引言
互联网、大数据、人工智能等数字技术的创新应用,正快速改变传统医疗服务模式。而数字医疗除了受到传统医疗的法律规制,其数字化的特性还须遵守数据、个人信息保护等合规要求,对于相关领域企业的合规工作提出了挑战。2023年7月26日,中国外商投资企业协会药品研制和开发工作委员会(RDPAC)发布《RDPAC数字医疗合规指南》("《指南》"),《指南》对于制药企业开展数字医疗的场景及相应的合规要求提出了一系列指导意见。本文将对《指南》的适用效力与范围、数字医疗场景、具体合规要求进行简析,为开展数字医疗的制药企业提供参考。
一、适用效力与范围
RDPAC成立于1999年,由包括葛兰素史克、拜耳、中外制药、辉瑞、罗氏等46家全球领先的跨国制药企业组成,隶属于商务部主管的中国外商投资企业协会。RDPAC本次发布的《指南》是向46家会员公司提出的原则性指导意见,不具有强制约束力。但《指南》中提出的指导意见大部分为境内法律和监管要求,会员公司及员工,以及代表会员公司执行工作任务的分包商,如咨询公司或人员、外包的医药代表或公关公司或人员,均应当遵守《指南》意见,根据法律法规要求具体落实合规工作。同时,《指南》也要求会员公司须确保相关供应商或业务合作伙伴遵守《指南》的适用要求。而非会员单位的企业,也可将《指南》作为数字医疗合规工作的风向标之一。
二、数字医疗场景
《指南》规定"数字医疗"包括如下涵义:
(1)数字技术驱动的医疗解决方案,例如移动医疗(mHealth),以及可利用数字化数据的各类技术(例如,数据科学与人工智能(AI)技术),包括可穿戴设备及医疗器械独立软件(SaMD);
(2)远程医疗,即基于数据(包括通过电信系统传输的语音和图像、文件及其他信息等)实施医疗干预、提供诊疗决策与建议的远距离医疗活动;以及
(3)使用数字技术提供健康与医疗卫生服务及相关信息,包括使用数字化工具与医疗卫生专业人士(HCP)及患者进行互动。
此外,《指南》列举了与医患人员(医疗卫生专业人士及患者)互动场景下的常见数字化活动。其中大部分场景指向医疗健康领域下的商业行为,即强调使用数字化工具这一行为,而非数字化工具或数字医疗产品本身,如虚拟医学教育活动、医患互动(非诊断行为)、医药产品宣传和制药企业与互联网医院/电商零售药店合作,对运营数字医疗产品(DTx Product)并未太多涉及。
这意味着《指南》很大程度上并未详细讨论数字医疗产品的注册与审批问题。但《指南》也表示若某一数字化活动具有高法律风险或监管合规风险,RDPAC将针对该类数字化活动制定专题指南。
与医患人员互动场景下的常见数字化活动详细内容梳理如下:
三、具体合规要求
《指南》中提出的合规要求,可以总结为医药领域常见合规风险点在数字医疗场景下的体现,以及数字医疗自身数字化特征所应遵守的合规义务。二者可以概括为数字医疗的医疗合规要求和数字医疗的数据合规要求,重点如下:
(一)数字医疗的医疗合规要求
1. 医疗广告/宣传
《指南》第三部分第2条规定,向医患人员传达所有信息均可能构成中国《反不正当竞争法》"商业宣传",故不得虚假或有误导性。该条是对于法律规定的虚假宣传的响应。根据《反不正当竞争法》第8条规定:"经营者不得对其商品的性能、功能、质量、销售状况、用户评价、曾获荣誉等作虚假或者引人误解的商业宣传,欺骗、误导消费者。经营者不得通过组织虚假交易等方式,帮助其他经营者进行虚假或者引人误解的商业宣传。"通过数字平台传播信息,企业应当注意药品信息的真实性和准确性,应当有相关人员负责对于企业数字平台的传播信息(文字、图片、录像、录音等)进行审核。
此外,《指南》第三部分第3条规定,在任何情况下均不得通过任何数字平台,对其药品进行超说明书推广。根据《药品、医疗器械、保健食品、特殊医学用途配方食品广告审查管理暂行办法》("《广告审查管理暂行办法》")第5条第一款规定:"药品广告的内容应当以国务院药品监督管理部门核准的说明书为准。药品广告涉及药品名称、药品适应症或者功能主治、药理作用等内容的,不得超出说明书范围。"企业在数字平台对药品推广时,不得夸大药品的功效。尤其对于相关直播人员,应当做好推广前培训。若存在超说明书的信息,不得作为推广信息,仅能够作为科学及医学知识分享或研究的用途。
《指南》第三部分第4条规定,不得使用其数字平台发布直接面向消费者的(DTC)处方药广告;非处方药、医疗器械及医疗广告必须在获得相关监管机构的批准后才能发布,通过数字平台发布也不例外。根据《广告法》第15条规定:"麻醉药品、精神药品、医疗用毒性药品、放射性药品等特殊药品,药品类易制毒化学品,以及戒毒治疗的药品、医疗器械和治疗方法,不得作广告。前款规定以外的处方药,只能在国务院卫生行政部门和国务院药品监督管理部门共同指定的医学、药学专业刊物上作广告。"《互联网广告管理办法》第7条第1款规定:"发布医疗、药品、医疗器械、农药、兽药、保健食品、特殊医学用途配方食品广告等法律、行政法规规定应当进行审查的广告,应当在发布前由广告审查机关对广告内容进行审查;未经审查,不得发布。"可见,我国对于医疗、药品等广告有严格的审核标准,而数字平台不得作为处方药广告的发布平台,故企业利用数字平台推广的,不得发布处方药;其非处方药、医疗器械及医疗广告应当根据《广告审查管理暂行办法》先交由市场监督管理局/药监局审查。
2. 反商业贿赂
近年来,国家在医疗腐败问题采取高压严打的态势,《指南》第三部分第5条规定,不得借助数字化工具上的活动不当影响医疗卫生专业人士的处方决定。第7条规定,如果会员公司就任何人士(尤其是医疗卫生专业人士)通过数字化工具提供的服务向其支付服务费,则在付费前,会员公司应确保医疗卫生专业人士已按预先商定的条款提供了相应服务,且付费金额必须符合公允市场价值(FMV)原则。会员公司应确保,其直接或通过任何第三方间接向医疗卫生专业人士支付的任何付款,均不得用于奖励或诱导医疗卫生专业人士的药品处方行为,或以其他不当方式影响其用药意见或建议。
上述两条体现了《药品管理法》及近年来每年度的《纠正医药购销领域和医疗服务中不正之风工作要点》严禁向医疗机构输送利益、给予回扣等贿赂行为。对于数字医疗工作而言,例如数字平台讲座、宣传等线上服务的费用计算,应当进行全面的公允市场价值评估,健全付费前FMV分析机制。
(二)数字医疗的数据合规要求
1. 数据收集
《指南》第三部分第8条规定,通过数字化工具收集用药、患者数量、医师治疗等数据,应当符合境内法律法规,不得出于不正当商业目的,并且符合"数据量最小化"原则,不得向未开展实质性收集数据活动的医疗机构及其工作人员付费。该条实际上是体现了《数据安全法》第32条以及《个人信息保护法》第5条、第6条规定的收集数据/个人信息的合法、正当、必要原则。除了合法、正当、必要原则,企业利用数字化工具收集数据,还应当充分履行告知同意义务,对于患者个人信息的收集,应当制定完备的用户协议与隐私政策,在数字化工具中设置用户知情的"单独勾选"的功能。而对于例如生理信息等敏感个人信息,还应当取得用户单独同意,并在隐私政策中写清收集敏感个人信息的目的和必要性。
2. 隐私保护
《指南》第三部分第9条规定,从中国收集任何个人信息,应当遵守《个人信息保护法》,并建立隐私合规计划,尊重用户对于个人信息的权利并采取组织及技术措施。该条是对第8条规定的承接,是对于收集数据/个人信息后的处理行为的规定。简要而言,该条文要求在数字医疗场景中使用数字化工具,应当严格履行数据共享及转移、个人信息保护影响评估、安全事件管理等义务;在用户协议与隐私政策标明用户对于个人信息的查阅、复制、更正、补充或删除权,数字化工具的技术人员应当配合用户协议与隐私政策的规定,在工具相关功能中进行改进。
3. 网络与数据出境
《指南》第三部分第10条要求企业根据《网络安全法》采取网络安全保护措施,具体而言,根据《网络安全法》第21条规定:"国家实行网络安全等级保护制度。"第25条规定:"网络运营者应当制定网络安全事件应急预案,及时处置系统漏洞、计算机病毒、网络攻击、网络侵入等安全风险;在发生危害网络安全的事件时,立即启动应急预案,采取相应的补救措施,并按照规定向有关主管部门报告。"使用数字化工具,应当建立网络安全漏洞信息接收渠道并保持畅通,留存安全漏洞信息接收日志不少于6个月。并且在安全漏洞产生后,立即采取措施,及时对安全漏洞进行验证并完成修补。此外,若使用自有的数字化工具,可能构成网络运营者,应当根据《信息安全等级保护管理办法》的规定聘请专业机构进行信息安全等级保护定级,并根据相应级别进行备案。
第10条还要求企业履行境内法律规定的数据出境相关义务。目前境内数据出境存在三条路径,各路径上位法依据分别为《数据出境安全评估办法》、《个人信息出境标准合同办法》以及《个人信息保护认证实施规则》。
三条路径的适用情形均有不同,总结如下:
结语
医药合规问题是近年来监管的重点,而数据合规又是数字技术广泛应用所产生的新兴合规义务。数字医疗兼顾医疗和数据的特性,肩负较重的合规义务。相关企业应当重点履行数字医疗场景下的合规义务,促进经营活动顺利开展。
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.
