“互联网+医疗”时代下互联网医院运营法律合规问题分析

当前社会,互联网与数字科技正在以不可逆转之势影响着各行各业。新冠疫情的出现,对社会的思维观念、行业业务模式都产生了深刻的影响。

线上经济的发展,也使得医疗行业面临一场前所未有的革新。互联网远程诊疗、健康管理都日益丰满和拓展着医疗行业的生态圈。本文旨在以互联网医院这一“互联网”+“医疗健康”的新型服务平台出发,关注互联网医院的准入、运营模式和监管框架,以期能够加强读者对我国互联网医疗市场的认识,并对互联网医院的运营中常见的法律合规问题有所了解。

一、互联网医院的概念及行业背景

在我国,“互联网医院”的概念最早出现在2015年,但正式出现在政府文件中始于2016年12月银川市人民政府颁发的《银川互联网医院管理办法(试行)》(银政发〔2016〕249号)。根据该文件,“银川互联网医院是指在银川市注册,与银川智慧城市实现数据对接、融合,以互联网为载体,借助互联网新技术,向患者提供健康咨询、问诊、导诊、远程医疗等服务的机构。”该文件的颁布一石激起千层浪,多家互联网医院集体落地银川,形成了国内首个互联网医院集群。京东集团在2017年6月建立银川京东互联网医院,三年后京东健康股份有限公司在港交所上市。

2018年4月国务院办公厅颁布的《关于促进“互联网+医疗健康”发展的意见》(国办发〔2018〕26号)正式将“互联网医院”第一次写进中央政府规章文件中,文件指出“允许依托医疗机构发展互联网医院。医疗机构可以使用互联网医院作为第二名称,在实体医院基础上,运用互联网技术提供安全适宜的医疗服务,允许在线开展部分常见病、慢性病复诊。医师掌握患者病历资料后,允许在线开具部分常见病、慢性病处方。”同年5月,平安健康医疗科技有限公司在港交所上市。

经过半年时间的酝酿及征求意见,2018年10月,国家卫生健康委员会、国家中医药管理局正式下发《互联网诊疗管理办法(试行)》、《互联网医院管理办法(试行)》、《远程医疗服务管理规范(试行)》,以上三个文件分别从互联网诊疗、互联网医院、远程医疗三个文件对互联网医疗行为进行了规范。整体而言,第一类为远程医疗,由医疗机构之间使用本机构注册的医务人员,利用互联网等信息技术开展远程会诊和远程诊断。第二类为互联网诊疗活动,由医疗机构使用本机构注册的医务人员,利用互联网技术直接为患者提供部分常见病、慢性病复诊和家庭医生签约服务。第三类为互联网医院,包括作为实体医疗机构第二名称的互联网医院,以及依托实体医疗机构独立设置的互联网医院。互联网医院可以使用在本机构和其他医疗机构注册的医师开展互联网诊疗活动,可以为患者提供部分常见病、慢性病复诊、家庭医生签约服务。此外,当患者到实体医疗机构就诊时,由接诊的医师通过互联网医院邀请其他医师进行会诊时,会诊医师可以出具诊断意见并开具处方。其中,第二类和第三类均属于医疗机构通过互联网直接为患者提供服务。[i]

根据《互联网诊疗管理办法(试行)》,互联网诊疗是指医疗机构利用在本机构注册的医师,通过互联网等信息技术开展部分常见病、慢性病复诊和“互联网+”家庭医生签约服务。国家对互联网诊疗活动实行准入制管理,且提供互联网诊疗服务的必须是具有《医疗机构执业许可证》的医疗机构。

《远程医疗服务管理规范(试行)》并未对远程医疗服务做出明确定义,但明确了远程医疗服务的两种情形:(一)某医疗机构(邀请方)直接向其他医疗机构(受邀方)发出邀请,受邀方运用通讯、计算机及网络技术等信息化技术,为邀请方患者诊疗提供技术支持的医疗活动,双方通过协议明确责权利;(二)邀请方或第三方机构搭建远程医疗服务平台,受邀方以机构身份在该平台注册,邀请方通过该平台发布需求,由平台匹配受邀方或其他医疗机构主动对需求做出应答,运用通讯、计算机及网络技术等信息化技术,为邀请方患者诊疗提供技术支持的医疗活动。邀请方、平台建设运营方、受邀方通过协议明确责权利。该文件同时提出,邀请方通过信息平台直接邀请医务人员提供在线医疗服务的,必须申请设置互联网医院,按照《互联网医院管理办法(试行)》管理。

《互联网医院管理办法(试行)》对互联网医院也没有明确的定义,但是给出了确定的执业准入要求,并将互联网医院分为两大类:包括作为实体医疗机构第二名称的互联网医院以及依托实体医疗机构独立设置的互联网医院。文件明确要求实体医疗机构自行或者与第三方机构合作搭建信息平台,使用在本机构和其他医疗机构注册的医师开展互联网诊疗活动的,应当申请将互联网医院作为第二名称。实体医疗机构仅使用在本机构注册的医师开展互联网诊疗活动的,可以申请将互联网医院作为第二名称。新申请设置的实体医疗机构拟将互联网医院作为第二名称的,应当在设置申请书中注明,并在设置可行性研究报告中写明建立互联网医院的有关情况,独立设置的互联网医院也是要求有实体医疗部分的机构设置程序。根据这些要求,互联网医院必须依托于实体医疗机构开办。

2020年突如其来的新冠肺炎疫情推动了互联网医院的快速发展,根据调硏统计数据显示,截至2020年12月31日,全国已建互联网医院累计达到1004家[ii],一年时间内实现互联网医院跨越式增长,主要得益于政策环境完善、新冠疫情催化和患者就医体验持续提升的刚性需求。

二、互联网医院主要运营模式

《互联网医院管理办法(试行)》将互联网医院分为两大类:包括作为实体医疗机构第二名称的互联网医院以及依托实体医疗机构独立设置的互联网医院。上述分类这也在互联网医院的运营模式上体现了出来。

互联网医院根据筹建及运营方式的不同主要分为两类:(1)实体医疗机构独自建设互联网医院(以下简称“独立互联网医院”);(2)依托实体医疗机构合作建设的互联网医院(以下简称“合办互联网医院”)。独立互联网医院模式和合办互联网医院模式在医疗资源(医务人员及患者等资源)、互联网医院平台运营及技术能力、医疗信息广度与深度的可及性、政策监管的完整性、患者体验度和全流程(包含诊前和诊后管理)以及医保对接等方面都有各自的优势和劣势。[iii]但无论采用哪种模式,都无法脱离实体医院单独运营。

实体医疗机构独立设置的互联网医院模式中,实体医院在医疗资源、政策及医保支持、医疗质量管理和患者安全保障方面积累了大量经验,将其经验和优势应用于线上是未来互联网医院发展亟需解决的问题。而实体医疗机构与第三方机构合办互联网医院模式中,商业机构作为非医疗机构,平台运营及引流能力比较强,但是服务类型往往局限于健康信息服务或常见病及慢性病复诊购药,在医疗资源方面还是需要去挂靠实体医院及多点执业医生。[iv]

因此互联网与实体医院应当互相结合,利用彼此的优势,在相互合作的基础上,整合各方资源,重构医疗服务流程,持续打造远程诊疗、远程诊断、院后管理及健康管理医疗生态圈、均衡医疗资源,提升医疗服务效率。

三、互联网医院之准入问题

医疗服务领域属于涉及生命健康的国家强监管领域,而互联网医院作为医疗产业发展的新兴业态,既受到互联网行业的特殊监管,又要受到医疗服务领域的强监管,故而互联网医院在进入市场时,必须事先严格遵照审批要求,履行准入流程,才能进入市场开展服务。

(一)准入资质

根据《互联网医院管理办法(试行)》,互联网医院的准入资质分为三方面:

一是医院准入资质。互联网医院包括作为实体医疗机构第二名称的互联网医院,以及依托实体医疗机构独立设置的互联网医院。互联网医院必须依托的实体医疗机构,开展相应的诊疗科目范围。设置互联网医院时必须首先符合《医疗机构管理条例》《医疗机构基本标准(试行)》等相关规定确立的实体医疗机构的标准,实体医疗机构设置互联网医院时,还需符合《互联网医院基本标准(试行)》的相关要求。互联网医院并没有单独的证照,所有的互联网医院目前都需要挂靠实体医院或医疗机构,互联网医疗活动必须由取得《医疗机构执业许可证》的实体提供。[v]

二是医师资质符合要求。根据《互联网医院管理办法(试行)》第十六条、第二十九条、《互联网医院基本标准(试行)》第三条等规定,设置互联网医院时,需至少满足以下医师资质要求:(1)提供诊疗服务的医师,应当依法取得相应执业资质,在依托的实体医疗机构或其他医疗机构注册,具有3年以上独立临床工作经验;(2)互联网医院开设的临床科室,其对应的实体医疗机构临床科室至少有1名正高级、1名副高级职称的执业医师注册在本机构(可多点执业);(3)在互联网医院提供医疗服务的医师、护士应当能够在国家医师、护士电子注册系统中进行查询;(4)有专职药师负责在线处方审核工作,确保业务时间至少有1名药师在岗审核处方。药师人力资源不足时,可通过合作方式,由具备资格的第三方机构药师进行处方审核。

三是互联网准入资质。实体医疗机构设立互联网医院需满足互联网准入资质。首先,若是互联网医院仅使用在本机构注册的医师开展互联网诊疗活动,并不就其在网上提供的信息向患者收费,提供非经营性互联网信息服务,只需要办理互联网信息服务备案,即ICP备案即可。独立设置的互联网医院,通常平台不仅通过信息发布向医疗机构及医生收取一定的信息发布服务费,同时还会利用互联网为医生和患者之间的交易提供在线数据处理或者交易服务处理,此时这类互联网医院还须办理B-21——在线数据处理和交易业务的值电信业务经营许可证。[vi]

实际上,互联网医院的准入实则与医院和医疗机构的准入门槛基本一致,任何一家持有《医疗机构执业许可证》的实体在符合法律要求的资质、流程的前提下,都具备申办互联网医院的条件。实践中,大批互联网和信息服务公司选择通过收购实体医院的方式设置互联网医院。[vii]

另外,部分省市针对互联网医院的准入也设置了细化性标准,在设置互联网医院时,应当注意关注当地部门颁布的实施细则。比如《山东省互联网医院管理办法实施细则》征求意见稿,对互联网医院规范运行和准入提出了更高要求,限制基层医院开展互联网医院业务,只有“医院”或者“专科类医院”才能以“增加第二名称的形式”申请互联网医院,明确禁止“社区医院”纳入互联网医院体系。根据《海南省互联网医院管理办法(试行)》,对于公立医疗机构申请设置互联网医院的,还需提交主管部门(或举办单位)和财政部门的批准书[viii]。

(二)准入流程

根据《互联网医院管理办法(试行)》的相关规定,互联网医院的准入流程主要分为以下方面:

第一,实施互联网医院准入前,省级卫生健康行政部门应当建立省级互联网医疗服务监管平台,与互联网医院信息平台对接,实现实时监管。

第二,申请设置互联网医院,应当向其依托的实体医疗机构执业登记机关提出设置申请,并提交以下材料:设置申请书;设置可行性研究报告,可根据情况适当简化报告内容;所依托实体医疗机构的地址;申请设置方与实体医疗机构共同签署的合作建立互联网医院的协议书。

第三,遵守命名规则。互联网医院的命名应当符合有关规定,并满足以下要求:(1)实体医疗机构独立申请互联网医院作为第二名称,应当包括“本机构名称+互联网医院”;(2)实体医疗机构与第三方机构合作申请互联网医院作为第二名称,应当包括“本机构名称+合作方识别名称+互联网医院”;(3)独立设置的互联网医院,名称应当包括“申请设置方识别名称+互联网医院”。

第四,卫生健康行政部门受理设置申请后,依据《医疗机构管理条例》、《医疗机构管理条例实施细则》的有关规定进行审核,在规定时间内作出同意或者不同意的书面答复。批准设置并同意其将互联网医院作为第二名称的,在《设置医疗机构批准书》中注明;批准第三方机构申请设置互联网医院的,发给《设置医疗机构批准书》。医疗机构按照有关法律法规和规章申请执业登记。需注意的是,互联网医院并没有单独的证照,所有的互联网医院目前都需要挂靠实体医院或医疗机构,实体医疗机构应当申请在《医疗机构执业许可证》上增加“互联网医疗”项目。[ix]

第五,执业登记机关按照有关法律法规和规章对互联网医院登记申请材料进行审核。审核合格的,予以登记。审核不合格的,将审核结果以书面形式通知申请人。

四、互联网医院相关规定梳理与监管框架

(一)互联网医院相关规定梳理

在法律层面,《执业医师法》、《基本医疗卫生与健康促进法》规范了医师和医疗机构的诊疗行为。《网络安全法》对医疗活动中患者医疗信息的保护问题作出了规定。《侵权责任法》规定了医疗损害的责任划分。

在行政法规层面,《医疗机构管理条例》在规划布局、设置审批、登记、执业等方面规范了医疗机构的活动。《医疗事故处理条例》、《医疗纠纷预防和处理条例》对医疗事故的预防、技术鉴定、行政处理与监督等问题作出了规定。

在国务院规范性文件层面,《关于促进“互联网+医疗健康”发展的意见》在发展“互联网+”医疗服务、创新“互联网+”公共卫生服务、优化“互联网+”家庭医生签约服务等十四个方面为促进“互联网+医疗健康”发展指明了方向。

在行政规章及部门规范性文件层面,《互联网医院管理办法(试行)》是互联网医院准入、执业、监管方面最直接全面的规定。《互联网诊疗管理办法(试行)》《远程医疗服务管理规范(试行)》《国家卫生健康委、国家中医药管理局关于做好公立医疗机构“互联网+医疗服务”项目技术规范及财务管理工作的通知》《国家卫生健康委办公厅关于进一步推动互联网医疗服务发展和规范管理的通知》等文件为开展互联网医疗活动作出了明确规定。

在地方性法规层面,吉林省、海南省、安徽省、上海市、四川省、宁夏回族自治区等地区出台了互联网医院管理办法或实施细则,如《吉林省互联网医院管理办法(试行)》《海南省互联网医院管理办法(试行)》《安徽省互联网医院管理办法(试行)》《上海市互联网医院管理办法》等,为规范当地互联网医院提供了指引。

(二)互联网医院的监管框架

根据《互联网医院管理办法(试行)》的规定,互联网医院的监督管理主要由国务院卫生健康行政部门和各地县级以上卫生健康行政部门负责。互联网医院监管分为线上监管和线下监管两个层面:首先,省级卫生健康行政部门与互联网医院登记机关,通过省级互联网医疗服务监管平台,对互联网医院共同实施监管。由于互联网医院主要为线上咨询、智能问诊、快送药品到家,所以监管重点为互联网平台的线上监管。其次,将互联网医院纳入当地医疗质量控制体系,相关服务纳入行政部门对实体医疗机构的绩效考核和医疗机构评审。互联网医院均依托线下实体医疗机构设置,当地卫生健康行政部门也对实体医疗机构进行定期监督管理。[x]

互联网医院的监管可以分为诊疗服务前、诊疗服务中、诊疗服务后三个环节,重点监管内容为互联网医院的人员、处方、诊疗行为、患者隐私保护和信息安全等。

关于人员资质监管,主要涉及医务人员执业资格,护理人员执业资格,以及超范围执业等内容。关于诊疗行为监管,主要涉及复诊合规性、常见病诊疗合规性。关于电子处方监管,主要考察开具的处方是否经过严格审方,处方流转过程是否合规。关于合理用药监管,主要是用药是否遵守国家的相关法律法规以及医院内部规范。[xi]关于患者隐私保护,要完善电子病历标准,统一电子病历共享技术操作规范;明确电子病历共享中患者隐私权的法律地位;还要增加投入,减少互联网程序本身的漏洞和安全隐患。

五、互联网医院运营中常见合规问题

(一)患者诊疗服务

根据《互联网诊疗管理办法(试行)》,互联网诊疗活动应当由取得《医疗机构执业许可证》的医疗机构提供,医疗机构开展互联网诊疗活动应当与其诊疗科目相一致。开展互联网诊疗活动的医师、护士应当能够在国家医师、护士电子注册系统中查询。医疗机构应当对开展互联网诊疗活动的医务人员进行电子实名认证。

根据《互联网医院管理办法(试行)》,互联网医院必须对患者进行风险提示,获得患者的知情同意。患者在实体医疗机构就诊,由接诊的医师通过互联网医院邀请其他医师进行会诊时,会诊医师可以出具诊断意见并开具处方;患者未在实体医疗机构就诊,医师只能通过互联网医院为部分常见病、慢性病患者提供复诊服务。互联网医院可以提供家庭医生签约服务。当患者病情出现变化或存在其他不适宜在线诊疗服务的,医师应引导患者到实体医疗机构就诊。不得对首诊患者开展互联网诊疗活动。

(二)在线诊疗的病历和处方管理

为规范医疗机构处方管理,中国国家卫生和计划生育委员会(现称“中华人民共和国国家卫生健康委员会”,简称“国家卫计委”)于2007年2月14日发布《处方管理办法》(以下简称《办法》),自2007年5月1日起生效。根据《办法》,经注册的执业医师在执业地点取得相应的处方权,应当根据医疗、预防、保健需要,按照诊疗规范和药品说明书开具处方。医疗机构有下列情形之一的,由县级以上卫生行政部门按照《医疗机构管理条例》第四十八条的规定,责令限期改正,并可处以5000元以下的罚款;情节严重的,吊销其《医疗机构执业许可证》:(1)使用未取得处方权的人员、被取消处方权的医师开具处方的;(2)使用未取得麻醉药品和第一类精神药品处方资格的医师开具麻醉药品和第一类精神药品处方的;(3)使用未取得药学专业技术职务任职资格的人员从事处方调剂工作的。如果医师在其执业活动期间在许可证未注册的医疗机构未取得处方权开具处方,将收到警告或者被责令暂停六个月以上一年以下执业活动;情节严重的,吊销其《医师执业证书》。

关于电子病历的管理方面,根据《病历书写基本规范》和《电子病历应用管理规范》(试行)的相关规定,互联网医院在线诊疗服务中,互联网医院和患者之间通过数字化信息生成、存储、管理和传输的医疗记录的电子病历应符合相关具体要求。作为电子病历,互联网医院应当确保患者基本信息及医疗记录的真实性、一致性、连续性和完整性。出于患者个人信息的保护的角度考虑,电子病历系统应当设置医师等医务人员的登录、审查和修改的权限,医务人员进入电子病历系统时必须进行身份鉴别和相关审核程序。医师等医务人员对患者电子病历进行操作时应进行电子签名,在修改并提交电子病历时必须留痕,未经授权任何单位和个人不得擅自调阅和复制电子病历。

关于电子处方的管理方面,互联网医院应当严格遵守《处方管理办法》等处方管理规定。医师在线开具处方前,应当掌握患者病历资料,确定患者已在实体医疗机构明确诊断为某种或某几种常见病、慢性病之后,才可以针对相同诊断的疾病在线开具处方,在线诊断、处方必须有医师电子签名。处方经药师审核合格后方可生效。医师不得在互联网上开具麻醉药品、精神类药品处方以及其他用药风险较高、有其他特殊管理规定的药品处方。

(三)执业医师管理

1998年6月26日,全国人大常委会发布《中华人民共和国执业医师法》(以下简称《执业医师法》),1999年5月1日生效,并于2009年8月27日修订。根据《执业医师法》,医师实施医疗、预防、保健措施,签署有关医学证明文件,必须亲自诊查、调查,并按照规定及时填写医学文书,不得隐匿、伪造或者销毁医学文书及有关资料。

2014年11月5日,国家卫计委、国家发改委、人力资源和社会保障部、国家中医药管理局及中国保险监督管理委员会(现称“中国银行保险监督管理委员会”,简称“银保监会”)共同发布《推进和规范医师多点执业的若干意见》,该意见提出简化多点执业的注册程序,同时探索实行“备案管理”的可行性。

根据国家卫计委于2017年2月28日颁布并于2017年4月1日生效的《医师执业注册管理办法》,医师执业应当经注册取得《医师执业证书》。未经注册取得《医师执业证书》,不得从事医疗、预防、保健活动。在同一执业地点多个机构执业的医师,应当确定一个机构作为其主要执业机构,并向批准该机构执业的卫生计生行政部门申请注册;对于拟执业的其他机构,应当向批准该机构执业的卫生计生行政部门分别申请备案,注明所在执业机构的名称。医师跨执业地点增加执业机构,应当向批准该机构执业的卫生计生行政部门申请增加注册。

互联网医院通常使用在其他医疗机构注册的医师开展互联网诊疗,如该类医师要取得处方权,则仍需办理多点执业备案或注册手续。例如,微医互联网医院在其网站公示的“医师多机构备案劳务协议”[xii]中对于多机构执业备案部分约定,依据各省区互联网医院监管平台要求,互联网医院收集医生相应的资质信息、身份信息等信息,备案至省区互联网医院监管平台[xiii],或依据各省区卫生健康委的要求进行“医生多机构注册”流程。当然,若实体医疗机构仅使用本机构注册的执业医师在本机构申请的“第二名称互联网医院”进行“互联网诊疗”,则不需要办理多点执业或执业变更的手续,因为此时实体医疗机构和“第二名称互联网医院”是同一家医疗机构。[xiv]互联网医院执业医师可通过网络电子化办理多点执业手续,根据《互联网医院管理办法(试行)》第16条,在互联网医院提供医疗服务的医师应当能够在国家医师电子注册系统中进行查询。

以银川京东互联网医院有限公司为例,根据银川市行政审批服务局于2018年2月11日印发的《互联网医师执业“电子证”备案实施方案》,为提高行政效率,在银川注册的互联网医院聘用的医师应当在银川互联网医院医师服务平台备案注册后,能够在该互联网医院取得相应处方权执业。根据公开信息[xv],银川互联网医院的“执业医师多点执业”手续已实质在省级互联网医疗服务监管平台上开展电子化备案或注册,即省级卫生健康行政部门建立的“省级互联网医疗服务监管平台”已实质上为省内或跨省执业医师办理了“多点执业”手续。

(四)患者个人信息保护

根据《个人信息保护法》(2021年8月20日发布,2021年11月1日生效),个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,对于个人信息的处理,包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等。

在互联网医院在线诊疗的过程中,医师需要搜集患者包括人口健康信息在内的个人信息。根据《网络安全法》,网络运营者搜集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集使用规则、明示收集、使用信息的目的、方式和范围,并经被收集者同意。网络运营者包括网络的所有者、管理者或网络服务的提供者,互联网医院作为网络服务的提供者,在收集患者个人信息时应当符合《网络安全法》的相关规定,明示收集使用信息的目的,并取得患者的同意。

在个人信息的存储和传输过程中,互联网医院应采取技术手段及制定相关的管理制度和操作规程,对患者的个人数据和隐私进行保护。出于对国家安全及社会公共利益的考虑,涉及患者人口健康信息的,互联网医院在我国境内运营中收集和产生的个人信息和重要数据应当在境内存储。因业务需要确需向境外提供的,应当经过安全评估。互联网医院还应当对该等信息实行分类管理,并采取相应的加密、去标识化等安全技术措施等。以避免在收集、存储、处理、提供大量患者的电子病历、健康档案、各类诊疗健康数据信息等个人敏感信息时发生泄露,造成重大危害后果。

《互联网医院管理办法(试行)》《互联网诊疗管理办法(试行)》及各地地方立法均详细规定互联网医院应当严格执行信息安全和医疗数据保密的有关法律法规,妥善保管患者信息,不得非法买卖、泄露患者信息。2021年8月份新出台的《个人信息保护法》也显示了国家对于个人信息的保护和对违规违法活动的整治。

根据《网络安全法》、《个人信息安全规范》及《App违法违规收集使用个人信息行为认定方法》等规定,结合当前个人信息保护监管执法实践,当前互联网医院个人信息保护普遍存在的合规风险包括但不限于:

(1)个人信息搜集过程中,未提供隐私政策、隐私政策未依法取得患者明示同意,隐私政策内容不合规,缺乏用户权益保障条款等;

(2)个人信息存储护理过程中,未将个人信息进行加密安全处理,未采用脱敏后进行存储,未独立于平台其他数据存储于独立的服务器和数据库;

(3)信息展示过程中,未对患者的姓名、手机号、身份证号等个人敏感信息采取去标识化处理;

(4)信息管理和使用过程中,未指定个人信息保护制度并制定安全负责人,未严格采取访问控制措施或建立数据访问审批制度,未对医师、客服、网络维护员等相关人员设置严格的信息访问程序并开展培训,签署保密协议等。

在民事法律责任方面,《民法典》侵权责任编在《侵权责任法》第六十二条的规定的基础上进行了修改,增加了患者个人信息保护方面的规定,从立法层面强化了对于患者隐私和个人信息的保护。此次修改删除了《侵权责任法》第六十二条中“造成患者损失的”的内容,医疗机构及其医务人员泄露患者的隐私和个人信息,或者未经患者同意公开其病历资料的,无论造成损害与否,均应承担法律责任。

从行政处罚角度来看,我国卫生健康领域的第一部基础性、综合性的法律《基本医疗卫生与健康促进法》于2021年6月1日正式生效,其中规定医疗卫生机构、医疗卫生人员应当尊重患者人格尊严,保护患者隐私。[xvi]《基本医疗卫生与健康促进法》101条、102条及105条,对于泄露公民个人健康信息、非法收集、使用、加工、传输公民个人健康信息,非法买卖、提供或者公开公民个人健康信息等行为,明确了行政处罚的法律责任。

在刑事法律责任方面,患者隐私和个人信息因为涉及敏感个人信息,一旦被泄露、公开或买卖,相关责任人不仅要受到相应的行政处罚,情节严重的还会被依法追究刑事责任。《刑法》第253条之一规定了向他人出售或者提供公民个人信息的侵犯公民个人信息罪的加重情节及法律责任;第286条之一规定了网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务的拒不履行信息网络安全管理义务罪的犯罪情节及法律责任;第334条之一规定了非法采集人类遗传资源、走私人类遗传资源材料罪的犯罪情节及加重情形。最高人民法院、最高人民检察院和公安部也出台了一系列关于个人信息犯罪相关的规定及司法解释,例如2018年11月9日,最高人民检察院发布《检察机关办理侵犯公民个人信息案件指引》,其中提到如果行为人系将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的,涉案信息数量、违法所得数额只要达到一般主体的一半,即可认为属于情节严重的情形;2021年6月17日,最高人民法院、最高人民检察院和公安部联合发布《关于办理电信网络诈骗等刑事案件适用法律若干问题的意见(二)》,其中规定“非法获取、出售、提供个人生物识别信息”的行为,将以侵犯公民个人信息罪追究刑事责任。

另外需要补充的是,即将生效的《个人信息保护法》中规定了对于个人信息保护直接负责的主管人员和其他直接责任人员承担民事侵权责任、行政处罚[xvii]以及刑事责任[xviii]的情形。

(五)医疗大数据的归属与保护

医生对患者诊疗和治疗过程中产生的数据,包括患者的基本数据、电子病历、诊疗数据等,成为医疗大数据的主要来源。目前,法学理论界和司法实务界普遍认为,收集、整理和处理数据信息的主体对其收集的数据信息享有合法的权益。在新浪微博诉脉脉案件[xix]中,对于相关数据信息享有合法的权益,受到法律保护,他人不得未经授权和许可擅自使用相关数据信息,否则构成侵犯他人合法权益的行为。北京知识产权法院在判决中明确提出,网络平台提供方可以就他人未经许可,擅自使用其经过用户同意收集并使用的用户信息,主张权利。另外,在(2014)鼓民初字第5432号一案中,原告要求被告江苏省人民医院返还其住院期间产生的15项检查报告原件。一审江苏省南京市鼓楼区人民法院依照《侵权责任法》第六十一条,认为病历资料作为医疗信息的主要载体,法律仅赋予患者病历资料的查阅、复制权;基于病历资料在公共卫生安全、医学研究和教学方面具有重大的社会价值,病历资料的所有权归于医疗机构,因此驳回原告的诉讼请求。后原告提起上诉,二审中,江苏省南京市中级人民法院认为,根据《医疗机构病历管理规定》和《侵权责任法》的规定,医疗机构具有保管病历资料的法定义务,法院认为不存在返还上诉人15项检验报告单的情形,裁定驳回上诉,维持原判[xx]。

目前由于我国法律并未对医疗大数据的权属做出明确的规定,因此做好患者授权手续极为重要。作为收集患者信息的主体,互联网医院在使用患者信息时,需要获得患者明确的授权。第三方需要利用该等信息时,必须获得互联网医院的明示授权。如涉及对个人信息获取范围的扩大或变化,需要超越互联网医院原先获取的患者个人信息范围的,需要再次获得患者的授权。通过这三重授权,才可以确保相关行为的合法性与正当性。[xxi]

结合上述案例并从现行法律框架来看,如果互联网医院或经授权的第三方机构在收集患者信息的基础上,通过云计算等技术将信息转化成医疗大数据,从而使其具有了智力成果或经济价值属性,那么该等数据可以在知识产权等财产性权益的框架下予以保护。[xxii]但由于目前法律并未对医疗大数据的保护机制和路径机制予以明确规定,仍待未来做深入探讨。


注释

[i]参见:《关于印发互联网诊疗管理办法(试行)等3个文件的通知》政策解读,国家中医药管理局。

[ii]数据来源:国家远程医疗与互联网医学中心、健康界《2021中国互联网医院发展报告》。

[iii]参见:德勤《中国互联网医院:数字医疗迈向新阶段(2021)》,网址:https://www2.deloitte.com/cn/zh/pages/life-sciences-and-healthcare/articles/internet-hospitals-in-china-the-new-step-into-digital-healthcare.html,最后访问日期:2021年10月11日。

[iv]同上。

[v]参见:《社会办医互联网医院热火朝天,国家政策利好法律法规保驾护航》,网址:https://www.sohu.com/a/386305327_371584,最后访问日期:2021年10月11日。

[vi]参见:《互联网医院法律问题概述(上)——互联网医院的准入|MHP君悦评论》,网址:https://mp.weixin.qq.com/s/IQKb4zJy-h941B0TL2xm8Q最后访问日期:2021年10月6日。

[vii]参见:《互联网医院准入的法律和实践》,网址:https://www.yinxl.com/area-110000/n-YNI191015100009.html.最后访问日期:2021年10月6日。

[viii]《海南省互联网医院管理办法(试行)》第七条 实体医疗机构与第三方机构合作搭建信息平台,使用在本机构和其他医疗机构注册的医师开展互联网诊疗活动的,应当申请将互联网医院作为第二名称,向其《医疗机构执业许可证》发证机关提出执业登记申请。公立医疗机构与第三方机构合作的,应报主管部门(或举办单位)和财政部门批准。

[ix]参见:《社会办医互联网医院热火朝天,国家政策利好法律法规保驾护航》,网址:https://www.sohu.com/a/386305327_371584,最后访问日期:2021年10月11日。

[x]参见:《云南省互联网医院管理办法(试行)》第五十二条。

[xi]参见:http://health.people.com.cn/n1/2021/0315/c14739-32051988.html.最后访问日期:2021年10月6日。

[xii]参见:《医师多机构备案劳务协议》,网址:https://www.guahao.com/agreement/doctor-multi-mechanism最后访问日期:2021年10月6日。

[xiii]《互联网医院管理办法(试行)》第6条:“省级卫生健康行政部门应当建立省级互联网医疗服务监管平台,与互联网医院信息平台对接,实现实时监管。”

[xiv]国家卫生健康委员会医政医管局副局长焦雅辉曾在2018年9月14日专题新闻发布会明确,“第二名称互联网医院”的执业医师不需要再重新办理多点执业或者执业变更的手续。但我们理解,应指的是若实体医疗机构仅使用本机构注册的执业医师在本机构申请的“第二名称互联网医院”进行“互联网诊疗”,则不需要办理多点执业或执业变更的手续,因为此时实体医疗机构和“第二名称互联网医院”是同一家医疗机构。

[xv]参见:《银川“互联网+医师备案”很便捷》:http://szb.ycen.com.cn/epaper/ycwb/html/2019-10/24/content_89355.htm

[xvi]《中华人民共和国基本医疗卫生与健康促进法》第33条,公民接受医疗卫生服务,应当受到尊重。医疗卫生机构、医疗卫生人员应当关心爱护、平等对待患者,尊重患者人格尊严,保护患者隐私。公民接受医疗卫生服务,应当遵守诊疗制度和医疗卫生服务秩序,尊重医疗卫生人员。

[xvii]《个人信息保护法》第66条:“违反本法规定处理个人信息,或者处理个人信息未履行本法规定的个人信息保护义务的,由履行个人信息保护职责的部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。有前款规定的违法行为,情节严重的,由省级以上履行个人信息保护职责的部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。”

[xviii]《个人信息保护法》第71条:“违反本法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。”

[xix]来源:《大数据时代数据信息权益的法律保护》,作者:薛军。新闻背景:2014年8月,新浪微博运营方发现在脉脉产品内,大量非脉脉用户直接显示有新浪微博用户的头像、名称、职业和教育等信息。在此之前,新浪微博和脉脉一直有合作,用户可以通过新浪微博账号和个人手机号注册登录脉脉,用户注册时要向脉脉上传个人手机通讯录联系人。但在上述事件发生后,双方终止了合作。新浪微博据此向脉脉提起诉讼,认为其非法抓取、使用新浪微博用户信息等。2016年4月,北京市海淀区人民法院一审认定脉脉非法抓取、使用新浪微博用户信息等行为构成不正当竞争。此后,脉脉提起上诉。2016年12月30日,北京知识产权法院作出终审判决,驳回上诉,维持原判。

[xx]参见:(2015)宁民终字第699号民事判决书。

[xxi]来源:《大数据时代数据信息权益的法律保护》,作者:薛军。[xxii]来源:《健康医疗大数据应用中的个人信息安全保护探讨》,作者:王丹丹;姚峥嵘;宋晨晓;严蓓蕾。


编辑:梵高先生
来源:北京植德律师事务所


分享到微博
分享到微信
    分享到领英