国际监管动态 | 国际医疗器械数字安全风险监管概述

当前，物联网、云计算、区块链、人工智能等数字化技术的广泛应用，为医疗器械产业带来了巨大的技术创新空间，越来越多的医疗器械具备了计算机智能、处理复杂逻辑、联网等功能。在医疗设备向智能化、网络化、可移动化方向发展的同时，数字安全问题也日益突显，成为各国医疗器械监管机构关注的焦点。

　　经济合作与发展组织（OECD）发布的《委员会关于重要活动数字安全的建议》（Recommendation of the Council on Digital Security of Critical Activities）中提到，数字化转变带来了大量数字安全风险，数字安全风险是由潜在的隐患或未识别的威胁带来的一种风险。这些安全风险带来的漏洞利用和风险爆发导致的生产事故严重影响生产过程的可用性、完整性以及数据保密性，同时，也影响生产过程所依赖数据、硬件、软件和网络的机密性。因此，美国、欧盟、日本、国际医疗器械监管机构论坛（IMDRF）、电气和电子工程师协会（IEEE）等国家、地区和国际组织也制定了相关政策和文件。

　　美国  美国食品药品管理局（FDA）早在2013年9月便已制定识别医疗设备软件和移动医疗设备产品的有关规则，经过多次修改，美国FDA于2019年9月发布《医疗设备软件功能和移动医疗应用政策》。该文件定义了移动平台、移动医疗应用、常规医疗设备等术语，设置了设备软件功能的管理方法，并列出重点监管的应用示例，如测量心脏信号、测量心肺复苏信号、用于进行听力评估与协助诊断耳科疾病、用于诊断睡眠呼吸暂停等特定疾病的软件等。

　　近年来，美国FDA着重于创建可识别风险及保护消费者的全新医疗器械网络安全监管架构，尝试建设医疗设备病患安全网，以保障数字化医疗设备的软件功能安全、网络安全、数据安全等。美国FDA通过建立“企业资质+设计文档+风险测试”的监管体系，制定上市前和上市后的“产品全生命周期”策略，从而保障医疗设备数字安全。

　　欧盟  欧盟医疗器械协调小组（MDCG）于2019年10月发布《医疗器械软件定义与分类指导文件》。该文件提出对医疗设备软件的要求：医疗设备软件（MDSW）本身必须具有医疗目的。该文件还列出了一种医疗设备软件的安全分级方法：依据医疗设备软件涉及场景或病人的严重程度（危急场景/病人，严重场景/病人，非严重场景/病人），并根据医疗设备软件对医疗的作用（治疗或诊断，推动临床管理，通知临床管理）将医疗设备软件分为III类、IIb类与IIa类。

　　日本与澳大利亚  日本负责医疗卫生和社会保障的主要部门厚生劳动省（MHLW）于2014年11月发布了医疗器械软件的基本概念