提供醫療器材軟體應用程式的線上平台指引

MDCG 2025-4 

Guidance on the safe making available of medical device software (MDSW) apps on online platforms

1.    概述

軟體應用程式（Apps）正在顯著地改變吾人生活方式，幫助眾人在日常生活的各個層面，包括醫療保健。醫療器材軟體（MDSW，Medical Device Software）應用程式涵蓋廣泛用途，例如：驅動胰島素幫浦、偵測及診斷皮膚癌（如黑色素瘤）等。

該等應用程式直接在應用程式平台上提供，供患者下載與使用。其安全性及是否符合《歐盟醫療器材條例 EU 2017/745》的安全與性能要求至關重要。因此，應用程式平台供應商必須協助 MDSW 製造商滿足其要求，包括但不限於 MDR/IVDR 中所訂明的透明度要求。

該指引旨在說明應用程式平台提供者在MDR/IVDR和數位服務法（DSA，EU 2022/2065）下的義務及其各自責任，後者對線上中介服務提供者提出法律方面的相關要求。

依據歐盟醫療器材（MDR 2017/745）條例第103條第8款及歐盟體外診斷醫療器材（IVDR, EU 2017/746）條例第98條，歐盟指引MDCG 2025-4指引釐清應用程式平台提供者在促進醫療器材軟體（MDSW）提供歐盟市場的應用程式時的角色與責任。該指引也提供醫療器材製造商在提供 MDSW 應用程式時應備妥且一併提供的資訊。

© All Rights reserved。 版權聲明。CC BY-SA 4。0。
（內文引用人工智慧網路平臺提供資訊，經由整合篩選與文字調整。）

2.    法規考量面

就該指引而言，MDR與IVDR第2條中所述的以下定義具有相關性：
「放入市場」 指首次將除研究器材/性能研究器材外的器材首次在歐盟市場提供；
「在市場上提供」定義為除研究器材/用於性能研究、分銷、消費或在歐盟市場商業活動中使用外的任何器材供應，無論是以有償或無償方式交付。
「投入服務」定義為除研究器材/性能研究用器材外，該器材首次以預期目的在歐盟市場可供最終使用者使用。
「製造商」 指製造或全面翻新器材，或設計、製造或全面翻新該器材，並以其名稱或商標行銷該器材的自然人或法人；
「進口商」 被定義為在歐盟內設立的自然人或法人，將第三國的器材引進歐盟市場。
「經銷商」 被定義為供應鏈中任何自然人或法人，除製造商或進口商外，將器材朝向市場，直到該器材投入服務為止。
此外，DSA第3條中所述的定義具有相關性：「中介服務」指以下資訊社會服務之一：

1. 「純粹的傳遞」服務，即在通訊網路中傳送由服務接收者提供的資訊，或提供通訊網路的存取；
2. 一種「快取」服務，包含由服務接收者在通訊網路中傳送資訊，並以自動、中介及臨時方式儲存該資訊，目的是讓資訊在其他接收者請求時能更有效率地傳送；
3. 一種「託管」服務，包含由服務接收者提供並應其要求提供的資訊儲存；

「線上平台」指的是一種主機服務模式，回應服務接收者的要求，儲存並向公眾傳播資訊，除非該等活動是其他網路服務的次要項目，且純係附屬性功能，或其主要服務項目之中的次要功能，且基於客觀及技術原因，無法在沒有該主要服務的情況下使用次要功能；若僅是將該功能整合進其他各類服務之中，則並非規避本指引適宜採用的手段。

3.    歐盟市場的醫療器材軟體（MDSW）應用程式

根據新立法架構，如歐盟委員會公告《2022年歐盟產品法規實施指引》（通常稱之為【藍色指引】）中所釐清之，通用的規則，若是多條歐盟調和法規，如：醫療器材（MDR）、體外診斷醫療器材（IVDR）及數位服務法（DSA），可適用於同類型產品，因為只有在產品符合所有適用的歐盟調和法規的規範時，才能提供到歐盟市場或投入服務。

考量MDR與IVDR中所列定義（部分內容參見該指引第2節），製造商上傳MDSW應用程式即等同於「放入市場」。MDSW 應用程式透過應用程式平台供應商提供的時間，對應於調和法規所稱之「在市場上提供」的時間。當應用程式平台提供者將自己的MDSW提供給使用者/患者時，該應用程式平台提供者在該醫療器材的經銷鏈中完全符合【經濟營運者economic operator】的資格。

注意：「在市場上提供」的定義是指在商業活動中提供任何器材，無論是以有償或無償方式交付。

當應用程式平台提供者僅提供第三方 MDSW 時，它僅作為應用程式製造商與下載用戶/患者之間的中介服務。

考量上述法規適用範圍與狀況，目前可設想到兩種 MDSW 應用程式在歐盟市場的提供方式，兩者因涵蓋不同角色而適用，分別適用於單一模式或混合模式（例如存在自有及第三方應用程式）。

3.1.  應用程式平台提供者作為數位服務法（DSA）的中介服務提供者

某些服務情況，當應用程式平台提供者可能符合中介服務提供者資格，並在連結MDSW應用程式製造商與患者方面扮演關鍵角色。

根據數位服務法（DSA）第3條第1款，「線上平台」指應服務受益人請求，儲存並向公眾傳播資訊的主機服務，除非該活動是其他服務的次要且單純的附屬功能，或主要服務的次要功能，且基於客觀及技術理由， 無法單獨使用該服務，且將該功能整合進另一服務並非規避 數位服務法（DSA）適用性的手段。

若應用程式平台提供者作為中介服務提供者，包括從網際網路線上放入市場，即允許消費者與交易者簽訂遠距合約的線上平台，且產品由製造商、進口商或經銷商提供給用戶，則在該等情況下，應用平台提供者不應被視為經銷商或進口商，因此不算經濟營運者，本案中，數位服務法（DSA）的總體原則如責任豁免（第6條）及非一般監督義務（第8條）均完全適用。

允許用戶與患者與交易者簽訂遠距合約的線上平台（例如MDR及IVDR下的製造商）須遵守DSA的要求，包括但不限於：

l   非法內容通知： 主機服務提供者，包括線上平台，應對其服務中被視為非法的內容設立通知與行動機制。此類通知被視為產生實際的知識或認知，並要求主機服務提供者及時且謹慎地做出決策。根據MDR/IVDR及數位服務法（DSA），成員國的國家醫療器材主管機關可發布命令（DSA第9條及第10條），要求應用程式執行服務提供者移除與醫療器材相關的非法內容，如不合規或不安全產品。

 l   透明度與合規要求： 應用程式平台提供者若符合線上平台資格，允許用戶與患者與交易者簽訂遠距合約（例如軟體器材製造商/應用程式開發者），應確保其線上介面設計與組織，使交易者（例如軟體器材製造商/應用程式開發者）能遵守其相關義務， 其中包括歐盟法律下的合規與產品安全資訊，例如MDR附錄I及IVDR（DSA第31條）對用戶及患者提供資訊的要求，詳情參見該指引第4節「資訊義務」（如後段敘述）。為確保安全、可信賴且透明的環境，該等提供者須盡最大努力評鑑關於交易者的必要資訊，包括聯絡資料（DSA第30條），是可靠、完整且供渠等用戶能夠取得。

n  問責制： 此外，包括歐盟委員會指派的應用程式平台供應商在內的超大型線上平台，仍須遵守風險評鑑架構的義務。其中一項是，該等提供必須評鑑透過服務傳播非法內容的風險，並實施合理、相稱且有效的緩解措施。

3.2.  應用程式平台供應商作為經銷商或進口商

若製造商以商業或非商業活動提供 MDSW 應用程式給應用程式平台提供者，而該應用程式平台提供者又透過例如轉讓所有權或其他權利，直接將該產品作為經銷商或進口商提供給用戶，則該應用程式平台提供者須遵守 MDR 第 14 條及 IVDR 所訂定的各相關要求。

值得注意的是，若製造商位於第三國且應用程式平台提供者位於歐盟境內，則該應用程式平台提供者將扮演進口商的角色，並須遵守MDR第13條及IVDR中各相關要求。此舉不影響相關非歐盟製造商必須在歐盟內委任授權代表的額外要求，否則該器材不得進入歐盟市場。

在此等條件下，將MDSW應用程式提供於其應用程式平台上，該服務提供者或該應用程式平台因此符合MDR/IVDR的經銷商或進口商資格。DSA在該等情況下不適用；反之，身為經銷商或進口商，該等提供者有具體義務（非詳盡列出）：

1. 確保合規： 應用程式平台提供者必須確保此類應用程式符合MDR及IVDR的要求。這包括確保該等應用程式的安全、效能及資料保護等方面。
2. 與主管機關合作： 應用程式平台提供者必須與主管機關合作，包括向其提供平台上相關應用程式的資訊與文件。

4.    資訊義務

本節旨在概要敘述須在應用程式平台上提供並提供給患者的資訊義務。以下清單包含應依據MDR與IVDR隨MDSW提供的資訊，並可在應用程式平台上提供。同時也旨在促進應用程式平台提供者履行數位服務法（DSA）的要求。

4.1.  將向MDSW製造商索取資訊，並透過應用程式平台提供給患者

此外，依據數位服務法（DSA）第31條第1款及第31條第2款，該等平台應確保其線上介面設計與組織，使包括醫療器材製造商在內的交易者至少能提供以下功能：

1. 根據歐盟市場監督條例（EU 2019/1020）（見另文說明）第3條第（13）項及其他歐盟法律所定義的經濟營運商的姓名、地址、電話號碼及電子郵件地址，
2. 為明確且無歧義地識別透過供應商（包括MDSW）向位於歐盟內消費者推廣或提供的產品或服務所需的資訊。
3. 任何標示交易者的標誌，如商標、符號或標誌；
4. 如適用，關於標示及標記符合適用工會產品安全及產品合規規則的資訊（詳見下文有關本條款對MDR及IVDR適用性的更多細節（附件一第三章）。

4.2.  應用程式平台上的產品類別明確：醫療器材（與其它類別得以區分，如：健康、生活型態、醫療）

為了供患者明確識別MDSW應用程式，建議應用程式平台提供者在其資料庫中明確區分《MDSW應用程式》與《無醫療用途的健康應用程式》。此類別應由 MDSW 應用程式製造商在向應用程式平台供應商提供產品時給出選定類別，且僅在提供上述資訊時才能取得。

4.2.1.  有關標示與標記符合MDR及IVDR規則的資訊

(*mandatory fields) 

產品資訊

1. 器材名稱或商標；*
2. 製造商的名稱、註冊商號或註冊商標及其註冊營業地點地址；以及單一註冊號碼（SRN） *
3. MD 或 IVD 符號或指示 *
4. 清楚說明該器材及其預期用途， *
5. 需要立即告知器材使用者及其他任何人的警示或預防措施。此處警訊可保持最低限度，若如此做，則使用說明書中便須依預期使用者，提供更詳細的資訊；*
6. （若適用時）連結到 eIFU（見另文說明），*
7. 唯一器材識別碼（UDI-DI）， *

法律合規資訊： （附加資訊（如適用））

1. 歐盟授權代表姓名及地址，
2. 公告機構編號，
3. 歐盟醫療器材條例MDR（或體外診斷醫療器材條例IVDR）證書號碼，

操作需求： （附加資訊（如適用））

1. 任何特定的操作說明/指令，
2. 關於製造商提供的硬體醫療器材是否也必須作為係稱器材或其配件的一部分結合使用，
3. 硬體、設定、連線及資訊安全性的最低要求事項。 

4.3.  作為中介服務提供者的應用平台提供者的資訊義務

根據數位服務法（DSA）第31（3）條，允許消費者與交易者簽訂遠距合約的線上平台提供者，包括應用程式平台供應商，須盡最大努力評鑑該等交易者在允許其在平台上提供產品或服務前，是否提供所需資訊。在允許交易者在允許消費者與交易者簽訂遠距合約的線上平台上提供產品或服務後，提供者須合理努力在任何官方、免費存取且機器可讀的線上資料庫或線上介面中隨機核對所提供的產品或服務是否被識別為非法。

此外，包括歐盟委員會指定的應用程式平台供應商在內的超大型線上平台，必須遵守數位服務法（DSA）第34條及第35條，要求其進行風險評鑑並降低已識別出來的各種風險。在風險評鑑方面，係稱服務提供者必須至少每年勤勉地識別、分析並評鑑任何源自其服務及其相關系統（包括演算法系統）設計或運作，或因使用其提供的服務項目而產生的任何系統性風險。這包括但不限於透過其服務散布非法內容所產生的系統性風險。

（全文竟）