药企、医疗器械与互联网医院合规

之前给一家药企做过一个项目，做项目过程中一些信息：药企、医疗器械、互联网医院等有点疑惑。这几种类型的企业在合规方面遵守的严苛程度不尽相同，下面就来了解补充下。

目前大型药企会选择跨界互联网医院的路子，医药、医疗器械都是通过医生销售出去的，非处方可自己购买，但处方药需要医生开。随着互联网的发展，在各个环节，互联网有了一定程度的参与：互联网处方、医院的各种系统，电子病例。于是，有了互联网医院，提供在线咨询、智能问药、药品快递到家等功能。

各行业都有遵守的法律法规，医药行业等更甚，毕竟病人信息都是很敏感的。

以下简单列出一些相关的法律法规：

• 网络安全法
• 电子商务法（网络销售医疗器械的个人信息保护）
• 全国医院信息化建设标准与规范（试行）
• 医药行业合规管理规范
• 药品经营质量管理规范
• 药品经营许可证管理办法
• 信息安全技术 健康医疗数据安全指南
• 国家健康医疗大数据标准、安全和服务管理办法（试行）
• 人口健康信息管理办法（试行）
• 人类遗传资源管理条例
• 生物安全法
• 移动医疗器械注册技术审查指导原则
• 远程医疗服务管理规范（试行）
• 医疗机构病例管理规定
• 电子病历应用管理规范（试行）
• 互联网医院管理办法（试行）
• 互联网诊疗管理办法（试行）
• 互联网信息服务管理办法
• 互联网药品信息服务管理办法
• 医疗器械监督管理条例
• 医疗器械网络销售监督管理办法
• 医疗器械生产监督管理办法
• 医疗器械经营监督管理办法
• 医疗器械经营质量管理规范
• 医疗器械分类规则
• 医疗器械网络安全注册技术审查指导原则

对于网络销售医疗器械的资质准入类型有：互联网药品信息服务资格证书、网络销售备案、医疗器械经营许可/备案、工商电子亮照、ICP备案、电信业务经营许可、公安联网备案、网络安全等级保护备案、经营范围变更/增加。

其中，在合规项目中，一般重点会关注ICP备案，公安联网备案、等保备案。若对象是自建网站（网站、APP、小程序等），APP和小程序无需办理ICP备案，但用到的域名需要ICP备案；入住第三方平台的二级域名无法独立办理ICP备案。根据专业律师经验，绝大多数自建网站和平台会被定级为等保三级，需履行备案和测评义务。

另外关键的是个人信息的收集、存储、使用、留存等保护。出台的医疗数据安全指南中就提出了分类分级指南、安全措施要点、安全管理指南以及典型场景数据安全等。（本指南中内容还是蛮多的，需要多看看熟悉下）

除此，还有数据跨境相关法规。根据《人口健康信息管理办法（试行）》，人口健康信息是不得在境外的服务器中存储，不得托管、租赁在境外的服务器。对于患者数据出境的安全评估，具体实施办法尚未颁布，但肯定的一点是人口健康信息不得传输至境外。

参考：

1. 医疗器械企业合规
2. 「大健康专题」互联网+医疗器械行业的法律合规管理
3. 2020年全国医药行业法律法规及政策汇总
4. 医疗数据出境法律风险解读