作者 | 李家铉律师 来源 | 公司法探
前 言
随着信息化发展,互联网+医疗健康从概念走向现实,许多医疗机构在原有基础上开始建设互联网医院。对于医疗领域属于专家的医疗机构,面对互联网数字化的新技术、新要求往往犯了难,也难以在短时间内招收足够的互联网人才,于是往往需要聘请外部公司进行建设。在建设互联网医院的过程中,医疗机构要特别注意哪些监管要求呢?小编从个人信息保护角度来带你看看。
+ + + + +
图源:摄图网
一、建设互联网医院涉及哪些个人信息处理
互联网医院提供服务必然需要收集、储存、使用、提供患者的重要个人信息,首先需要关注互联网医院服务过程中会涉及哪些信息。
从患者提供的角度,患者可能主动向互联网医院披露的个人信息包括但不限于:个人基本信息、家庭信息、社会保险信息、病史信息、生物信息、账户信息等等。
从医院产生的信息角度,互联网医院可能在服务过程中产生可能涉及个人信息包括但不限于:病历资料、病患问答信息、知情告知及同意文件、诊断方案、检查结果、处方信息等等。
从互联网医院服务供应商也可能产生部分个人信息,例如账户密码、物流信息、购药信息等等。
另一方面互联网医院首诊 处罚,还需要关注服务全流程过程中会涉及哪些主体。随着社会精细化分工,互联网医院服务的参与主体为互联网医院自身加上众多的供应商,甚至还会涉及监管部门。例如:互联网医院平台电子系统的建设、运营、维护供应商;医院内部档案管理、人员管理电子系统的建设、运营、维护供应商;储存服务供应商;信息网络服务提供商;运输服务提供商;第三方药房;卫生主管部门等。
二、关注监管要求
自2018年国务院办公厅发布关于促进“互联网+医疗健康”发展的意见、《互联网诊疗管理办法(试行)》等3个文件后,2022年国家卫健委又发布了《互联网诊疗监管细则(试行)》《医疗卫生机构网络安全管理办法》进一步就建设网络医院涉及的信息安全的监管作出详细规定。
三、个人信息保护方式——“知情同意”和管理制度
做好“知情同意”
根据《中华人民共和国个人信息保护法》规定,除法定许可处理的情形外,处理个人信息前需取得个人的同意;而合法取得个人处理个人信息同意前,还需依法向个人告知监管规定的信息。
个人信息保护法设置的“告知”“同意”使用类似于医疗界的“知情”“同意”程序,类比于诊疗过程中医生向患者告知诊断及诊疗方案,并充分说明可能的益处、不良后果及其他意外情况等,使患者可自主决定是否接受后续的诊疗。
在用户接入互联网医院平台前就应当做到告知义务并取得同意,医院需认真检查告知和同意的内容是否已经完整涵盖。特别需注意的是,告知和同意还必须涵盖供应商、监管部门的内容,即向用户告知各个环节可能会使用的第三方服务及使用政策,可能会被监管部门依法查看的情况,也应当获得用户对第三方服务的同意。
若互联网医院需使用个人信息进行进一步处理,例如分析汇总用于用户画像、个性化推荐、行业分析等等,需明确告知在什么情况下可能会被使用,否则即使去标识化使用仍可能存在涉诉的风险。
建立有效个人信息管理制度
互联网医院应当建立并有效运营个人信息的管理制度,管理制度应当根据互联网医院的运营实际制定具体的操作规程,由于该部分较为复杂难以在文章中完整写清,就简单列举几点:
1、医疗设备招标采购、安装调试、运行使用、维护维修、报废处置等相关网络安全管理制度,定期检查或评估医疗设备网络安全,并采取相应的安全管控措施,确保医疗设备网络安全。
2、 建立数据安全工作责任制,落实追责追究制度。
3、建立健全数据安全管理制度、操作规程及技术规范。
4、建立个人信息安全培训制度,加强数据安全教育培训,组织安全意识教育和数据安全管理制度宣传培训。
5、严格执行网络安全继续教育制度,鼓励管理岗位和技术岗位持证上岗。
6、建立完善网络安全考核评价制度,明确考核指标,组织开展考核。
7、关于诊疗质量的内部制度互联网医院首诊 处罚,例如:互联网诊疗相关的医疗质量和安全管理制度、医疗质量(安全)不良事件报告制度、医务人员培训考核制度、患者知情同意制度、处方管理制度、电子病历管理制度、在线复诊患者风险评估与突发状况预防处置制度、信息系统使用管理制度等。
在实际操作的过程中,仍不断会有新的问题新的监管要求,互联网医院应当不断与法律专家、技术专家、业务部门不断沟通收集存在的问题和可能的风险点并进行改进,密切关注监管部门的最新监管要求与指导。