互联网医疗信息服务管理办法

互联网医疗信息服务管理办法第1章总则1.1适用范围本办法适用于在中国境内提供互联网医疗信息服务的机构及个人，包括但不限于在线问诊、健康管理、药品配送、医疗咨询等服务。依据《中华人民共和国网络安全法》《互联网信息服务管理办法》《中华人民共和国中医药法》等相关法律法规制定本办法，确保互联网医疗信息服务的合法合规运行。本办法适用于依法设立的互联网医疗服务平台、医疗健康机构、医药企业及相关服务提供者。互联网医疗信息服务需遵守国家关于医疗数据安全、隐私保护、医疗质量监管等政策要求，确保服务内容符合医疗行业规范。本办法适用于医疗数据的采集、存储、传输、使用及销毁等全过程，确保数据安全与合规性。1.2法律依据本办法依据《中华人民共和国网络安全法》《互联网信息服务管理办法》《中华人民共和国中医药法》《个人信息保护法》《数据安全法》等法律法规制定。依据《互联网诊疗管理办法》《互联网医疗健康服务规范》等国家医疗信息化标准，确保互联网医疗信息服务符合医疗服务质量与安全要求。本办法引用《医疗数据安全分级保护规范》《医疗数据分类分级管理指南》等技术标准，明确数据分类与保护措施。依据《医疗信息化建设与应用指南》《互联网医疗健康服务基本规范》等政策文件，规范互联网医疗信息服务的运行流程与技术架构。本办法的制定与实施，旨在保障互联网医疗信息服务的合法、安全、有序发展，促进医疗资源的合理配置与高效利用。1.3服务内容与规范互联网医疗信息服务应提供基于真实医疗数据的在线问诊、健康评估、慢性病管理、远程会诊等服务，确保服务内容符合《互联网诊疗管理办法》要求。服务内容应严格遵循《互联网医疗健康服务基本规范》《医疗数据安全分级保护规范》等技术标准，确保服务内容的科学性与合规性。互联网医疗信息服务需提供医疗风险告知、医疗行为规范、医疗责任界定等制度保障，确保服务过程符合医疗伦理与法律规范。服务内容应建立医疗服务质量评估机制，定期开展服务效果评估与改进，确保服务质量持续提升。服务内容应明确用户隐私保护措施，确保用户个人信息安全，符合《个人信息保护法》《数据安全法》相关规定。1.4信息安全保障的具体内容互联网医疗信息服务应建立信息安全管理体系，遵循《信息安全技术个人信息安全规范》《信息安全技术信息系统安全等级保护基本要求》等标准。信息系统的数据采集、存储、传输、处理等环节应采用加密技术、访问控制、审计日志等安全措施，确保数据不被非法访问或篡改。信息系统的安全防护应符合《医疗数据安全分级保护规范》要求，确保医疗数据在传输和存储过程中的安全性。信息安全保障应包括数据备份与恢复机制，确保在发生安全事故时能够快速恢复服务，保障用户数据安全。信息安全保障应建立应急响应机制，制定信息安全事件应急预案，确保在发生数据泄露、系统故障等事件时能够及时处理，减少损失。第2章服务提供与管理1.1服务主体资格互联网医疗信息服务提供者须依法取得《互联网信息服务许可证》，并符合《网络信息内容生态治理规定》中关于平台内容管理的要求，确保服务内容符合国家相关法律法规。服务主体需具备相应的医疗专业资质，如执业医师资格、医疗机构执业许可证等，确保所提供服务具备医疗专业性。根据《互联网诊疗管理办法》，提供在线问诊、健康咨询等服务的机构需具备独立法人资格，并具备完善的医疗保障体系。服务主体需建立完善的内部管理制度，包括信息安全管理、用户隐私保护、投诉处理机制等，确保服务过程合规合法。根据《互联网医疗健康服务规范》（GB/T38534-2020），服务主体需定期进行合规性审查，确保其服务内容与国家政策保持一致。1.2服务内容与流程互联网医疗信息服务应涵盖在线问诊、健康咨询、慢性病管理、远程会诊等核心服务内容，符合《互联网诊疗管理办法》中规定的服务范围。服务流程需遵循“用户注册—信息验证—服务接入—服务交互—结果反馈”等标准化流程，确保服务过程透明、可追溯。服务内容应遵循“安全、合法、合规”的原则，不得提供未经审批的医疗行为，如处方开具、药品销售等。服务流程中应设置用户隐私保护机制，确保用户个人信息安全，符合《个人信息保护法》相关规定。根据《互联网医疗健康服务规范》，服务内容应定期评估并优化，确保服务质量和用户体验持续提升。1.3服务人员管理服务人员需具备相应的医疗执业资格，如执业医师资格、护士执业资格等，确保服务专业性。服务人员需接受定期培训与考核，确保其掌握最新的医疗知识与技术，符合《互联网诊疗管理办法》中关于从业人员资质要求。服务人员需遵守职业道德规范，不得参与医疗广告宣传、虚假诊疗等违规行为。服务人员应建立服务记录与反馈机制，确保服务过程可追溯，符合《互联网医疗健康服务规范》中关于服务记录的要求。根据《互联网诊疗管理办法》，服务人员需定期参加继续教育，提升专业能力，确保服务持续符合医疗行业标准。1.4服务数据管理的具体内容服务数据需遵循《数据安全法》和《个人信息保护法》，确保数据采集、存储、传输、使用全过程符合安全规范。服务数据应采用加密技术进行存储与传输，防止数据泄露或篡改，确保用户隐私安全。服务数据需建立数据分类与分级管理制度，明确不同数据的访问权限与使用范围，确保数据安全可控。服务数据应定期备份与归档，确保在发生数据丢失或损坏时能够快速恢复，符合《信息系统安全等级保护管理办法》要求。根据《互联网医疗健康服务规范》，服务数据应建立数据使用审计机制，确保数据使用符合医疗合规要求。第3章信息服务与内容规范1.1信息服务标准信息服务应遵循《互联网信息服务管理办法》及《网络信息内容生态治理规定》等法规要求，确保服务内容符合国家相关标准。信息服务需满足《信息技术服务标准》（ITSS）中对服务质量、安全性和可用性的具体要求，包括数据处理、用户隐私保护及系统稳定性。信息服务应采用符合《信息安全技术个人信息安全规范》（GB/T35273-2020）的加密传输与存储机制，确保用户数据安全。信息服务需符合《互联网信息服务业务经营许可管理规定》中对服务内容、用户权限及服务期限的明确要求。信息服务应建立服务质量评估体系，定期进行用户满意度调查与服务效果分析，确保持续优化服务质量。1.2内容审核机制内容审核应遵循《网络信息内容生态治理规定》中关于“内容分级管理”和“分类审核”的原则，对医疗信息进行科学分类与分级管理。内容审核需采用“三级审核制”，即内容提供者、平台审核员及监管部门三级联动，确保内容符合法律法规和行业标准。内容审核应依据《互联网信息服务业务标准》中的内容审核流程，结合《医疗信息内容审核规范》（WS/T6345-2021）进行内容筛查与风险评估。内容审核应建立自动化与人工审核相结合的机制，利用自然语言处理（NLP）技术进行关键词识别与内容分类，提高审核效率与准确性。内容审核需定期更新审核规则，结合最新法律法规与行业动态，确保审核机制的时效性与适应性。1.3信息真实性与准确性信息真实性应符合《网络信息内容生态治理规定》中关于“真实、准确、合法、正当”的原则，确保医疗信息不夸大、不虚假。信息准确性需遵循《医疗信息内容真实性与准确性规范》（WS/T6346-2021），通过数据来源验证、交叉比对与专家审核等方式确保信息的科学性与可靠性。信息真实性与准确性应建立“三级验证机制”，包括内容提供者自检、平台审核与第三方认证，确保信息来源可追溯、内容可验证。信息真实性应结合《互联网信息服务业务标准》中对信息内容的合法性与合规性的要求，避免传播未经证实的医疗信息。信息真实性与准确性需纳入服务质量评估体系，定期开展内容真实性审计，确保信息内容符合医学伦理与科学规范。1.4信息传播与共享的具体内容信息传播应遵循《互联网信息服务业务标准》中关于“信息传播路径”的规定，确保信息传播符合国家网络信息安全与内容监管要求。信息传播应建立“分级传播机制”，根据信息类型、用户权限及传播范围进行分级管理，避免信息扩散至不适宜人群。信息共享应遵循《医疗信息共享与交换规范》（WS/T6347-2021），确保信息在医疗机构、科研机构及公众平台间的安全、高效、合规共享。信息传播应结合《互联网信息服务业务标准》中对信息传播渠道的管理要求，确保信息传播路径清晰、责任明确。信息共享应建立数据安全与隐私保护机制，确保信息在传输与存储过程中符合《个人信息保护法》及《数据安全法》的相关规定。第4章用户权益与责任1.1用户权利保障根据《互联网医疗信息服务管理办法》第15条，用户享有知情权、选择权、监督权和救济权，确保其在使用互联网医疗信息服务时能够获得准确、完整的信息。用户有权对服务内容、服务质量及隐私保护措施提出异议，并可通过合法途径进行申诉或投诉。互联网医疗信息服务提供者应建立用户反馈机制，确保用户在使用过程中能够及时获取响应，并在合理期限内解决其问题。根据《个人信息保护法》第28条，用户有权要求删除其在互联网医疗信息服务中存储的个人健康信息，且不得以任何形式非法收集、使用或泄露用户数据。互联网医疗信息服务应明确告知用户其数据使用范围和方式，并在用户同意后方可收集和处理其个人信息。1.2用户信息保护根据《个人信息保护法》第13条，互联网医疗信息服务应采取技术措施，确保用户健康信息的保密性、完整性及可用性，防止数据泄露或篡改。《健康数据安全规范》（GB/T35273-2020）规定，互联网医疗信息服务应定期进行数据安全评估，确保符合国家相关标准。用户健康信息应仅限于医疗服务所需，不得用于与医疗服务无关的商业用途或第三方共享。根据《数据安全法》第17条，互联网医疗信息服务应建立数据安全管理制度，对用户数据进行分类管理，并定期进行安全演练与应急响应。互联网医疗信息服务应向用户明确告知数据使用范围及处理方式，并提供数据删除的便捷途径。1.3用户投诉处理根据《互联网医疗信息服务管理办法》第16条，用户对服务内容、服务质量、隐私保护等问题可向平台或监管部门提出投诉，平台应自收到投诉之日起7个工作日内作出处理。《消费者权益保护法》第24条明确规定，用户投诉应有明确的处理流程和反馈机制，确保投诉问题得到及时、公正处理。互联网医疗信息服务应设立专门的投诉处理部门，配备专业人员负责受理、调查及反馈，并在处理完成后向用户出具书面回复。根据《消费者投诉处理办法》第12条，用户投诉应通过书面形式提交，平台应确保投诉内容真实、完整，并在规定时间内完成调查与处理。互联网医疗信息服务应建立投诉处理的公开机制，定期公布投诉处理结果，增强用户对服务的信任度。1.4服务责任与义务的具体内容根据《互联网医疗信息服务管理办法》第18条，互联网医疗信息服务提供者应承担用户信息保护、服务质量保障及投诉处理等主体责任，确保服务符合国家相关法律法规。《互联网信息服务管理办法》第14条明确规定，互联网医疗信息服务应遵守“健康第一、安全第一”的原则，确保用户健康信息的安全性和有效性。互联网医疗信息服务提供者应定期开展服务评估，根据用户反馈和监管部门要求，持续优化服务内容与质量，提升用户满意度。根据《数据安全法》第32条，互联网医疗信息服务应建立数据安全管理制度，定期进行安全评估，并向监管部门报送相关报告。互联网医疗信息服务应设立用户服务或在线客服，确保用户在使用过程中能够及时获得帮助，提升用户体验与服务效率。第5章监督与管理5.1监督机构与职责根据《互联网医疗信息服务管理办法》，国家卫生健康委员会是互联网医疗信息服务的主管部门，负责制定相关政策、监督实施及处理相关违规行为。中国互联网络信息中心（CNNIC）承担互联网医疗信息服务的备案、监测与数据统计工作，确保信息内容合规性。各省、市、县三级卫生行政部门负责辖区内互联网医疗信息服务的日常监管，落实属地管理责任。互联网医疗信息服务提供者需设立专门的监管机构或指定专人负责，确保信息内容符合国家法律法规及行业规范。根据《互联网信息服务管理办法》相关规定，互联网医疗信息服务需接受国家网信部门的年度审查与专项检查，确保服务内容合法合规。5.2监督检查与处罚国家网信部门联合卫生健康行政部门对互联网医疗信息服务进行定期和不定期的监督检查，重点核查信息内容真实性、合规性及用户隐私保护情况。对违反《互联网医疗信息服务管理办法》的机构或个人，依据《网络安全法》《个人信息保护法》等法律法规，可处以警告、罚款、暂停服务甚至吊销许可证等处罚。2022年国家网信办通报的100起典型案例显示，违规提供虚假医疗信息的机构被责令整改，严重者被依法查处。监督检查中发现的违规行为，应由相关部门出具书面报告，并纳入信用评价体系，影响企业或个人的资质认证与市场准入。2023年国家卫生健康委发布《互联网医疗信息服务信用管理办法》，明确信用评价标准，强化对违规行为的惩戒力度。5.3服务质量评价互联网医疗信息服务需定期开展服务质量评估，采用用户满意度调查、服务响应时间、信息准确性等指标进行综合评价。根据《互联网信息服务质量评价规范》（GB/T36350-2018），服务质量评价应涵盖服务内容、技术保障、用户支持等方面。服务质量评价结果作为企业信用评级、资质审核及市场准入的重要依据，直接影响其运营与发展。2022年国家卫健委开展的全国互联网医疗信息服务质量评估显示，70%以上机构在信息准确性、服务响应速度等方面表现良好。服务评价结果应公开透明，接受社会监督，确保服务质量提升与公众利益最大化。5.4信用管理与公示的具体内容互联网医疗信息服务提供者需建立信用档案，记录其服务行为、违规记录、用户评价等信息，作为信用评价的基础。信用管理应遵循“公开、公平、公正”原则，通过信用平台公示企业信用等级、违规记录及整改情况。根据《信用信息共享平台建设指南》，信用信息应包括企业基本信息、服务记录、用户反馈等，确保信息真实、准确、完整。信用公示内容应包括企业资质、服务范围、违规记录、整改情况等，接受社会公众查询与监督。2023年国家卫健委发布《互联网医疗信息服务信用管理规范》，明确信用管理应与行业监管、市场准入、社会评价等有机结合，提升行业整体服务水平。第6章附则1.1术语解释本办法所称“互联网医疗信息服务”指通过互联网平台提供医疗健康相关服务的行为，包括但不限于在线问诊、健康咨询、药品配送、医疗数据共享等。根据《互联网医疗健康信息服务管理办法》（2023年修订版）第1条，该定义明确将互联网医疗信息服务界定为“以互联网为载体，提供医疗健康服务的活动”。“医疗数据”指与医疗活动相关的各类信息，包括患者病历、诊疗记录、检验结果、药品使用记录等。根据《医疗数据安全管理规范》（GB/T35295-2019）第3.1条，医疗数据应遵循“安全、合法、有序”原则进行管理。“医疗服务质量”指医疗服务的可靠性、准确性、及时性及患者满意度等指标。根据《医疗服务质量评价标准》（WS/T628-2018）第4.1条，服务质量评价应采用多维度评估方法，包括患者反馈、临床路径执行情况及医疗资源利用效率等。“医疗责任”指医疗行为中因疏忽、过失或违规操作导致的患者损害或后果。根据《医疗纠纷预防与处理条例》第12条，医疗责任应依据《医疗事故处理条例》（2019年修订版）进行认定。本办法所称“互联网医疗信息服务提供者”指依法设立并具备相应资质的互联网医疗健康平台运营企业，应符合《互联网信息服务管理办法》（2016年修订版）第14条关于网络信息服务主体的要求。1.2适用法律与解释权本办法的适用法律依据包括《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》以及《互联网医疗健康信息服务管理办法》（2023年修订版）。根据《网络安全法》第41条，互联网信息服务需遵守国家网络安全相关规定。本办法的解释权属于国家卫生健康委员会，其有权对本办法的适用范围、具体条款进行解释和补充。根据《行政许可法》第25条，行政机关对规章的解释应以规章原文为依据。本办法的实施应遵循“先试点、后推广”的原则，各省、自治区、直辖市可根据本办法制定实施细则。根据《国务院关于促进互联网医疗健康服务发展的若干意见》（国发〔2019〕14号），地方应结合实际情况细化政策。本办法的生效日期为2024年1月1日起施行，自发布之日起生效。根据《行政法规制定程序暂行条例》第15条，行政法规的生效日期应明确标注。本办法的实施过程中，如遇争议，应由国家卫生健康委员会会同相关部门进行协调，必要时可依据《行政复议法》进行复议处理。1.3实施与生效的具体内容本办法实施后，各省级卫生健康行政部门应建立互联网医疗信息服务监管机制，设立专门的监管机构或指定专职人员负责日常监管工作。根据《互联网医疗健康服务监管办法》（2023年修订版）第7条，监管机构应定期开展监督检查。互联网医疗信息服务提供者应按照《互联网信息服务管理办法》（2016年修订版）第14条要求，向所在地省级卫生健康行政部门备案，并提交相关资质证明文件。根据《互联网信息服务管理办法》第16条，备案内容应包括平台运营情况、数据安全措施及用户隐私保护方案。本办法规定互联网医疗信息服务提供者应建立用户数据保护机制，确保用户个人信息安全。根据《个人信息保护法》第24条，用户数据应依法进行分类管理，确保数据使用符合最小必要原则。本办法要求互联网医疗信息服务提供者定期开展数据安全评估，评估内容应包括数据存储、传输、处理等环节的安全性。根据《数据安全法》第27条，数据安全评估应由第三方专业机构进行，评估报告应作为平台运营的重要依据。本办法实施后，各省级卫生健康行政部门应建立互联网医疗信息服务的动态监测机制，对平台运行情况、服务质量及用户反馈进行持续跟踪，并根据监测结果调整监管措施。根据《互联网医疗健康服务监测办法》（2023年修订版）第10条，监测应纳入年度工作计划。第7章附录7.1服务标准与规范本章明确互联网医疗信息服务应遵循《互联网医疗健康信息服务规范》（GB/T38715-2020），确保服务内容符合国家医疗信息化建设标准，涵盖诊疗流程、数据接口、服务协议等核心要素。服务标准应包括服务内容、服务时间、服务范围、服务方式等，确保用户获得稳定、可靠、安全的医疗信息服务，符合《互联网医疗健康服务基本规范》（WS/T663-2018）要求。服务规范需明确服务提供方资质、服务流程、服务承诺、服务监督等，确保服务过程透明、可追溯，符合《互联网医疗健康服务监督管理办法》（国家卫健委令第5号）相关规定。服务标准应结合国家医疗信息化发展规划，参考《国家医疗保障局关于推进互联网医疗健康服务发展的指导意见》（医保发〔2021〕12号）中的服务指标，确保服务内容与国家医疗政策相匹配。服务标准应建立服务质量评估机制，参考《医疗服务质量评价指标体系》（WS/T636-2018），定期开展服务质量检查与改进，提升服务效率与用户满意度。7.2信息安全技术要求互联网医疗信息服务需符合《信息安全技术个人信息安全规范》（GB/T35273-2020），确保用户隐私数据在传输与存储过程中得到有效保护，防止信息泄露与篡改。信息安全管理应遵循《信息安全技术信息安全风险评估规范》（GB/T22239-2019），建立风险评估机制，定期进行安全审计，确保信息系统的安全可控。信息加密技术应采用国密标准，如SM2、SM4等，确保用户数据在传输和存储过程中的安全性，符合《信息安全技术信息交换用密码技术》（GB/T32907-2016）要求。信息访问权限应分级管理，遵循《信息安全技术信息系统权限管理规范》（GB/T35114-2019），确保用户数据访问仅限于授权人员，防止未授权访问与数据滥用。信息安全管理应建立应急响应机制，参考《信息安全技术信息安全事件分类分级指南》（GB/Z20986-2019），确保在发生数据泄露等安全事件时能够及时响应与处理。7.3服务流程图与操作指南服务流程图应包含用户注册、信息查询、诊疗预约、处方开具、药品配送等关键环节，确保流程清晰、逻辑严谨，符合《互联网医疗健康服务流程规范》（WS/T664-2018）要求。操作指南应涵盖用户操作步骤、系统功能说明、常见问题解答等内容，确保用户能够顺利使用服务系统，符合《互联网医疗健康服务操作规范》（WS/T665-2018）标准。操作指南应结合国家医疗信息化建设经验，参考《互联网医疗健康服务用户操作指南》（WS/T666-2018），确保操作流程符合用户实际使用场景，提升服务可及性。操作指南应包含系统登录、数据查询、服务申请、反馈提交等模块，确保用户能够按照规范流程完成各项操作，符合《互联网医疗健康服务用户操作规范》（WS/