8月12日，上海市卫健委发布《上海市互联网医院管理办法》（下简称《管理办法》），《管理办法》将于9月1日起施行。文件明确将“互联网医院”定义为“包括作为实体医疗机构第二名称的互联网医院，以及依托实体医疗机构独立设置的互联网医院”。

在信息系统建设和信息安全管理方面，《管理办法》明确要求如下——

第二十三条（信息系统建设）规定，互联网医院应按照《网络安全法》《网络安全等级保护条例》《国家健康医疗大数据标准、安全和服务管理办法（试行）》《卫生行业信息安全等级保护工作的指导意见》《互联网医院基本标准》等法律法规规定建立信息系统，配备信息专业技术人员，遵守互联网信息安全相关法律法规。

互联网医院信息系统按照《信息安全技术 网络安全等级保护基本要求》第三级标准完成定级备案和测评，每年应依法开展测评，测评通过后应提交系统年度测评报告。

互联网医院应与市卫生健康行政部门管理平台对接，实现业务信息的互联互通，及时上报业务统计数据。

互联网医院配备及使用的医疗人工智能产品、移动设备、应用程序、服务器接受相关部门监督管理。

第二十四条（信息安全管理）规定，互联网医院是互联网诊疗服务信息平台管理的责任主体，其主要负责人是第一责任人。

互联网医院应严格执行信息安全和医疗数据保密的有关法律法规，妥善保管患者信息，不得非法买卖、泄露患者信息。发生患者信息和医疗数据泄露时，医疗机构应及时向卫生健康行政部门报告，并立即采取有效应对措施。

不得将互联网诊疗服务信息在境外的服务器中存储，信息平台不得部署在托管、租赁于境外的服务器。

附《管理办法》全文：

上海市互联网医院管理办法

第一章 总则

第一条（目的依据） 为规范和推进本市互联网医院健康发展，规范互联网诊疗活动，根据《执业医师法》《侵权责任法》《医疗机构管理条例》等法律法规和国务院《关于促进“互联网+医疗健康”发展的意见》、国家卫生健康委《互联网医院管理办法（试行）》《互联网诊疗管理办法（试行）》等规定，制定《上海市互联网医院管理办法》。

第二条（定义） 本办法所称“互联网医院”包括作为实体医疗机构第二名称的互联网医院，以及依托实体医疗机构独立设置的互联网医院。

第三条（适用范围） 本办法适用于本市行政区域内互联网医院的设置、执业许可及其诊疗活动、监督管理。

第四条（准入管理） 市、区卫生健康行政部门根据《医疗机构管理条例》《医疗机构管理条例实施细则》《互联网医院管理办法（试行）》《上海市医疗机构管理办法》等规定对互联网医院实行准入管理。

互联网医院取得《医疗机构执业许可证》后方可开展互联网诊疗活动。已取得《医疗机构执业许可证》的实体医疗机构自行或者与第三方机构合作搭建信息平台，使用在本机构和其他医疗机构注册的医师开展互联网诊疗活动的，应申请将互联网医院作为第二名称、增加“互联网诊疗”服务方式。实体医疗机构仅使用在本机构注册的医师开展互联网诊疗活动的，应申请增加“互联网诊疗”服务方式，并可申请将互联网医院作为第二名称。

未经卫生健康行政部门批准，任何单位和个人不得从事互联网诊疗活动。

第五条（诊疗服务范围） 互联网医院开展的诊疗服务应符合实体医疗机构或依托实体医疗机构的功能定位互联网医院系统，并在《医疗机构执业许可证》登记的执业范围内，主要包括：常见病和慢性病患者随访和复诊、家庭医生签约服务。

互联网医院不得开展以下服务：首诊患者诊疗服务；甲类传染病（含参照甲类传染病管理）、危急重症、需要前往实体医疗机构进行体格检查或医疗仪器设备辅助诊断的患者诊疗服务；麻醉药品、精神药品等用药风险较高、有其他特殊管理规定的药品处方开具和配送；聘用非卫生技术人员或未经注册登记的卫生技术人员开展互联网诊疗服务；提供虚假医疗信息服务，违规发布广告、违规开展保健品推销等卫生健康行政部门禁止行为。

第六条（部门责任） 市卫生健康行政部门负责本市互联网医院的监督管理，建立相应管理平台。区卫生健康行政部门负责辖区内互联网医院的监督管理。

取得《医疗机构执业许可证》的互联网医院，独立作为法律责任主体，应依照法律、法规及有关规定从事互联网诊疗服务，保证医疗安全，诚信自律，对社会和公众负责，接受社会监督，承担社会责任。第三方机构依托实体医疗机构建立互联网医院，实体医疗机构与第三方机构应通过协议、合同等方式明确各方在医疗服务、信息安全、隐私保护、医疗风险和责任分担等方面的责权利。实体医疗机构以互联网医院作为第二名称时，实体医疗机构为法律责任主体。