一、前文回顾
日前,我们在上篇中针对《互联网诊疗监管细则(试行)》(以下简称:细则)部分法规进行解读,包括总体监管原则、监管方式、互联网医院的系列配套管理制度、医师实名认证、信息上传监管平台、责任承担主体等方面。
本篇(下篇)将对《细则》剩余第16-40条,结合过往服务经验进行解析,包括医师多点执业、患者实名制、复诊判断、数据存储期限、禁止AI自动生成处方、互联网医疗服务费、监管平台采集数据类型和方式、网络与数据安全、患者个人信息保护、医疗质量(安全)不良事件报告制度、属地化管辖等方面。
也欢迎各位读者一起交流探讨。
二、《细则》深度解读
《细则》第十六条
医务人员如在主执业机构以外的其他互联网医院开展互联网诊疗活动,应当根据该互联网医院所在地多机构执业相关要求进行执业注册或备案。
【解读】:医师多点执业是医院人才资源以及医疗资源优化的主要矛盾点,也是近几年互联网诊疗发展受限的症结之一。据团队过往服务经验,在第三方合作机构开设互联网医院、跨地区服务的互联网医院、以及独立取得执业许可牌照的互联网医院类型,开展互联网诊疗服务时,绝大部分医师都面临第一执业机构无法顺利完成多点执业备案的场景。但在本次《细则》一如既往强调多点执业注册或备案,是医师开展互联网诊疗的必备前置条件。可见多点执业在互联网诊疗推广中的重要程度和难度。团队结合《互联网医院管理办法》及《细则》作出如下分析:
1.如果是实体医疗机构的执业医师,在该医疗机构搭建的互联网医院开展诊疗活动,不属于本条约束范围对象,无需再次备案或执业注册;
2.如果执业医师是在执业机构外的其他互联网医院,则需要按照当地要求完成注册和备案;
3.依托实体医疗机构独立设置的互联网医院,独立取得《医疗机构执业许可证》,当下并未规定该类情形参照第一类,因此,根据管理办法和第二类情形处理,任何医务人员在该机构开展诊疗活动均应完成注册或备案。
多点执业在哪种情景下需要进行注册,哪种情景下需要备案。是否需要获得第一执业机构(书面)同意或备案?
实践中,这需要结合各地方出台的相关政策操作。如北京、浙江等地,则对第一执业点无要求,上海、安徽则明确要求取得第一执业机构(书面)同意。广东则在2022年3月份发布《广东省卫生健康委、广东省中医药局关于进一步规范医师多点执业备案管理工作的通知》,延续2016年文件要求,提出“医师多点执业应提交多执业机构备案申请,经拟执业机构确认”未提出需要第一执业机构同意。目前来说,本条款落地还需要各地作出积极探索,平衡实体医疗机构与互联网医院人才资源配置问题。包括例如上海地区医师在北京互联网医院进行多点执业,两地监管不一致时,该如何平衡和遵守。各大互联网诊疗平台的业务合规工作,应着重注意本条细则的落地应用。
《细则》第十七条
互联网诊疗实行实名制,患者有义务向医疗机构提供真实的身份证明及基本信息,不得假冒他人就诊。
【解读】:线上诊疗是线下诊疗的延伸和继续,由于线上诊疗具备互联网特性,医患双方无法完成实时见面。甚至在图文咨询中,医师只能通过患者提供的材料和信息予以判断,进行文字沟通。包括六岁以下儿童用药处方时,需要有监护人和医师陪伴。因此基础且真实的个人信息重要性突显出来。“真实的身份证明”容易理解,需要患者提供身份证等材料。基本信息,团队分析,应结合《个保法》关于个人信息收集的合法、正当、最小必要原则,宜在预约环节、就诊环节有不同的要求:
1.预约环节:必要个人信息包括,用户移动手机号码,患者姓名、证件类型及号码、以及必要的病情描述;
2.就诊环节:根据预约的科室、类别不同,提供个人的基础信息,年龄、体重、性别等;其次,在既往史、过敏史或遗传史信息上,填写真实信息及上传相关材料。
互联网医疗和APP软件使用相结合,关于用户的注册、认证、使用、授权就变得尤为重要,信息采集不仅需要符合APP软件的用户注册同意(用户协议、隐私政策),更要符合互联网医疗中关于医疗机构对以上信息的形式审查。在发生有关争议时,医疗机构需要提出证据材料证明,已完成患者的实名认证,用户注册是本人操作、咨询诊疗预约和就诊过程是患者患者本人进行。医疗机构应结合本条规定完善用户协议,注册用户及患者档案建档时,对建档操作人与患者关系进行核实。在图文电话类咨询就诊前,采取包括对患者姓名验证等方式,进行核实。诊疗活动结束后,医疗机构和医师均应注重个人信息和诊疗活动信息收集后的保护。根据《医师法》相关规定,医师应严格遵守个人信息的保密工作,如泄露隐私等行为,行政部门有权视情况警告、罚款甚至吊销证件的行政处罚。互联网医院应做好数据合规收集、存储等工作,做到分级存储、权限访问等数据合规工作要求。
第十八条
《意见稿》第十八条
患者就诊时应当提供具有明确诊断的病历资料,如门诊病历、住院病历、出院小结、诊断证明等,由接诊医师判断是否符合复诊条件,并采集证明患者已经确诊的纸质或电子凭证信息。
《细则》第十八条
患者就诊时应当提供具有明确诊断的病历资料,如门诊病历、住院病历、出院小结、诊断证明等,由接诊医师留存相关资料,并判断是否符合复诊条件。
医疗机构应当明确互联网诊疗的终止条件。当患者病情出现变化、本次就诊经医师判断为首诊或存在其他不适宜互联网诊疗的情况时,接诊医师应当立即终止互联网诊疗活动,并引导患者到实体医疗机构就诊。
【解读】:目前而言,互联网医疗定位是线下医疗的辅助和延伸,“不得首诊、只能复诊”,《细则》基本与《意见稿》一致,均把“复诊”交由医生来判断。不同的是,《细则》将“采集证明患者已经确诊的纸质和电子凭证信息”表述予以删除。
在“复诊”的基础上,是否适合互联网在线诊疗,由接诊医师判断更加科学,合理。因此,简化线上接诊流程和工作,直接由接诊医师查看患者提供的包括病历在内的诊断资料后判断是否符合复诊条件。“首诊”是互联网诊疗的红线,如何客观评定是否符合复诊条件就属于互联网医疗业务合规的首要挑战。是线上线下同一位医师就诊过程才属于复诊?还是半年内,或者三个月内对同一个症状的病情问诊才属于复诊?初诊亦或是复诊的判断,也关乎对一项病症发病次数的统计,也是历年卫健委需要统计的数据信息之一。
团队针对“复诊”判断,查找多地互联网医院管理办法,包括上海、云南出台的征求意见稿以及正式稿件的比对。发现:
上海在2019年出台的《上海市互联网医院管理办法》,提出患者在线上就诊时,需要提供2个月内实体医疗机构诊断的病历资料。
云南省在2021年出台的《云南省互联网医院管理办法》中,将征求意见稿中“需要提供2个月内实体医疗机构诊断的病历资料”删去;第三十条表述调整:“医师应在充分掌握患者既往病史、诊断、处方用药情况和实时顺畅的医患沟通环境下,针对已明确诊断的常见病、慢性病患者提供复诊服务,开具在线处方。”
结合本次《细则》内容,将“患者病情发生变化”、“判断为首诊”与不宜在线上诊疗情形并列,即表明在患者提供前述材料作为基础判断依据后,医师在接诊过程中需要完成该项审查,发现不宜通过互联网诊疗等情形出现时,应及时上报机构。鉴于广东省暂未对“复诊”完成明确定义,但结合前述内容及实操经验,团队建议,“复诊”的判断不宜以时长、是否为同一医院或者同一医生为判断标准,在具体管理办法或评定标准出台之前,应至少参照如下方式判定:
1.针对同一个病症在线下医疗机构已完成初诊;
2.线下医疗机构针对该病症完成电子处方、病历书写等确诊判断的;
3.已形成纸质或电子就诊记录,且本次线上诊断与就诊记录明确属于同样疾病的。
至于在相隔较长时间,“复诊”过程中发现该病症已超过原有确诊情况,是否属于复诊的范围。在《细则》也提出明确要求,互联网医疗机构必须明确线上诊疗的终止条件,且医疗机构应备有该项情况的紧急处理制度(包括依法执业自查制度、信息系统使用管理制度),供医师等相关人员指引,引导患者到实体医疗机构就诊。
第十九条
《意见稿》第十九条
医疗机构开展互联网诊疗过程中所产生的电子病历信息,应当与依托的实体医疗机构电子病历系统共享,由依托的实体医疗机构开展线上线下一体化质控。
互联网诊疗病历记录按照门诊电子病历的有关规定进行管理,诊疗过程中的图文对话、音视频资料等应当全程留痕、可追溯,并向省级监管平台开放数据接口,保存时间不得少于15年。
《细则》第十九条
医疗机构开展互联网诊疗过程中所产生的电子病历信息,应当与依托的实体医疗机构电子病历格式一致、系统共享,由依托的实体医疗机构开展线上线下一体化质控。
互联网诊疗病历记录按照门诊电子病历的有关规定进行管理,保存时间不得少于15年。诊疗中的图文对话、音视频资料等过程记录保存时间不得少于3年。
【解读】:互联网医院均是依托于实体医疗机构开展互联网诊疗活动。根据《电子病历应用管理规范(试行)》、《电子病历系统功能规范(试行)》以及《电子病历系统功能应用水平分级评价方法及标准(试行)》等发文,开展电子病历信息化建设是医疗机构信息化建设工作核心之一。无论从互联网医院监管、业务监管等多个层面,电子病历与依托的实体医疗机构保持一致,信息共享有利于线上线下诊疗活动一体化“同质”的标准形成。
另外《细则》将《意见稿》中,关于图文对话、音视频资料应当全程留痕、可追溯并向省级监管平台开发数据接口要求删除,更改为将该资料保存不得少于3年。团队分析,依照《民法典》第188条,和《电子商务法》第31、53条的规定,商品和服务信息保存时间不得少于3年,且一般侵权或违约行为的诉讼时效为3年,监管部门亦考虑到互联网医院的信息储蓄量、数据储存风险、纠纷解决等方面问题,将该数据保存最低期限调整为3年,更加符合互联网医院实操场景。
《细则》第二十条
互联网医院变更名称时,所保管的病历等数据信息应当由变更后的互联网医院继续保管。
互联网医院注销后,所保管的病历等数据信息由依托的实体医疗机构继续保管。所依托的实体医疗机构注销后,可以由省级卫生健康主管部门或者省级卫生健康主管部门指定的机构按照规定妥善保管。
【解读】:本次《细则》在《意见稿》的基础上,对实践可能发生的医院更名以及注销场景下关于病历储存15年的情形完成了填补。主要是为了强化对患者个人隐私的保护、医疗事件的回溯以及医疗数据保有工作。特别注意的是,在实体医疗机构完成注销后,其包括病历在内的数据信息可以通过卫健委或制定的机构妥善保管,还需要同步完成数据保护影响评估报告以及按照个人信息安全管理制度等妥善处理数据信息。
《细则》第二十一条
医疗机构开展互联网诊疗活动应当严格遵守《处方管理办法》等规定,加强药品管理。处方应由接诊医师本人开具,严禁使用人工智能等自动生成处方。处方药应当凭医师处方销售、调剂和使用。严禁在处方开具前,向患者提供药品。严禁以商业目的进行统方。
【解读1】:严禁AI自动生成处方是新增亮点之一。此前互联网医疗的系列监管文件中对AI使用的限制仅表述在接诊环节(“人工智能软件不得冒用、替代医师本人接诊”(《细则》第十三条))。但被社会广泛热议的AI秒开处方、AI虚假审方、先选药后补方等行为是否属于禁止范围则不够明朗,导致市面上仍有许多互联网诊疗平台、医药电商平台、甚至经营跑腿业务的大型平台仍存在此类现象。


【解读2】:
处方药属于药理作用特殊、治疗较重病症、容易产生较重不良反应的药品,不可随意购买和使用。患者该吃哪类处方药,应是医师根据症状和患者体质决定的,而不应是患者优先选择处方药,医师甚至是AI后补处方。本条明确禁止AI自动生成处方,要求网售处方药必须“处方在前,售药在后”,是真正对患者安全和诊疗质量负责。虽然AI大大提高了诊疗效率,但其始终依赖于数据库完整性和算法准确性,对保障患者安全仍存在一定不确定性。守住AI使用的边界也是为了降低企业因系统问题造成患者重大医疗事故的责任风险。企业应正确看待监管要求并及时进行业务合规调整。细则实施后,平台开方和购药的流程顺序预计将作为监管重点。
【团队建议】:
1.采用AI辅助开方软件的平台应注意,智能处方不得直接推送至患者端,应将智能处方建议传送至医师本人;
2.在处方建议末端设置医师修改框,保障医师本人在智能处方建议上有审核并修改的空间。即使医师完全同意智能处方建议,也应在提交时勾选“已阅读并同意处方建议”。保障处方的决策终端是“真人”而非“智人”。
《细则》第二十二条
医疗机构自行或委托第三方开展药品配送的,相关协议、处方流转信息应当可追溯,并向省级监管平台开放数据接口。
【解读】:互联网医疗平台与第三方药品经营机构合作开展药事服务的,应对其进行资质审核,并通过合作协议条款约定做好有关药事服务的责任划分,建立必要的风险管控。2022年3月22日国家药监局发布的《药品经营质量管理规范—药品零售配送质量管理附录(征求意见稿)》中对药品零售配送环节也提出质控要求,对于通过协议或数据接口为入驻平台的药品零售企业引导或推荐配送服务的药品网络零售第三方服务平台(包括互联网医院平台),平台应当为所入驻的药品零售配送相关单位,按照药品信息化追溯要求,根据需要提供药品配送过程中有关信息数据共享的条件。平台还应当对相关配送企业每年至少开展一次评审,对评审结果不符合要求的配送企业应停止合作。
《细则》第二十三条
互联网诊疗的医疗服务收费项目和收费标准应当在互联网诊疗平台进行公示,方便患者查询。
【解读】:国家医保局在《关于完善“互联网+”医疗服务价格和医保支付政策的指导意见》中,提出了互联网医疗服务的定价原则:“公立医疗机构提供‘互联网+’医疗服务,主要实行政府调节”,即收费标准有上限;非公立医疗机构提供“互联网+”医疗服务,价格实行市场调节。各类非公立互联网医疗企业,通过网络平台、app、公众号等方式依法合规提供“互联网+”医疗服务,价格可由企业/医生自行确定,无需向医保部门报备。但医疗服务收费应以患者知情同意、合法合规为前提,遵循公平、合法和诚实信用的原则。医疗机构有义务以明确清晰的方式公示其通过图文、电话、视频等不同方式诊疗活动的收费项目和价格。避免强制服务、分解服务、以不公平价格提供服务、虚报价格等失信行为。
《细则》第二十五条
医疗机构应当保证互联网诊疗活动全程留痕、可追溯,并向省级监管平台开放数据接口。省级卫生健康主管部门应当按照“最少可用原则”采集医疗机构的相关数据,重点包括医疗机构资质、医务人员资质、诊疗科目、诊疗病种、电子病历、电子处方、用药情况、满意度评价、患者投诉、医疗质量(安全)不良事件等信息,对互联网诊疗整体情况进行分析,定期向各医疗机构及其登记机关反馈问题,并明确整改期限,医疗机构在收到省级卫生健康主管部门问题反馈后应当及时整改,并将整改情况上传至省级监管平台,同时报其登记机关。
鼓励有条件的省份在省级监管平台中设定互联网诊疗合理性判定规则,运用人工智能、大数据等新兴技术实施分析和监管。
【解读1】:虽然《细则》第四条中将原本《意见稿》中“实时监管”中的“实时”删去,但本条中还是要求互联网医院向省级监管平台开放数据接口,是否意味着仍会实时监测?根据我们在解读文章“上篇”中的分析,目前实时监测客观上较难实现。本条要求开放数据接口,应该还是以开放调取权限为主,保障监管部门的抽查和监督管理权,确保互联网诊疗过程和信息可查询、可追溯。卫健主管部门重点采集的数据可概括为三大类,机构和人员资质信息、电子诊断记录信息、涉及患者权利的信息。

【解读2】:
其中,《细则》正式稿将“患者安全不良事件”改为“医疗质量(安全)不良事件”,扩大了不良事件的内涵和外延。根据《医疗质量管理办法》,“医疗质量”指在现有医疗技术水平及能力、条件下,医疗机构及其医务人员在临床诊断及治疗过程中,按照职业道德及诊疗规范要求,给予患者医疗照顾的程度,而不仅限于“患者安全”。
【解读3】:
关于鼓励通过人工智能在省级监管平台中设定互联网诊疗合理性判定规则。我们认为,目前通过行政监管对医师的具体诊疗行为作出合理性判定具有极大难度,毕竟医疗事故认定需要经过严格的司法鉴定和举证程序。该合理性判定未来将主要针对人员资质、开方购药流程、患者投诉率等,通过功能界面展示和上传的数据监测和统计等方式,做系统自动甄别和预警,用智能化手段提高监管和执法效率。例如,广东曾在2019年时公布对互联网医疗监管平台中上传的数据,分解为43个监管指标,通过指标分析监测,基本判断互联网医疗行为是否符合规范、医疗质量是否达到要求。
《细则》
第二十七条 医疗机构应建立网络安全、数据安全、个人信息保护、隐私保护等制度,并与相关合作方签订协议,明确各方权责关系。
第二十八条 医疗机构发生患者个人信息、医疗数据泄露等网络安全事件时,应当及时向相关主管部门报告,并采取有效应对措施。
第二十九条 医疗机构应当对互联网诊疗活动的质量安全进行控制,并设置患者投诉处理的信息反馈渠道。
【解读】:这三条是对《网络安全法》、《数据安全法》、《个人信息保护法》中关于网络安全、数据合规、个人信息主体权利保护的要求从医疗机构角度予以回应。
关于数据安全和隐私保护,一些地方已出台相关政策。例如,宁夏于2021年11月1日开始施行《互联网医院不良执业行为积分管理办法》,根据互联网医院不良执业行为的种类和情节,分5个档次记分,作为对互联网医院进行年度校验的依据。规定互联网医院若出现“未妥善保管患者信息,非法买卖、泄露患者信息的”、“发现患者信息和医疗数据泄露时,未立即采取有效应对措施或未及时向主管的卫生健康和大数据管理服务行政部门报告的”、“未按照第三级信息安全等级保护有关要求做好数据加密和通讯保护措施”等数据合规问题,将被一次性记12分(最高一档)。
【团队建议】:
第一,制度层面。除了我们在上篇中提到的一系列互联网医院管理制度外,应搭建内部数据合规体系,建立个人信息保护管理制度、第三方(如SDK)接入记录管理制度、数据安全合规风险事件报告和应急管理制度等,并定期对员工进行制度培训。第二,技术层面。完成三级等保是基础;此外要对用户数据分类分级进行去标识化和必要时的匿名化处理;对敏感个人信息尤其是涉生物识别和人类遗传资源信息单独并加密存储;对不同员工进入数据后台系统实施身份鉴别、访问权限控制等。第三,功能层面。根据个人信息保护规定,需提供在线便捷操作方式及时响应个人信息更正、删除、用户投诉请求,需人工处理的,应在承诺时限内(以15个工作日为限)完成核查和处理。
《细则》第三十条 医疗机构应当建立医疗质量(安全)不良事件报告制度,指定专门部门负责医疗质量(安全)不良事件报告的收集、分析和总结工作,鼓励医务人员积极报告不良事件。
【解读】:本条延续了《医疗质量管理办法》中医疗安全风险报告机制,这也是国家对互联网医疗机构质量管控需与线下一致,即“线上线下质控一体化”原则的又一体现。我们结合《医疗质量安全事件报告暂行规定》整理了医疗质量安全事件报告要求:

医疗机构通过以下途径获知可能为医疗质量安全事件时,应当按照规定,向核发其《医疗机构执业许可证》的卫生行政部门系统进行网络直报:(一)日常管理中发现医疗质量安全事件的;(二)患者以医疗损害为由直接向法院起诉的;(三)患者申请医疗事故技术鉴定或者其他法定鉴定的;(四)患者以医疗损害为由申请人民调解或其他第三方调解的;(五)患者投诉医疗损害或其他提示存在医疗质量安全事件的情况。对瞒报、漏报、谎报、缓报医疗质量安全事件信息或对医疗质量安全事件处置不力,造成严重后果的医疗机构,各级卫生行政部门将依法处理相关责任人,并予以通报。
《细则》第三十一条
医疗机构应当加强互联网诊疗信息发布的内容管理,确保信息合法合规、真实有效。
【解读】:对于“诊疗信息发布”尚未有明确的上位法或相关指引界定其内涵与外延,因此,以互联网医院为主体发布或在互联网诊疗平台上发布的信息均可能算作“诊疗信息发布的内容”。
【团队建议】:
1.互联网医疗机构,通过互联网载体,在网页、APP、小程序或依托其他工具途径发布的文案资料,须合法合规、真实有效,不得存在虚假或夸大宣传、隐瞒信息、避重就轻的行为,如实披露法律法规要求披露的事项,如执业人员资质、药物信息等。
2.互联网医疗机构向患者发布的信息(含患者本人沟通/诊疗而产生的信息),与上报监管平台的患者询价过程、诊疗过程(图文、音视频资料等),须具备一致性。
《细则》第三十四条
取得《医疗机构执业许可证》并独立设置的互联网医院,依法承担法律责任;实体医疗机构以互联网医院作为第二名称时,实体医疗机构依法承担法律责任。互联网医院合作各方按照合作协议书依法依规承担相应法律责任。
【解读】:本条延续《互联网医院管理办法》的监管要求。对外,由获得医疗执业许可资质的主体承担对应法律责任,包括独立注册登记而成立的互联网医院或所依托的实体医疗机构。对内,则由互联网医院合作方按照协议约定承担各自法律责任。此外,互联网医院应注重如药品配送协议、信息数据委托处理协议等与第三方合作的协议中关于合作方的权责约定事项。由互联网医疗机构责任主体对外承担完毕责任后,可循合作协议再作内部追偿。
《细则》第三十八条
国家通过信息系统对全国互联网诊疗相关数据进行监测分析。
【解读】:一方面,该条回应了要求互联网医疗机构对诊疗全过程留痕,开放数据接口和权限,供省级监管平台监督和采集数据的要求;另一方面,在《十四五规划》中,国家提出建设医疗重大基础平台及医疗专属云建设,推动各级医疗卫生机构信息系统数据共享,必要时国家卫建部门可采集并调取相应的数据资料。
《细则》第三十九条
省级卫生健康主管部门应当根据本细则并结合当地实际情况,制定实施办法。
【解读】:《细则》为全国的互联网医疗机构明确了经营监管要求和从业者的执业规范。同时,考虑到各地区发展速度不均衡,《细则》在划定底线和红线的同时,也给予了各省一定的自由度,可结合自身的实际情况来进一步制定落地实施方案,体现了属地化管理原则。例如,多点执业注册备案、判断复诊期限等问题上,《细则》没有细化具体要求和实施步骤,医疗机构需持续关注所在地卫健部门进一步的政策文件。我们也将持续解读各地的相关政策,敬请关注。
日前,我们在上篇中针对《互联网诊疗监管细则(试行)》(以下简称:细则)部分法规进行解读,包括总体监管原则、监管方式、互联网医院的系列配套管理制度、医师实名认证、信息上传监管平台、责任承担主体等方面。
本篇(下篇)将对《细则》剩余第16-40条,结合过往服务经验进行解析,包括医师多点执业、患者实名制、复诊判断、数据存储期限、禁止AI自动生成处方、互联网医疗服务费、监管平台采集数据类型和方式、网络与数据安全、患者个人信息保护、医疗质量(安全)不良事件报告制度、属地化管辖等方面。
也欢迎各位读者一起交流探讨。
二、《细则》深度解读
《细则》第十六条
医务人员如在主执业机构以外的其他互联网医院开展互联网诊疗活动,应当根据该互联网医院所在地多机构执业相关要求进行执业注册或备案。
【解读】:医师多点执业是医院人才资源以及医疗资源优化的主要矛盾点,也是近几年互联网诊疗发展受限的症结之一。据团队过往服务经验,在第三方合作机构开设互联网医院、跨地区服务的互联网医院、以及独立取得执业许可牌照的互联网医院类型,开展互联网诊疗服务时,绝大部分医师都面临第一执业机构无法顺利完成多点执业备案的场景。但在本次《细则》一如既往强调多点执业注册或备案,是医师开展互联网诊疗的必备前置条件。可见多点执业在互联网诊疗推广中的重要程度和难度。团队结合《互联网医院管理办法》及《细则》作出如下分析:
1.如果是实体医疗机构的执业医师,在该医疗机构搭建的互联网医院开展诊疗活动,不属于本条约束范围对象,无需再次备案或执业注册;
2.如果执业医师是在执业机构外的其他互联网医院,则需要按照当地要求完成注册和备案;
3.依托实体医疗机构独立设置的互联网医院,独立取得《医疗机构执业许可证》,当下并未规定该类情形参照第一类,因此,根据管理办法和第二类情形处理,任何医务人员在该机构开展诊疗活动均应完成注册或备案。
多点执业在哪种情景下需要进行注册,哪种情景下需要备案。是否需要获得第一执业机构(书面)同意或备案?
实践中,这需要结合各地方出台的相关政策操作。如北京、浙江等地,则对第一执业点无要求,上海、安徽则明确要求取得第一执业机构(书面)同意。广东则在2022年3月份发布《广东省卫生健康委、广东省中医药局关于进一步规范医师多点执业备案管理工作的通知》,延续2016年文件要求,提出“医师多点执业应提交多执业机构备案申请,经拟执业机构确认”未提出需要第一执业机构同意。目前来说,本条款落地还需要各地作出积极探索,平衡实体医疗机构与互联网医院人才资源配置问题。包括例如上海地区医师在北京互联网医院进行多点执业,两地监管不一致时,该如何平衡和遵守。各大互联网诊疗平台的业务合规工作,应着重注意本条细则的落地应用。
《细则》第十七条
互联网诊疗实行实名制,患者有义务向医疗机构提供真实的身份证明及基本信息,不得假冒他人就诊。
【解读】:线上诊疗是线下诊疗的延伸和继续,由于线上诊疗具备互联网特性,医患双方无法完成实时见面。甚至在图文咨询中,医师只能通过患者提供的材料和信息予以判断,进行文字沟通。包括六岁以下儿童用药处方时,需要有监护人和医师陪伴。因此基础且真实的个人信息重要性突显出来。“真实的身份证明”容易理解,需要患者提供身份证等材料。基本信息,团队分析,应结合《个保法》关于个人信息收集的合法、正当、最小必要原则,宜在预约环节、就诊环节有不同的要求:
1.预约环节:必要个人信息包括,用户移动手机号码,患者姓名、证件类型及号码、以及必要的病情描述;
2.就诊环节:根据预约的科室、类别不同,提供个人的基础信息,年龄、体重、性别等;其次,在既往史、过敏史或遗传史信息上,填写真实信息及上传相关材料。
互联网医疗和APP软件使用相结合,关于用户的注册、认证、使用、授权就变得尤为重要,信息采集不仅需要符合APP软件的用户注册同意(用户协议、隐私政策),更要符合互联网医疗中关于医疗机构对以上信息的形式审查。在发生有关争议时,医疗机构需要提出证据材料证明,已完成患者的实名认证,用户注册是本人操作、咨询诊疗预约和就诊过程是患者患者本人进行。医疗机构应结合本条规定完善用户协议,注册用户及患者档案建档时,对建档操作人与患者关系进行核实。在图文电话类咨询就诊前,采取包括对患者姓名验证等方式,进行核实。诊疗活动结束后,医疗机构和医师均应注重个人信息和诊疗活动信息收集后的保护。根据《医师法》相关规定,医师应严格遵守个人信息的保密工作,如泄露隐私等行为,行政部门有权视情况警告、罚款甚至吊销证件的行政处罚。互联网医院应做好数据合规收集、存储等工作,做到分级存储、权限访问等数据合规工作要求。
第十八条
《意见稿》第十八条
患者就诊时应当提供具有明确诊断的病历资料,如门诊病历、住院病历、出院小结、诊断证明等,由接诊医师判断是否符合复诊条件,并采集证明患者已经确诊的纸质或电子凭证信息。
《细则》第十八条
患者就诊时应当提供具有明确诊断的病历资料,如门诊病历、住院病历、出院小结、诊断证明等,由接诊医师留存相关资料,并判断是否符合复诊条件。
医疗机构应当明确互联网诊疗的终止条件。当患者病情出现变化、本次就诊经医师判断为首诊或存在其他不适宜互联网诊疗的情况时,接诊医师应当立即终止互联网诊疗活动,并引导患者到实体医疗机构就诊。
【解读】:目前而言,互联网医疗定位是线下医疗的辅助和延伸,“不得首诊、只能复诊”,《细则》基本与《意见稿》一致,均把“复诊”交由医生来判断。不同的是,《细则》将“采集证明患者已经确诊的纸质和电子凭证信息”表述予以删除。
在“复诊”的基础上,是否适合互联网在线诊疗,由接诊医师判断更加科学,合理。因此,简化线上接诊流程和工作,直接由接诊医师查看患者提供的包括病历在内的诊断资料后判断是否符合复诊条件。“首诊”是互联网诊疗的红线,如何客观评定是否符合复诊条件就属于互联网医疗业务合规的首要挑战。是线上线下同一位医师就诊过程才属于复诊?还是半年内,或者三个月内对同一个症状的病情问诊才属于复诊?初诊亦或是复诊的判断,也关乎对一项病症发病次数的统计,也是历年卫健委需要统计的数据信息之一。
团队针对“复诊”判断,查找多地互联网医院管理办法,包括上海、云南出台的征求意见稿以及正式稿件的比对。发现:
上海在2019年出台的《上海市互联网医院管理办法》,提出患者在线上就诊时,需要提供2个月内实体医疗机构诊断的病历资料。
云南省在2021年出台的《云南省互联网医院管理办法》中,将征求意见稿中“需要提供2个月内实体医疗机构诊断的病历资料”删去;第三十条表述调整:“医师应在充分掌握患者既往病史、诊断、处方用药情况和实时顺畅的医患沟通环境下,针对已明确诊断的常见病、慢性病患者提供复诊服务,开具在线处方。”
结合本次《细则》内容,将“患者病情发生变化”、“判断为首诊”与不宜在线上诊疗情形并列,即表明在患者提供前述材料作为基础判断依据后,医师在接诊过程中需要完成该项审查,发现不宜通过互联网诊疗等情形出现时,应及时上报机构。鉴于广东省暂未对“复诊”完成明确定义,但结合前述内容及实操经验,团队建议,“复诊”的判断不宜以时长、是否为同一医院或者同一医生为判断标准,在具体管理办法或评定标准出台之前,应至少参照如下方式判定:
1.针对同一个病症在线下医疗机构已完成初诊;
2.线下医疗机构针对该病症完成电子处方、病历书写等确诊判断的;
3.已形成纸质或电子就诊记录,且本次线上诊断与就诊记录明确属于同样疾病的。
至于在相隔较长时间,“复诊”过程中发现该病症已超过原有确诊情况,是否属于复诊的范围。在《细则》也提出明确要求,互联网医疗机构必须明确线上诊疗的终止条件,且医疗机构应备有该项情况的紧急处理制度(包括依法执业自查制度、信息系统使用管理制度),供医师等相关人员指引,引导患者到实体医疗机构就诊。
第十九条
《意见稿》第十九条
医疗机构开展互联网诊疗过程中所产生的电子病历信息,应当与依托的实体医疗机构电子病历系统共享,由依托的实体医疗机构开展线上线下一体化质控。
互联网诊疗病历记录按照门诊电子病历的有关规定进行管理,诊疗过程中的图文对话、音视频资料等应当全程留痕、可追溯,并向省级监管平台开放数据接口,保存时间不得少于15年。
《细则》第十九条
医疗机构开展互联网诊疗过程中所产生的电子病历信息,应当与依托的实体医疗机构电子病历格式一致、系统共享,由依托的实体医疗机构开展线上线下一体化质控。
互联网诊疗病历记录按照门诊电子病历的有关规定进行管理,保存时间不得少于15年。诊疗中的图文对话、音视频资料等过程记录保存时间不得少于3年。
【解读】:互联网医院均是依托于实体医疗机构开展互联网诊疗活动。根据《电子病历应用管理规范(试行)》、《电子病历系统功能规范(试行)》以及《电子病历系统功能应用水平分级评价方法及标准(试行)》等发文,开展电子病历信息化建设是医疗机构信息化建设工作核心之一。无论从互联网医院监管、业务监管等多个层面,电子病历与依托的实体医疗机构保持一致,信息共享有利于线上线下诊疗活动一体化“同质”的标准形成。
另外《细则》将《意见稿》中,关于图文对话、音视频资料应当全程留痕、可追溯并向省级监管平台开发数据接口要求删除,更改为将该资料保存不得少于3年。团队分析,依照《民法典》第188条,和《电子商务法》第31、53条的规定,商品和服务信息保存时间不得少于3年,且一般侵权或违约行为的诉讼时效为3年,监管部门亦考虑到互联网医院的信息储蓄量、数据储存风险、纠纷解决等方面问题,将该数据保存最低期限调整为3年,更加符合互联网医院实操场景。
《细则》第二十条
互联网医院变更名称时,所保管的病历等数据信息应当由变更后的互联网医院继续保管。
互联网医院注销后,所保管的病历等数据信息由依托的实体医疗机构继续保管。所依托的实体医疗机构注销后,可以由省级卫生健康主管部门或者省级卫生健康主管部门指定的机构按照规定妥善保管。
【解读】:本次《细则》在《意见稿》的基础上,对实践可能发生的医院更名以及注销场景下关于病历储存15年的情形完成了填补。主要是为了强化对患者个人隐私的保护、医疗事件的回溯以及医疗数据保有工作。特别注意的是,在实体医疗机构完成注销后,其包括病历在内的数据信息可以通过卫健委或制定的机构妥善保管,还需要同步完成数据保护影响评估报告以及按照个人信息安全管理制度等妥善处理数据信息。
《细则》第二十一条
医疗机构开展互联网诊疗活动应当严格遵守《处方管理办法》等规定,加强药品管理。处方应由接诊医师本人开具,严禁使用人工智能等自动生成处方。处方药应当凭医师处方销售、调剂和使用。严禁在处方开具前,向患者提供药品。严禁以商业目的进行统方。
【解读1】:严禁AI自动生成处方是新增亮点之一。此前互联网医疗的系列监管文件中对AI使用的限制仅表述在接诊环节(“人工智能软件不得冒用、替代医师本人接诊”(《细则》第十三条))。但被社会广泛热议的AI秒开处方、AI虚假审方、先选药后补方等行为是否属于禁止范围则不够明朗,导致市面上仍有许多互联网诊疗平台、医药电商平台、甚至经营跑腿业务的大型平台仍存在此类现象。


【解读2】:
处方药属于药理作用特殊、治疗较重病症、容易产生较重不良反应的药品,不可随意购买和使用。患者该吃哪类处方药,应是医师根据症状和患者体质决定的,而不应是患者优先选择处方药,医师甚至是AI后补处方。本条明确禁止AI自动生成处方,要求网售处方药必须“处方在前,售药在后”,是真正对患者安全和诊疗质量负责。虽然AI大大提高了诊疗效率,但其始终依赖于数据库完整性和算法准确性,对保障患者安全仍存在一定不确定性。守住AI使用的边界也是为了降低企业因系统问题造成患者重大医疗事故的责任风险。企业应正确看待监管要求并及时进行业务合规调整。细则实施后,平台开方和购药的流程顺序预计将作为监管重点。
【团队建议】:
1.采用AI辅助开方软件的平台应注意,智能处方不得直接推送至患者端,应将智能处方建议传送至医师本人;
2.在处方建议末端设置医师修改框,保障医师本人在智能处方建议上有审核并修改的空间。即使医师完全同意智能处方建议,也应在提交时勾选“已阅读并同意处方建议”。保障处方的决策终端是“真人”而非“智人”。
《细则》第二十二条
医疗机构自行或委托第三方开展药品配送的,相关协议、处方流转信息应当可追溯,并向省级监管平台开放数据接口。
【解读】:互联网医疗平台与第三方药品经营机构合作开展药事服务的,应对其进行资质审核,并通过合作协议条款约定做好有关药事服务的责任划分,建立必要的风险管控。2022年3月22日国家药监局发布的《药品经营质量管理规范—药品零售配送质量管理附录(征求意见稿)》中对药品零售配送环节也提出质控要求,对于通过协议或数据接口为入驻平台的药品零售企业引导或推荐配送服务的药品网络零售第三方服务平台(包括互联网医院平台),平台应当为所入驻的药品零售配送相关单位,按照药品信息化追溯要求,根据需要提供药品配送过程中有关信息数据共享的条件。平台还应当对相关配送企业每年至少开展一次评审,对评审结果不符合要求的配送企业应停止合作。
《细则》第二十三条
互联网诊疗的医疗服务收费项目和收费标准应当在互联网诊疗平台进行公示,方便患者查询。
【解读】:国家医保局在《关于完善“互联网+”医疗服务价格和医保支付政策的指导意见》中,提出了互联网医疗服务的定价原则:“公立医疗机构提供‘互联网+’医疗服务,主要实行政府调节”,即收费标准有上限;非公立医疗机构提供“互联网+”医疗服务,价格实行市场调节。各类非公立互联网医疗企业,通过网络平台、app、公众号等方式依法合规提供“互联网+”医疗服务,价格可由企业/医生自行确定,无需向医保部门报备。但医疗服务收费应以患者知情同意、合法合规为前提,遵循公平、合法和诚实信用的原则。医疗机构有义务以明确清晰的方式公示其通过图文、电话、视频等不同方式诊疗活动的收费项目和价格。避免强制服务、分解服务、以不公平价格提供服务、虚报价格等失信行为。
《细则》第二十五条
医疗机构应当保证互联网诊疗活动全程留痕、可追溯,并向省级监管平台开放数据接口。省级卫生健康主管部门应当按照“最少可用原则”采集医疗机构的相关数据,重点包括医疗机构资质、医务人员资质、诊疗科目、诊疗病种、电子病历、电子处方、用药情况、满意度评价、患者投诉、医疗质量(安全)不良事件等信息,对互联网诊疗整体情况进行分析,定期向各医疗机构及其登记机关反馈问题,并明确整改期限,医疗机构在收到省级卫生健康主管部门问题反馈后应当及时整改,并将整改情况上传至省级监管平台,同时报其登记机关。
鼓励有条件的省份在省级监管平台中设定互联网诊疗合理性判定规则,运用人工智能、大数据等新兴技术实施分析和监管。
【解读1】:虽然《细则》第四条中将原本《意见稿》中“实时监管”中的“实时”删去,但本条中还是要求互联网医院向省级监管平台开放数据接口,是否意味着仍会实时监测?根据我们在解读文章“上篇”中的分析,目前实时监测客观上较难实现。本条要求开放数据接口,应该还是以开放调取权限为主,保障监管部门的抽查和监督管理权,确保互联网诊疗过程和信息可查询、可追溯。卫健主管部门重点采集的数据可概括为三大类,机构和人员资质信息、电子诊断记录信息、涉及患者权利的信息。

【解读2】:
其中,《细则》正式稿将“患者安全不良事件”改为“医疗质量(安全)不良事件”,扩大了不良事件的内涵和外延。根据《医疗质量管理办法》,“医疗质量”指在现有医疗技术水平及能力、条件下,医疗机构及其医务人员在临床诊断及治疗过程中,按照职业道德及诊疗规范要求,给予患者医疗照顾的程度,而不仅限于“患者安全”。
【解读3】:
关于鼓励通过人工智能在省级监管平台中设定互联网诊疗合理性判定规则。我们认为,目前通过行政监管对医师的具体诊疗行为作出合理性判定具有极大难度,毕竟医疗事故认定需要经过严格的司法鉴定和举证程序。该合理性判定未来将主要针对人员资质、开方购药流程、患者投诉率等,通过功能界面展示和上传的数据监测和统计等方式,做系统自动甄别和预警,用智能化手段提高监管和执法效率。例如,广东曾在2019年时公布对互联网医疗监管平台中上传的数据,分解为43个监管指标,通过指标分析监测,基本判断互联网医疗行为是否符合规范、医疗质量是否达到要求。
《细则》
第二十七条 医疗机构应建立网络安全、数据安全、个人信息保护、隐私保护等制度,并与相关合作方签订协议,明确各方权责关系。
第二十八条 医疗机构发生患者个人信息、医疗数据泄露等网络安全事件时,应当及时向相关主管部门报告,并采取有效应对措施。
第二十九条 医疗机构应当对互联网诊疗活动的质量安全进行控制,并设置患者投诉处理的信息反馈渠道。
【解读】:这三条是对《网络安全法》、《数据安全法》、《个人信息保护法》中关于网络安全、数据合规、个人信息主体权利保护的要求从医疗机构角度予以回应。
关于数据安全和隐私保护,一些地方已出台相关政策。例如,宁夏于2021年11月1日开始施行《互联网医院不良执业行为积分管理办法》,根据互联网医院不良执业行为的种类和情节,分5个档次记分,作为对互联网医院进行年度校验的依据。规定互联网医院若出现“未妥善保管患者信息,非法买卖、泄露患者信息的”、“发现患者信息和医疗数据泄露时,未立即采取有效应对措施或未及时向主管的卫生健康和大数据管理服务行政部门报告的”、“未按照第三级信息安全等级保护有关要求做好数据加密和通讯保护措施”等数据合规问题,将被一次性记12分(最高一档)。
【团队建议】:
第一,制度层面。除了我们在上篇中提到的一系列互联网医院管理制度外,应搭建内部数据合规体系,建立个人信息保护管理制度、第三方(如SDK)接入记录管理制度、数据安全合规风险事件报告和应急管理制度等,并定期对员工进行制度培训。第二,技术层面。完成三级等保是基础;此外要对用户数据分类分级进行去标识化和必要时的匿名化处理;对敏感个人信息尤其是涉生物识别和人类遗传资源信息单独并加密存储;对不同员工进入数据后台系统实施身份鉴别、访问权限控制等。第三,功能层面。根据个人信息保护规定,需提供在线便捷操作方式及时响应个人信息更正、删除、用户投诉请求,需人工处理的,应在承诺时限内(以15个工作日为限)完成核查和处理。
《细则》第三十条 医疗机构应当建立医疗质量(安全)不良事件报告制度,指定专门部门负责医疗质量(安全)不良事件报告的收集、分析和总结工作,鼓励医务人员积极报告不良事件。
【解读】:本条延续了《医疗质量管理办法》中医疗安全风险报告机制,这也是国家对互联网医疗机构质量管控需与线下一致,即“线上线下质控一体化”原则的又一体现。我们结合《医疗质量安全事件报告暂行规定》整理了医疗质量安全事件报告要求:

医疗机构通过以下途径获知可能为医疗质量安全事件时,应当按照规定,向核发其《医疗机构执业许可证》的卫生行政部门系统进行网络直报:(一)日常管理中发现医疗质量安全事件的;(二)患者以医疗损害为由直接向法院起诉的;(三)患者申请医疗事故技术鉴定或者其他法定鉴定的;(四)患者以医疗损害为由申请人民调解或其他第三方调解的;(五)患者投诉医疗损害或其他提示存在医疗质量安全事件的情况。对瞒报、漏报、谎报、缓报医疗质量安全事件信息或对医疗质量安全事件处置不力,造成严重后果的医疗机构,各级卫生行政部门将依法处理相关责任人,并予以通报。
《细则》第三十一条
医疗机构应当加强互联网诊疗信息发布的内容管理,确保信息合法合规、真实有效。
【解读】:对于“诊疗信息发布”尚未有明确的上位法或相关指引界定其内涵与外延,因此,以互联网医院为主体发布或在互联网诊疗平台上发布的信息均可能算作“诊疗信息发布的内容”。
【团队建议】:
1.互联网医疗机构,通过互联网载体,在网页、APP、小程序或依托其他工具途径发布的文案资料,须合法合规、真实有效,不得存在虚假或夸大宣传、隐瞒信息、避重就轻的行为,如实披露法律法规要求披露的事项,如执业人员资质、药物信息等。
2.互联网医疗机构向患者发布的信息(含患者本人沟通/诊疗而产生的信息),与上报监管平台的患者询价过程、诊疗过程(图文、音视频资料等),须具备一致性。
《细则》第三十四条
取得《医疗机构执业许可证》并独立设置的互联网医院,依法承担法律责任;实体医疗机构以互联网医院作为第二名称时,实体医疗机构依法承担法律责任。互联网医院合作各方按照合作协议书依法依规承担相应法律责任。
【解读】:本条延续《互联网医院管理办法》的监管要求。对外,由获得医疗执业许可资质的主体承担对应法律责任,包括独立注册登记而成立的互联网医院或所依托的实体医疗机构。对内,则由互联网医院合作方按照协议约定承担各自法律责任。此外,互联网医院应注重如药品配送协议、信息数据委托处理协议等与第三方合作的协议中关于合作方的权责约定事项。由互联网医疗机构责任主体对外承担完毕责任后,可循合作协议再作内部追偿。
《细则》第三十八条
国家通过信息系统对全国互联网诊疗相关数据进行监测分析。
【解读】:一方面,该条回应了要求互联网医疗机构对诊疗全过程留痕,开放数据接口和权限,供省级监管平台监督和采集数据的要求;另一方面,在《十四五规划》中,国家提出建设医疗重大基础平台及医疗专属云建设,推动各级医疗卫生机构信息系统数据共享,必要时国家卫建部门可采集并调取相应的数据资料。
《细则》第三十九条
省级卫生健康主管部门应当根据本细则并结合当地实际情况,制定实施办法。
【解读】:《细则》为全国的互联网医疗机构明确了经营监管要求和从业者的执业规范。同时,考虑到各地区发展速度不均衡,《细则》在划定底线和红线的同时,也给予了各省一定的自由度,可结合自身的实际情况来进一步制定落地实施方案,体现了属地化管理原则。例如,多点执业注册备案、判断复诊期限等问题上,《细则》没有细化具体要求和实施步骤,医疗机构需持续关注所在地卫健部门进一步的政策文件。我们也将持续解读各地的相关政策,敬请关注。
