药企、医疗器械与互联网医院合规

Posted by shentanli on July 11, 2021 ·

之前给一家药企做过一个项目,做项目过程中一些信息:药企、医疗器械、互联网医院等有点疑惑。这几种类型的企业在合规方面遵守的严苛程度不尽相同,下面就来了解补充下。

目前大型药企会选择跨界互联网医院的路子,医药、医疗器械都是通过医生销售出去的,非处方可自己购买,但处方药需要医生开。随着互联网的发展,在各个环节,互联网有了一定程度的参与:互联网处方、医院的各种系统,电子病例。于是,有了互联网医院,提供在线咨询、智能问药、药品快递到家等功能。

各行业都有遵守的法律法规,医药行业等更甚,毕竟病人信息都是很敏感的。

以下简单列出一些相关的法律法规:

  • 网络安全法
  • 电子商务法(网络销售医疗器械的个人信息保护)
  • 全国医院信息化建设标准与规范(试行)
  • 医药行业合规管理规范
  • 药品经营质量管理规范
  • 药品经营许可证管理办法
  • 信息安全技术 健康医疗数据安全指南
  • 国家健康医疗大数据标准、安全和服务管理办法(试行)
  • 人口健康信息管理办法(试行)
  • 人类遗传资源管理条例
  • 生物安全法
  • 移动医疗器械注册技术审查指导原则
  • 远程医疗服务管理规范(试行)
  • 医疗机构病例管理规定
  • 电子病历应用管理规范(试行)
  • 互联网医院管理办法(试行)
  • 互联网诊疗管理办法(试行)
  • 互联网信息服务管理办法
  • 互联网药品信息服务管理办法
  • 医疗器械监督管理条例
  • 医疗器械网络销售监督管理办法
  • 医疗器械生产监督管理办法
  • 医疗器械经营监督管理办法
  • 医疗器械经营质量管理规范
  • 医疗器械分类规则
  • 医疗器械网络安全注册技术审查指导原则

对于网络销售医疗器械的资质准入类型有:互联网药品信息服务资格证书、网络销售备案、医疗器械经营许可/备案、工商电子亮照、ICP备案、电信业务经营许可、公安联网备案、网络安全等级保护备案、经营范围变更/增加。

其中,在合规项目中,一般重点会关注ICP备案,公安联网备案、等保备案。若对象是自建网站(网站、APP、小程序等),APP和小程序无需办理ICP备案,但用到的域名需要ICP备案;入住第三方平台的二级域名无法独立办理ICP备案。根据专业律师经验,绝大多数自建网站和平台会被定级为等保三级,需履行备案和测评义务。

另外关键的是个人信息的收集、存储、使用、留存等保护。出台的医疗数据安全指南中就提出了分类分级指南、安全措施要点、安全管理指南以及典型场景数据安全等。(本指南中内容还是蛮多的,需要多看看熟悉下)

除此,还有数据跨境相关法规。根据《人口健康信息管理办法(试行)》,人口健康信息是不得在境外的服务器中存储,不得托管、租赁在境外的服务器。对于患者数据出境的安全评估,具体实施办法尚未颁布,但肯定的一点是人口健康信息不得传输至境外。

参考:

  1. 医疗器械企业合规
  2. 「大健康专题」互联网+医疗器械行业的法律合规管理
  3. 2020年全国医药行业法律法规及政策汇总
  4. 医疗数据出境法律风险解读