康乐板  400-698-7006 
 
 
发布时间:2021-09-08 07:01:37来源:亚洲欧宝体育官方网站作者:欧宝中文版
OB欧宝体育张信哲:互联网医疗企业与政府安排协作方法下的数据安全合规解读

  跟着《数据安全法》的出台,以及近期各种网络安全检查活动的展开,数据安全成为企业重视的法令危险点。近期笔者将以企业为首要视角,分别从企业与政府安排协作、企业自身运营以及信息主体维权三种不同景象,从医药职业、要害信息基础设施(CII)、个人信息的搜集等方面对企业运营的数据合规问题进行数据安全法与刑事法令的两层解读。

  以互联网医疗范畴为例,假定某科技公司方案与国家卫生健康委员会进行协作,或许被要求或许自愿开发,或与政府部门协作开发触摸者追寻APP,经过对医院搜集的患者病历进行剖析,获取该患者的特定地域、地点职业,来判别哪些区域哪个职业的人群简单患病的类型。依据这些大数据剖析对特定区域和职业的用户定制化引荐医院的治疗服务。

  在这种政府与企业协作的情境下,政府应当怎么协谐和处理与企业之间的数据同享联系,而且保证数据作业安全合法,笔者将从以下两大方面进行论述。

  应当清晰的是,政府与企业之间同享的数据内容是患者病历,这些病历归于患者个人信息并无争议,可是否归于政务数据呢?依据《数据安全法》第40条,假如政府以履职为意图托付科技公司建造数据搜集体系、存储加工数据,这种数据才归于政务数据,且要经过严厉赞同程序,受托方也不得私行留存、运用或向别人供应政务数据。

  而本例中数据搜集主体是科技公司,且意图并非受政府托付、为政府服务,而是便于科技公司日后为用户供应定制化治疗服务,因而,科技公司搜集到的数据不归于政务数据。科技公司对搜集数据的处理,并不按照政务数据的处理标准进行规制,而要以个人信息维护的规则来判别科技公司的数据搜集和处理行为。

  科技公司与卫健委的协作方法,或许是以第三方信息体系接入卫健委体系,对患者病历、地理位置和职业等个人信息进行搜集,则需求调查这是否满意合规要求。

  《数据安全法》第32条规则,“任何安排、个人搜集数据,应当采纳合法、合理的方法,不得盗取或许以其他不合法方法获取数据。法令、行政法规对搜集、运用数据的意图、规模有规则的,应当在法令、行政法规规则的意图和规模内搜集、运用数据。”《互联网医疗健康信息安全处理标准》也要求互联网医疗健康信息安全处理应保证互联网医疗健康信息体系的合规性、可用性和安全性;保证互联网医疗健康信息搜集、存储、传输、运用、毁掉等全生命周期的信息处理合法、合理、必要的准则,不得过度处理,保证信息完好、保密,维护个人信息安全、大众利益和国家安全。

  从海外经历来看,以英国为例,才智医疗科技公司TPP与英国国家医疗服务体系NHS在医疗数据方面有严密协作,TPP医疗体系储存着英国2/3以上人口的电子病历,保管5000万名患者的健康档案,而关于患者信息的隐私安全,则需求国家监管到企业合规都构成完善机制。例如国家监管层面,确认严厉的数据安全维护法规和信息技术服务供应答应标准,一起树立专门数据监管安排和配套监管赏罚办法;职业监管层面,应当设置一系列职业认证和国家标准,以保证充沛的数据安全和维护才能;企业层面,在用户端自动采纳防止意外数据走漏的程序规划,等等。

  在我国,2018年国务院办公厅出台了关于《促进“互联网+医疗健康”开展的定见》,确认了互联网医疗的开展方向,支撑医疗健康信息互通同享。针对个人医疗健康信息的维护问题,国家也经过《网络安全法》、《电子病历运用标准(试行)》、《国务院办公厅关于促进和标准健康医疗大数据运用开展的辅导定见》等法令和行政文件的方法作出了相关规则,加上2020年6月收效的《根本医疗卫生与健康促进法》(简称《卫健法》)第92条规则“任何安排或许个人不得不合法搜集、运用、加工、传输公民个人健康信息,不得不合法生意、供应或许揭露公民个人健康信息。”进一步为个人医疗健康信息维护供应法令支撑。一起,我国也相继颁发了《电子病历同享文档标准》《电子病历与医院信息渠道标准契合性测验标准》《电子健康档案与区域卫生信息渠道标准契合性测验标准》(一共包含57项卫生职业标准)等一系列卫生信息标准,各级医疗安排和企业在规划开发和收购医疗信息体系时均应严厉执行上述标准。

  结合《数据安全法》第32条规则,并无法令清晰制止第三方信息体系接入政府体系,特别《国家健康医疗大数据标准、安全和服务处理办法(试行)》关于卫健委树立健康医疗大数据敞开同享的作业机制的同享和交流方针,除医疗卫生安排外,还包含“相关企事业单位”,所以法令并不制止(国有)企业作为健康医疗大数据的同享方针。以互联网医疗工业开展为布景,第三方信息体系对医疗信息的运用、处理、处理均契合法令法规及相关标准,则不具有违法性。

  不行否认,这种依托互联网作为载体和手法的健康医疗服务方法,不只得到了来自方针的必定和引导,也遭到了防疫需求的推进,但公民个人医疗、健康信息的安全和隐私维护问题也随之呈现,甚至有不法人员破解及下载医院信息体系数据并牟取暴利的事例。涉及到患者的灵敏个人信息,企业应当征得患者或监护人、托付代理人的授权答应,答应是不行短少的条件,一起关于个人信息的搜集运用应当恪守最小必要准则,搜集的信息以到达方针为边界,不行过度搜集。

  依据《网络安全法》第40条规则“网络运营者应当对其搜集的用户信息严厉保密,并树立健全用户信息维护准则”,第41条规则“搜集、运用个人信息需求寻求被搜集者的赞同,未经被搜集者赞同,不得向别人供应个人信息。可是,经过处理无法辨认特定个人且不能恢复的在外”。作为第三方的科技公司运用卫健委体系中的健康医疗数据进行剖析并构成模型,归于数据处理行为,将模型用于商业化的行为实质上是一种运用行为。《网络安全法》规则搜集、运用个人信息需求征得被搜集人的赞同,第三方安排在卫健委的体系中进行处理、运用的行为当然需求经过患者的赞同,而且对医疗安排与第三方安排之间的协作行为也需求向患者发表。可是,以上也仅限于未经处理,能辨认特定个人且能恢复的数据,经过处理不能辨认特定主体,且不能恢复的数据运用归于法定答应的规模内。其实,对医疗健康信息的维护和妥善运用并不相悖,经过合理的机制进行数据脱敏,则能够找到并标准对医疗健康数据的合理运用途径。

  在这种协作联系下,企业与政府主体(国家作业人员)都存在着必定的刑事危险。以下依据现行《刑法》及相关司法解说进行罗列:

  1.假如科技公司存在不合法获取公民个人信息的行为,则或许构成侵略公民个人信息罪。

  《刑法》第253条规则,违背国家有关规则,向别人出售或许供应公民个人信息,情节严峻的,处三年以下有期徒刑或许拘役,并处或许单处分金;情节特别严峻的,处三年以上七年以下有期徒刑,并处分金。

  违背国家有关规则,将在实行职责或许供应服务过程中取得的公民个人信息,出售或许供应给别人的,按照前款的规则从重处分。

  单位犯前三款罪的,对单位判处分金,并对其直接担任的主管人员和其他直接责任人员,按照各条款的规则处分。

  结合《最高人民法院、最高人民检察院关于处理侵略公民个人信息刑事案子适用法令若干问题的解说》解读如下:

  (1)“违背国家规则”,能够包含《网络安全法》《卫健法》,以及行将收效的《数据安全法》等,有关公民个人信息搜集、运用、存储、处理等法令规则。

  (2)行为方法包含:①向特定人供应公民个人信息,以及经过信息网络或许其他途径发布公民个人信息的;②未经被搜集者赞同,将合法搜集的公民个人信息向别人供应的,可是经过处理无法辨认特定个人且不能恢复的在外;③经过购买、收受、交流等方法获取公民个人信息,或许在实行职责、供应服务过程中搜集公民个人信息的。

  不管获取公民个人信息的途径是不合法的仍是合法的,只需对公民个人信息进行转售或未经信息主体赞同而供应给别人,都能够满意该罪的行为要件。

  ③不合法获取、出售或许供应行迹轨道信息、通讯内容、征信信息、产业信息五十条以上的;

  ④不合法获取、出售或许供应住宿信息、通讯记载、健康生理信息、买卖信息等其他或许影响人身、产业安全的公民个人信息五百条以上的;

  ⑧将在实行职责或许供应服务过程中取得的公民个人信息出售或许供应给别人,数量或许数额到达第③至⑦项规则标准一半以上的;

  ⑨曾因侵略公民个人信息受过刑事处分或许二年内受过行政处分,又不合法获取、出售或许供应公民个人信息的。

  ⑩为合法运营活动而不合法购买、收受第③、④项以外的信息:运用不合法购买、收受的公民个人信息获利五万元以上的;曾因侵略公民个人信息受过刑事处分或许二年内受过行政处分,又不合法购买、收受公民个人信息的。

  2.假如科技公司经过不合法手法接入卫健委体系获取公民的病历信息,则还或许构成不合法获取计算机信息体系数据罪。

  《刑法》第285条第二款规则,违背国家规则,侵入前款规则以外的计算机信息体系或许选用其他技术手法,获取该计算机信息体系中存储、处理或许传输的数据,或许对该计算机信息体系施行不合法操控,情节严峻的,处三年以下有期徒刑或许拘役,并处或许单处分金;情节特别严峻的,处三年以上七年以下有期徒刑,并处分金。

  结合《最高人民法院、最高人民检察院关于处理损害计算机信息体系安全刑事案子运用法令若干问题的解说》解读如下:

  (1)“计算机信息体系”:国家事务、国防建造、尖端科学技术范畴以外的计算机信息体系。

  (2)“情节严峻”:①获取付出结算、证券买卖、期货买卖等网络金融服务的身份认证信息十组以上的;

  3.假如科技公司不合法获取医疗安排病患的电子病历信息,或许构成侵略商业隐秘罪。

  《刑法》第219条规则,有下列侵略商业隐秘行为之一,情节严峻的,处三年以下有期徒刑,并处或许单处分金;情节特别严峻的,处三年以上十年以下有期徒刑,并处分金:

  (一)以偷盗、贿赂、诈骗、钳制、电子侵入或许其他不合理手法获取权利人的商业隐秘的;

  (三)违背保密责任或许违背权利人有关保存商业隐秘的要求,发表、运用或许答应别人运用其所把握的商业隐秘的。

  明知前款所列行为,获取、发表、运用或许答应别人运用该商业隐秘的,以侵略商业隐秘论。

  本条所称权利人,是指商业隐秘的一切人和经商业隐秘一切人答应的商业隐秘运用人。

  首要,《刑法修正案(十一)》删除了对“商业隐秘”的界说,而参阅《反不合理竞争法》第9条第三款规则,商业隐秘是指不为大众所知悉、具有商业价值并经权利人采纳相应保密办法的技术信息和运营信息。患者信息具有隐秘性、法令强制维护的特殊性以及对医疗职业的商业价值特点,在性质上认定为医疗安排的商业隐秘并无不当。

  其次,病历材料不只有患者的个人信息,还包含医师的治疗内容,而一般以为病历上治疗信息是医师智力活动效果的结晶,遭到知识产权维护,科技公司若搜集的是病历材料,那么也包含了医师履职过程中构成的智力效果。

  因而,依据科技公司运用病历材料的行为,假如未经医疗安排和患者自己赞同或授权,经过电子侵入或其他不合理手法获取患者病历材料则或许构成侵略商业隐秘罪或其他侵略知识产权类违法。

  4.假如科技公司合法搜集公民个人信息后,不实行信息网络安全处理责任导致用户病历信息走漏,则或许构成拒不实行信息网络安全处理责任罪。

  《刑法》第286条之一规则,网络服务供应者不实行法令、行政法规规则的信息网络安全处理责任,经监管部门责令采纳改正办法而拒不改正,有下列景象之一的,处三年以下有期徒刑、拘役或许操控,并处或许单处分金:

  单位犯前款罪的,对单位判处分金,并对其直接担任的主管人员和其他直接责任人员,按照前款的规则处分。

  结合《最高人民法院、最高人民检察院关于处理不合法运用信息网络、帮忙信息网络违法活动等刑事案子适用法令若干问题的解说》解读如下:

  (1)“形成严峻后果”:①致使走漏行迹轨道信息、通讯内容、征信信息、产业信息五百条以上的;

  ②致使走漏住宿信息、通讯记载、健康生理信息、买卖信息等其他或许影响人身、产业安全的用户信息五千条以上的;

  ④数量虽未到达前三项规则标准,可是按相应份额折算算计到达有关数量标准的;

  (2)“其他严峻情节”:①对绝大多数用户日志未留存或许未执行实在身份信息认证责任的;

  ⑤致使信息网络服务被用于施行损害国家安全违法、恐怖活动违法、黑社会性质安排违法、贪污贿赂违法或许其他严重违法的;

  ⑥致使国家机关或许通讯、动力、交通、水利、金融、教育、医疗等范畴供应公共服务的信息网络遭到破坏,严峻影响出产、日子的。

  5.关于答应第三方信息体系接入卫健委体系的行为,卫健委及政府安排作业人员或许面对必定的法令危险。

  卫健委作为运用信息网络供应给医疗公共服务的单位,也归于《刑法》第286条之一第一款规则的“网络服务供应者”,因而,假如因卫健委医疗信息同享不标准导致患者病历信息走漏,经监管部门责令采纳改正办法而拒不改正,形成严峻后果的,卫健委或其作业人员也或许构成拒不实行信息网络安全处理责任罪。卫健委作业人员归于国家作业人员,也或许构成不尽职类违法。

  由此看来,答应第三方信息体系接入国家把握的医疗信息体系,关于详细单位和作业人员而言都存在法令危险,这也必定程度上导致第三方信息体系在实践中难以经过接入官方信息体系的方法获取个人信息,而往往是自身作为医疗安排,对其单位运营过程中获取的个人信息加以运用。

  梁雅丽,京都律师事务所高档合伙人,京都刑事辩解研讨中心主任,西北政法大学刑事辩解研讨院副院长,我国商报法商智库高档研讨员。执业二十余年,成功承办过多起严重有影响的刑事案子及民商事疑问杂乱案子,并被国内多家媒体报道。她尤为拿手刑事和民商事穿插范畴及刑事和行政穿插范畴事务,致力于研讨企业危险的法令防控,并先后为多家大型企业、政府部门、事业单位及外商投资企业供应了超卓的法令顾问服务。在企业危险的法令防备和操控、企业改制、资产重组等方面积累了丰厚的执业实践经历。《方圆律政》2014律政年度刑辩律师,《我国企业报》2017助力金融危险防备人物,《我国商报》2019年“商事法治建造年度模范人物”,《我国商报》2020年商事法治建造特别贡献奖。

  唐宛茁,梁雅丽律师助理,北京大学法学学士,北京大学刑法学专业法学硕士。2019年参加京都律师事务所,作业期间已帮忙梁雅丽律师处理多起严重职务违法、经济违法等刑事案子以及企业家涉刑案子。

  要害词

  本文为汹涌号作者或安排在汹涌新闻上传并发布,仅代表该作者或安排观念,不代表汹涌新闻的观念或态度,汹涌新闻仅供应信息发布渠道。请求汹涌号请用电脑拜访。

 
 
 
           
     客服电话:400-698-7006
商务合作:021-50700899
人事招聘:021-50700668
   
     企业邮箱:shjywlxxyxgs@163.com    
     OB欧宝体育张信哲|亚洲欧宝体育中文版官方网站:上海市浦东新区五星路676弄6号楼   OB欧宝体育张信哲