新医疗器械网络安全注册技术审查指导原则

0
2730

了在中国的医疗器械监督管理中实施中国新《网络安全法》,国家食品药品监督管理总局(总局)发布了有关的指导原则。这一发展是中国监管者意图加强医疗健康领域的网络安全保护的清晰信号。根据《医疗器械网络安全注册技术审查指导原则》(《指导原则》),自2018年1月1日起,医疗器械企业需要向总局进行医疗器械网络安全注册,并进行网络安全状态评估。

网络安全威胁对具有网络连接功能的医疗器械的安全性和有效性产生了风险。数据问题不仅可能会侵犯患者的隐私,而且可能会产生医疗器械故障,导致患者受到伤害或者死亡。

因此,医疗器械企业应当在医疗器械产品全生命周期过程中持续关注网络安全问题,以确保其具有网络连接功能的医疗器械产品得到了合理的网络安全保护。

在向总局提交医疗器械网络安全注册申报时,《指导原则》要求注册申请人企业就有关的网络安全保护标准或措施进行自我评估。

注册申请人需要注意的是,虽然《指导原则》没有明确规定网络安全保护标准是强制义务,但是未达到这些要求可能会导致产品注册的延误。实际上,这会对推出新医疗器械产品的成功和时间产生影响。

哪些重点内容?

作为背景,《网络安全法》于2016年11月7日颁布,并于2017年6月1日生效。其中,《网络安全法》要求网络运营商制定内部安全管理制度进行网络安全保护,并且采取措施保护重要数据。

违反《网络安全法》的有关规定可能导致不同的法律责任,包括对直接负责的主管人员进行罚款。

《指导原则》于2017年1月20日发布,旨在中国的医疗器械监督管理中实施中国新《网络安全法》。《指导原则》的主要内容包括:

非强制原则。《指导原则》没有明确强制注册的要求。在注册医疗器械产品时,注册申请人可以自行判断《指导原则》中的部分措施是否适用。如果不适用,注册申请人可以详述理由或者采用其他满足《网络安全法》和其他相关规定的替代方法。

适用范围。《指导原则》适用于具有网络连接功能以进行电子数据交换或远程控制的第二类、第三类医疗器械产品的注册申报(合格器械)。

对于产品生命周期的影响。希望在中国注册合格器械的企业应当在医疗器械产品全生命周期过程中持续关注网络安全问题,包括产品的设计开发、生产、分销和维护。具体来说,医疗器械网络安全需要满足以下要求:(1)保密性:相关数据仅可由授权用户在授权时间以授权方式进行访问;(2)完整性:相关数据必须是准确和完整的,并未被篡改;(3)可得性:相关数据能以预期方式进行访问和使用。

注册申报资料。向总局进行合格器械注册登记时,注册申请人应单独提交一份网络安全描述文档和关于网络安全的说明书。在进行了登记之后,如果发生了对合格器械安全性或有效性的重大网络安全更新,注册申请人需要向总局提交一份修改的申请文件。

网络安全考量。在审查产品网络安全注册时,总局会考量以下:

1.数据考量:医疗器械相关数据可以被分为个人数据(personal data)和设备数据(equipment data)。根据数据类别和传播方式的不同,采取不同的保护措施。个人数据通常需要进行加强保护,注册申请人应当遵循患者隐私保护的相关规定。

2.技术考量:注册申请人可以采取不同的网络安全保护技术。注册申请人可以参照相关的国际和国内标准建设其医疗器械网络安全能力。

3.现成软件考量:注册申请人需要关注现成软件的网络安全问题,建立网络安全维护流程,并将相关信息及时通知用户。

《商法摘要》由贝克·麦坚时律师事务所协助提供,内容仅供参考之用。读者如欲开展与本栏内容相关之工作,须寻求专业法律意见。读者可通过以下电邮与贝克·麦坚时联系:
张大年(上海)danian.zhang@bakermckenzie.com

Law.asia subscripton ad blue 2022