汇业评论

文 | 黄春林 合伙人 柴明银 律师 汇业律师事务所

新冠疫情期间，鉴于疫情防控需要，在线问诊需求激增，国家也发布了诸多意见促进互联网诊疗发展。其中，2020年2月6日，国家卫生健康委办公厅发布《关于在疫情防控中做好互联网诊疗咨询服务工作的通知》，明确充分发挥互联网医疗服务优势，大力开展互联网诊疗服务；2020年2月28日，国家医保局、国家卫生健康委发布《关于推进新冠肺炎疫情防控期间开展“互联网+”医保服务的指导意见》，明确医疗机构为参保人员提供的常见病、慢性病“互联网+”复诊服务可纳入医保基金支付范围；等等。互联网诊疗也成为了诸多医疗机构近期转型升级的重点方向。

汇业律师事务所黄春林律师团队结合近期立法、监管及项目服务实践，简要梳理互联网诊疗活动准入资质、网络安全、个人信息保护等有关的主要法律问题如下：

一、互联网诊疗活动准入资质

1.互联网诊疗≠互联网医院

所谓互联网诊疗，系指医疗机构利用在本机构注册的医师，通过互联网等信息技术开展部分常见病、慢性病复诊和“互联网+”家庭医生签约服务。因此，（1）互联网诊疗活动由且仅由医疗机构提供，第三方平台不得直接提供诊疗活动；（2）具体提供互联网诊疗活动的人员为本机构注册的医师，本机构以外的医师不得提供（如涉及本机构以外的医师，则应建立互联网医院）；（3）诊疗的范围为部分常见病、慢性病的复诊以及“互联网+“家庭医生签约服务。

因此，互联网医院通过互联网提供诊疗服务，互联网诊疗是互联网医院执业的一种方式；非互联网医院的其他线下实体医疗机构，也可以开展互联网诊疗。

2.互联网诊疗活动准入资质

根据《互联网诊疗管理办法（试行）》规定，医疗机构在提供互联网诊疗活动前，应当获得相应的“执业范围”即互联网诊疗活动批准。根据设置方式不同，互联网诊疗活动批准分为三种：

注：无论哪一种类别，如与第三方机构合作建立互联网诊疗服务信息系统的，均应当在申请互联网诊疗时提交合作协议，明确各方在医疗服务、信息安全、隐私保护等方面的责权利。

二、互联网诊疗活动的执业合规要点

三、互联网诊疗活动的网络安全合规要点

网络系统是医疗机构实施互联网诊疗活动的核心。因此，医疗机构应当重视网络系统的合规要求：

1.网络系统应当依法取得必要的准入许可及备案

（1） 根据《电信条例》、《互联网信息服务管理办法》、《非经营性互联网信息服务备案管理办法》等规定，网站及小程序（不含APP）等用到的域名，应当依法办理ICP备案，并在其网站主页的显著位置标明其备案编号；

（2） 根据《计算机信息网络国际联网安全保护管理办法》等规定，网站、APP应当依法办理公安联网备案，并在显著位置标明备案编号；

（3） 根据《互联网药品信息服务管理办法》等规定，通过互联网向上网用户提供药品（含医疗器械）信息的服务活动，应当依法取得提供互联网药品信息服务的资格；

…等等

2.网络系统应当依法开展等保三级备案、测评及整改

（1） 制定内部安全管理制度和操作规程，严格身份认证和权限管理；

（2） 建立网络安全等级测评制度，定期开展等级测评，并将测评情况及安全整改措施、整改结果向公安机关和有关部门报告；

（3） 建立网络安全应急预案对网络安全管理负责人和关键岗位的人员进行安全背景审查，落实持证上岗制度；

（4） 采取技术措施，监测、记录网络运行状态、网络安全事件，并按照规定留存相关的网络日志不少于六个月；

（5） 落实重要网络设备、通信链路、系统的冗余、备份和恢复措施；

…等等

四、互联网诊疗活动的个人信息保护合规要点

根据《互联网诊疗管理办法（试行）》等相关法律规定，医疗机构在提供互联网诊疗活动中，应妥善保管患者信息，不得非法买卖、泄露患者信息。因此，医疗机构在提供互联网诊疗活动中应当努力确保个人信息全生命流程安全保护工作，合规要点简要梳理如下：