服务模式

对于患者，尤其是具有处方药配药需求的患者而言，“互联网医院+药品配送”的服务模式不仅能节约往返复诊的时间与成本、应对疫情形势下“足不出户”的封控要求，还能依据患者自身最新的病情情况开具处方、对症下药。据统计，目前上海市共有100余家互联网医院，在疫情期间为市民提供线上预约挂号、线上专科咨询、在线复诊、在线开方、医保线上支付、药品配送到家等便民服务，并自2022年4月1日以来至4月25日，互联网医院服务总人次达去年同期的5.2倍，处方量达去年同期的11.2倍 [3] 。

但医疗医药毕竟与民生健康息息相关，因此，如何在突破传统看病模式、给民众带来便捷的同时保证医疗安全与质量，如何满足监管要求，如何明确各方权责，都是医疗机构、药企以及医药配送企业需要格外关注的。笔者结合实践经验，总结了4大“互联网医院+药品配送”服务模式下的合规要点，供各方参考。

合规要求

1. 诊疗服务范围有限制

国家卫健委医政医管局副局长焦雅辉就新规答记者问（2018.09.14）时表示：“通过正在建立的区域卫生信息平台，以及电子病历数据库，把电子病历和居民电子健康档案连接起来，在线开展复诊并且开具处方的时候，医师一定要掌握患者相应的病历资料，明确患者在实体医疗机构已经就一种病或者几种病有过明确的诊断，就可以针对已经明确诊断的疾病提供复诊的服务。如果查询不到任何患者病历资料，就只能建议患者到实体医疗机构就诊，建立了电子就诊记录以后，下一次如果是属于诊断明确的疾病在线复诊，那么医生可以给他提供相应在线服务。”

《互联网医院管理办法（试行）》第19条明确，“医师只能通过互联网医院为部分常见病、慢性病患者提供复诊服务……当患者病情出现变化或存在其他不适宜在线诊疗服务的，医师应当引导患者到实体医疗机构就诊。”《上海市互联网医院管理办法》第5条更是进一步列出负面清单，确认互联网医院不得开展首诊患者诊疗服务以及甲类传染病（含参照甲类传染病管理）、危急重症、需要前往实体医疗机构进行体格检查或医疗仪器设备辅助诊断的患者诊疗服务，并在第29条明确，所谓“适格的复诊患者”应当能够提供“2个月内实体医疗机构诊断为某种或某几种常见病、慢性病的就诊病历资料”。

我们理解，医生首诊或遇到患者病情发生变化的情况时，均需要通过检查、检验等各类传统的线下医疗手段先对疾病作出判断，而不能直接提出治疗方案，因此，出于符合医学的基本规律和规则的考虑，禁止互联网医院提供首诊服务。此外，需要特别提醒的是，互联网医院与传统实体医院一致，均仅能在其《医疗机构执业许可证》核准登记或者备案的诊疗科目范围内开展诊疗服务活动。

2. 处方与药品需管理

传统诊疗流程中，医师见诊开单，处方经药师审核后，药房/药品经营企业凭处方销售处方药即可。但在互联网医疗的情形之下，需尤其注意，并非所有药品均可以按照传统流程、在线上开具处方并销售。

《互联网诊疗管理办法（试行）》第18条以及《互联网医院管理办法（试行）》第20条中均规定了，不得开具麻醉药品、精神药品等特殊管理药品的处方；为低龄儿童开具处方应确认有监护人和专业医师陪伴。《上海市互联网医院管理办法》第5条、第31条亦反复强调，禁止互联网医院开展麻醉药品、精神药品等用药风险较高、有其他特殊管理规定的药品处方开具和配送服务。

除了上述开具违规药品的处方外，实践中在处方与药品管理方面，还应尤其重视统方、补方、将医疗卫生人员的个人收入与药品收入相挂钩等商业贿赂风险。

在“互联网医院+药品配送”的服务模式下，互联网医院不可避免地需要将药品用量信息传输给合作药店/药品经营企业，以供药师审核并满足患者配药需求。这一行为本身虽然并不必然会构成《关于加强医疗卫生机构统方管理的规定》（国卫纠发（2014）1号）中定义的“不正当商业目的统方行为”，但实践中为避免此类风险，互联网医院需注意在合作协议中明确合作药店/药品经营企业的保密义务、反商业贿赂与反腐败义务，并对此类数据的使用用途、人员接触权限加以协议约定及技术上的限制。而药品经营企业如接触到此类数据，也应当避免将其传输给药品营销人员。

此外，鉴于有些互联网医院具有较强的营利性目的，可能会让医生在为患者开具处方的同时承担一些药品、器械的销售任务，甚至将医生的工资或报酬与销售额进行挂钩。笔者提醒各家互联网医院平台，互联网医院本质上仍是医疗机构，需要满足医疗机构给医生发放报酬及奖金的所有合规要求。虽然《国务院办公厅关于推动公立医院高质量发展的意见》（国办发（2021）18号）中提出“允许医疗服务收入扣除成本并按规定提取各项基金后主要用于人员奖励”，但不代表该奖金的构成可以与药品等医疗产品的收入相挂钩，所谓奖金应当以医师的工作量、工作业绩、医疗服务质量等作为考核依据进行发放。如果将医务人员的收入与药品、器械收入相挂钩，轻则可能对公立医院的绩效考核有所影响，重则，可以依据《反不正当竞争法》第7条商业贿赂相关规定对医院进行行政处罚 [4] 。

3. 医务人员执业应谨慎

2007年《处方管理办法》第8条规定，“经注册的执业医师在执业地点取得相应的处方权。”该规章的第54条 [5] 及第57条 [6] 进一步规定了未取得处方权的人员开具处方时，医疗机构及医师可能面临的行政处罚。

实际上，不仅仅是开具处方的范围，医务人员所有的诊疗活动均应在其登记核准的范围内进行。对于医疗机构而言，使用卫生技术人员从事本专业以外的诊疗活动的，按使用非卫生技术人员处理 [7] 。而根据2022年5月1日即将实施的新《医疗机构管理条例》第47条，使用非卫生技术人员从事医疗卫生技术工作的，可能面临责令限期改正、1万元以上10万元以下的罚款、甚至吊销《医疗机构执业许可证》或者责令停止执业活动的行政处罚。对于医生而言，2022年3月1日生效的《医师法》第57条从法律层面明确了“超执业范围开展诊疗活动”的处罚依据：“医师未按照注册的执业地点、执业类别、执业范围执业的，由县级以上人民政府卫生健康主管部门或者中医药主管部门责令改正，给予警告，没收违法所得，并处1万元以上3万元以下的罚款；情节严重的，责令暂停6个月以上1年以下执业活动直至吊销医师执业证书。”从立法及执法层面而言，未来在这一部分违法行为的问题上，医疗机构及医生本人均将面临更为严厉的处罚。

经笔者核查，在互联网医院仍然新兴、尚未有太多行政处罚案例的情况下，互联网医院被处罚的理由中比例最大的即为“使用非卫生技术人员从事卫生技术工作”。因此，建议互联网医院着重对自身医务人员执业行为的权限管理以及执业教育，确保医师严格按照执业类别、执业范围开展诊疗活动。

4. 患者个人信息该保护

“互联网医院+药品配送”模式的运作过程中，涉及了互联网医院对患者个人信息的收集行为，电子病历信息的存储行为，处方信息、患者邮寄地址等个人信息的传输行为，且上述信息多为敏感个人信息，一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害。

中国信息通信研究院《2019健康医疗行业移动App安全观测报告》显示，包括各类线上医疗服务App、各类医院的官方 App在内的移动应用所面临的安全风险主要集中于：安全漏洞风险、恶意程序危害、第三方 SDK 引入风险以及安全加固比例偏低。因此，互联网医院首当其冲应当关注自身信息系统建设及安全管理上的风险。《上海市互联网医院管理办法》第23、24条对此也相应地提出了要求：互联网医院应按照《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）第三级标准完成定级备案和测评，需每年进行测评，不得将互联网诊疗服务信息在境外的服务器中存储，信息平台不得部署在托管、租赁于境外的服务器，并应严格执行信息安全和医疗数据保密的有关法律法规 [8] 。

其次，在互联网医院、药房/药品经营企业以及物流配送企业各方的责权利分配问题上，我们理解，“互联网医院+药品配送”的服务模式下，一般而言，药房/药品经营企业以及物流配送企业不能自主决定患者个人信息的处理目的及方式，仅为受托处理个人信息者。个人信息处理者及责任主体往往是互联网医院。也因此，互联网医院应当通过协议的形式约定其处理患者个人信息的目的、期限、处理方式、保护措施等内容，以明确各方在医疗服务、信息安全、隐私保护等方面的责权利。

[1] 《互联网诊疗管理办法（试行）》第18条，医疗机构开展互联网诊疗活动应当严格遵守《处方管理办法》等处方管理规定。医师掌握患者病历资料后，可以为部分常见病、慢性病患者在线开具处方。在线开具的处方必须有医师电子签名，经药师审核后，医疗机构、药品经营企业可委托符合条件的第三方机构配送。

[2] 《互联网医院管理办法（试行）》第20条第2款，所有在线诊断、处方必须有医师电子签名。处方经药师审核合格后方可生效，医疗机构、药品经营企业可委托符合条件的第三方机构配送。

[3] 数据来源：上海发布https://mp.weixin.qq.com/s/d5rYJG1MSlcgzHtjptWp8w

[4] 根据《国家工商行政管理局关于禁止商业贿赂行为的暂行规定》（1996.11.15）第9条、第10条，有关单位或者个人购买或者销售商品时收受贿赂的，按照《反不正当竞争法》商业贿赂的规定处罚；工商行政管理机关在监督检查商业贿赂行为时，可以对行贿行为和受贿行为一并予以调查处理。

[5] 《处方管理办法》第54条，医疗机构有下列情形之一的，由县级以上卫生行政部门按照《医疗机构管理条例》第48条的规定，责令限期改正，并可处以5000元以下的罚款；情节严重的，吊销其《医疗机构执业许可证》：（一）使用未取得处方权的人员、被取消处方权的医师开具处方的；……

[6] 《处方管理办法》第57条，医师出现下列情形之一的，按照《执业医师法》第37条的规定，由县级以上卫生行政部门给予警告或者责令暂停六个月以上一年以下执业活动；情节严重的，吊销其执业证书：（一）未取得处方权或者被取消处方权后开具药品处方的；……

[7] 《医疗机构管理条例实施细则（2017修正）》第81条第2款。

[8] 《上海市互联网医院管理办法》第23条（信息系统建设）互联网医院应按照《网络安全法》《网络安全等级保护条例》《国家健康医疗大数据标准、安全和服务管理办法（试行）》《卫生行业信息安全等级保护工作的指导意见》《互联网医院基本标准》等法律法规规定建立信息系统，配备信息专业技术人员，遵守互联网信息安全相关法律法规。

互联网医院信息系统按照《信息安全技术网络安全等级保护基本要求》第三级标准完成定级备案和测评,每年应依法开展测评，测评通过后应提交系统年度测评报告。

互联网医院应与市卫生健康行政部门管理平台对接，实现业务信息的互联互通，及时上报业务统计数据。

互联网医院配备及使用的医疗人工智能产品、移动设备、应用程序、服务器接受相关部门监督管理。

《上海市互联网医院管理办法》第24条（信息安全管理）互联网医院是互联网诊疗服务信息平台管理的责任主体，其主要负责人是第一责任人。

互联网医院应严格执行信息安全和医疗数据保密的有关法律法规，妥善保管患者信息，不得非法买卖、泄露患者信息。发生患者信息和医疗数据泄露时，医疗机构应及时向卫生健康行政部门报告，并立即采取有效应对措施。

不得将互联网诊疗服务信息在境外的服务器中存储，信息平台不得部署在托管、租赁于境外的服务器。

*实习生张芯月对此文亦有贡献