互联网医院的主要法律合规问题(中)
发布时间:2020-03-10
文 | 黄春林 合伙人 刘月莹 律师 汇业律师事务所
2020年2月底,上海市儿童医院、上海市徐汇区中心医院等先后获批互联网医院牌照,互联网医院落地再下一城。在此之前,为了推动互联网+战略在医疗领域的落地,国家发布了互联网医院设立、运营有关的几个主要法律法规,各地也相继制定了互联网医院设立的地方立法。
汇业律师事务所黄春林律师团队结合近期立法、审批实践及项目经验,简要梳理互联网医院准入资质、技术路径、网络安全、数据合规等有关的主要法律问题如下:
一、互联网医疗≠互联网医院
二、互联网医院的准入资质
三、互联网医院不同技术路径的合规性
(详见上一期内容:《互联网医院的主要法律合规问题(上)》)
四、互联网医院网络系统的网络安全合规
如我们在上一篇中分析,网络系统是互联网医院的核心“基础实施”。因此,网络系统的网络安全合规是互联网医院合规的重中之重,国家及地方层面的互联网医院立法也重点强调了网络系统的详细合规要求。
1.网络系统应当依法取得必要的准入许可及备案
根据《上海市互联网医院管理办法》定规定,互联网医院依法需要办理通信管理、市场监管、网络安全、药品管理等方面行政许可的,在取得相应许可后方可开展互联网诊疗活动。因此,互联网医院的网络系统取得的许可及备案包括但不限于:
(1) 根据《电信条例》、《互联网信息服务管理办法》、《非经营性互联网信息服务备案管理办法》等规定,网站及小程序(不含APP)等用到的域名,应当依法办理ICP备案,并在其网站主页的显著位置标明其备案编号;同时还开展其他增值电信业务(例如经营性电子商务、信息服务、多方通信等),还应当依法取得与其业务相适应的增值电信业务许可。
(2) 根据《计算机信息网络国际联网安全保护管理办法》等规定,网站、APP应当依法办理公安联网备案,并在显著位置标明备案编号。
(3) 同时还从事药品信息、网络食品销售、互联网出版等经营性业务的,还应当依法取得相应的许可及备案。
值得注意的是,如上一篇分析,取得上述许可及备案的主体应当是互联网医院,而不是其他关联关系的主体(包括系统开发方、运维方或兄弟公司等)。
2.网络系统应当依法开展等保三级备案、测评及整改
根据《互联网医院管理办法(试行)》及附件《互联网医院基本标准(试行)》等规定,互联网医院的网络系统应当实施第三级信息安全等级保护。此外,《互联网诊疗管理办法(试行)》也明确规定,医疗机构开展互联网诊疗活动的信息系统实施第三级信息安全等级保护。
汇业黄春林律师介绍,目前,等保2.0有关的几个重要标准文件已经在去年生效。参照《网络安全法》、《网络安全等级保护条例(征求意见稿)》、《GB-T 22239-2019-信息安全技术-网络安全等级保护基本要求》、《医疗机构信息系统安全等级保护基本要求》等要求,互联网医院应当遵守的等保三级的合规控制大项包括十项,其中包括70余个控制点230余个具体要求。总结起来,具体要求包括但不限于:
(1) 确定网络安全管理机构,明确网络安全等级保护的工作职责,对网络变更、网络接入、运维和技术保障单位变更等事项建立逐级审批制度;
(2) 制定并落实网络安全总体规划和整体安全防护策略,制定安全建设方案,并经专业技术人员评审通过;
(3) 对网络安全管理负责人和关键岗位的人员进行安全背景审查,落实持证上岗制度;
(4) 对为其提供网络设计、建设、运维和技术服务的机构和人员进行安全管理;
(5) 落实网络安全态势感知监测预警措施,建设网络安全防护管理平台,对网络运行状态、网络流量、用户行为、网络安全案事件等进行动态监测分析,并与同级公安机关对接;
(6) 落实重要网络设备、通信链路、系统的冗余、备份和恢复措施;
(7) 建立网络安全等级测评制度,定期开展等级测评,并将测评情况及安全整改措施、整改结果向公安机关和有关部门报告;
(8) 网络应当采用密码保护,并使用符合《密码法》规定的密码技术、产品和服务;系统上线前和上线后,每年开展密码应用安全性评估;
(9)法律和行政法规规定的其他网络安全保护义务。
3.应当开展CII合规审查
参照《网络安全法》、《关键信息基础设施安全保护条例(征求意见稿)》、《国家健康医疗大数据标准、安全和服务管理办法(试行)》等规定,鉴于互联网医院属于法律明确规定的卫生医疗行业,同时考虑到其网络系统获取的数据量较大且极为敏感,因此被纳入关键信息基础设施(CII)保护范围的可能性极高。因此,其网络系统的合规要点包括但不限于:
(1) 网络系统运营中收集和产生的个人信息和重要数据应当在境内存储;
(2) 网络系统的运行维护应当在境内实施;
(3) 运营者采购、使用的网络关键设备、网络安全专用产品,应当符合法律、行政法规的规定和相关国家标准的强制性要求;
(4) 制定内部安全管理制度和操作规程,严格身份认证和权限管理;
(5) 采取技术措施,监测、记录网络运行状态、网络安全事件,并按照规定留存相关的网络日志不少于六个月;
(6) 采取数据分类、重要数据备份和加密认证等措施;
(7) 对重要系统和数据库进行容灾备份,及时对系统漏洞等安全风险采取补救措施;
(8) 制定网络安全事件应急预案并定期进行演练;等等
值得警示的是,根据汇业黄春林律师团队的有限调研,目前市面上主流的互联网医院的网络系统的网络安全合规存在极大的法律风险,法律规定的准入许可及备案、等保三级等合规要求形同虚设。
五、互联网医院的个人信息保护合规
互联网医院在提供互联网诊疗及其他服务的过程中,收集、存储、处理、共享、对外提供大量患者的个人信息,尤其涉及电子病历、健康档案等各类诊疗、健康数据信息,属于个人敏感信息,一旦发生数据泄露事件的,将对医院和患者造成巨大损失,严重的可能危害国家安全、国计民生和公共利益。
《互联网医院管理办法(试行)》、《互联网诊疗管理办法(试行)》及各地地方立法均详细规定互联网医院应当严格执行信息安全和医疗数据保密的有关法律法规,妥善保管患者信息,不得非法买卖、泄露患者信息。此外,近年来,国家网信办、公安部、工信部等先后启动了多轮个人信息违规违法专项执法活动。但遗憾的是,根据汇业黄春林律师团队的有限调研,目前市面上主流的互联网医院,在个人信息保护合规方面,存在极大的安全漏洞和合规风险。
参照《网络安全法》、《个人信息安全规范》及《App违法违规收集使用个人信息行为认定方法》等规定,结合当前个人信息保护监管执法实践,汇业黄春林律师团队梳理当前互联网医院个人信息保护普遍存在的合规风险包括但不限于:
汇业黄春林律师团队从有关渠道获悉,医疗健康领域个人信息和数据保护合规,将是今年监管执法的重点领域。为此,我们建议互联网医院应尽快根据《互联网医院管理办法(试行)》、《互联网诊疗管理办法(试行)》、《网络安全法》、《个人信息安全规范》、《App违法违规收集使用个人信息行为认定方法》、《国家健康医疗大数据标准、安全和服务管理办法(试行)》等规定及行业标准,并参照《个人信息告知同意指南(征求意见稿)》、《健康医疗信息安全指南(征求意见稿)》、《药品记录与数据管理规范(征求意见稿)》等立法及标准制定趋势,全面梳理互联网医院的网络渠道(网站、APP、小程序、公众号等)合规性,开展个人信息全生命周期保护合规的专项核查及整改工作。
六、互联网医院的其他法律合规问题
(详见下一期文章)