США

В США органы, регулирующие медицинские изделия, рассматривают носимые устройства как приборы с низким уровнем риска (low-risk devices) и поэтому не маркируют их.

Например, Управление по контролю за продуктами и лекарствами США¹ (FDA) рассматривает подобные изделия как продукты “общего укрепления здоровья” (“general wellness”). FDA считает, что носимые устройства имеют низкие риски для безопасности пользователя, поэтому воздерживается от их регулирования. Производители либо самостоятельно регулируют производство и продажу своих продуктов, либо следуют рекомендациям и требованиям FDA к медицинскому оборудованию.

Речь здесь идёт о носимых устройствах, для применения которых не требуется медицинского вмешательства. Хотя регулирование таких носимых устройств не прописано ни одним законом США, работа с Защищённой медицинской информацией² (PHI) регулируется Управлением по гражданским правам³ (OCR). То есть организации, предоставляющие облачные услуги производителям носимых устройств, должны придерживаться Закона о мобильности и подотчётности медицинского страхования 1996 года⁴ (HIPAA).

А вот устройства, для применения которых необходимо медицинское вмешательство, проходят регистрацию FDA. Например, внешним электрокардиостимуляторам присваивается класс 2 (умеренный или умеренно высокий риск). Судя по информации с сайта службы, производителю изделия необходимо сделать предпродажное уведомление в форме 510(k). Согласно части 860 раздела 21 Свода Федеральных нормативных актов⁵ (СФНА; CFR), медицинские изделия Класса II подлежат общему и специальному контролю. Под специальным контролем подразумевается подтверждение безопасности и эффективности медицинского изделия, осуществляемое FDA. Согласно разъяснениям службы, такое подтверждение может включать в себя предпродажные наблюдения, выборочные проверки производства, постмаркетинговые наблюдения.

А например, имплантируемые кардиостимуляторы попадают под 3 класс устройств (высокий риск). В соответствии с 21 разделом СФНА, медицинские изделия Класса III подлежат общему контролю и предрыночному одобрению. Предрыночное одобрение оформляется FDA, процедура его выдачи регулируется частью 814 раздела 21 СФНА, а также частями 513 и 515 Федерального закона о продуктах питания, лекарствах и косметике⁶ (FD&C Act). Таким образом, регулирование носимых устройств различается в зависимости от их использования и опасности для носителя.

ЕС

В ЕС хотя и есть некоторые нюансы и отличия от США, однако ситуация с регулированием носимых устройств аналогичная:

• Те устройства, для применения которых требуется медицинское вмешательство, регулируются по правилам, описанным нормативным документом Medical Device Regulation (MDR), он же Регламент ЕС 2017/745 (Regulation (EU) 2017/745);
• Остальные (аксессуары, умная одежда, накожные патчи и т.п.) попадают лишь под контроль по защите данных mHealth⁷ (т.к. по классификации мед.изделий они входят в 1 класс, то регуляторная процедура для них будет самая простая. Фактически такой продукт может выводиться на рынок без разрешения регуляторов).

Общие правила защиты данных⁸ (GDPR) обязывают уведомлять пользователей носимых устройств о том, к какой информации имеют доступ приложения. Статья 25 GDPR требует от компаний создания систем со встроенной защитой персональных данных и систем конфиденциальности по умолчанию (“privacy by design and privacy by default”). Встроенная защита данных — это обязанность заблаговременно предусмотреть защиту персональных данных во всех действиях, начинаниях и решениях компании. Конфиденциальность по умолчанию подразумевает, что пользователю не нужно предпринимать никакие действия для защиты своей конфиденциальности. Настройки по сохранению конфиденциальности и соответственно защите его персональных данных установлены по умолчанию.

GDPR требует, чтобы обрабатывались только те персональные данные, которые необходимы для каждой конкретной цели обработки. Регулировка касается объема собираемых данных, времени хранения, уровня обработки и доступности данных.

Китай

В Азии регулировочная политика немного отличается от западной. В Китае, например, некоторые компании в сотрудничестве с Ассоциацией общественного здравоохранения Китая создают системы дистанционного мониторинга состояния здоровья для людей, живущих вдали от больниц. Один из таких проектов – программа профилактики заболеваний сердца с помощью беспроводных устройств (Wireless Heart Health program). Каждый участник имеет смартфон и нательные датчики, автоматически записывающие данные ЭКГ. Обработанная смартфоном информация по сети поступает в местные клиники, после чего специалисты проводят дистанционные консультации или приглашают участников программы на более основательное обследование в случае необходимости. Такой способ взаимодействия с пациентом называется телемедициной (mHealth). Также на данный момент в Китае создаются офлайн-клиники, то есть компании, предоставляющие больницам Интернет-услуги передачи и обработки данных с помощью мобильных приложений, устройств удалённого мониторинга (по типу wearables) и технологий онлайн-записи на приём.

Однако масштабная сертификация wearables всё ещё не проводится, так как на рынок выходит множество компаний, и капиталовложения растут слишком быстро. Наблюдаются лишь некоторые шаги в сторону стандартизации носимых устройств.

Есть организации, которые уже начали заниматься этим, как, например, Федерация индустрии носимых устройств Китая⁹, которая разработала методы тестирования отдельных видов wearable-устройств¹⁰. Некоторые китайские больницы также работают над сертификацией устройств, позволяющих контролировать качество сбора, передачи и хранения данных.

Чтобы увеличить масштабы сертификации, Национальный институт метрологии Китая призывает организации присоединиться к проекту стандартизации носимых устройств, потенциально применимых в здравоохранении. Институт выделил следующие стандарты, руководства и спецификации, которые необходимо разработать:

1) минимальные требования к носимым медицинским устройствам;

2) терминологию;

3) правила проведения калибровки;

4) руководство по оценке эффективности и достоверности данных;

5) руководство по сбору и передаче данных;

6) руководство по обмену данными и их применению;

7) руководство по хранению данных и распространению информации;

8) и так далее.

Также институт подчёркивает, что производители, объекты здравоохранения и всё общество в целом получат пользу от стандартизации индустрии носимых устройств. Ожидается, что будет разработан и опубликован ряд стандартов и принципов, включающих терминологию, методы оценки устройств, методы оценки достоверности данных, спецификацию сбора, передачи и обмена данными.

Что касается персональных данных, то Всекитайское собрание народных представителей официально приняло закон о защите личной информации¹¹ (PIPL), налагающий юридические ограничения на сбор, использование и управление персональными данными, вступивший в силу 1 ноября 2021 года. PIPL направлен на защиту физических лиц и общества от вреда, который может быть причинен злоупотреблениями и нарушениями при обработке информации, связанной с личностью конкретного человека.

PIPL Китая распространяется на:

• Обработку личной информации в пределах границ Китая;
• Обработку персональных данных за пределами Китая, если она связана с продажей товаров или услуг людям в Китае.

В соответствии с китайским PIPL, то, что считается «конфиденциальными данными», в целом совпадает с GDPR. Однако определение PIPL идет немного дальше, классифицируя конфиденциальные данные как любую информацию, которая может причинить материальный вред физическому лицу в случае ее утечки или незаконного использования.

Некоторые из примеров персональных данных, приведенных в PIPL, включают:

• Информация о финансовом счете;
• Биометрические характеристики;
• Данные о зздоровье;
• Религиозные убеждения.

Южная Корея

C 2019 года в Южной Корее действует так называемый “Regulatory sandbox” (Регулятивная “песочница”, т.е. эксперимент).

Регулятивные “песочницы” — это специальные условия работы, при которых банки и компании могут протестировать новые инновационные технологии и услуги в ограниченной среде, не рискуя нарушить законодательство. При этом регулятор вместе с участниками эксперимента будет изучать, как работает новая технология, нужно или не нужно менять регулирование, и только по результатам «пилота» — принимать решение.

Таким образом, в Корее некоторые носимые устройства, включённые в список regulatory sandbox, сейчас активно используются в сфере здравоохранения. Например, умные часы, способные отправлять электрокардиограмму носителя врачу при регистрации каких-либо отклонений от нормы. Умное устройство также направит носителя в больницу на консультацию в случае необходимости.

То есть Южная Корея делает более серьёзные шаги в плане сертификации и применения wearable-девайсов (не требующих медицинского вмешательства) в здравоохранении.

Например, в некоторых университетах и больницах Кореи проводятся рандомизированные исследования, нацеленные на оценку эффективности носимых устройств в сфере здравоохранения.

При этом Министерство безопасности пищевых продуктов и медикаментов Кореи¹² (MFDS) регистрирует носимые устройства как медицинские изделия. Так, например, приложение для измерения артериального давления и работающие на его основе умные часы были зарегистрированы как медицинское оборудование.

MFDS также разработало руководства по написанию отчётов о клинических результатах при испытании wearable-технологий. Цель руководства — стандартизация проведения исследований на эту тему.

То есть в Корее носимые устройства признаются медицинскими и ведётся их сертификация.

Регулирование wearable-устройств затрагивает и персональные данные. В Корее с этим связан Закон о защите персональных данных (PIPA). Согласно данному закону, персональнми данными считается любая личная информация, будь то голос, фото, виртуальное изображение, национальный идентификационный номер и т.п. — в общем, всё, с помощью чего можно идентифицировать отдельного человека. Производители носимых устройств должны защищать персональные данные пользователей по аналогичным принципам, какие существуют в вышеперечисленных странах, в ином случае будет налагаться штраф. В целом, европейский GDPR, китайский PIPL и корейский PIPA походят друг на друга и служат одним и тем же целям: в каждом можно обнаружить схожие пункты и правила. Таким образом Южная Корея активно перестраивает свою систему защиты персональных данных, чтобы соответствовать требованиям ЕС.

Но мы не будем углубляться во все тонкости и различия законов о защите персональных данных. Главное, что все они регулируют производство и использование носимых устройств, а именно, то, как происходит сбор, обработка и обмен данными посредством wearable-девайсов.

Список литературы

1. Навигатор по барьерам и требованиям рынков :: Аналитический портал [Электронный ресурс]. URL: http://test.navigator.exportcenter.ru/requirements/industries/43/

2. Кольцова М. Privacy by design и privacy by default (спроектированная защита данных и конфиденциальность по умолчанию по GDPR) [Электронный ресурс] // Хабр. Habr, 2019. URL: https://habr.com/ru/company/digitalrightscenter/blog/479514/#post-content-body

3. GlobalData Thematic Research. Wearable Technology: Regulatory Trends [Электронный ресурс] // Mining Technology. 2021. URL: https://www.mining-technology.com/comment/wearable-technology-regulatory-trends/

4. mHealth in China and the United States [Электронный ресурс]. URL:

https://www.brookings.edu/wp-content/uploads/2016/06/mHealth_finalx.pdf

5. What three companies are dominating China’s mHealth market? [Электронный ресурс]. 2020. URL: https://healthcareglobal.com/technology-and-ai/what-three-companies-are-dominating-chinas-mhealth-market

6. Цветкова Л.А., Кузнецов П.П., Куракова Н.Г. Оценка перспектив развития мобильной медицины — mHealth на основании данных наукометрического и патентного анализа // Врач и информационные технологии. Россия, Москва: Общество с ограниченной ответственностью Издательский дом «Менеджер здравоохранения», 2014. № 4. С. 66–77.

7. mHealth in China [Электронный ресурс]. URL: https://www.asianhhm.com/healthcare-management/mhealth-in-china

8. Telecommunication standardization sector [Электронный ресурс]. URL: https://www.itu.int/en/ITU-T/focusgroups/ai4h/Documents/all/FGAI4H-D-017.docx

9. The comparison between China’s PIPL and EU’s GDPR: Practitioners’ perspective [Электронный ресурс] // JD Supra. URL: https://www.jdsupra.com/legalnews/the-comparison-between-china-s-pipl-and-2189482/

10. ЦБ создаст «песочницы» для тестирования новых технологий [Электронный ресурс] // РБК. URL: https://www.rbc.ru/finances/21/09/2016/57e29fd59a7947665ff96782

11. Briefing on regulatory sandboxes [Электронный ресурс]. URL: https://www.unsgsa.org/sites/default/files/resources-files/2020-09/Fintech_Briefing_Paper_Regulatory_Sandboxes.pdf

12. Wearable medical device earns gov’t’s 1st regulatory waiver [Электронный ресурс]. URL: https://www.korea.net/NewsFocus/Sci-Tech/view?articleId=168047

13. Kim J.-W. и др. Impact of Personal Health Records and Wearables on Health Outcomes and Patient Response: Three-Arm Randomized Controlled Trial // JMIR mHealth and uHealth. JMIR Publications Inc., 2019. Т. 7, № 1.

14. The World’s First Blood Pressure Measurement Mobile App Approved As Medical Device [Электронный ресурс]. URL: https://www.mfds.go.kr/eng/brd/m_61/view.do?seq=9

15. 2020 Ministry of Food and Drug Safety White Paper [Электронный ресурс]. URL: https://www.mfds.go.kr/eng/brd/m_60/view.do?seq=74498

16. Digital health in South Korea [Электронный ресурс]. URL: https://www.intralinkgroup.com/getmedia/3153c79b-463d-47c7-84e6-56848c98aab7/Intralink-ReportLife

Примечания

1. Управление по контролю за продуктами и лекарствами США — Food and Drug Administration (FDA);
2. Защищённая медицинская информация — Protected health information (PHI). В соответствии с законодательством США, это любая информация о состоянии здоровья, о предоставлении медицинских услуг или об оплате медицинских услуг, которая создаётся или собирается какой-либо организацией (или её бизнес-партнером защищаемой) и может быть связана с конкретным лицом;
3. Управление по гражданским правам — Office of Civil Rights (OCR);
4. Закон о мобильности и подотчётности медицинского страхования — Health Insurance Portability and Accountability (HIPAA);
5. Свод Федеральных нормативных актов — Code of Federal Regulations (CFR);
6. Федеральный закон о продуктах питания, лекарствах и косметике — Federal Food, Drug, and Cosmetic Act (FD&C Act);
7. Mobile health (мобильное здравоохранение) – отрасль электронного здравоохранения e-Health, включающая в себя медицинское обслуживание (мониторинг, профилактика заболеваний, диагностика и пр.) с использованием мобильных устройств и беспроводных технологий передачи данных;
8. Общие правила защиты данных — General Data Protection Regulation (GDPR). Это свод предписаний для компаний, которые собирают и обрабатывают данные пользователей Евросоюза в сети Интернет. Новый регламент нацелен на повышение уровня защиты и предоставление гражданам контроля над своими данными. Невыполнение правил компаниями ведет к наложению крупных штрафов (вплоть до 4% годового дохода бизнеса, или 20 млн. евро). Требования акта касаются как организаций, зарегистрированных в ЕС, так и компаний, расположенных в других странах, при условии, что они предоставляют услуги гражданам Евросоюза, либо иным способом собирают данные таких пользователей;
9. Федерация индустрии носимых устройств Китая — Federation of China (Shenzhen) Wearable Industry;
10. Например, T/FSW 001—2019 Test method for smart wearable products (or devices) based on ECG/PPG technology;
11. Закон о защите личной информации — Personal Information Protection Law (PIPL);
12. Министерство безопасности пищевых продуктов и медикаментов Кореи — Ministry of food and drug safety (MFDS);
13. Закон о защите персональных данных — Personal Information Protection Act (PIPA).

Текст: Антон Белокопытов

Обратная связь

e-mail: anton.belokopytov@beawire.com