汇业评论 | 远程医疗服务的主要法律合规问题
本次疫情防控及治疗的过程中,远程医疗发挥了极其重要的作用。
2020年2月26日,国务院联防联控综合组发布《关于开展线上服务进一步加强湖北疫情防控工作的通知》等文,明确强调加强远程医疗服务,组织相关资源为湖北全省新冠肺炎医疗救治定点机构提供远程视频会诊、远程影像诊断、远程查房等服务,同时提供针对其他疑难病症的远程医疗服务,满足疫情救治和群众医疗急需。
2020年2月3日,国家卫生健康委办公厅发布了《关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》,明确规定积极开展远程医疗服务,提高基层和社区医疗卫生机构应对处置疫情能力,缓解定点医院诊疗压力,减少人员跨区域传播风险。
此外,随着新冠疫情的全球爆发,疫情防控、新药研发及医疗等领域的国际合作变得尤为重要。疫情之前,各级医疗机构也通过远程医疗等形式,开展偏远地区医疗扶贫项目,取得了很好的社会效应。
为此,汇业律师事务所黄春林律师团队结合近期立法、监管及项目服务实践,简要梳理远程医疗服务有关的主要法律合规问题如下:
第一部分
远程医疗服务
1. 远程医疗、互联网诊疗、互联网医院的关系
根据《国务院办公厅关于促进“互联网+医疗健康”发展的意见》、《互联网诊疗管理办法(试行)》、《互联网医院管理办法(试行)》、《远程医疗服务管理规范(试行)》等规定,根据人员和服务方式的不同,“互联网+医疗服务”可以分为三类:
(1)第一类为远程医疗,由医疗机构之间使用本机构注册的医务人员,利用互联网等信息技术开展远程会诊和远程诊断;
(2)第二类为互联网诊疗活动,由医疗机构使用本机构注册的医务人员,利用互联网技术直接为患者提供部分常见病、慢性病复诊和家庭医生签约服务;
(3)第三类为互联网医院,互联网医院可以使用在本机构和其他医疗机构注册的医师开展互联网诊疗活动,互联网医院可以为患者提供部分常见病、慢性病复诊、家庭医生签约服务。
其中,远程医疗、互联网诊疗是互联网医院执业的渠道方式之一;互联网医院也仅仅是开展远程医疗、互联网诊疗的实体形式之一。
2. 远程医疗服务的主要模式
根据卫健委《远程医疗服务管理规范(试行)》及原国家卫计委《关于推进医疗机构远程医疗服务的意见》等规定,远程医疗是指一方医疗机构邀请其他医疗机构运用信息化技术为本医疗机构诊疗患者提供技术支持的医疗活动,即:远程医疗服务只能由医疗机构开展,邀请方及受邀方均为取得医疗机构执业许可证的医疗机构;远程医疗服务的实现手段为信息化技术,包括通讯、计算机及网络技术;远程医疗服务的项目较多,包括但不限于远程病理诊断、远程医学影像(含影像、超声、核医学、心电图、肌电图、脑电图等)诊断、远程监护、远程会诊、远程门诊、远程病例讨论等。
根据《远程医疗服务管理规范(试行)》等规定,远程医疗服务的主要模式包括:
(1)直接提供远程医疗服务:
(2)通过服务平台提供远程医疗服务:
注:
(1)医疗机构A为邀请方,医疗机构B为受邀方;
(2)平台可以由医疗机构A搭建,亦可由第三方机构搭建;
(3)医疗机构A通过自建平台直接邀请医务人员提供在线医疗服务的,则须申请互联网医院;
(4)无论以哪种方式提供远程医疗服务,各方之间均应当通过协议约定各自的权利义务。
3. 远程医疗服务平台资质及备案
根据我国电信业务监管及网络安全有关法律法规,远程医疗平台应取得的许可及备案包括但不限于:
(1)根据《互联网信息服务管理办法》、《非经营性互联网信息服务备案管理办法》等规定,网站及小程序(不含APP)等用到的域名,应当依法办理ICP备案,并在其网站主页的显著位置标明其备案编号;
(2)根据《电信条例》等规定,尤其是在第三方建立远程医疗撮合平台的模式下,第三方平台还应当取得B21或B25类增值电信业务许可,同时还开展其他增值电信业务(例如云存储、多方通信、视听节目传播等),还应当依法取得与其业务相适应的增值电信业务许可。
(3)根据《计算机信息网络国际联网安全保护管理办法》等规定,网站、APP应当依法办理公安联网备案,并在显著位置标明备案编号。
同时还从事药品信息、网络食品销售、互联网出版等经营性业务的,还应当依法取得相应的许可及备案。
第二部分
远程医疗服务的核心合规要点
第三部分
远程医疗服务的网络安全及数据合规
汇业黄春林律师团队理解,根据《网络安全法》、《网络安全等级保护条例(征求意见稿)》、《信息安全技术-网络安全等级保护基本要求》(GB-T 22239-2019)、《远程医疗信息系统建设技术指南》、《远程医疗信息系统技术规范》、《医疗机构信息系统安全等级保护基本要求》等要求,考虑到远程医疗信息系统涉及人民群众的生命安全且涉及个人医疗健康数据等敏感信息,远程医疗信息系统应当符合等保三级的要求,应当依法开展等保三级备案、测评及整改。具体要求包括但不限于:
(1)远程医疗信息系统应对医疗机构、科室、专家、患者等用户权限进行严格多级设置管理,依据预置或用户定义敏感数据关键字,对 Web、IM、Mail 的内容进行检测,防止包含关键信息的数据流出;
(2)远程医疗信息系统在发生故障或输入数据不合理的情况下,有较高的抗干扰能力和控制故障的能力,以免系统发生停顿或遭到破坏而影响工作;
(3)远医疗信息系统的关键设备,如核心交换、防火墙、应用服务器、安全接入设备、数据库服务等采用双机热备技术,使整个网络业务处理能力具备冗余空间;
(4)制定并落实远程医疗信息系统网络安全总体规划和整体安全防护策略,制定安全建设方案,并经专业技术人员评审通过;
(5)对远程医疗信息系统网络安全管理负责人和关键岗位的人员进行安全背景审查,落实持证上岗制度;
(6)建立远程医疗信息系统网络安全等级测评制度,定期开展等级测评,并将测评情况及安全整改措施、整改结果向公安机关和有关部门报告;等等
在数据合规方面,远程医疗服务遵从的数据合规要点包括但不限于:
第四部分
远程医疗服务的其他合规要点
黄春林
汇业律师事务所高级合伙人
Ramon.huang@huiyelaw.com
黄春林律师,现为上海市律协互联网与信息技术专业委员会副主任,主要执业领域为网络与数据合规、高新技术及泛娱乐领域综合法律服务,常年为数十家境内外企业提供前瞻性法律服务解决方案,2019年在人民法院出版社出版专著《网络与数据法律实务:法律适用及合规落地》,多次被LegalBand、知产力等评为中国顶级律师之一。
作者往期文章推荐:
互联网诊疗活动的主要法律合规问题
互联网医院的主要法律合规问题(上)
互联网医院的主要法律合规问题(中)
互联网医院的主要法律合规问题(下)
十余位网安及数据合规大牛热评新书《网络与数据法律实务:法律适用与合规落地》
十余位知名外企法务大咖热评新书《网络与数据法律实务:法律适用与合规落地》