作者: 张运帷 姚金闯 占佳 金杜律师事务所公司证券部

张运帷伴随着信息网络技术的快速发展、中国政府对医疗体制的改革以及对“e-health”的政策扶持,发轫于2014年的中国移动医疗市场在近期经历了快速增长。在此背景下,我们注意到目前有越来越多的药械生产、经营企业(“医药企业”)正在积极地谋求参与到中国的移动医疗市场当中来。这一趋势可能将深刻地影响医药企业与患者之间的关系,给药械产品现有销售、推广模式的变革带来空间和可能性。但是当医药企业的投资热情遇到中国法律在在线医疗服务、网络医院、数据保护等方面的制度的坚冰,医药企业该如何应对这些挑战,从而登上移动医疗“维斯特洛大陆”的“铁王座”,值得关注。

列王的崛起——医药企业参与移动医疗市场的若干方式 

移动医疗的出现带来了颠覆传统药械市场信息流通模式的可能性,在这一趋势下,众多医药企业各显神通,开展了丰富的市场实践。

在医药企业传统的经营模式下,药械产品的销售以及相关产品市场反馈信息的传递主要依赖医药企业医疗机构患者这一通道,这使得居于中心环节的医疗机构成为了医药企业的首要诉求对象,也决定了传统医药企业产品销售、推广活动的基本形态。然而,互联网去中心化的发展趋势以及中国政府医药分开改革措施正在使医药企业有更多的机会与患者发生直接的联通,这深刻地影响了医药企业与患者间的互动模式,为医药企业打开了以患者为直接诉求对象的广阔蓝海。

顺应该趋势,我们注意到,目前市场上部分医药企业已经或正在探索的移动医疗市场活动(“移动医疗市场活动”)主要可以归纳为以下几类,构成了移动医疗市场医药健康信息流通与使用的基本结构:

  • 信息的收集与存储:医药企业通过(a)研发或投资可穿戴健康监测设备;或(b)在医疗器械产品上增加患者健康信息的采集、传输功能,或(c)与医疗机构或互联网企业合作等,以采集患者健康信息;
  • 信息的创造与提供:医药企业基于获得的患者健康信息有针对性向市场创造和提供医药信息: 包括(a)为患者的健康管理/慢病管理提供支持,或(b)将经处理的信息开放给医疗专业人士或患者以协助其进行疾病管理,或(c)与互联网企业进行合作,参与“互联网+医疗服务”项目并在其中提供医药咨询等技术支持服务等;
  • 信息向产品的转化:医药企业基于途径获取的医药健康数据进行药械信息的精准投送以及产品的线上或O2O (online to offline) 销售,从而实现“从信息到产品”,“从线上到线下”的商业闭环

凛冽的寒风——医药企业参与中国移动医疗市场所面临的法律挑战 

针对上述移动医疗市场活动,在中国现有的医药监管体系下,我们理解相关医药企业需要注意以下方面的法律问题:

患者信息的收集与存储方面——在不确定性中前行

1. 可穿戴健康监测设备可能被认定为医疗器械 

虽然医药企业对于可穿戴监测设备的热情高涨,但中国法律没有对可穿戴健康监测设备的法律地位进行明确界定。根据可穿戴健康监测设备的性质,其与“医疗器械”之间存在密切的联系。根据《医疗器械监督管理条例》[1]第七十六条的规定, “医疗器械”概念的外延较为宽泛,对于直接或间接用于人体的仪器、设备、器具、体外诊断试剂等物品,如果其拟用于“医疗用途”[2],则就可能构成医疗器械。考虑到当前市场上可穿戴健康监测设备的功能多在于监测和记录用户的心率、体温、血压、血氧含量等重要人体体征,其存在落入中国法下“医疗器械”概念的范围而被监管部门要求遵守各项监管规定的可能性。

而根据前述定义,我们理解,判断可穿戴健康监测设备是否属于医疗器械的一项重要考虑因素是其是否具有医疗用途

我们注意到美国的监管部门也基本上采用相似的判断标准。美国FDA于2016年7月29日发布了最终定稿的关于“引导健康生活方式的低风险产品”(即“一般健康产品”, general wellness products)的指引[3],备受关注。根据该指引的规定,如果一种产品仅用于一般的健康用途且其导致使用者安全问题的风险很低,则该产品将构成“一般健康产品”,FDA将倾向于不对其进行审查和判断其是否需要遵守医疗器械的监管规则。根据该指引,“一般健康产品”又基本可以分为两类:(1)其声称的用途仅与总体健康状态的维持和提升有关,而不提及特定的疾病;或 (2)其声称的用途在于引导健康的生活方式,而作为该生活方式的一部分其能够(i)降低特定慢性疾病的风险或(ii)改善特定慢性疾病患者的生存质量。由此可见,在不涉及疾病的诊断和治疗的情况下,可穿戴健康监测设备被认定为医疗器械的可能性较低。

目前,中国法下尚没有界定可穿戴健康监测设备是否具有医疗用途的规则和标准。实践当中,我们理解可穿戴健康监测设备医疗用途的判断可能会受到其监测数据的精度、主要功能以及市场定位等多种因素的影响,需要根据具体情况进行具体分析,这增加了可穿戴健康监测设备属性判断的难度。

为了增加在市场上的信誉度,同时降低受到食药监管部门挑战的可能性,我们注意到目前市场上越来越多的企业开始就其可穿戴或便携式的检测设备申请进行医疗器械产品注册[4]。但考虑到进行医疗器械产品注册往往周期较长,医疗器械新产品的注册往往需要大量临床试验数据的支持,成本较高,同时医疗器械的广告活动需要收到食药监管部门的审查,医药企业在对相关可穿戴健康监测设备进行功能设计和市场定位时需要进行审慎的考虑

2. 对患者个人健康数据的采集、存储、使用和处理受限于个人信息人口健康信息病历信息等数据保护规定的规制 

从不同角度来看,患者的个人健康数据具有不同的属性:作为与公民个人身份紧密相关的信息,首先其具有“个人信息”的属性;而如果相关信息是在医疗活动中产生的健康信息,其又具有“人口健康信息”以及“病历信息”的属性。相应的,医药企业在对患者个人健康数据进行采集、存储、使用和处理的过程,特别是在与医疗机构合作采集、存储、使用和处理患者个人健康数据时需要遵守对应的信息保护规定。由于相关概念在中国法下或是缺乏法律定义,或是定义宽泛,边界模糊,医药企业需要慎重地评估相关法律风险

3. 个人信息的保护要求

中国目前尚未颁布统一的个人信息保护法,与个人信息保护有关的规定散见于不同领域的法律法规且主要集中于电信和互联网以及消费者权益保护领域。一般而言,“个人信息”是指能够单独或者与其他信息结合识别公民个人身份的各种信息,包括公民的姓名、性别、出生日期、身份证件号码、职业、住址、联系方式、收入和财产状况、健康状况等[5]

根据不同的法律规定,相关主体在处理个人信息时主要应当遵循合法、正当、必要的原则。作为相关规则的基本要求,个人信息的收集者应当在收集、使用个人信息的过程中明示收集/使用相关信息的目的、方式、内容和用途,并取得被收集者的同意,同时采取技术措施和其他必要措施,确保个人信息安全,防止发生泄漏、毁损、丢失。

4. 人口健康信息的保护要求

根据《人口健康信息管理办法(试行)》[6](“《人口健康信息办法》”)的规定,人口健康信息的范围非常宽泛,包括 “各级各类医疗卫生计生服务机构在服务和管理过程中产生的人口基本信息、医疗卫生服务信息等人口健康信息”。根据国家卫生和计划生育委员会对该办法做出的官方解读[7],人口健康信息“主要包括全员人口、电子健康档案、电子病历以及人口健康统计信息等”。

虽然在中国现行的人口健康信息管理制度下,各级各类医疗卫生计生服务机构是人口健康信息管理的责任单位(“责任单位”),负责人口健康信息的采集、利用、管理和保护,但医药企业在与医疗机构合作的过程中仍然受到人口健康信息利用和储存的规制。

《人口健康信息办法》规定,人口健康信息的利用实行分类管理,涉及保密信息和个人隐私信息,不得对外提供。对于责任单位授权他方利用人口健康信息数据的,应当由利用方和责任单位签订数据利用协议书,利用方不得超出授权范围利用和发布人口健康信息。在责任单位委托其他方存储人口健康信息的情况下,受委托的存储、运维机构应当严格按照委托协议做好人口健康信息管理的技术支持,禁止超权限采集、开发和利用人口健康信息。特别需要外资医药企业注意的是,人口健康信息不得通过托管、租赁在境外的服务器进行存储

5. 病历信息的保护要求

病历是指医务人员在医疗活动过程中形成的文字、符号、图表、影像、切片等资料的总和,包括门(急)诊病历和住院病历。病历归档以后形成病案。在中国目前的法律体系框架下,医疗机构在医疗活动中对病历的建立、使用、保管和管理需要遵守《医疗机构病历管理规定(2013年版)》[8](以下简称“《病历规定》”)、《电子病历基本规范(试行)》[9]、《中医电子病历基本规范(试行)》[10]等的相关规定。医药企业与医疗机构合作并获取患者病历时也需要特别注意该等规定。

针对病历的建立、使用、存储和其他方面的管理,中国的法律法规在总体上规定了比一般的个人信息保护更严格的要求

  • 就病历的保管,《病历规定》 规定门(急)诊病历原则上由患者保管,在医疗机构具备相应条件且经患者或其法定代理人同意的情况下,可以由医疗机构保管;住院病历由医疗机构保管;但没有规定医疗机构可以委托第三方代为保持、管理患者病历;
  • 就病历的查/借阅,《病历规定》要求除为患者提供诊疗服务的医务人员以及经有关卫生计生管理部门或者医疗机构授权的有关病案管理、医疗管理部门或者人员外,其他任何机构和个人不得擅自查阅患者病历;作为例外,其他医疗机构及医务人员因科研、教学需要查/借阅病历的,应当向患者就诊医疗机构提出申请,经同意并办理相应手续后方可查/借阅,但必须在规定的期限内归还,且查阅的病历资料不得带离患者就诊医疗机构;
  • 就病历的复制,《病历规定》要求只有患者本人、死亡患者的法定继承人或代理人以及因办理案件的公安、司法、人力资源和社会保障、保险和鉴定部门人员在履行了规定的手续且在特定情形下才能向医疗机构申请查阅或复制病历资料。

此外,中国目前的法律体系没有对患者和医疗机构中谁是病历的所有权人进行定义,阻碍了病历的授权使用,进一步增加了医药企业运用患者病历的困难

虽然目前市场上出现了数量较多的互联网企业/医药企业与医疗机构间令人耳目一新的合作项目(譬如健康管理平台、慢病管理项目等),我们理解相关合作机制基本上均是在上述法律规制框架下构建起来的(譬如医药企业在与医疗机构合作时设立严格的患者数据保护防火墙等)。面对法律规定要求的不确定性,相关医药企业尚需摸索前行。

移动互联网药械信息的提供——迷雾中隐现的监管要求

区别于健康信息收集、存储方面“概念不明晰”的状态,移动互联网药械信息提供方面的医药企业面对更多的是实践层面 “规定该如何适用”的问题

法律对通过传统互联网提供药械信息服务的要求相对明晰。根据《互联网药品信息服务管理办法》[11]的规定,通过互联网向上网用户提供药品(含医疗器械)信息服务的,应当办理《互联网药品信息服务资格证书》。而根据《互联网信息服务管理办法》[12]的规定,取得《互联网药品信息服务资格证书》是相关申请人办理经营性药品、医疗器械互联网信息服务许可或者非经营性药品、医疗器械互联网信息服务备案程序的前提条件。

在移动通信终端快速发展的背景下,目前市场上提供药品/医疗器械信息服务的移动通信终端应用程序(“APP”)也层出不穷,而通过APP提供药品/医疗器械信息服务的资质问题则值得探讨

  • 电信业务许可层面,在工信部2003年版的《电信业务分类目录》项下,由于“信息服务业务”的子类是信息服务传输的基础通信网络类型为标准划分的,而APP的信息传输网络较为复杂,受限于行政资源的有限性,电信监管部门未要求APP运营商办理相应的电信业务许可。但鉴于工信部2015年版的《电信业务分类目录》不再以基础通信网络类型为依据对“信息服务业务”进行分类,该新版《目录》自2016年3月1日生效后电信监管部门对APP的监管要求也发生了变化。根据我们对工信部以及北京、上海等地的电信管理局的咨询,经营性的APP已要求取得增值电信业务许可。对于非经营性的APP,目前尚无明确规定要求取得证照,实践当中电信主管部门目前也仍不接受对APP进行备案,但不排除各地的电信监管部门未来要求运营商参照《互联网信息服务管理办法》对APP进行备案的可能性
  • 在互联网药品信息服务许可层面,鉴于《互联网药品信息服务管理办法》并未严格区分相关信息服务传输的基础通信网络类型,理论上通过移动通信终端进行的药品/医疗器械信息服务也需要取得《互联网药品信息服务资格证书》。虽然我们与上海、北京等地的食品药品监管部门的沟通均证实了我们的该等理解,但由于现行的互联网药品信息服务许可审批文件体系是针对因特网信息服务制定的,实践当中我们接触到的食品药品监管部门尚不接受针对APP核发《互联网药品信息服务资格证书》。基于此种情况,为了避免合规风险,我们注意到部分运营商会在运营APP的同时设立相对于的因特网网站,并基于网站申请取得《互联网药品信息服务资格证书》。然而,该等措施是否能完全排除合规风险仍有待观察。

此外,值得注意的是,国家互联网信息办公室制定的《移动互联网应用程序信息服务管理规定》已于201681日生效实施。这也是中国政府规制APP信息服务的最新尝试。该《规定》第五条要求“通过移动互联网应用程序提供信息服务,应当依法取得法律法规规定的相关资质”,同时,该《规定》第七条对移动互联网应用程序提供者的信息安全管理责任也进行了明确[13]

虽然根据与北京、上海等电信主管部门的沟通,我们目前尚未见该《规定》对电信主管部门的实践产生明显影响,鉴于国家互联网信息办公室具有“指导、协调、督促有关部门加强互联网信息内容管理”,不排除电信主管部门未来根据该《规定》调整相关实践的可能性。此外,该《规定》第三条规定,国家和地方的互联网办公室负责移动互联网应用程序信息内容的监督管理执法工作,也不能排除各地互联网办公室未来在现有电信主管部门的监管体系外进行监督执法的可能性。处在迷雾中的移动互联网药械信息提供监管要求将走向何方,我们拭目以待。

  • 信息向产品的转化——网售药械是凛冬深重还是冬去春来

对比前述医药健康信息的收集、提供活动所面临的法律规范的模糊,医药企业目前在中国通过互联网向患者销售药品和医疗器械受到的则是明确的限制

首先,从事互联网药品零售的企业在企业性质上受到限制。根据《互联网药品交易服务审批暂行规定》[14](“《暂行规定》”)的要求,提供互联网药品(包括医疗器械、直接接触药品的包装材料和容器)交易服务的企业被分为了三类:(1)为药品生产企业、药品经营企业和医疗机构之间的互联网药品交易提供服务的企业;(2)通过自身网站与本企业成员之外的其他企业进行互联网药品交易的药品生产企业和药品批发企业;和(3)向个人消费者提供互联网药品交易服务的企业(“互联网药品零售企业”)。其中互联网药品零售企业必须是依法设立的药品连锁零售企业。

其次,除了连锁零售企业的性质要求外,《暂行规定》还要求互联网药品零售企业只能在网上销售本企业经营的非处方药,而不得向其他企业或者医疗机构销售药品。国家食药监总局曾于2014年5月28日发布了互联网食品药品经营监督管理办法(征求意见稿)》,其中规定通过互联网向个人消费者销售药品的企业可以凭处方销售处方药,但该征求意见稿在被公布两年后仍未有正式的版本公布。

再次,在线上与线下相结合的合作模式下,药品经营企业销售处方药还面临着电子处方效力的问题。根据《处方管理办法》[15]的规定,医师利用计算机开具、传递普通处方时,应当同时打印出纸质处方,其格式与手写处方一致;打印的纸质处方经签名或者加盖签章后有效。药师核发药品时,应当核对打印的纸质处方,无误后发给药品,并将打印的纸质处方与计算机传递处方同时收存备查。虽然中国出台了多项政策鼓励电子处方,但电子处方在当前中国的法律体系下效力仍然存疑。

就这些限制,中国政府似乎目前还有进一步收紧监管措施的趋势。中国国家食药监总局在2013年就“95095”、“八百方”和“1号店”三家企业开展了互联网第三方平台药品网上零售试点,但国家食药监在2016年7月底以“第三方平台与实体药店主体责任不清晰、对销售处方药和药品质量安全难以有效监管等问题”终止了试点,同时强调无论是网上交易还是门店交易,都必须严格执行凭医师处方销售处方药的规定,释放了网售处方药改革进展缓慢的信号。

虽然药械网售目前受到重重监管,身处凛冬,但也有不少市场分析认为现有的改革迟滞是在为后续突破性的互联网药械销售改革进行准备,网售药械的春天也可能就在不远的将来。

  • 冰与火的再碰撞

技术的进步正在不断塑造着医药企业的经营模式。我们在本文中所提示的问题仅是针对目前我们所接触到的部分移动医疗市场活动;由于医药企业参与移动医疗活动涉及医药健康以及网络通信等敏感领域,受到政府部门的多种监管,面对快速发展的技术和更新的商业模式,既有监管手段往往会因为更新的迟滞给市场主体带来挑战,相应的我们理解移动医疗领域将来有可能会有更多的法律问题浮出水面,冰与火也将可能会有更加剧烈的碰撞。对此,我们提请相关医药企业防范相关法律风险,我们也将不断对此予以关注。值得乐观的是,这种碰撞背后蕴含的是生机勃勃的创新力量和广阔的市场空间,也可能正在孕育着下一个伟大的企业。

注释:

[1]国务院于 2014年3月7日公布,2014年6月1日实施。

[2]包括:(一)疾病的诊断、预防、监护、治疗或者缓解;(二)损伤的诊断、监护、治疗、缓解或者功能补偿;(三)生理结构或者生理过程的检验、替代、调节或者支持;(四)生命的支持或者维持;(五)妊娠控制;(六)通过对来自人体的样本进行检查,为医疗或者诊断目的提供信息等。

[3] 即General Wellness: Policy for Low Risk Devices—Guidance for Industry and Food and Drug Administration Staff, 该指引草案发布于2015年1月20日。

[4] 据统计,2013年在中国进行医疗器械产品注册的可穿戴或便携式健康检测设备约为5项,而这一数据在2014年、2015年和2016年分别快速增长到了14项、15项和20项。

[5] 参见全国人民代表大会常务委员会于2015年7月6日发布的《中华人民共和国网络安全法(草案)》、工业和信息化部于2013年7月16日发布并于2013年9月1日实施的《电信和互联网用户个人信息保护规定》、工业和信息化部于2011年12月29日发布并于2012年3月15日实施的《规范互联网信息服务市场秩序若干规定》、国家工商行政管理总局于2015年1月5日发布并于2015年3月15日实施的《侵害消费者权益行为处罚办法》以及其他相关法律法规。

[6] 国家卫计委于2014年5月5日发布并实施。

[7]见国家卫计委网站:http://www.nhfpc.gov.cn/zhuzhan/zcjd/201405/9992e411fff04a95b03caeda31794c 7d.shtml,2014年5月13日发布。

[8] 国家卫计委和国家中医药管理局于2013年11月20日发布并于2014年1月1日实施。

[9] 原卫生部于2010年2月22日发布并于2010年4月1日实施。

[10] 国家中医药管理局于2010年4月21日发布并于2010年5月1日实施。

[11] 原国家食品药品监督管理局于2004年7月8日发布并实施。

[12] 国务院于2000年9月25日实施并于2011年1月8日修订。

[13] 包括(一)按照“后台实名、前台自愿”的原则,对注册用户进行基于移动电话号码等真实身份信息认证。(二)建立健全用户信息安全保护机制,收集、使用用户个人信息应当遵循合法、正当、必要的原则,明示收集使用信息的目的、方式和范围,并经用户同意。(三)建立健全信息内容审核管理机制,对发布违法违规信息内容的,视情采取警示、限制功能、暂停更新、关闭账号等处置措施,保存记录并向有关主管部门报告。(四)依法保障用户在安装或使用过程中的知情权和选择权,未向用户明示并经用户同意,不得开启收集地理位置、读取通讯录、使用摄像头、启用录音等功能,不得开启与服务无关的功能,不得捆绑安装无关应用程序。(五)尊重和保护知识产权,不得制作、发布侵犯他人知识产权的应用程序。(六)记录用户日志信息,并保存六十日。

[14]原国家食品药品监督管理局于2005年9月20日发布于2005年12月1日实施。

[15] 原卫生部于2007年2月14日发布并于2007年5月1日实施