“互联网+医疗”的监管问题与对策探析*
2020-01-20刘汉强张宇飞孙宇航徐晗宇
——刘汉强 张宇飞 孙宇航 徐晗宇 姜 鑫*
1 “互联网+医疗”的监管意义
根据《互联网诊疗管理办法(试行)》规定,“互联网+医疗”是指在医疗机构注册的医师,通过互联网等信息技术进行的疾病诊疗和家庭医生签约服务的行为。它是互联网技术在医疗卫生领域的延伸与拓展。相对传统医疗,“互联网+医疗”的突出特点是快捷、简便以及价格低廉[1]。其内容包括网络健康教育、网络问诊以及远程诊疗等多种形式的健康服务。“互联网+医疗”的应用范围较为广泛,包括针对疑难病症的远程医疗、以疾病咨询为主的医疗咨询平台以及以购药、挂号为主的辅助诊疗平台。
“互联网+医疗”在我国虽然起步较晚,但发展十分迅速。自2009年深化医疗卫生体制改革以来,国内许多大型综合性医疗机构在发展完善医院管理信息系统与远程医疗等方面取得了突破性进展。2012年,我国部分地区医疗机构相继推出医疗服务移动应用试点项目。2013年,“互联网+医疗”出现并迅速发展。据资料显示,截至2017年,我国“互联网+医疗”市场的资本规模已突破300亿元,复合增长率更是高达89%[2]。此外,以“春雨医生”“寻医问药网”“丁香园”为代表的兼具约诊、挂号及健康咨询等众多功能的互联网医疗移动应用平台迅速兴起,促进了医疗资源的优化配置,并在缓解患者就医压力、方便患者就诊等方面发挥了重要作用。
需要明确的是,“互联网+医疗”监管对于提高医疗资源合理配置、倒逼医疗体制改革、提高服务体系整体效能和医疗健康服务质量等具有重要意义。必须采取切实可行的监管手段,创新监管思路,结合“互联网+医疗”的特有属性,妥善预防风险。
2 监管问题分析
“互联网+医疗”的良性、可持续发展离不开对其有效的监督管理。目前来看,我国在“互联网+医疗”领域仍存在着患者隐私权难以保障、相应立法滞后以及监管主体责任不明确等诸多问题。当前的远程医疗设备评估、远程行医资质许可、远程医疗隐私保护等仍需规范与完善。
2.1 监管立法层面
2.1.1 监管法律缺少顶层设计 当前,我国“互联网+医疗”监管领域缺少专门法律,相关监管内容多散见于各类规范性文件当中。例如,2018年国务院办公厅发布的《关于促进“互联网+医疗健康”发展的意见》以及同年为贯彻此意见出台的《互联网医院管理办法(试行)》《互联网诊疗管理办法(试行)》《远程医疗服务管理规范(试行)》3个文件中,虽然明确要求应该加强监管及安全保障,设定机构准入标准,创新监管机制,提升监管能力,但是并未给出明确的措施,其主要内容侧重于扶持和推动“互联网+医疗”行业的进步和发展,监管内容多为原则性规定。同时,“互联网+医疗”服务衍生了新的网络医疗趋势,例如区域性、系统化的网络平台,医院之间的转诊、会诊等,目前相关法律规制不足。
2.1.2 未考虑“互联网+医疗”事故处理特殊性 《侵权责任法》规定,线下医疗事故在发生后首先要判断损害后果与诊疗行为有无因果关系,但由于“互联网+医疗”行为的非接触性特征会增加诊疗活动误诊的风险,因此即使证明诊疗行为和损害后果之间不存在因果关系,仍有可能根据公平原则判决医疗服务提供方承担一定责任。2014年,原国家卫生计生委发布的《关于推进医疗机构远程医疗服务的意见》明确规定,如果缺少相关协议,“互联网+医疗”活动造成的事故由提供服务的医疗机构承担责任。按照互联网医疗服务内容和目标的差异性,要区别对待:一是从事诊疗活动的医方根据患方所提供的病历信息以及影像报告等资料对病情加以判定,如果造成医疗事故,提供医疗服务的一方需要对检测结果承担责任;二是在远程会诊时,需要按照双方在诊疗活动中发生的失误所引起医疗事故结果的多少来划分责任。现实情形是,由于医方直接为患者提供服务,患方仅仅是辅助提供意见,因此根据过错推定原则,大多数情况均是由医方承担责任。
2.2 监管主体层面
2.2.1 监管主体混乱 根据《互联网诊疗管理办法(试行)》《远程医疗服务管理规范(试行)》规定,医疗机构开展互联网诊疗活动由地方卫生健康行政部门进行监督管理。但实践中,互联网诊疗行为涉及多领域,如互联网平台购药出现问题,既会涉及到卫生健康部门的监督管理,也会由于销售假冒伪劣产品或发生医疗纠纷需要公安部门介入监管;如涉及到广告推送问题,则需要市场监督管理部门协助调查;而如果没有经过必须的备案程序开展“互联网+医疗”行为则需要通信管理部门辅助。可见,单一的由卫生健康行政部门进行监管无法实现监督效能最大化,而“九龙治水”式的监管极易导致各方推诿甚至会产生真空地带[3]。
2.2.2 监管能力不足 首先是监管技术落后和重视程度不足。“互联网+医疗”是以网络为载体的诊疗行为,如果没有能够有效对抗非法入侵的新技术,很难对侵犯网络信息者形成有效威慑。其次是监管主体的专业素养不高。在“互联网+医疗”的监管工作中会出现突发的新情况、新问题,而有的管理者专业素质和能力无法应对风险。
2.3 监管对象层面
2.3.1 医务人员电子身份实名认证落实不到位 实施电子注册,通过信息化手段可以促使医师在线登记自己第二或第三执业地点、执业范围等基本信息,更新职称变动、定期考核等个人信息。依照我国现行法律规定,从事互联网医疗服务须进行前置审批,向省级卫生健康委员会提交执业证书及网站负责人身份信息等材料。目前,医疗机构、医师、护士注册电子化管理已经开始在全国进行试点。卫生行政部门理应注重服务,对医务人员进行电子注册管理,避免或减少风险和压力,真正落实医务人员电子身份实名认证。但相应的规定法律层级较低,且多为原则性规定,审查主体裁量权过大,医疗机构、医生、护士的电子身份存在被篡改的可能。
2.3.2 患者隐私权保护不足 一般患者在进行网上预约挂号、病情咨询前,均要先填写一系列个人信息经过注册后才能进行。如果患者信息被泄露或窃取,患者往往无从维权。而且,在远程诊疗过程中,为保障诊疗的准确性,需要传送很详实的患者健康数据及诊疗图片,在这个过程中也容易造成数据被篡改或窃取等。
患者的医疗信息遭到泄露存在以下4种情况:第一,存在技术漏洞。网络活动本身具有极高的风险性,患者的医疗信息在存储、传输、备份中极易面临侵犯和威胁,如果监管技术存在漏洞,则无法对病毒进行有效防范。第二,巨大经济利益的诱惑。患者的医疗数据因具有经济价值而容易被不法分子违法获取、适用、出售。第三,信息保护意识薄弱。现实中大部分医疗机构并未对患者信息给予加密处理或者模糊处理,这种情况极易受到攻击,导致患者健康信息被泄露的风险剧增[4]。第四,患者个人信息应用问题。患者对于个人基本信息是否属于隐私的判定不够准确,同时我国目前有关个人信息保护的规定也不够细化,因此对于患者个人信息可能产生的对其他事宜如就业或个人生活安宁的负面影响如何追责是一个难题,可见个人信息权益保障不能仅依赖于互联网+医疗的监管。
3 建议
面对患者隐私权难以保障、相应立法滞后等现实问题,如何通过更加紧密、高效的监督管理,有效确保患者信息安全并使其享受到更为优质的医疗卫生服务值得思考。
3.1 完善“互联网+医疗”监管的法律规定
立法应该以现实的理性需求为根本,立法机关应在坚持公序良俗的基础上加快立法进程,尽快建立健全“互联网+医疗”监管法律体系[5]。坚持“软硬兼施”的立法理念,充分借助国家立法机关的权威优势,同时协调并融合公民和社会媒体的作用。可先行制定效力层级低、纠错难度小的行政法规、部门规章或其他非规范性文件,逐级立法,保证“互联网+医疗”监管制度设计的质量与可操作性。
3.1.1 落实电子执业资格认证,放开执业地域限制 2017年,原国家卫生计生委颁布的《医师执业注册管理办法》中,允许医师可以在省域内多点执业。然而,针对执业地域的限制尚未完全放开,由于“互联网+医疗”本身的不受限属性,从事网络医疗服务的医生仍然无法突破地域限制。国家卫生健康委员会和国家中医药管理局组织出台的相关文件已为推行电子证件提供制度支持,但仍需进一步完善医务人员电子身份确认环节。通过事前行政审批严格规范医疗机构、医务人员的电子实名认证相关数据的采集、应用行为,对电子证照的申请、受理、审核要进行并且接受社会的全面、全程监督,促进医疗资源的最大化利用。
3.1.2 加强对患者健康信息的保护 当前,我国并没有完善的体系化的个人信息保护立法。对患者健康信息保护的规定也过于碎片化,且多数效力层级不高,难以体系化地规范与约束有关企业与组织的数据收集、处理行为。在网络医疗服务中,急需提高医疗机构、软件供应商、运营平台等对患者医疗信息的保护意识[6],对患者的医疗信息进行“脱敏”以及“去标识化”。相关管理部门以及医疗机构必须制定专门的培训计划,定期对工作人员进行培训考核,提升其患者医疗数据保护意识,同时明确非法泄漏患者信息者应承担的后果和责任。在严格落实《网络安全法》的基础上,构建配套的制度体系,按照网络安全等级保护“互联网+医疗”相关活动,同时定期升级网络安全保障系统,安装实时监测和预警系统,保障患者医疗信息安全。
3.2 提高监管主体的监管效果
3.2.1 明确主体监管原则 要改变监管乱象必须先提高监管主体的监管效果,明确监管主体的监管原则,确保监管职能的最大化。2014年4月,欧盟发布关于“互联网+医疗”的公共咨询方案,将此作为欧盟数字议程的一部分,并陆续颁布相关条例和规章来处理“互联网+医疗”数据的核心问题,明确医疗信息的种类和加强医疗信息的技术保护措施。因此,需完善相关制度和政策,既要确保在线医疗服务的安全性,又不丧失创新能力,努力实现刚性和柔性监管的有效协调统一。要坚持分类监管原则,针对开展互联网医疗不同的平台和网络运营商,根据服务内容进行分类,区分单纯提供健康咨询的平台与从事诊疗活动的平台。不同服务内容监管方式也应有所差异,对于单纯提供健康咨询的平台可以采取定期监管模式;对于从事诊疗活动的平台则需要加大监管力度,强化实时管控。另外结合按风险级别监管的原则,参考美国在互联网医疗监管中采取的实质审查原则,对相关应用进行评估以确定监管级别,对于风险系数低的平台,可以充分享有强制执行的自由裁量权;对于风险系数高的平台,则应强化监管力度,拓宽监管范围。
3.2.2 确立监管主体责任 构建完善的监管体系必须严格落实监管主体的责任,主要涉及3个领域:一是对相关的互联网诊疗机构进行严格审查并实时监管,涉及内容包括是否严格按照相关法律法规实施诊疗活动,机构本身管理经营状况如何,相关管理制度是否应用到诊疗活动中以及互联网诊疗有关平台的建设是否符合准入机制等。二是对“互联网+医疗”中具有诊疗资格的医师进行监管,最重要的是核查医师的执业资格,以及从事的诊疗活动与执业范围是否相同,有没有超范围从事医疗活动的情况发生,并且要对医生在互联网中从事诊疗行为的规范及程序进行监督,确保其一切诊疗活动符合相关规定[7]。三是对诊疗技术活动本身进行监督,
互联网医疗服务不同于线下的医疗机构,其本身诊疗内容有限,所以要严格审核检查项目以及技术活动是否符合互联网平台特征,对于不适合的项目立即给予下线处理。
3.2.3 提高监管主体能力 提高监管主体能力对于提高监管效果具有重要作用,而提高监管能力可充分借助现代信息技术手段来加强。当前,对于“互联网+医疗”监管的技术手段还未完善,不管是线上诊疗活动涉及的患者信息泄露还是线下医疗机构使用网络传输面对的风险问题。因此监管主体要大力开发相关的防护技术措施,构建防护技术壁垒,实现“互联网+医疗”的实时监管和预警,有效提高监管效果。同时要引入具有医学及互联网双重学习背景的专业人才,提升监管能力。
3.3 加强监管对象的保护与限制
3.3.1 加强监管对象责任承担意识 对于监管对象本身而言,有必要对其承担的责任进行划分来规避不规范活动。可对“互联网+医疗”活动中各个环节的诊疗主体责任进行界定,建立责任追究制度。例如,当出现医疗损害或侵权问题时,开展“互联网+医疗”服务的线上平台、企业、医务人员等每个责任主体所承担的责任大小及所占比例可事先明确,以便落实具体责任,既能避免互相推诿,又能通过有效的责任监督和严格的惩戒措施来确保互联网医疗的安全运行。
3.3.2 充分发挥外部监督作用 监管部门应该充分发挥广大群众在“互联网+医疗”监管中的作用,充分发挥外部监督作用。例如,可以建立由政府行政管理部门设置的“互联网+医疗”安全管理投诉平台,以弥补监管措施及技术不够完善、“互联网+医疗”平台繁多监管难度大的缺陷[8]。当相关责任人发现任何一方有不规范行为时,可以利用投诉平台进行举报,在接到投诉之后有关监管部门应立即核查,对于确实存在违规操作的行为予以惩戒。同时,“互联网+医疗”安全管理投诉平台应当以多种网络应用为载体,实现投诉举报信息全面共享。