医疗器械网络安全注册技术审查指导原则

一、适用范围

本指导原则适用于具有网络连接功能以进行电子数据交换或远程控制的第二类、第三类医疗器械产品的注册申报，其中网络包括无线、有线网络，电子数据交换包括单向、双向数据传输，远程控制包括实时、非实时控制。

同时，本指导原则也适用于采用存储媒介以进行电子数据交换的第二类、第三类医疗器械产品的注册申报，其中存储媒介包括但不限于光盘、移动硬盘和U盘。

二、基本原则

随着网络技术的发展，越来越多的医疗器械具备网络连接功能以进行电子数据交换或远程控制，在提高医疗服务质量与效率的同时也面临着网络攻击的威胁。医疗器械网络安全出现问题不仅可能会侵犯患者隐私，而且可能会产生医疗器械非预期运行的风险，导致患者或使用者受到伤害或死亡。因此，医疗器械网络安全是医疗器械安全性和有效性的重要组成部分之一。

医疗器械网络安全是指保持医疗器械相关数据的保密性（confidentiality）、完整性（integrity）和可得性（availability）（改自GB/T 29246-2012《信息技术安全技术信息安全管理体系概述和词汇》）：

1.保密性：指数据不能被未授权的个人、实体利用或知悉的特性，即医疗器械相关数据仅可由授权用户在授权时间以授权方式进行访问；

2.完整性：指保护数据准确和完整的特性，即医疗器械相关数据是准确和完整的，且未被篡改；

3.可得性：指根据授权个人、实体的要求可访问和使用的特性，即医疗器械相关数据能以预期方式适时进行访问和使用。

此外，医疗器械网络安全特性还包括真实性（authenticity）、可核查性（accountability）、抗抵赖（non-repudiation）和可靠性（reliability）等特性，相应定义详见GB/T 29246-2012。

注册申请人应当结合医疗器械产品的预期用途、使用环境和核心功能以及预期相连设备或系统（如其它医疗器械、信息技术设备）的情况来确定医疗器械产品的网络安全特性，并采用基于风险管理的方法来保证医疗器械产品的网络安全：识别资产（asset，对个人或组织有价值的任何东西）、威胁（threat，可能导致对个人或组织产生损害的非预期事件发生的潜在原因）和脆弱性（vulnerability，可能会被威胁所利用的资产或风险控制措施的弱点），评估威胁和脆弱性对于医疗器械产品和患者的影响以及被利用的可能性，确定风险水平并采取适宜的风险控制措施，基于风险接受准则评估剩余风险。

注册申请人应当在医疗器械产品全生命周期过程中持续关注网络安全问题，包括医疗器械产品的设计开发、生产、分销、部署和维护。同时，注册申请人应当结合自身质量管理体系的要求和医疗器械产品特点来保证医疗器械产品的网络安全，包括上市前和上市后的相关要求，如风险管理、设计开发、网络安全维护及用户告知等要求。此外，注册申请人可采用信息安全领域的良好工程实践来完善医疗器械产品的网络安全管理，保证医疗器械产品的安全性和有效性。

注册申请人应当持续跟踪与网络安全相关的国家法律法规（如《中华人民共和国网络安全法》）以及有关部门（如公安部、国家网信办、卫生计生委、工业和信息化部）的规章，医疗器械的网络安全应当符合相应法律法规和部门规章的要求。

医疗器械产品在使用过程中常与非注册申请人预期的设备或系统相连接，这就使得注册申请人自身难以控制和保证医疗器械产品的网络安全。因此，医疗器械的网络安全需要注册申请人、用户和信息技术服务商的共同努力和通力合作才能得以保障。但是这并不意味着注册申请人可以免除医疗器械网络安全的相关责任，注册申请人应当保证医疗器械产品自身的网络安全，并明确与其预期相连设备或系统的接口要求，从而保证医疗器械产品的安全性和有效性。

医疗器械网络安全防护层级可分为产品级和系统级，保证措施包括管理措施、物理措施和技术措施，本指导原则以医疗器械数据安全为核心主要关注产品级的技术保证措施。

鉴于医疗器械网络安全具有影响因素多、涉及面广、扩散性强和突发性高等特点，单独考虑医疗器械产品的软件安全性级别不足以保证其网络安全，因此对于与医疗器械网络安全有关的注册申报资料统一进行要求。

三、网络安全考量

（一）数据考量

医疗器械相关数据从内容上可分为以下两种类型：

1.健康数据：标明生理、心理健康状况的私人数据（“Private Data”，又称个人数据“Personal Data”、敏感数据“Sensitive Data”，指可用于人员身份识别的相关信息），涉及患者隐私信息；

2.设备数据：描述设备运行状况的数据，用于监视、控制设备运行或用于设备的维护保养，本身不涉及患者隐私信息。

医疗器械相关数据的交换方式可分为以下两种情况：

1. 网络：通过网络（包括无线网络、有线网络）进行电子数据交换或远程控制，需要考虑网络相关要求（如接口、带宽等），数据传输协议需考虑是否为标准协议（即业内公认标准所规范的协议），远程控制需考虑是否为实时控制；

2.存储媒介：通过存储媒介（如光盘、移动硬盘、U盘等）进行电子数据交换，数据储存格式需考虑是否为标准格式（即业内公认标准所规范的格式）。

注册申请人应当基于医疗器械相关数据的类型、功能、用途、交换方式及要求，并结合医疗器械产品特性考虑其网络安全问题。

对于健康数据，注册申请人应当遵循患者隐私保护的相关规定。对于无线设备，注册申请人应当遵循无线电管理的相关规定。