中国人口老龄化趋势逐渐显著、居民医疗服务水平需求不断提高；然而人均医疗资源相对匮乏、整体医疗质量发展不平衡、优质医疗资源分布不均衡的现实，导致人们对医疗服务普遍不满，甚至引发医患矛盾。根据卫健委发布的《2019年我国卫生健康事业发展统计公报》，2019年末我国总人口为14亿5万人，每万人执业医师数量仅27.6人，每万人护士数量仅31.7人，平均每名医护人员要为168人服务；2003-2019年，我国居民人均就诊次数由3.07次（2004）增加到6.2次shao，增长101.95%。住院率由4.69%增加到19.0%，增长305.12.2%。可见医疗资源与居民医疗需求之间的巨大鸿沟。

中共中央和国务院2016年10月发布《“健康中国2030”规划纲要》，强调为推进健康中国建设，提高人民健康水平，必须长期坚持这四方面的工作：加强建设；加大支援；远程医疗和质控体系的完善；缩小差异化，解决不平衡的问题，这是国家未来在医疗行业主要的任务和长期的工作。在专业的医疗人员短期内难以大幅增长、人均医疗资源不足问题长期存在的背景下，传统的医疗服务模式已经很难大幅缓解医疗服务压力，要满足居民医疗健康服务需求，必然要积极利用新技术，将医疗服务与移动互联网、大数据分析、人工智能等相结合，创造新的医疗服务模式，提高医生的工作效率和服务水平。

新技术下的医疗服务模式，利用新的技术手段（如4G、5G等无线通信技术、可穿戴健康感应设备），借助互联网跨越时空迅速便捷的特点，改变人们传统的医疗服务模式（包括健康监测、咨询、会诊、就医、医疗保健）；新技术在推动医疗模式转变的同时，也带来了新型的医疗理念：居民从患病后的被动医疗，逐步转向以主动预防、先期检测、日常健康管理为核心的大健康管理模式，引导人们更加积极地改变生活方式，降低患病风险，从源头上提高个体生活质量和健康水平。

当前新技术下的医疗服务模式主要分为移动医疗、互联网医疗、远程医疗、数字医疗等，这些模式实际在概念和外延上有一定的重合。而其中移动医疗模式具有丰富的服务模式和多样的应用环境，可涵盖互联网医疗、远程医疗、数字医疗的主要内容，特别是其跨越时空、迅速便捷的特性让患者随时随地接受健康管理，也可以基层社区医院和偏远地区医疗机构中发挥显著作用，因此本次分享以移动医疗模式为分析主体。

移动医疗目前主流的服务模式有：

为医生提供手机上的临床信息参考，包括疾病诊疗信息（可以通过名称或人体系统查找疾病情况，查看医学界经验和具体治疗经验）、传染病防治信息（根据病菌，确定适当的抗菌、抗病毒或抗寄生虫方案）、替代药物信息（检查与原研药功效相近的非专利药和非处方药）、实验室诊疗信息（审查由不同药物、患者个体差异及其他状况导可能导致的异常测试结果）；同时也为药企提供的精准的广告和问卷调查服务。

主要作用为简单疾病和导医阶段的自行诊断服务。当用户偶感不适，比如头痛或胳膊疼时，就可以打开该类应用，使用系统中的搜索功能，了解潜在的病因。对于一些常见的轻微疾病，用户可以根据指导，对症下药。如果觉得有必要去医院就诊，可以根据地理位置，查找出就近的医院和适合的医生，方便预约和赴症。万一病情危急，用户可以直接拨打紧相关医疗单位的紧急服务热线，而且可以通过预登记功能预约急诊室和相关设施。

为医生和患者提供在线客户关系服务，通过整合医院相关信息，让病人能够通过网络寻找合适的医生并进行预约挂号。此类服务模式通常基于地理位置进行推荐，并参考医生评分，即用户可以通过移动客户端找到附近的医生，根据网站登记的医生档案点评、执业资质认证、空闲时间段等选择合适的医生，确认服务时间，完成预定挂号。

改变传统就诊模式，通过信息化的诊所完成基础医疗诊断。依托便携式血压仪、血糖仪等家庭监测设备，让患者在家就能完成一系列体征数据收集,也使得医生们拥有了和病患保持随时接触的能力。加上在线的IT系统、移动应用程序，病患可以随时随地在线填写表格、查看自己的身体报告，减少了不必要的出行;为病情相对稳定的或者处于亚健康的人群节省诊疗时间，提供主动健康管理服务。

通过手机+云端的管理平台进行慢性病管理和检测。患者可以用手机方便地记录和存储血糖、血压、心率等数据，云端的算法能够基于各类检测数据为患者提供个性化的反馈，并连接到相关的网站、呼叫中心和医院电子病历系统，及时提醒医生和护士；此外还可以通过专门的门户网站，帮助用户跟踪自己的病情趋势。经过患者的许可，多个家庭成员或监护者可同时在电脑和智能手机上看到各种指标的检测结果。系统还可以根据预先设定的规则，在结果达到特定阀值或不符合预期目标时，向患者家属或监护人发出短信或电子邮件报警。

可穿戴设备即直接穿在身上，或是整合到用户的衣服或配件的一种便携式设备。可穿戴设备不仅仅是一种硬件设备，更是通过软件支持以及数据交互、云端交互来实现强大的功能，监测个体的日常活动、睡眠情况、运动成果和饮食习惯等数据，并给出一个长时间段的统计和分析结果来展示健康情况，为远程医疗提供数据，形成可供诊疗使用的电子病历。

经过多年的医疗信息化尝试，多家大型医院和卫生保健部门，已经建立起了庞大的医疗信息数据库，涉及患者病历、用药情况、临床诊断、医保使用等多种数据，可以为多种医疗服务提供大数据支持。

例如通过对大量医疗数据的抓取，分析药品发生的实际作用，加快新药开发；利用分布式计算机加快基因测序的效率，统计分析致病基因和潜在风险。

再比如进行公共卫生实时分析，了解公民健康状况和疫情发展分布；对医保基金进行大数据分析，即使了解基金运行状况，预测风险、制定超付线和赔付病种。

移动医疗涉及的法律主体包括用户、签约医疗机构及医生、产品企业。三者之间可能构成的法律关系包括数据处理服务合同关系、网络服务合同关系、医疗服务合同关系、医疗机构间的远程合作合同关系。

指提供健康管理服务的产品企业通过移动医疗设备收集整理用户的健康数据，并通过互联网平台对数据进行进一步处理后，将数据反馈给用户和医生。用户可以根据数据分析随时随地了解自身健康状况，医疗机构及医生可以通过数据分析结果提供健康管理服务和医疗服务。因此，产品企业则分别与用户和签约医疗机构形成了数据处理服务合同这一法律关系。

指用户和医生可以通过移动平台直接沟通，产品企业为双方提供数字化沟通渠道及配套服务，但不直接介入医生与用户行为。产品企业分别与用户和签约医疗机构形成了网络服务合同关系。

指用户和医疗机构通过平台，如果产生了诊断和治疗行为，医疗机构具有向用户进行符合诊疗规范的诊疗义务和要求用户按医疗服务价格缴纳医疗费用的权利，用户一方则具有配合医疗机构诊疗和按要求缴纳医疗费用的义务和要求医疗机构提供诊疗的权利。这种情况下，双方则可能构成医疗服务合同关系。

指由于医疗资源分配不均的现状，用户在得到健康数据反馈后可能无法在当前医疗机构得到及时有效的治疗，此时由当前的医疗机构将用户数据传输给其合作的远程医疗机构，由远程医疗机构对数据进行分析并提供诊疗方案。此时，两方医疗机构之间形成的是远程合作合同关系。

通过对移动医疗模式的分析，移动医疗中主要包括资质风险、互联网诊疗风险、医疗数据管理风险，具体如下：

1、移动医疗器械资质风险

移动医疗器械属于医疗器械范畴，需经过国家监管部门审核、批准才能生产运营。因此，移动医疗器械生产者需要满足医疗器械市场准入要求。

移动医疗器械是指采用无创“移动计算终端”实现一项或多项医疗用途的设备和/或软件，预期用于疾病管理、目标人群为医护人员和患者、处理分析监测医疗数据/图像的移动计算设备，包括通用（商业现成）终端和专用（自制医用）终端，使用形式一般可以分为手持式、穿戴式、混合式；而不具有医疗目的，仅用于健康管理的、目标人群为健康人群的、记录统计健康信息的移动计算设备或软件，不属于移动医疗器械。[1]

因此，产品企业在生产器械前，应明确其产品是否属于法律规定的移动医疗器械。如果产品属于移动医疗器械，那么企业在生产经营前，应取得移动医疗器械生产许可证、经营许可证、医疗器械注册证，在进入市场后也应当严格遵守医疗器械管理的相关规定，否则将承担没收违法所得、罚款以及吊销许可证等相应的法律责任。

• 相关法律法规：《移动医疗器械注册技术审查指导原则》、《医疗器械生产监督管理办法》、《医疗器械监督管理条例》、《医疗器械生产质量管理规范附录独立软件》

2、互联网医疗平台经营资质风险

移动医疗的本质是将移动互联网技术与医疗服务相结合，互联网医疗平台可提供数据共享、医疗评价、医患交流、预约挂号、药品销售等服务。根据《移动互联网应用程序信息服务管理规定》第五条：“通过移动互联网应用程序提供信息服务，应当依法取得法律法规规定的相关资质”的规定，互联网医疗平台的经营主体应当具备相关资质。该资质包括：增值电信业务经营许可证（ICP许可证）、医疗器械网络销售备案、第二类医疗器械经营备案凭证、互联网药品信息服务资格证、药品经营许可证、网络文化经营许可证、食品经营许可证等。

鉴于移动医疗模式需要依托互联网技术，因此，相关资质中最为关键的应为增值电信业务经营许可证。根据《互联网信息服务管理办法》（国务院令第588号）规定，从事经营性互联网信息服务，应当向省、自治区、直辖市电信管理机构或者国务院信息产业主管部门申请办理互联网信息服务增值电信业务经营许可证（以下简称经营许可证），并且，从事新闻、出版、教育、医疗保健、药品和医疗器械等互联网信息服务，依照法律、行政法规以及国家有关规定须经有关主管部门审核同意的，在申请经营许可或者履行备案手续前，应当依法经有关主管部门审核同意。

企业在从事互联网医疗服务时，应先根据所提供的服务确定所需办理的相关资质，在依法申请办理相应资质后再从事相关业务，否则需要承担相应法律责任。

• 相关法律法规：《移动互联网应用程序信息服务管理规定》、《互联网信息服务管理办法》、《电信分类目录》

3、远程医疗的资质风险

首先，开展远程医疗的主体限定为医疗机构，远程医疗服务只允许在医疗机构间开展。根据《医疗机构管理条例》及其实施细则，医疗机构的设置须取得县级以上地方人民政府卫生行政部门审查批准，取得《医疗机构批准书》和《医疗机构执业许可证》。

其次，医疗机构需要具备与开展远程医疗服务相适应的诊疗科目及相应的人员、技术、设备、设施条件，可以开展远程医疗服务。再次，开展远程医疗服务的医生也要具有相应的执业资质，国家实行医师执业注册制度，医师经注册后，可以在医疗、预防、保健机构中从事相应的医疗、预防、保健业务。

最后，远程医疗服务针对的患者只能是合作的医疗机构的患者。

在医疗机构进行远程医疗合作过程中，双方都应具备上述条件。除具备相应资质外，医疗机构在开展远程医疗前应尊重患者的知情权和选择权，由患者选择是否由合作医疗机构进行诊疗。目前国内远程医疗合作的代表是中日友好医院。

互联网诊疗风险主要包括互联网平台审查风险、互联网平台诊疗风险、医疗机构和医师的诊断治疗风险。

1、互联网平台审查风险

企业在为用户和医生提供沟通交流的平台时，其在提供服务时除平台本身的资质风险外，还存在对开展诊疗活动的医生是否具有执业资格、是否合法合规地开展诊疗服务具有审查义务。互联网平台在提供服务时应对医疗机构关键信息，包括医疗机构信息、医生身份信息、医师执业资质等，尽到事先核实义务。

2、互联网平台诊疗风险

根据《执业医师法》、《医疗机构管理条例实施细则》以及《互联网诊疗管理办法》等现有法律法规以及卫生计生委的政策，目前仅允许在互联网上提供健康方面的咨询，不允许开展诊疗活动。也就是说，除了医疗机构之间开展的远程医疗服务之外，其他通过网络形式进行的诊断和治疗，在目前的法律环境下并不具有合法性，尤其是不具备医疗机构执业许可证的互联网平台提供的诊疗行为更有可能涉嫌构成非法行医行为，因此需要承担相应的法律责任。

3、医疗机构和医师的诊断治疗风险

根据《互联网诊疗管理办法（试行）》的规定，医疗机构和医师开展互联网诊疗时，应注意以下风险：

（a）互联网诊疗的首要限制是不得对首诊患者开展互联网诊疗活动。根据目前的相关规定，医疗机构仅可在线对部分常见病、慢性病复诊和通过“互联网+”家庭医生签约服务的患者提供诊疗服务。

（b）在与患者进行“互联网＋”家庭医生签约时，应当在协议中告知患者服务内容、流程、双方责任和权利以及可能出现的风险等，并签订知情同意书。

（c）医师在诊疗时应尽到注意义务，除应当向患者说明病情及诊疗方案外，还应告知患者互联网诊疗的风险。医师在互联网诊疗过程中存在告知不足时，医疗机构将可能承担侵权责任。

（d）线上诊疗应当为患者建立电子病历，且符合《医疗机构病历管理规定》和《电子病历基本规范（试行）》等相关文件要求，并按照规定进行管理。

（e）线上诊疗应严格遵守《处方管理办法》等处方管理规定。

（f）线上诊疗需要妥善保管患者信息，严格执行信息安全和医疗数据保密的有关法律法规。若有非法买卖、泄露患者信息的行为，医疗机构将可能被追究相关责任。

• 相关法律法规：《执业医师法》、《医疗机构管理条例》、《互联网诊疗管理办法》

随着移动医疗快速发展，大量用户的健康数据、疾病数据被收集、处理，个人医疗信息也随之更加透明化和公开化。移动医疗中涉及个人信息采集、数据分析、信息存储以及信息传输等环节，若对移动医疗数据管理不当，将引发信息安全风险及数据的准确性风险，前者可能导致侵犯用户的隐私权的法律责任，后者可能导致侵害用户的生命健康权的相应法律责任。

2018年9月国家卫生健康委员会在《国家健康医疗大数据标准、安全和服务管理办法（试行）》（“试行办法”）明确对健康医疗大数据进行了定义，即健康医疗大数据是指在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据。试行办法同时规定，健康医疗大数据安全管理是指在数据采集、存储、挖掘、应用、运营、传输等多个环节中的安全和管理，包括国家战略安全、群众生命安全、个人信息安全的权责管理工作。并且，该试行办法进一步明确了健康医疗大数据的监管单位和责任单位，并从标准管理、安全管理、服务管理三个方面对健康医疗大数据进行规范。

除上述试行办法外，《网络安全法》对于个人信息的收集以及应用进行了明确规定。《卫生行业信息安全等级保护工作的指导意见》对健康医疗数据进行了分级保护制。《人口健康信息管理办法（试行）》以及明确健康医疗大数据应当存储在境内安全可信的服务器上，因业务需要确需向境外提供的，应当按照相关法律法规及有关要求进行安全评估审核。《民法总则》规定，任何组织和个人需要获取他人信息的，应当依法取得并确保信息安全，不得非法收集、使用、加工、传输他人个人信息，不得非法买卖、提供或者公开他人个人信息。即将生效的《民法典》中也专门设立了个人信息保护章节。

因此，各市场主体在收集、处理、应用健康医疗大数据的过程中应当保持审慎，谨防因违反相关法律法规产生法律风险。

• 相关法律法规：《国家健康医疗大数据标准、安全和服务管理办法（试行）》、《网络安全法》、《卫生行业信息安全等级保护工作的指导意见》、《人口健康信息管理办法（试行）》、《民法总则》（2021年1月1日起将因《民法典》实施而废止）

针对上述法律风险，移动医疗服务模式的主要合规要点为移动医疗器械合规管理、互联网平台经营合规管理以及移动医疗数据合规管理。

就构成医疗器械的软件而言,国家采取与传统医疗器械注册相同的分类管理制度。2017年8月发布的新版《医疗器械分类目录》进一步规定,若人工智能诊断软件通过算法,提供诊断建议,仅有辅助诊断功能,不直接给出诊断结论,则按二类医疗器械(中度风险)申报;如果对病变部位进行自动识别,并提供明确诊断提示,则其风险级别相对较高,需按照第三类医疗器械(较高风险)管理。二类与三类医疗器械在控制管理、注册、经营等方面均有所区别,比如第二类医疗器械在省级药监局注册,而第三类器械则要在国家药监局进行产品注册;第二类医疗器械经营采取备案制,第三类医疗器械经营则需要向设区的市级药监部门申请经营许可。不同类别的医疗器械具有不同的安全风险，因此对应不同级别的管理。

移动医疗器械的运营企业除应考虑传统医疗器械存在的风险之外,还应考虑互联网环境下的风险,特别是应当将患者的使用环境与使用能力考虑在内,充分评估用户的操作风险。

（1）互联网医疗平台经营者应明确平台开展经营的范围以及服务内容，并依法办理开展各项服务所需的资质。

互联网医疗平台的服务内容一般包括在线咨询问诊、挂号、医疗信息分享等业务。前述业务大多涉及《中华人民共和国电信条例》以及《电信业务分类目录》中的B-25信息服务业务。《互联网信息服务管理办法》进一步规定，对经营性互联网信息服务实行许可制度，即办理增值电信业务经营许可证。对非经营性互联网信息服务实行备案制度，即进行“ICP备案。”互联网医疗经营者应根据提供服务是否符合“经营性”特征办理不同的资质。除前述服务内容外，医疗平台还可能开展医疗器械销售经营、药品保健食品经营，因此也应当对照办理医疗器械网络销售备案、第二类医疗器械经营备案凭证、互联网药品信息服务资格证、药品经营许可证、食品经营许可证等。在取得相应资质后，互联网医疗平台应当在日常经营活动中针对主要业务内容及相关风险，根据相关法律的规定进行合规管理。

（2）远程医疗合作中，医疗机构之间应当签署《远程医疗合作协议》，协议中应明确合作目的、合作条件、合同流程及双方责任划分以及远程合作模式等内容。在对患者进行远程医疗前，医疗机构应当明确告知患者并取得患者的书面同意，不宜向患者本人说明的，还须征得其监护人或者近亲属书面同意。

（3）医疗机构在对互联网医院的日常经营中应保证符合开展远程医疗服务所需的诊疗科目及相应的人员、技术、设备、设施条件，并指定专门人员负责设备的维护，确保远程医疗服务系统硬件和软件处于正常运行状态，符合远程医疗相关卫生信息标准和信息安全的规定，满足医疗机构开展远程医疗服务的需要。

（4）对于产品企业设立的移动医疗平台，除前述的数据管理合规，产品企业应当首先在营业执照中明确服务范围不包含诊疗服务，并且要向患者明确告知诊疗行为是由医疗机构提供。产品企业在于医疗机构的合作中应明确医疗损害发生时的责任分担，以此类方式确保平台的健康咨询服务的合法性，有效规避经营风险。

移动医疗数据平台应当重点关注用户数据隐私保护及数据安全问题。

（1）移动医疗平台应当首先完善客户隐私政策充分保障用户的知情权。

用户安装、注册、第一次使用移动医疗设备前应采取增强式告知,提示关于个人信息收集的核心内容，并明确告知核心业务功能所必须收集的个人敏感信息。应当取得用户明示同意,根据用户主动填写、点击、勾选等自主行为,作为产品或服务的业务功能开启或开始收集个人信息的条件。对于个人敏感信息的收集,建议允许用户逐项选择是否提供或同意自动采集个人敏感信息。收集受试者个人信息的,应遵循受试者知情同意以及临床研究数据收集使用的有关规定。

避免过度收集信息。遵循《个人信息安全规范》第5.2条提出的“最小化要求”,即收集的个人信息的类型应与实现产品或服务的业务功能有直接关联、自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率、间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。

（2）落实《网络安全法》规定的网络安全等级保护义务。《网络安全法》第二十一条规定, 国家实行网络安全等级保护制度。（一）制定内部安全管理制度和操作规程，确定网络安全负责人，落实网络安全保护责任；（二）采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施；（三）采取监测、记录网络运行状态、网络安全事件的技术措施，并按照规定留存相关的网络日志不少于六个月；（四）采取数据分类、重要数据备份和加密等措施；（五）法律、行政法规规定的其他义务。广义上医疗行业的从业单位,即包括医疗健康互联网平台的运营者,均应严格落实等级保护制度,保证相关数据安全。

（3）数据管理及运营者也应参照《信息安全技术网络安全等级保护基本要求》,逐项落实网络安全保护措施:第一，完成定级、测评、备案工作,落实网络安全等级保护制度。第二，制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任。第三，采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施。第四，采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月。第五，采取数据分类、重要数据备份和加密等措施。第六，如数据平台使用SDK、API接口等第三方代码、插件协助进行数据的收集、传输和处理时，数据管理者应对其使用的第三方代码、插件的个人信息收集行为负责。

移动医疗作为新技术医疗服务模式的代表，可以在很大程度上改变基层医疗能力弱、基础设置差、高质量医疗服务供给缺乏的现状，为加强基层医疗水平建设提供切实可行的落地途径，扭转三甲医院人满为患的不利局面，具有广阔的应用价值和市场前景。但其作为新兴事物，在发展、推进的过程中难免出现一些新的问题，可能会给移动医疗服务的提供者带来较大的法律风险；而且医疗服务与每个人的身体健康息息相关，涉及多个利益群体和多种法律关系，也需要更加细致周密的研究，并制定相应的法律风险防范措施，以此保障患者、医疗机构和医生的合法权益。

开展移动医疗的企业和医疗机构，应当清楚地认识到新技术的两面性，在推动其发展应用时，加强对移动医疗相关法律的关注和研究，遵守国家规定和政策的要求，合规合法地利用新技术进行医疗服务。任何移动医疗活动，都要在专业法律人士的指导协助下守法有序地开展，不仅要遵守各项规定，还要结合自身情况预测潜在的高风险问题，提前做好应对措施与预警监测，更好地防范可能出现的法律风险。