2021年10月26日國家衛生健康委醫政醫管局發布《互聯網診療監管細則（征求意見稿）》（“《監管細則》”）征求公眾意見。法學所結合網絡安全、數據安全法律治理的相關理論和實務經驗，提出以下初步分析建議：

　　1、整體上看，《監管細則》主要是對《互聯網診療管理辦法（試行）》定義的兩類診療活動進行規范：醫療機構利用在本機構注冊的醫師，通過互聯網等信息技術開展的（1）部分常見病、慢性病復診；和（2）“互聯網+”家庭醫生簽約服務。面向的并非預診、其他病癥診療，也不涉及遠程醫療。實際上更需要在人身權和人格權之間設定平衡。

　　例如《互聯網診療管理辦法（試行）》第16條規定“不得對首診患者開展互聯網診療活動”，這里本質上是一個個人信息問題。涉及患者在注冊后如何判定首診，以及區分是否首診后的個人信息處理，其實需要在《監管細則》的第18條進行更細化的個人信息收集、提供、共享等處理規定和程序設計，充實“終止互聯網診療活動”的內容，而不僅是重復《互聯網診療管理辦法（試行）》的“引導患者到實體醫療機構就診”。

　　2、具體條款而言，我們就下述條款提出初步建議：

　　（1）第19條：醫療機構開展互聯網診療過程中所產生的電子病歷信息，應當與依托的實體醫療機構電子病歷系統共享，由依托的實體醫療機構開展線上線下一體化質控。

　　互聯網診療病歷記錄按照門診電子病歷的有關規定進行管理，診療過程中的圖文對話、音視頻資料等應當全程留痕、可追溯，并向省級監管平臺開放數據接口，保存時間不得少于15年。

　　就此條而言，需要明確對“圖文對話、音視頻資料”的保存不等同于“留痕”，前者是資料本身的存儲，后者實際上指的是記錄或者索引（如索引的則需指向資料本身）。由于具體活動的不同，后續向省級機構提供接口、存儲地點，甚至采用的具體的三級以上網絡安全等級保護的技術措施都有不同。因此建議應明確具體的存儲和“留痕”對象，格式標準、壓縮要求等內容，這些都應是細則層面需要解決的問題。

　　（2）第25條：省級衛生健康主管部門應當按照“最少可用原則”采集醫療機構的相關數據，重點采集醫療機構資質、醫務人員資質、診療科目、診療病種、電子病歷、電子處方、用藥情況、滿意度評價、患者投訴、患者安全不良事件等信息，對互聯網診療整體情況進行分析，定期（每月至少1次）向各醫療機構及其登記機關反饋問題，并明確整改期限，醫療機構在收到省級衛生健康主管部門問題反饋后應當及時整改，并將整改情況上傳至省級監管平臺，同時報其登記機關。

　　鼓勵有條件的省份在省級監管平臺中設定互聯網診療合理性判定規則，運用人工智能、大數據等新興技術實施分析和監管。

　　這里其實有兩個問題，一是“最少可用原則”其實并非應規定的“原則”。作為監管機構進行對互聯網診療實施監管的前提，其必然會要求醫療機構提供支持或抗辯的充分性資料。這一監管原則不因省級機構通過接口“自取”或要求醫療機構“提供”而改變。當然，對這一權限進行限定和約束，以及基于此要求醫療機構做出的整改，應當適用“比例原則”等行政法的其他原則，也是必要。

　　在第一個問題基礎上，我們也會發現，其實該條第2款恰恰與“最小可用”相沖突，進行大數據、AI分析的前提是數據獲取的充分性，否則難以做出第2款設想的“合理性判定”結論。

　　（3）第34條：醫療機構發生患者個人信息、醫療數據泄露等網絡安全事件時，應當及時向相關主管部門報告，并采取有效應對措施。

　　這一條的主要問題是應該按照《個人信息保護法》第57條進行細化，明確通知/報告對象包括“履行個人信息保護職責的部門和個人”。當然這就又回到了那個醫療機構敏感的老問題……

　　3、結論

　　《監管細則》作為《互聯網診療管理辦法（試行）》的細則文件，應根據新近國內外出臺的多部基礎、專門法律，特別是國內正在密集征求意見的《網絡數據安全管理條例（征求意見稿）》等進行前瞻性的考量。畢竟在互聯網醫院打通線上線下一體化質控和向云端發展的并行趨勢下，醫院信息系統數據作為CDE《用于產生真實世界證據的真實世界數據指導原則（試行）》中應用較廣的一類數據來源，其兼具非特定性和具有特定功能的雙重數據特點，應當作為互聯網醫院發展和監管的一個精準切入，也為遠程醫療的實質性推動提供早期準備。