开展经营活动的一种典型表现;一旦企业开通含有“互联网医院”等类似字样的微信公众号、小程序、APP、网站等,无论从公众认知的角度,还是从监管合规的角度,即应当依法取得《医疗机构执业许可证》,否则存在无证经营的法律风险。
而其他仅提供诊疗服务以外的信息服务、挂号预约等服务的,按照实质穿透监管的要求,不得在微信公众号、小程序、APP、网站等名称中使用“互联网医院”等类似字样。这一点在互联网金融监管领域已经非常成熟,未取得相应的金融业务许可证,不得在其网络渠道名称中使用“银行”、“保险”等字样,这也是为什么“相互保”后来改名为“相互宝”的一个重要原因。
实际上,微信发布的《小程序开放的服务类目》中也明确要求,企业申请互联网医院类小程序的,必须提供《设置医疗机构批准书》或者合作医院的《医疗机构执业许可证》与执业登记机关的审核合格文件等。
03
互联网医院的执业医师合规审查
首先,互联网医院应加强对提供诊疗服务的医师资质进行审查,包括但不限于:(1)医师是否在依托的实体医疗机构或其他医疗机构注册具有3年以上独立临床工作经验;(2)医师是否已提供执业注册的医疗机构同意的证明文件;(3)医师拟提供的诊疗服务,是否与《医师执业证书》规定的执业类别和执业范围一致。
其次,互联网医院应对医师登录、使用网络系统进行认证,认证方式包括电子签名、人脸识别、三要素核验、短信认证等技术,以防止医师身份被冒用。
再次,互联网医院应当加强互联网诊疗活动管理,建立完善相关管理制度、服务流程,保证医师提供互联网诊疗活动的全程留痕、可追溯,必要时甚至可以采取双录(录音录像等措施)。《互联网医院基本标准(试行)》也明确规定,应当建立数据访问控制信息系统,确保系统稳定和服务全程留痕,并与实体医疗机构的HIS、PACS/RIS、LIS系统实现数据交换与共享。
04
互联网医院的规章制度合规
建立完整的规章制度是互联网医院申请《医疗机构执业许可证》的前提条件之一。因此,互联网医院应当重视规章制度合规,并根据《互联网医院管理办法(试行)》、《医疗机构管理条例》、《医疗机构管理条例实施细则》、《网络安全法》、《网络安全等级保护条例(征求意见稿)》等规定制定、修订相应的规章制度,具体包括但不限于:
(1)制定互联网医院章程,内容应包括但不限于办医宗旨、功能定位、办医方向、管理体制、组织结构、决策机制、监督机制、文化建设、党的建设、群团建设、职工的权利义务等内容;
(2)建立互联网医疗服务管理制度,尤其应当注意公示诊疗服务中的便民服务措施,提供的诊疗服务项目、内容、流程情况,诊疗服务、常用药品和主要医用耗材的价格等等;
(3)建立互联网医院信息系统使用管理制度,尤其是安全管理制度建设,明确信息安全工作的总体方针、政策性文件和安全策略等,说明互联网医院信息安全工作的总体目标、范围、方针、原则、责任,定期对安全管理制度进行评审和修订,对存在不足或需要改进的安全管理制度进行修订等;
(4)建立互联网医疗质量控制和评价制度,公示医疗服务投诉信箱和投诉咨询电话;
(5)建立患者知情同意与登记制度,尤其应当告知患者互联网诊疗服务存在的风险;等等。
05
互联网医院人员培训合规
根据《执业医师法》、《互联网医院基本标准(试行)》、《网络安全法》、《个人信息安全规范》等要求,互联网医院应当建立医师、网络安全等相关人员的培训及考核制度。具体包括但不限于:
(1)互联网医院应对医师及相关人员开展医疗卫生法律法规、医疗服务相关政策、各项规章制度、岗位职责、流程规范,确保其掌握服务流程,明确可能存在的风险,尤其应当加强对患者安全提示有关的培训。
(2)互联网医院应加强个人信息及患者隐私保护相关培训,对个人信息处理岗位上的相关人员开展个人信息安全专业化培训,确保相关人员熟练掌握个人信息保护制度、隐私政策和相关规程,并保留相关培训记录;
(3)互联网医院应加强安全意识教育培训,为所有员工(包括管理层,尤其是数据管理人员、数据操作人员、运维管理人员)实施培训计划,进行安全意识教育,告知所有员工安全责任和惩戒措施,并对安全教育和培训的情况和结果进行记录并归档保存;
(4)互联网医院应加强应急预案培训,对相关人员进行培训使之了解如何及何时使用应急预案,对应急预案的培训至少每年举办一次并留有记录;等等
黄春林
汇业律师事务所高级合伙人
Ramon.huang@huiyelaw.com
黄春林律师,现为上海市律协互联网与信息技术专业委员会副主任,主要执业领域为网络与数据合规、高新技术及泛娱乐领域综合法律服务,常年为数十家境内外企业提供前瞻性法律服务解决方案,2019年在人民法院出版社出版专著《网络与数据法律实务:法律适用及合规落地》,多次被LegalBand、知产力等评为中国顶级律师之一。
作者往期文章推荐:
十余位网安及数据合规大牛热评新书《网络与数据法律实务:法律适用与合规落地》
十余位知名外企法务大咖热评新书《网络与数据法律实务:法律适用与合规落地》