为推进上海市互联网医院健康发展，规范互联网诊疗活动，根据《基本医疗卫生与健康促进法》《医师法》《中医药法》《医疗机构管理条例》等法律法规和国务院《关于促进“互联网+医疗健康”发展的意见》、国家卫生健康委《互联网医院管理办法（试行）》《互联网诊疗管理办法（试行）》《互联网诊疗监管细则（试行）》等规定，制定《上海市互联网医院管理办法》。

在第三章执业管理与第四章监督管理中，多次提到关于加强互联网医院信息安全建设的建议，重点监管互联网医院的人员、处方、诊疗行为与患者隐私信息安全，防范医疗数据泄露。

第三章 执业管理

第二十三条（信息系统建设）  

互联网医院应按照《网络安全法》《网络安全等级保护条例》《国家健康医疗大数据标准、安全和服务管理办法（试行）》《卫生行业信息安全等级保护工作的指导意见》《互联网医院基本标准》等法律法规规定建立互联网诊疗信息系统，保证互联网诊疗活动全程留痕、可追溯，配备信息专业技术人员，遵守网络安全相关法律法规。

互联网医院信息系统按照《信息安全技术 网络安全等级保护基本要求》第三级及以上标准完成定级备案和连续性测评,每年应依法开展测评，测评通过后应提交系统年度测评报告。

互联网医院应主动与监管平台对接，实现业务信息的互联互通，及时上传、更新《医疗机构执业许可证》等相关执业信息，和开展互联网诊疗活动的医务人员信息（包括身份证号码、照片、相关资质、执业地点、执业机构、执业范围、临床工作年限等），上报业务数据，主动接受监督。

互联网医院配备及使用的医疗人工智能产品、移动设备、应用程序、服务器接受相关部门监督管理。

第二十四条（信息安全管理）  

互联网医院是互联网诊疗服务信息平台管理的责任主体，其主要负责人是第一责任人。

互联网医院应严格执行网络安全和医疗数据保密的有关法律、法规和规章等规定，妥善保管患者信息，不得非法买卖、泄露患者信息。发生患者信息和医疗数据泄露时，医疗机构应及时向卫生健康行政部门报告，并立即采取有效应对措施。

不得将互联网诊疗服务信息在境外的服务器中存储，信息平台不得部署在托管、租赁于境外的服务器。

第三十条（病历资料管理）  

互联网医院开展互联网诊疗服务应根据国家《医疗机构病历管理规定》《病历书写基本规范》《电子病历应用管理规范（试行）》等相关要求，为患者建立电子病历，并按照规定做好病历的保管、借阅与复制、封存与启封、保存。互联网医院开展互联网诊疗服务过程中所产生的文字、符号、图表、图形、数据、音频、视频等数字化信息，按照电子病历要求管理，应当与依托的实体医疗机构电子病历格式一致、系统共享，由依托的实体医疗机构开展线上线下一体化质控。资料传输、保存时应做好加密处理。

互联网诊疗病历记录按照门诊电子病历的有关规定保存时间不得少于15年。诊疗中的图文对话、音视频资料等过程记录保存时间不得少于3年。

互联网医院变更名称时，所保管的病历等数据信息应当由变更后的互联网医院继续保管。互联网医院注销后，所保管的病历等数据信息由依托的实体医疗机构继续保管。所依托的实体医疗机构注销后，可以由该实体医疗机构《医疗机构执业许可证》发证机关指定机构妥善保管。患者可以在线查询检查检验结果和资料、诊断治疗方案、处方和医嘱等病历资料。

第四章  监督管理

第三十四条（内部管理）  

互联网医院应严格按照国家法律、法规、规章等规定加强内部管理。

互联网医院应建立互联网医疗服务不良事件防范和处置流程，落实个人隐私信息保护措施，加强互联网医院信息平台内容审核管理，保证互联网医疗服务安全、有效、有序开展。

互联网医院要自觉加强行风建设，严格执行《医疗机构工作人员廉洁从业九项准则》等有关规定，医务人员的个人收入不得与药械收入相挂钩，严禁以谋取个人利益为目的转介患者、指定地点购买药品、耗材等。

第三十六条（社会监督）  

本市各级卫生健康行政部门应向社会公布登记的互联网医院名单及监督电话或者其他监督方式，及时受理和处置违法违规互联网诊疗服务的举报。发现不符合本办法规定的，应及时告知相关主管部门。

第三十八条（施行时间）  

本办法自2024年9月1日起施行，有效期至2029年8月31日。

来源：上海市卫生健康委员会官网

互联网医院平台积极部署安装SSL证书，通过数字证书加密技术，保护患者诊疗数据在传输过程中不被非法截获和解读，确保医疗数据传输的安全性。CnTrus数字认证深耕数字证书及密码应用领域十余年，以专业技术与专属服务为企事业单位网络信息安全增添助力。