作者 | 李家铉律师 来源 | 公司法探

前 言

随着信息化发展，互联网+医疗健康从概念走向现实，许多医疗机构在原有基础上开始建设互联网医院。对于医疗领域属于专家的医疗机构，面对互联网数字化的新技术、新要求往往犯了难，也难以在短时间内招收足够的互联网人才，于是往往需要聘请外部公司进行建设。在建设互联网医院的过程中，医疗机构要特别注意哪些监管要求呢？小编从个人信息保护角度来带你看看。

+ + + + +

图源：摄图网

一、建设互联网医院涉及哪些个人信息处理

互联网医院提供服务必然需要收集、储存、使用、提供患者的重要个人信息，首先需要关注互联网医院服务过程中会涉及哪些信息。

从患者提供的角度，患者可能主动向互联网医院披露的个人信息包括但不限于：个人基本信息、家庭信息、社会保险信息、病史信息、生物信息、账户信息等等。

从医院产生的信息角度，互联网医院可能在服务过程中产生可能涉及个人信息包括但不限于：病历资料、病患问答信息、知情告知及同意文件、诊断方案、检查结果、处方信息等等。

从互联网医院服务供应商也可能产生部分个人信息，例如账户密码、物流信息、购药信息等等。

另一方面互联网医院首诊?处罚，还需要关注服务全流程过程中会涉及哪些主体。随着社会精细化分工，互联网医院服务的参与主体为互联网医院自身加上众多的供应商，甚至还会涉及监管部门。例如：互联网医院平台电子系统的建设、运营、维护供应商；医院内部档案管理、人员管理电子系统的建设、运营、维护供应商；储存服务供应商；信息网络服务提供商；运输服务提供商；第三方药房；卫生主管部门等。

二、关注监管要求

自2018年国务院办公厅发布关于促进“互联网+医疗健康”发展的意见、《互联网诊疗管理办法（试行）》等3个文件后，2022年国家卫健委又发布了《互联网诊疗监管细则（试行）》《医疗卫生机构网络安全管理办法》进一步就建设网络医院涉及的信息安全的监管作出详细规定。

三、个人信息保护方式——“知情同意”和管理制度

做好“知情同意”

根据《中华人民共和国个人信息保护法》规定，除法定许可处理的情形外，处理个人信息前需取得个人的同意；而合法取得个人处理个人信息同意前，还需依法向个人告知监管规定的信息。

个人信息保护法设置的“告知”“同意”使用类似于医疗界的“知情”“同意”程序，类比于诊疗过程中医生向患者告知诊断及诊疗方案，并充分说明可能的益处、不良后果及其他意外情况等，使患者可自主决定是否接受后续的诊疗。

在用户接入互联网医院平台前就应当做到告知义务并取得同意，医院需认真检查告知和同意的内容是否已经完整涵盖。特别需注意的是，告知和同意还必须涵盖供应商、监管部门的内容，即向用户告知各个环节可能会使用的第三方服务及使用政策，可能会被监管部门依法查看的情况，也应当获得用户对第三方服务的同意。

若互联网医院需使用个人信息进行进一步处理，例如分析汇总用于用户画像、个性化推荐、行业分析等等，需明确告知在什么情况下可能会被使用，否则即使去标识化使用仍可能存在涉诉的风险。

建立有效个人信息管理制度