互联网医疗健康服务管理规范

互联网医疗健康服务管理规范第1章总则1.1适用范围本规范适用于互联网医疗健康服务的提供与管理，涵盖线上诊疗、健康管理、药品配送、健康咨询等服务活动。适用于依法设立的互联网医疗健康服务平台、医疗机构、医药企业及相关机构。本规范适用于互联网医疗健康服务在中华人民共和国境内的应用与管理。本规范适用于服务提供方、监管部门及第三方服务机构在服务全生命周期中的管理活动。本规范适用于服务过程中涉及的数据安全、隐私保护、服务质量、合规性等关键环节的管理要求。1.2规范依据本规范依据《中华人民共和国网络安全法》《互联网信息服务管理办法》《医疗保障基金使用监督管理条例》等法律法规制定。依据《国家卫生健康委员会关于推进互联网医疗健康服务发展的指导意见》《互联网医疗健康服务规范（试行）》等相关政策文件。参考《健康中国2030规划纲要》《“健康中国2030”规划纲要实施工作要点》等国家重大战略部署。依据《互联网医疗健康服务数据安全规范》《互联网医疗健康服务信息交换规范》等行业标准。本规范结合近年来互联网医疗健康服务发展的实际需求，结合国内外先进经验进行制定。1.3服务管理原则本规范坚持“安全第一、服务优先、规范管理、创新发展”的原则。服务提供方应遵循“以人为本、数据驱动、服务优化、风险可控”的服务管理理念。服务管理应以患者为中心，确保服务过程符合医疗安全、服务质量、患者权益等核心要求。服务管理应注重服务全过程的可追溯性与可审计性，确保服务行为的合法性与合规性。服务管理应建立服务反馈机制，持续优化服务流程，提升服务效率与患者满意度。1.4服务提供主体的具体内容服务提供主体应具备合法资质，包括医疗机构、互联网医疗平台、医药企业等，需取得相关执业许可或备案。服务提供主体应具备相应的技术能力，包括数据安全、系统稳定性、用户隐私保护等技术保障能力。服务提供主体应建立完善的管理制度，包括服务流程、用户协议、数据管理、投诉处理等制度体系。服务提供主体应定期开展服务评估与改进，确保服务符合规范要求并持续优化服务质量。服务提供主体应接受监管部门的监督检查，确保服务行为符合法律法规及行业规范要求。第2章服务内容与标准1.1服务项目分类服务项目应按照《互联网医疗健康服务管理规范》（国家卫生健康委员会，2021）中规定的分类标准进行划分，包括但不限于在线问诊、远程会诊、健康评估、慢性病管理、心理健康服务、药品配送、医疗影像解读等。服务项目需遵循“标准化、模块化、可扩展”的原则，确保不同医疗机构和平台间的服务内容具备可比性和兼容性。服务项目应按照服务性质分为基础服务、增值服务和特色服务，其中基础服务包括在线问诊、健康信息管理等，增值服务则涉及个性化健康咨询、智能诊断等。服务项目需结合国家医保局发布的《互联网诊疗服务医保支付管理办法》（2022）要求，明确服务内容与医保支付的对应关系，确保服务可报销、可追溯。服务项目应通过国家医疗保障局备案，确保其合规性与可持续性，避免因政策变化导致服务内容的变动。1.2服务内容规范服务内容应依据《互联网医疗健康服务管理规范》中“服务内容应符合医疗安全与患者权益保障要求”的原则，确保服务内容不涉及医疗风险，如不进行实际诊疗操作，仅提供健康信息咨询。服务内容需遵循“知情同意”原则，患者在接受服务前应明确知晓服务内容、风险及隐私保护措施，确保信息透明、自愿参与。服务内容应涵盖服务流程、服务对象、服务时间、服务方式等关键要素，确保服务内容具备可操作性和可评估性。服务内容应结合《互联网医疗健康服务数据安全规范》（GB/T35273-2020）要求，确保数据传输、存储、使用符合国家信息安全标准。服务内容应通过第三方评估机构进行审核，确保其符合行业规范，避免因服务内容不规范导致的法律风险。1.3服务质量标准服务质量应符合《互联网医疗健康服务管理规范》中“服务质量应以患者满意度为核心指标”的要求，通过患者反馈、服务评价、服务记录等多维度进行评估。服务质量标准应包括服务响应时间、服务准确率、服务满意度、服务完整性等关键指标，确保服务内容的高效、精准与可靠。服务质量标准应依据《互联网医疗健康服务评价体系》（国家卫健委，2020）制定，明确服务内容的评价维度与评分标准，确保评价体系科学、公正。服务质量应通过第三方机构进行定期评估，确保服务内容持续符合行业规范，避免因服务质量下降而影响患者信任。服务质量标准应结合《互联网医疗健康服务人员培训规范》（国家卫健委，2021）要求，确保服务人员具备必要的专业能力与服务意识。1.4服务流程管理的具体内容服务流程应遵循“需求识别—服务匹配—服务提供—服务反馈—服务优化”的闭环管理模式，确保服务流程的连贯性与可追溯性。服务流程应结合《互联网医疗健康服务流程管理规范》（国家卫健委，2022）要求，明确服务流程中的各环节责任人、时间节点与操作规范。服务流程应通过信息化系统进行管理，确保服务流程的可视化、可监控与可追溯，提升服务效率与透明度。服务流程应设置服务流程优化机制，定期收集患者反馈与服务数据，持续改进服务流程，提升服务体验。服务流程应符合《互联网医疗健康服务人员操作规范》（国家卫健委，2021）要求，确保服务流程中的操作符合医疗安全与患者权益保护标准。第3章信息安全管理1.1信息安全制度信息安全制度应依据《信息安全技术个人信息安全规范》（GB/T35273-2020）建立，明确信息分类、访问控制、数据生命周期管理等核心内容，确保信息处理全过程符合安全要求。企业应建立信息安全管理体系（InformationSecurityManagementSystem,ISMS），遵循ISO/IEC27001标准，定期开展风险评估与安全审计，形成闭环管理机制。信息安全制度需涵盖组织架构、职责分工、培训机制、应急响应等要素，确保全员参与，形成“防、控、管、评”一体化管理格局。依据《网络安全法》及相关法规，企业应建立数据分类分级制度，明确敏感信息、普通信息的保护级别与处理流程，防止信息泄露或滥用。信息安全制度应结合企业实际业务场景，制定符合行业特点的实施细则，如医疗数据的分级存储与使用规范，确保制度落地执行。1.2数据保护措施数据保护措施应采用加密技术，如AES-256对敏感信息进行传输与存储加密，确保数据在传输过程中不被窃取或篡改。企业应建立数据备份与恢复机制，依据《信息安全技术数据备份与恢复规范》（GB/T35114-2019）制定备份策略，确保数据在灾难发生时可快速恢复。数据访问应采用最小权限原则，依据《信息安全技术信息处理与存储安全指南》（GB/T35114-2019）设置用户权限，防止越权访问。企业应定期开展数据安全检查，利用日志审计工具监控数据流动，识别异常行为，降低数据泄露风险。采用区块链技术对医疗数据进行分布式存储与权限管理，确保数据不可篡改且可追溯，提升数据可信度与安全性。1.3信息访问权限信息访问权限应遵循“权限最小化”原则，依据《信息安全技术信息分类与等级保护指南》（GB/T22239-2019）设定用户角色与权限，避免权限滥用。企业应采用多因素认证（MFA）技术，如生物识别、动态验证码等，提升用户身份验证的安全性，防止非法登录。信息访问应通过统一身份认证平台进行，确保用户身份唯一性与访问控制的一致性，避免跨系统权限混用。依据《个人信息保护法》及相关法规，医疗信息访问需经授权审批，确保仅授权人员可访问敏感信息，防止信息外泄。企业应定期更新权限策略，根据业务变化调整权限配置，确保权限与业务需求匹配，降低权限失控风险。1.4信息安全事件处理的具体内容信息安全事件处理应遵循《信息安全事件分类分级指南》（GB/Z20986-2019），根据事件类型（如数据泄露、系统入侵等）制定响应预案，明确处理流程与责任分工。事件发生后，应立即启动应急响应机制，依据《信息安全事件应急处理指南》（GB/T22239-2019）进行信息通报、损失评估与初步处置。事件调查应由独立团队开展，依据《信息安全事件调查规范》（GB/T35114-2019）收集证据，分析事件成因并提出改进建议。事件修复后，应进行复盘与总结，依据《信息安全事件管理指南》（GB/T35114-2019）评估事件影响，优化安全措施。企业应建立信息安全事件报告与处理的闭环机制，确保事件得到及时响应与有效控制，防止类似事件再次发生。第4章医疗服务监管4.1监管机构职责根据《互联网医疗健康服务管理规范》，国家卫生健康委员会（国家卫健委）是互联网医疗健康服务的主要监管机构，负责制定相关政策、标准和监管框架，确保医疗服务的合规性与安全性。监管机构还联合国家药监局、市场监管总局等多部门，构建跨部门协同监管机制，形成“属地管理、分级监管”的责任体系。通过信息化手段，监管机构能够实时监测医疗数据，如患者信息、诊疗记录、药品使用等，提升监管效率与精准度。监管机构定期开展专项检查，对互联网医疗平台、医疗机构及从业人员进行资质审核与合规性评估，确保服务提供者具备相应资质。依据《互联网医疗健康服务监督管理办法》，监管机构有权对违反规定的行为进行行政处罚，包括责令整改、暂停服务、吊销执照等。4.2医疗服务监督机制建立“事前审批、事中监管、事后追溯”的全过程监管机制，确保医疗服务从准入到运行的各个环节均受控。采用“双随机一公开”监管模式，随机抽取机构和人员进行检查，结果公开透明，增强社会监督力度。引入第三方机构进行服务质量评估，提高监管的独立性和客观性，减少主观偏差。建立医疗数据共享平台，实现医疗机构与监管机构之间的信息互通，提升监管效率。通过大数据分析，识别高风险机构和行为，实现精准监管，降低监管成本与风险。4.3服务质量评估服务质量评估采用“多维度评价法”，涵盖患者满意度、诊疗质量、信息安全、服务响应等关键指标。依据《医疗服务质量评价标准》，评估内容包括诊疗流程、医患沟通、医疗技术应用等，确保服务符合医疗规范。评估结果纳入医疗机构年度考核，作为评优评先、资源配置的重要依据。引入患者反馈机制，通过在线评价系统收集患者意见，提升服务体验与满意度。评估过程中需结合临床数据与服务记录，确保评估结果科学、客观、可追溯。4.4监管措施与处罚的具体内容对违反《互联网医疗健康服务管理规范》的行为，监管机构可采取责令改正、通报批评、暂停服务等措施。对情节严重、屡次违规的机构，可依法吊销《医疗机构执业许可证》或暂停互联网医疗平台运营资格。对从业人员，可依据《执业医师法》进行行政处罚，包括暂停执业、罚款等。对涉及患者隐私泄露、虚假宣传、非法诊疗等行为，可追究相关责任人的法律责任。监管机构应定期发布监管通报，公布违规案例及处理结果，增强社会监督与警示作用。第5章服务提供与运营5.1服务提供主体资格服务提供主体应具备合法的医疗机构资质，包括《医疗机构执业许可证》及《互联网医疗保健服务许可证》等，确保其具备开展互联网医疗健康服务的法定资格。根据《互联网医疗健康服务管理规范》（GB/T38533-2020），医疗机构需通过国家卫生健康委员会的准入审核，方可开展线上医疗服务。服务提供主体应具备相应的技术能力，包括但不限于电子病历系统、远程会诊平台、在线问诊系统等，确保服务流程符合国家信息安全标准，保障患者隐私和数据安全。服务机构应建立完善的管理制度，包括服务流程、质量控制、投诉处理等，确保服务提供过程的规范化与透明化。根据《互联网医疗健康服务管理规范》（GB/T38533-2020），服务机构应定期开展服务评估与改进，提升服务质量。服务提供主体应具备良好的信誉与社会责任感，遵守国家相关法律法规，不得从事虚假宣传、违规收费等行为。根据《互联网医疗健康服务管理规范》（GB/T38533-2020），服务机构需定期接受监管机构的监督检查，并公开服务信息，接受社会监督。服务提供主体应具备相应的人员资质，包括执业医师、护士、药师等专业人员，确保其具备开展互联网医疗服务所需的执业资格与专业能力。根据《互联网医疗健康服务管理规范》（GB/T38533-2020），从业人员需定期接受继续教育与考核，确保服务专业性与安全性。5.2服务运营规范服务运营应遵循国家关于互联网医疗健康服务的政策法规，包括《互联网医疗健康服务管理规范》（GB/T38533-2020）及相关法律法规，确保服务内容合法合规。服务运营应建立标准化的服务流程，涵盖预约挂号、问诊咨询、诊疗记录、药品配送等环节，确保服务流程顺畅、高效。根据《互联网医疗健康服务管理规范》（GB/T38533-2020），服务流程应符合国家医疗服务质量标准，提升患者满意度。服务运营应建立完善的患者信息管理机制，包括患者身份认证、电子病历管理、隐私保护等，确保患者信息的安全与合规使用。根据《互联网医疗健康服务管理规范》（GB/T38533-2020），患者信息应严格遵循《个人信息保护法》的要求，确保数据安全。服务运营应建立服务质量监控体系，包括服务满意度调查、服务过程记录、服务反馈机制等，确保服务持续改进。根据《互联网医疗健康服务管理规范》（GB/T38533-2020），服务机构应定期开展服务质量评估，提升服务效率与患者体验。服务运营应建立应急预案，包括网络故障、系统崩溃、数据泄露等突发事件的应对机制，确保服务的连续性与稳定性。根据《互联网医疗健康服务管理规范》（GB/T38533-2020），服务机构应定期进行应急演练，提升突发事件的应对能力。5.3服务人员管理服务人员应具备相应的执业资格与专业技能，包括执业医师、护士、药师等，确保其具备开展互联网医疗服务所需的资质与能力。根据《互联网医疗健康服务管理规范》（GB/T38533-2020），从业人员需定期接受继续教育与考核，确保专业能力持续提升。服务人员应接受职业道德与法律法规培训，确保其在服务过程中遵守医疗伦理与职业规范，避免违规操作。根据《互联网医疗健康服务管理规范》（GB/T38533-2020），服务机构应定期开展职业道德教育，提升服务人员的职业素养。服务人员应建立完善的绩效考核与激励机制，确保服务质量和效率的提升。根据《互联网医疗健康服务管理规范》（GB/T38533-2020），服务机构应制定科学的绩效考核标准，激励服务人员不断提升服务水平。服务人员应定期接受健康体检与职业培训，确保其身心健康与专业能力的持续提升。根据《互联网医疗健康服务管理规范》（GB/T38533-2020），服务机构应为服务人员提供必要的职业保障与健康支持。服务人员应建立良好的沟通与协作机制，确保服务过程中的信息传递与协调顺畅。根据《互联网医疗健康服务管理规范》（GB/T38533-2020），服务机构应加强服务人员的团队建设，提升整体服务效率与患者满意度。5.4服务设施与设备的具体内容服务设施应具备完善的医疗设备与信息化系统，包括电子病历系统、远程会诊系统、在线问诊系统等，确保服务过程的高效与安全。根据《互联网医疗健康服务管理规范》（GB/T38533-2020），服务机构应配备符合国家医疗设备标准的设备，确保服务质量和安全。服务设施应具备良好的网络环境与信息安全保障，包括高速稳定的网络连接、数据加密传输、用户身份认证等，确保服务过程中的数据安全与隐私保护。根据《互联网医疗健康服务管理规范》（GB/T38533-2020），服务机构应建立完善的信息安全体系，保障患者数据安全。服务设施应具备合理的空间布局与功能分区，包括诊室、候诊区、药品库房、信息中心等，确保服务流程的顺畅与患者体验的舒适性。根据《互联网医疗健康服务管理规范》（GB/T38533-2020），服务机构应根据服务需求合理规划空间布局，提升服务效率与患者满意度。服务设施应具备必要的辅助设备，如智能终端、自助服务终端、电子显示屏等，确保服务过程的便捷性与信息化水平。根据《互联网医疗健康服务管理规范》（GB/T38533-2020），服务机构应配备符合国家标准的辅助设备，提升服务的智能化与便捷性。服务设施应定期进行维护与升级，确保设备的正常运行与功能的持续优化。根据《互联网医疗健康服务管理规范》（GB/T38533-2020），服务机构应制定设备维护计划，定期进行设备检查与保养，保障服务的稳定与高效运行。第6章服务评价与反馈6.1服务评价机制服务评价机制应遵循PDCA循环（Plan-Do-Check-Act）原则，通过定量与定性相结合的方式，全面评估互联网医疗健康服务的完整性、有效性与持续性。评价内容应涵盖服务流程、技术应用、用户满意度、数据安全与隐私保护等多个维度，确保评价体系具有科学性与可操作性。依据《互联网医疗健康服务管理规范》（GB/T38296-2020），服务评价应采用多维度指标体系，包括服务响应时间、服务覆盖率、用户反馈率等关键指标。评价结果需通过数据统计与专家评审相结合的方式，确保评价的客观性与权威性，避免主观臆断。服务评价应建立动态反馈机制，定期更新评价标准与指标，以适应互联网医疗健康服务快速发展的需求。6.2服务反馈流程服务反馈流程应涵盖用户投诉、满意度调查、服务评价报告等环节，确保用户意见能够及时收集与处理。服务反馈可通过在线平台、电话、邮件等多种渠道实现，确保反馈渠道的多样性和便捷性。依据《互联网医疗健康服务管理规范》（GB/T38296-2020），服务反馈应建立三级响应机制，即即时响应、跟踪处理、结果反馈。服务反馈需在24小时内完成初步响应，并在72小时内完成处理结果反馈，确保用户知情权与满意度。服务反馈应形成闭环管理，通过数据分析与用户反馈分析，持续优化服务流程与服务质量。6.3评价结果应用评价结果应作为服务改进的重要依据，用于制定服务优化方案与资源配置计划。依据《互联网医疗健康服务管理规范》（GB/T38296-2020），评价结果应与绩效考核、奖惩机制挂钩，提升服务提供者的积极性。评价结果应用需结合大数据分析技术，实现精准服务优化，提升服务效率与用户体验。评价结果应定期向监管部门、用户及服务提供者反馈，确保信息透明与公众监督。评价结果应用应建立持续改进机制，通过定期复盘与调整，确保服务评价体系的科学性与实用性。6.4服务改进措施的具体内容服务改进措施应基于评价结果，制定具体的优化方案，包括技术升级、流程优化、人员培训等。依据《互联网医疗健康服务管理规范》（GB/T38296-2020），服务改进应注重用户体验，提升服务便捷性与安全性。服务改进措施应结合用户反馈数据，采用数据驱动的方式，实现精准改进与动态优化。服务改进措施应纳入绩效考核体系，确保改进措施的落实与持续性。服务改进措施应定期评估与调整，确保服务改进的有效性与可持续性，提升整体服务质量。第7章服务终止与退出7.1服务终止条件根据《互联网医疗健康服务管理规范》（GB/T42834-2023），服务终止需遵循合法合规原则，包括但不限于服务功能终止、服务内容变更、服务主体变更或服务协议到期等情况。服务终止应基于服务协议中明确约定的条件，如服务期限届满、服务内容不满足用户需求、服务方无法持续提供服务等。根据《医疗信息化服务规范》（GB/T38644-2020），服务终止需确保用户数据安全与隐私保护，防止数据泄露或滥用。服务终止前应进行风险评估，确保服务终止不会对用户健康、医疗安全或数据安全造成重大影响。服务终止需提前通知用户，并提供退出指引，确保用户在退出过程中获得必要的支持与协助。7.2退出程序服务退出程序应遵循服务协议中规定的流程，包括用户确认退出、服务方确认终止、数据迁移或归档等步骤。根据《互联网医疗健康服务管理规范》（GB/T42834-2023），退出程序应确保用户数据的完整性与安全性，防止数据丢失或误操作。退出程序应通过用户可操作的渠道（如APP、客服等）进行，确保用户能够清晰了解退出流程及后续服务安排。服务方应建立退出管理机制，包括退出记录、用户反馈处理、服务终止后的数据备份等环节。退出程序应结合用户隐私保护要求，确保用户数据在退出后得到妥善处理，避免数据滥用或泄露。7.3退出后处理退出后，服务方应完成用户数据的归档、删除或匿名化处理，确保数据符合《个人信息保护法》（2021）相关规定。根据《医疗信息化服务规范》（GB/T38644-2020），退出后应建立用户反馈机制，收集用户对服务终止的评价与建议。服务方应提供退出后的服务替代方案，如转介至其他医疗服务平台、提供健康咨询或健康档案迁移服务等。退出后应建立用户档案管理机制，确保用户信息在退出后仍能被合法调取与使用，避免信息滥用。退出后应定期进行服务评估，分析服务终止对用户健康、服务效果及数据安全的影响，并据此优化服务管理策略。7.4服务终止影响的具体内容服务终止可能影响用户的健康监测、诊疗建议、用药指导等核心服务功能，需评估其对用户健康状况的影响。根据《互联网医疗健康服务管理规范》（GB/T42834-2023），服务终止可能引发用户对服务连续性的担忧，需通过沟通与补偿措施缓解用户焦虑。服务终止可能影响医疗机构与平台之间的数据共享与协作，需确保数据迁移或归档的顺利进行。服务终止可能对用户心理健康产生影响，如产生信任危机或对医疗服务质量的质疑，需通过后续服务优化加以应对。服务终止后，需对服务终止的合理性、执行过程及用户反馈进行总结，为后续服务优化提供依据。第8章附则1.1规范解释权本规范的解释权归属于国家卫生健康委员会，负责对规范内容进行最终的法律解释和政策指导，确保其与国家医疗政策和法律法规保持一致。根据《医疗服务质量评估规范》（GB/T31147-2014）的相关规定，规范的解释应遵循“以本为本、以法为据、以实为准”的原则，确保术语和定义的准确性。在规