夜雨聆风MDR/IVDR与DSA双重监管:医疗软件App上架合规指南深度剖析 🚀
💡2024年以来,凡在欧盟应用商店上架的医疗用途App不仅要通过医疗器械法规(MDR/IVDR)认证,还必须符合数字服务法案(DSA)的要求!随着智能手机应用深度融入医疗健康领域,一大批声称可诊断疾病、指导治疗的医疗器械软件(MDSW)》蜂拥上线,如胰岛素泵控制App、皮肤癌AI检测App等。在欧盟市场上架此类App已不再仅是技术问题,更是合规“双考试”:
开发商需取得MDR/IVDR医疗器械CE认证,
应用商店等平台还要担负数字服务法案(DSA)下的新义务。
MDCG 2025-4指南由欧盟医疗器械协调组(MDCG)于2025年6月制定,全面解析了MDR/IVDR与DSA双重监管下医疗软件App上架的责任与要求,并就企业关心的角色归属、信息披露及合规路径等焦点问题给出权威指导。本期文章将以MDCG 2025-4为蓝本,深度剖析线上应用平台安全提供MDSW App的新规要点,纠正常见误区,为医疗器械行业同仁提供合规运营的实战指南。
📘 指南背景及发布意义
MDCG 2025-4是欧盟医疗器械协调组(MDCG)于2025年6月发布的一份关键指导文件。这份指南旨在明确医疗器械软件(App)在应用平台上上架时的监管要求和各方责任。近年来,移动医疗App蓬勃发展,大量具有医疗用途的软件通过应用商店(App Store)等线上平台直接面向患者提供。欧盟医疗器械法规(MDR/IVDR)已将医疗用途的软件纳入医疗器械范畴进行监管,而欧盟数字服务法案(DSA)于2024年起全面生效,为在线平台增设了通用的合规义务。MDCG 2025-4正是在此背景下出台,填补了医疗器械法规与数字服务法案并行适用的监管空白,对MDSW制造商以及App平台提供商的义务和角色分工进行了详细阐释。该指南不仅帮助企业厘清“线上应用平台是否属于医疗器械经销商?”、“MDSW上架时需要提供哪些信息?”等疑问,也为各国监管机构统一执法提供了参考标准,具有重要的指导意义。
线上平台双角色:中介还是经销商?🕹️
MDCG 2025-4的第二章首先强调:对于一款医疗器械App,要在欧盟市场上提供(download)使用,必须同时符合所有相关欧盟法规的要求。也就是说,如果一个应用程序被归类为医疗器械软件(MDSW),那么在其上架应用平台前,既要满足MDR/IVDR的合格评定和CE认证要求,又要遵守DSA对在线平台服务的相关义务,否则无法合法进入欧盟市场。欧盟《蓝指南》(Blue Guide 2022)明确了多部法规可对同一产品并行适用的原则。特别是医疗软件App在欧盟市场的投放和提供,就需要遵循MDR/IVDR和DSA两套法规的共同监管。
接下来,指南将应用平台(App商店)提供商在MDSW上架过程中的角色情形区分为两大类:
情形1:平台作为DSA下“中介服务提供者”。 当应用平台仅作为技术中介,由第三方MDSW制造商(或其进口商、经销商)负责直接向用户提供App时,平台仅扮演“中介服务”角色,不被视为MDR/IVDR下的经销商或进口商,因此不属于医疗器械监管链中的经济运营者。此时,平台主要遵循DSA赋予在线中介服务提供者(intermediary service)的义务和责任,包括责任豁免机制和不强制普遍监控等原则。简单来说,如果App商店只是提供第三方医疗软件的下载服务,而不参与产品所有权转移等交易环节,就不会被认定为医疗器械法规下的经销商/进口商,而是适用DSA的一般平台义务。
情形2:平台作为MDR/IVDR下“经销商或进口商”。 当MDSW制造商将产品交由平台发布,由平台直接提供给最终用户(包括通过购买或获取所有权等方式),则平台就成为医疗器械供应链的一环,被视作MDR/IVDR意义下的“经销商”或“进口商”。例如:如果MDSW制造商位于欧盟之外,而应用平台在欧盟境内,则该平台提供商自动承担进口商角色,必须符合MDR/IVDR中第13条规定的进口商义务;即便制造商位于欧盟境内,平台以自身名义将App提供给用户,则相当于经销商,需满足MDR/IVDR第14条关于经销商的各项要求。在这些场景下,DSA不再适用平台提供商(因其已作为医疗器械经济运营者),取而代之的是其作为经销商/进口商所承担的一系列法定责任。直白地说,一旦应用平台扮演了产品经销的角色,就要像传统医疗器械代理商一样履行把关义务,确保上架的医疗App符合MDR/IVDR要求,并主动配合监管部门的监督管理。
需要指出的是,“上架发布MDSW App”本身即被视为在欧盟市场上投放医疗器械。无论App是付费下载还是免费提供,只要通过商业渠道向欧盟用户开放,都属于“在市场上提供”的行为。这意味着,MDSW制造商必须在上架前完成CE合格评定(例如通过NB公告机构审核技术文件、获得CE证书),否则应用平台不应允许其在欧盟区上架下载。
平台与制造商的信息披露新要求 🔍
MDCG 2025-4指南的第四章聚焦于信息披露,列出了MDR/IVDR要求MDSW制造商提供、且必须在应用平台上公开给患者/用户的一系列信息清单。此举也旨在帮助应用平台符合DSA关于交易方信息透明的义务。以下是MDSW制造商在App上架时需提供/公示的关键信息:
基本经营者信息(DSA第31(1)条要求): 制造商及相关经济运营方(如授权代表、进口商、经销商)的名称、注册地址、联系方式等。这些信息帮助用户和监管机构清晰识别产品的来源和责任主体。
产品标识信息(DSA第31(2)条要求): 用于对上架App进行清晰、无歧义识别的各类信息。例如,App在平台上的名称或商用名称、版本号,适用的软件平台或操作系统版本,必要时提供截图帮助用户确认。同时,要求明确标示该App的医疗器械身份,例如在介绍页面或图标处标注标准化的“医疗器械(MD)”或“体外诊断(IVD)”符号。许多企业过往常将医疗App归类于普通“健康”或“生活方式”类别,从而导致用户无法辨识哪些App是真正的医疗器械。对此,指南建议平台设立独立的“医疗器械App”分类,并要求仅当App满足上述全部信息披露要求时,开发者才能将其归入该类别。这有助于患者在海量应用中快速识别受监管的医疗App,避免误用生活健康类应用去诊断疾病等风险。
医疗器械法规标签要求(MDR/IVDR附录I): 作为第(d)项内容的延伸,开发者需提供符合法规要求的电子标签和标识信息。具体包括产品信息(如器械名称或商品名、制造商及注册信息、MD或IVD标识、产品描述和预期用途、关键警告或注意事项、电子说明书(eIFU)链接、UDI唯一标识等);以及法律合规信息(如授权代表名称和地址、公告机构编号、证书号码等)和运行要求(如特殊操作说明、需配合使用的专用硬件或附件、最低系统要求等)。所有这些信息通常应当在App的上线信息页清晰展示,确保潜在用户在下载前即可了解产品的监管状态和使用要求。
此外,DSA对在线平台还要求:在允许商户(包括MDSW制造商)在平台上架产品前,应尽最大努力核实其提供的上述必要信息是否完整可靠;在产品上架后,也要定期抽查公开数据库或资料,以发现并及时移除被认定为非法的产品(如未获CE认证的医疗App)。对于被欧盟认定为“超大型在线平台(VLOP)”的应用商店运营商,DSA还施加了更多义务,包括每年至少一次对平台系统性风险(如非法产品传播风险)进行风险评估并采取有效缓解措施等。这些额外要求与MDR/IVDR的监管形成互补:一方面保证上架前医疗软件App本身的安全有效和合规性,另一方面强化上架后线上平台对违法/不合规产品的监测和响应机制,形成全链条闭环式的监管。
MDR/IVDR与DSA平台责任差异对比 📊
MDR和IVDR作为针对医疗器械的专业法规,与聚焦数字平台治理的DSA在平台责任划分和合规要求上既有联系又有明显区别。下表对比了MDR/IVDR与DSA在App平台责任划分、信息披露义务、合规路径等方面的主要差异:
尽管MDR/IVDR与DSA侧重点不同,但其对应用平台的监管并行不悖且相互补充。平台若以经销商/进口商身份直接提供医疗软件App,则DSA赋予的中介免责不再适用,必须全盘遵守MDR/IVDR对于产品安全合规的要求;反之,平台仅作为中介服务时,则不在医疗器械法规的经济运营者链条内,而需履行DSA规定的维护网络生态安全与透明的职责。两套法规共同作用,既保证了MDSW本身的安全有效,又规范了App平台的运营秩序,形成对患者和用户双重保护的安全网。
常见误区与合规指引 ❌✅
在MDCG 2025-4发布之前,许多企业和平台对MDR/IVDR与DSA的双重要求并不熟悉,由此产生了一些认识误区。以下列举几个典型错误观念,并给出专家建议以助您规避合规陷阱:
❌ 误区1:医疗App是数字产品,不用像实体医疗器械那样CE认证。✅ 正确做法: 数字形式的医疗器械同样受MDR/IVDR严格监管。医疗用途App一旦在欧盟应用商店上架(投放市场),其监管地位与传统实体医疗器械无异。不论收费与否,只要具有医疗用途(如用于诊断、疾病管理),均应先按照MDR/IVDR完成合规评审并取得CE认证,再通过平台合规上架。例如,一款糖尿病管理App在上架欧盟区之前,必须完成必要的临床评价、风险管理和CE合格评定,否则将被视为“不合规”产品,应用平台也有责任拒绝其上架或将其下架。
❌ 误区2:只要应用商店同意上架,MDSW制造商就无需对产品合规负责。✅ 正确做法: MDR/IVDR将医疗器械App合规的首要责任明确归属于制造商。应用平台并非医疗器械法规意义上的“质量守门员”,即便平台允许上架,一旦产品被发现不符合法规要求(例如缺少CE标志或说明书),制造商仍将承担首要法律责任,产品可能被认定为非法。因此,开发者切勿将合规责任“甩锅”给平台,而应主动确保App符合法规要求,包括准确界定医疗用途、完成合格评定、准备充分的技术文件和标签信息等。平台方面则应通过协议条款要求上架的MDSW提供必要合规证明,并在发现违规后及时移除相关App。
❌ 误区3:平台不是医疗器械企业,无需关心医疗器械法规,只遵守DSA即可。✅ 正确做法: 明确自身角色,双轨并行合规。应用平台需首先判断自己在每款MDSW上架中所扮演的角色——只是中介,还是实际分销?如仅提供技术平台撮合交易,则依据DSA履行非法内容移除、信息披露等义务;但一旦平台直接向用户提供App(有偿或无偿),就意味着进入了医疗器械供应链,须立即切换到MDR/IVDR法规模式:执行进口商/经销商职责,验证产品CE合规,留存EU授权代表及合格声明信息,并与监管部门配合。忽视任何一方要求都可能导致合规漏洞,招致法律风险。
❌ 误区4:医疗App标识属于软件界面元素,可有可无。✅ 正确做法: 医疗软件的标签与说明同样是法定要求。MDR/IVDR规定,医疗器械软件产品必须具备与实体医疗器械等同的标签信息。常见错误是在App上架页面缺失对医疗器械身份的明示(如未标注CE标志、MD/IVD符号),或归类错误(将MDSW放入普通健康应用类别)。正确做法是:在应用商店界面明确显示产品为“医疗器械”(必要时使用国际公认的MD/IVD标志),并展示已符合法规的关键信息(如制造商和欧盟负责人信息、CE认证/公告机构号、UDI等)。同时,平台运营商也应建立MDSW专区,确保只有提供齐全合规信息的App才能归入医疗类目,帮助用户快速识别受监管的医疗App。这样可有效避免用户将医疗App与普通健康应用混淆,防范因信息不透明导致的潜在安全风险⚠️。
结语 🎯
通过MDCG 2025-4指南,欧盟监管机构向医疗软件行业释放出明确信号:线上应用平台不再是监管“飞地”,医疗器械软件在App商店的发布同样需要严守法规红线。MDR/IVDR与DSA的“双轨”监管模式将在线上线下全方位规范医疗App的安全和合规:前者确保App本身满足医疗器械安全性能要求,后者强化平台在移除非法产品、信息透明和用户保护方面的责任。这种监管协同并非为企业设置障碍,恰恰相反,它将促进市场上医疗健康App的优胜劣汰,引导行业更加注重产品质量和使用者安全,从而提升公众对数字医疗的信心。作为中国医疗器械数字化转型的践行者,我们应当密切关注国际法规动态, 提前完善自身合规体系:
一方面,严格依据MDR/IVDR要求开发和维护高质量的医疗软件,确保产品资料和上市流程符合法规;
另一方面,主动了解DSA等数字监管的新规则,在进入海外市场时,与平台密切合作,履行信息披露等义务。
