Екатерина Смирнова, руководитель практики по интеллектуальной собственности и информационным технологиям адвокатского бюро «Качкин и партнеры»
«В начале 2018 года мы пришли к ситуации, когда были утверждены законодательные изменения и подзаконные акты, которые касались внедрения телемедицины. Это касалось не только оказания медицинских услуг, но и правил ведения электронного документооборота, порядка интеграции различных информационных систем в сфере здравоохранения. Это целый комплекс законодательных изменений, которых все ждали, но который не оправдал ожиданий многих.
Например, то, что закон запрещает ставить диагноз пациенту онлайн, разочаровало многих игроков рынка. Вместе с тем, появилась определенность, потому что до этого врачи интересовались, каковы риски при постановке диагноза онлайн. Можно сказать, что сейчас регулятор занял выжидательную позицию в части привлечения к ответственности за несоответствие требованиям закона. Многие говорят, что отрасль телемедицины сейчас не отрегулирована. Но это не совсем так, к концу ноября принято достаточно много подзаконных актов. Кроме того, обсуждается вопрос необходимости введения общих правил для интеграции информационных систем в сфере здравоохранения. Назрел вопрос интеграции федеральной, региональных информационные систем, а также систем медицинских организаций. Например, для передачи медицинской документации. Пока этот вопрос – в хаотичном состоянии, поскольку сейчас даже в рамках одной медицинской организации существуют различные информационные системы, которые между собой не отлажены. Это неудобно, и мы все ждем, когда будут утверждены некие правила, требования к интеграции информационных систем, чтобы все участники рынка понимали, как им жить дальше.
Можно также добавить, что телемедицина стала приспосабливаться к тому, что есть и чего не хватает.
Сейчас на рынке можно выделить следующих основных игроков: медицинские организации, пациенты, государство и операторы информационных систем. Существуют государственные операторы (федеральные и региональные), а также так называемые операторы иных информационных систем. Операторами иных информационных систем могут быть любые онлайн-платформы, мобильные приложения, которые помогают взаимодействовать клиникам с пациентами. В их число попадают и онлайн-платформы, которые обеспечивают, например, запись к врачу, информирование пациента о порядке работы клиники, дистанционные взаимодействия с пациентом. Чтобы такие операторы могли взаимодействовать с информационными системами в сфере здравоохранения , они должны быть внесены в специальный реестр операторов иных информационных систем. Оператор должен направить соответствующую заявку в Минздрав на одобрение.. Затем после включения в реестр операторов иных информационных систем подать заявку в Минкомсвязи и подключиться к ЕСИА и уже работать в правовом поле. Но вот незадача – пока такого реестра нет. Представители Минздрава уверяют, что он вот-вот будет создан, мы тоже ждем, что это произойдет оперативно. Пока же операторы иных информационных сетей опасаются, не привлекут ли их к ответственности за то, что они работают сейчас в серой зоне. Представляется, что пока нет реестра, операторы могут свободно работать. Поскольку прямо это не запрещено. Грани ответственности этих операторов законодательно еще не определены.
Кроме того, если подводить итоги, то летом этого года появились новые законодательные акты, которые касаются реализации проектов ГЧП и концессионных соглашений в сфере информационных технологий. Ранее государственно-частное партнерство допускалось только в отношении проектов, связанных с объектами недвижимости. Сейчас появились изменения, которые позволяют реализовать проекты в рамках ГЧП в сфере IT. Можно сказать, что это прорыв, потому что именно после данного изменения в разных регионах стали заявляться проекты ГЧП в сфере высоких технологий.
Еще один вопрос, который связан с современными информационными системами – это обработка персональных данных и внедрение искусственного интеллекта. У нас на рынке появляется все больше приложений, которые позиционируют себя как некие услуги на базе искусственного интеллекта. Это различные приложения, которые могут интерпретировать разные данные, начиная от анализа скринов рентгена, лабораторных исследований без участия человека. При этом система путем самообучения делает выводы и выдает результат. Возникает вопрос, кто несет ответственность за работу таких сервисов. Это серая зона законодательства, искусственный интеллект никак не урегулирован. Среди экспертов сейчас активно обсуждается вопрос, кто несет ответственность за действия, порождаемые искусственным интеллектом. Можно предположить, что разработчик такого программного обеспечения. Но вот есть искусственный интеллект Watson от компании IBM. Будет ли IBM нести ответственность за результаты, порождаемые компаниями, которые используют эту программу для своих собственных нужд, например, в медицине? Вариант, когда никто не несет ответственность, не подходит, потому что речь может идти о здоровье пациентов.
Далее довольно остро стоит вопрос с персональными данными. В сфере телемедицины мы работаем на стыке персональных данных и врачебной тайны. И участники телемедицинских услуг обрабатывают эти данные, причем некоторые участники процесса пребывают в иллюзии, что их эти вопросы не касаются. Например, если речь идет об обработке неких обезличенных данных, но это не так. Ведь даже обезличивание и шифрование – это уже обработка персональных данных, и на это тоже надо получать согласие лица. Получение согласия можно было бы быстро обеспечить с помощью электронного документооборота. Это нужно учитывать помимо уже существующих требований безопасности по обработке персональных данных.
Вопрос персональных данных плавно перетекает в вопрос обработки больших данных. Это большие массивы обезличенной информации, которая обрабатывается с помощью различных автоматизированных процессов, эти данные затем используются в исследованиях, маркетинге и т. п. И тут возникает вопрос: большие данные - они персональные, или это уже просто информация вне привязки к конкретному лицу? Конечно, крупные игроки рынка, которые заинтересованы в сборе такой информации, считают, что это просто данные, которые могут передаваться на коммерческой основе. Но если вставать на позицию граждан, то, безусловно, всегда будут существовать ситуации, когда из большого объема информации можно вычленить информацию и ее идентифицировать, персонализировать, то есть установить личность человека, о котором идет речь. И тут опять возникает проблема защиты данных, требуется согласие лица. Подход, в центре которого стоят интересы граждан, идет в канве с общеевропейским подходом к обработке персональных данных. Так, в этом году были приняты изменения в европейский регламент по обработке персональных данных (GDPR). Его задача – качественно повысить критерии для обработки данных граждан, и он коснется и России. Поскольку в России работают иностранные компании, у нас работает и проживает много иностранных граждан. У многих российских компаний есть европейские партнеры, которые требуют от отечественных предприятий соблюдать европейские требования по защите данных.
Также в ближайшее время в нашей стране будет рассматриваться несколько законопроектов по обработке больших данных, это очень актуальная тема.