2022-09-30
医疗健康和生命科学领域法规及监管动态(2022年8月)
作者:
卞昊
孟睿
史津宁 黄芙毓 熊乐
本期医疗健康和生命科学领域法规及监管动态主要就2022年8月药品和医疗器械、医疗机构、人类遗传资源领域发布的主要法规政策及监管动态进行简要介绍。本期看点主要包括:国家市场监督管理总局发布《药品网络销售监督管理办法》,在《药品管理法》基础上,对药品网络销售企业的主体资格、销售范围与合规经营以及第三方平台应具备的条件和合规经营要求等作出了明确规定;国家卫生健康委、国家中医药局、国家疾控局发布《医疗卫生机构网络安全管理办法》,对医疗卫生机构网络及数据安全管理的基本原则、管理分工、执行标准、监督及处罚等作出了明确规定。
本期主要内容如下:
第一部分 药品及医疗器械领域:
1.国家市场监督管理总局发布《药品网络销售监督管理办法》
第二部分 医疗机构领域:
2.国家卫生健康委、国家中医药局、国家疾控局发布《医疗卫生机构网络安全管理办法》
第三部分 人类遗传资源领域:
3.2022年8月科学技术部政务服务平台持续公布人类遗传资源采集、国际合作、出境等事项的行政许可/备案情况
1.国家市场监督管理总局发布《药品网络销售监督管理办法》
▣ 随着中国电子商务的发展,药品网络销售在我国已有二十余年的实践经验。与之相伴的,是监管机构对于医药电商监管政策的不断探索。2001年开始,《互联网药品信息服务管理暂行规定》《互联网药品交易服务审批暂行规定》《药品流通监督管理办法》等规定先后出台,对药品网络销售活动的审批、监管等作出了明确要求。但彼时相关政策对于药品网络销售的监管趋于保守,最为典型的是不得通过网络方式向公众销售处方药。
▣ 2019年12月,新修订的《中华人民共和国药品管理法》出台,首次在法律层面明确提出对药品的网络销售活动进行规范。2021年4月,国务院办公厅发布的《关于服务“六稳”“六保”进一步做好“放管服”改革有关工作的意见》明确指出,在确保电子处方来源真实可靠的前提下,一定程度上放开对网络销售处方药的限制。
▣ 为落实《中华人民共和国药品管理法》等法律、政策对药品网络销售工作提出的新要求,2022年8月3日,国家市场监督管理总局发布了《药品网络销售监督管理办法》(“《药品网售办法》”),自2022年12月1日起施行。《药品网售办法》共六章42条,对药品网络销售企业的主体资格、销售范围与合规经营以及第三方平台应具备的条件和合规经营要求等提出明确规定。《药品网售办法》的主要内容包括:
明确药品网络销售企业主体资格、销售范围及合规经营要求
√ 在销售主体方面,《药品网售办法》规定,从事药品网络销售的主体需是药品上市许可持有人或者药品经营企业。[1]
√ 在药品销售范围方面,对于药品上市许可持有人而言,仅能销售其取得药品注册证书的药品;未取得药品零售资质的,不得向个人销售药品。此外,《药品网售办法》亦明确了国家实行特殊管理的药品(包括疫苗、血液制品、麻醉药品、精神药品、医疗用毒性药品、放射性药品、药品类易制毒化学品等,具体目录由国家药品监督管理局组织制定)不得在网络上销售,药品网络销售企业也不得以赠品等方式向个人赠送处方药、甲类非处方药。[2]
√ 在处方药的销售方面,《药品网售办法》明确可以通过网络向个人销售处方药,但需确保处方来源真实、可靠,并实行实名制,且药品网络零售企业和承接电子处方的第三方平台均需与电子处方提供单位[3]签订协议。
√ 在合规经营方面,《药品网售办法》规定了药品网络销售企业需建立并实施相关制度,包括药品质量安全管理、风险控制、药品追溯、储存配送管理、不良反应报告、投诉举报处理等制度,在线药学服务制度(需要配备与药品网络销售企业经营规模相适应数量的有资质的药师或药学技术人员开展处方审核调配、指导用药等);药品网络销售企业具有报告义务,需按规定向药品监管部门报告企业名称、网站名称、IP地址、药品生产许可证或者药品经营许可证等信息;药品网络销售企业有相关信息展示/公示义务,包括在网站或经营活动主页面持续展示其药品生产或者经营许可证信息、相关人员资格任职信息等。此外,《药品网售办法》亦规定药品网络销售企业负有应急处置和配合召回义务、规定了企业对药品配送的要求以及药品销售记录的保存等要求。
明确第三方平台应具备的条件和合规经营要求
√ 第三方平台应具备的条件。对于第三方平台应取得的资质,主要规定在《互联网药品信息服务管理办法》[4]和《互联网信息服务管理办法》[5]等相关办法中。在此基础上,《药品网售办法》要求第三方平台需将企业名称、法定代表人、统一社会信用代码、网站名称以及域名等信息向平台所在地省级药品监督管理部门备案。
√ 合规经营方面,《药品网售办法》规定,第三方平台应当建立药品质量安全管理机构,配备药学技术人员承担药品质量安全管理工作,建立并实施药品质量安全、药品信息展示、处方审核、处方药实名购买、药品配送、交易记录保存、不良反应报告、投诉举报处理等管理制度;第三方平台亦需在其网站首页或者从事药品经营活动的主页面持续公示营业执照、相关行政许可和备案等信息;第三方平台应当对申请入驻的药品网络销售企业资质、质量安全保证能力等进行审核,确保入驻的药品网络销售企业符合法定要求;第三方平台发现入驻的药品网络销售企业存在违法行为的,需要及时制止并立即向所在地县级药品监督管理部门报告,存在严重违法行为的[6],还应当立即停止提供网络交易平台服务,停止展示药品相关信息;此外,第三方平台亦负有应急处置和配合召回义务等。
2.国家卫生健康委、国家中医药局、国家疾控局发布《医疗卫生机构网络安全管理办法》
▣ 2022年8月8日,国家卫生健康委、国家中医药局、国家疾控局印发了《医疗卫生机构网络安全管理办法》(国卫规划发〔2022〕29号,“《办法》”),自印发之日起实施。《办法》是在《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》以及网络安全等级保护制度等有关法律法规的基础上制定的关于医疗卫生机构网络安全管理的专门法规,旨在加强医疗卫生机构网络安全管理,进一步促进“互联网+医疗健康”发展,充分发挥健康医疗大数据作为国家重要基础性战略资源的作用。《办法》明确了各医疗卫生机构网络及数据安全管理基本原则、管理分工、执行标准、监督及处罚,具体内容如下:
适用范围
《办法》共五章三十四条,分为总则、网络安全管理、数据安全管理、监督管理、管理保障五个大章节,适用于医疗卫生机构运营网络的安全管理,未纳入区域基层卫生信息系统的基层医疗卫生机构参照执行。《办法》所称的“数据”涵盖了医疗卫生机构收集、存储、传输、处理和产生的各种电子数据,包括但不限于各类临床、科研、管理等业务数据、医疗设备产生的数据、个人信息以及数据衍生物。
网络安全管理方面的合规义务
(1)网络安全等级保护:医疗卫生机构应依法依规开展网络安全等级保护定级、备案工作;同时,应对已定级备案网络的安全性进行检测评估:(i) 对新建的网络,应在规划和申报阶段确定网络安全保护等级,并报上级主管部门审核同意;(ii)第二级以上网络应在网络安全保护等级确定后10个工作日内,由其运营者向公安机关备案,并将备案情况报上级卫生健康行政部门;(iii)新建的网络上线运行前应进行安全性测试;(iv)第二级的网络应委托等级保护测评机构,定期开展网络安全等级测评,其中涉及10万人以上个人信息的网络,应至少3年开展1次网络安全等级测评,其他的网络至少5年开展1次网络安全等级测评;(iii) 第三级或第四级的网络应委托等级保护测评机构,每年至少1次开展网络安全等级测评。
(2)网络安全责任部门:有二级及以上网络的医疗卫生机构应明确负责网络安全管理工作的职能部门,明确承担安全主管、安全管理员等职责的岗位。
(3)年度网络安全情况自查、整改与上报:医疗卫生机构在网络运营过程中,应每年开展安全自查,认真开展整改加固,并按要求将安全自查整改情况报上级卫生健康行政部门。每年安全自查整改工作包括:(i) 依据上级主管监管机构要求,各医疗卫生机构完成信息资产梳理,摸清本单位网络定级、备案等情况,形成资产清单,组织安全自查;(ii) 依据上级主管监管机构要求,各医疗卫生机构依据安全自查结果,对发现的问题和隐患进行整改,形成整改报告向有关主管监管机构报备。
数据安全管理方面的合规义务
(1)数据本地化及跨境传输:医疗卫生机构应加强数据收集、存储、传输、处理、使用、交换、销毁全生命周期安全管理工作,数据全生命周期活动应在境内开展,因业务确需向境外提供的,应当按照相关法律法规及有关要求进行安全评估或审核,针对影响或者可能影响国家安全的数据处理活动需提交国家安全审查,防止数据安全事件发生。
(2)人脸识别管理:医疗卫生机构开展人脸识别或人脸辨识时,应同时提供非人脸识别的身份识别方式,人脸识别数据不得用于除身份识别之外的其他目的。医疗卫生机构应采用物理或逻辑隔离方式分别存储人脸识别和个人身份信息。
(3)数据安全管理常态化:医疗卫生机构应:(i) 建立健全数据安全管理制度、操作规程及技术规范,涉及的管理制度每年至少修订1次;(ii) 每年对本单位的数据进行数据安全风险评估;(iii)建立完善数据使用申请及批准流程,遵循“谁主管、谁审查”、遵循事前申请及批准、事中监管、事后审核原则,严格执行业务管理部门同意、医疗卫生机构领导核准的工作程序,指导数据活动流程合规。
其他特殊要求
(1)应用大数据、人工智能、区块链等新技术开展服务时,上线前应评估新技术的安全风险并进行安全管控。
(2)新建信息化项目的网络安全预算不低于项目总预算的5%。
违法后果
发生个人信息和数据泄露,或者出现重大网络安全事件的,按《网络安全法》《密码法》《基本医疗卫生与健康促进法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》以及网络安全等级保护制度等法律法规处理。
3.2022年8月至2022年9月26日,科学技术部政务服务平台公布的关于人类遗传资源采集、国际合作、出境等事项的行政许可/备案情况如下:
▣ 2022年8月5日至2022年9月8日,共有88个项目进行人类遗传资源国际合作临床试验项目备案。[7]
▣ 2022年8月19日至2022年9月5日公布的人类遗传资源采集、国际合作科学研究[8]、材料出境的行政许可事项显示:2022年7月18日至2022年8月15日共受理行政许可申请事项627项,同意开展603项,其中采集行政许可165项,国际合作科学研究行政许可448项。审批平均时间16个工作日,最长20个工作日。
▣ 2022年8月17日至2022年9月19日公布的简化流程审批[9]结果显示:2022年8月2日至2022年9月5日共受理符合简化审批流程申请事项249项,同意开展249项,其中采集行政许可项目54项,国际合作科学研究行政许可项目184项,材料出境行政许可项目11项。审批平均时间9-12个工作日,最长14个工作日。
1.《药品网售办法》第七条规定:从事药品网络销售的,应当是具备保证网络销售药品安全能力的药品上市许可持有人或者药品经营企业。中药饮片生产企业销售其生产的中药饮片,应当履行药品上市许可持有人相关义务。
2.《药品网销办法》第八条规定:药品网络销售企业应当按照经过批准的经营方式和经营范围经营。药品网络销售企业为药品上市许可持有人的,仅能销售其取得药品注册证书的药品。未取得药品零售资质的,不得向个人销售药品。疫苗、血液制品、麻醉药品、精神药品、医疗用毒性药品、放射性药品、药品类易制毒化学品等国家实行特殊管理的药品不得在网络上销售,具体目录由国家药品监督管理局组织制定。药品网络零售企业不得违反规定以买药品赠药品、买商品赠药品等方式向个人赠送处方药、甲类非处方药。
3.电子处方提供单位的定义、资质及管理要求在现行规则中并未明确,有待监管规则及实践操作进一步明晰。
4.《互联网药品信息服务管理办法》第五条规定:拟提供互联网药品信息服务的网站,应当在向国务院信息产业主管部门或者省级电信管理机构申请办理经营许可证或者办理备案手续之前,按照属地监督管理的原则,向该网站主办单位所在地省、自治区、直辖市食品药品监督管理部门提出申请,经审核同意后取得提供互联网药品信息服务的资格。
5.《互联网信息服务管理办法》第七条规定:从事经营性互联网信息服务,应当向省、自治区、直辖市电信管理机构或者国务院信息产业主管部门申请办理互联网信息服务增值电信业务经营许可证。申请人取得经营许可证后,应当持经营许可证向企业登记机关办理登记手续。
6.《药品网售办法》第二十三条规定:第三方平台发现下列严重违法行为的,应当立即停止提供网络交易平台服务,停止展示药品相关信息:
(一)不具备资质销售药品的;
(二)违反本办法第八条规定销售国家实行特殊管理的药品的;
(三)超过药品经营许可范围销售药品的;
(四)因违法行为被药品监督管理部门责令停止销售、吊销药品批准证明文件或者吊销药品经营许可证的;
(五)其他严重违法行为的。
药品注册证书被依法撤销、注销的,不得展示相关药品的信息。
7.根据《中华人民共和国人类遗传资源管理条例》的规定,为获得相关药品和医疗器械在我国上市许可,在临床机构利用我国人类遗传资源开展国际合作临床试验、不涉及人类遗传资源材料出境的,合作双方在开展临床试验前应当将拟使用的人类遗传资源种类、数量及其用途向国务院科学技术行政部门备案。
8.根据《中华人民共和国人类遗传资源管理条例》的规定,利用我国人类遗传资源开展国际合作科学研究的,应当由合作双方向国务院科学技术行政部门申请批准。
9.实施简化审批流程的行政审批项目包括:
(一)人类遗传资源国际合作科学研究活动变更。在利用我国人类遗传资源开展国际合作科学研究过程中,合作方、研究目的、研究内容、合作期限等重大事项发生变更的,应当办理变更审批手续。其中变更内容不涉及人类遗传资源种类、数量、用途变化的,可以按照简化流程办理。
(二)人类遗传资源材料出境。对于在国际合作审批中已批准出境计划的人类遗传资源材料出境申请。
(三)人类遗传资源采集活动变更。1.变更采集活动参与单位;2.变更开展采集活动单位的名称;3.延长采集活动期限;4.采集方案变更,但不涉及人类遗传资源种类、数量、用途的变化的;5.采集方案变更,但变更后的内容不超出已批准的范围的。
京ICP备05019364号-1 
京公网安备110105011258
