《个人信息保护法》三审稿出台，互联网医疗如何避免“踩雷”？

“个人信息保护法将于今年内正式出台”，这则消息近日在坊间流传。

早在2003年，国务院就委托有关专家开始起草《个人信息保护法》，2005年，中国社科院法学研究所成立课题组起草《中华人民共和国个人信息保护法》专家建议稿，并递交国务院信息办进入立法阶段。

18年后，8月13日，发言人臧铁伟介绍了《个人信息保护法草案（三次审议稿）》（下称三审稿）修改情况。

根据中国信息通信研究院发布的《“互联网+行业”个人信息保护研究报告》，“互联网+医疗健康”，面临着极高的个人信息保护风险和挑战。

相关执法部门一直在对获取使用个人信息中涉嫌违规APP进行整治，据健康界不完全统计，包括39互联网医院、春雨医生等都曾被通报要求整改。

那么，本次三审稿较此前有哪些改动？“互联网+医疗健康”APP如何避免“踩雷”？

“大数据杀熟”将得到规范

回顾个人信息保护立法历程，从立法意义来看，此前，全国政协委员、德勤中国副主席蒋颖曾表示，中国很多个人信息保护相关的规定都散落在各种法律法规当中，内容也停留在相对原则性的层面，有些标准还只是建议性而不是强制性的。

由此，业界一直呼吁，应对相应法律进行系统化梳理和整合，尽快出台统一的个人信息保护法规。

健康界对个人信息保护相关法规进行了不完全汇总：

 数据来源：中国信通院等 健康界制图

近年来，随着《网络安全法》、《数据安全法》的出台，个人信息保护立法的呼声愈发高涨，三者将共同奠定我国网络空间安全发展的基本框架。

2020年10月13日，《个人信息保护法（一审草案）》第一次审议。2021年4月，《中华人民共和国个人信息保护法（草案二次审议稿）》第二次审议。

对比个人信息保护法草案第一次审议稿和草案第二次审议稿，健康界整理发现，其中主要差异有：

第八条，由“为实现处理目的，所处理的个人信息应当准确，并及时更新”改为“处理个人信息应当保证个人信息的质量，避免因个人信息不准确、不完整对个人权益造成不利影响。”

第十六条，由“基于个人同意而进行的个人信息处理活动，个人有权撤回其同意”改为“基于个人同意而进行的个人信息处理活动，个人有权撤回其同意。个人信息处理者应当提供便捷的撤回同意的方式。个人撤回同意，不影响撤回前基于个人同意已进行的个人信息处理活动的效力。”

关于本次三审稿审议内容，臧铁伟表示，对于相关产品和服务中存在的信息骚扰、“大数据杀熟”等问题，《个人信息保护法（草案）》立足于维护广大人民群众的网络空间合法权益，将对利用个人信息进行自动化决策作有针对性规范，内容包括：

一是，进一步完善个人信息处理规则，特别是对应用程序（APP）过度收集个人信息、“大数据杀熟”等作出有针对性规范。

二是，将不满十四周岁未成年人的个人信息作为敏感个人信息，并要求个人信息处理者对此制定专门的个人信息处理规则。

三是，完善个人信息跨境提供的规则，对按照我国缔结或者参加的国际条约、协定向境外提供个人信息、对转移到境外的个人信息的保护不应低于我国的保护标准等作出规定。

四是，增加个人信息可携带权的规定，完善死者个人信息保护的规定。

五是，对完善个人信息保护投诉、举报工作机制及违法处理个人信息涉嫌犯罪案件的移送提出明确要求。

天达共和律师事务所合伙人、数据合规团队负责人申晓雨告诉健康界，《个人信息保护法草案（三次审议稿）》中探讨的基本问题在二审稿中有所触及，在二审稿中不够完善的细节，已经体现在三审稿中。其中的特色包括：自动化决策的细化，甚至设立了专章；特殊人群的信息保护，包括未成年人、死者等；数据可携带权的规定，此前在民法典中并未提及。

但是申晓雨也指出，在本次三审稿中，对于数据跨境处理边界问题，还需要进行进一步界定：

7月10日，网信办发布了《网络安全审查办法（修订草案征求意见稿）》。根据该征求意见稿，网络安全审查制度的使用对象不再仅限于CIIO（关键信息基础设施运营者），而是将数据处理者也纳入到监管范围内。只要数据处理者开展数据处理活动，或可能影响国家安全的，都需要进行网络安全审查，特别是数据出境的风险，将成为安全审核的重点之一。但是，对于数据审查的边界，范围还没有具体规定。

“《个人信息保护法》如果能够对数据跨境，在前两审的基础上做进一步的规定，肯定是大家都希望看到的。但是在《个人信息保护法》中可能不会这么详细，后续还会有配套制度出台。”

互联网医疗易成“雷区”

此前，《数据安全法》出台后，健康界曾经撰文表示，《数据安全法》将对掌握海量医疗数据的企业数据合规能力发起挑战。那么，《个人信息保护法》的出台，对于直接To C的互联网医疗企业意味着什么？

“互联网医疗依托于互联网，要依托个人信息大数据去开展业务，《个人信息保护法》出台的影响是方方面面的。”申晓雨说道。

随着移动互联网医疗行业迅猛发展，加之互联网医疗APP业务所涉及的个人敏感数据非常重要，导致医疗相关信息泄露事件频发。

根据中国信息通信研究院发布《“互联网+行业”个人信息保护研究报告》，“互联网+医疗健康”依托5G、人工智能等技术应用加速普及，其服务必要收集的生理健康等个人信息敏感程度高、流转环节多；“互联网+医疗健康”在个人信息保护中也面临风险和挑战，与“互联网+医疗”产业相关的有：

第一，医疗健康个人信息泄漏事件频发；第二，智能医疗设备，如手环、便携式血压仪、智能体温检测仪等存在安全漏洞；第三，线上医疗、健康管理等智能终端APP存在安全隐患。

另外，健康界整理发现，国家层面对于个人信息保护日益重视，不仅体现在立法进程的加快上，同时体现在专项治理行动的开展频次与力度上。面对日益加强的审查，以及《个人信息保护法》的出台，企业该如何应对？

健康界综合整理发现，网络安全和数据保护涉及的法律问题很多，包括数据收集（适用范围、收集规则）、数据管理（境内存储、分级管理、匿名提供、救济程序）、数据跨境（告知同意、评估外方、完善约定、信息收集）、儿童特殊保护、广告宣传合规等。

对于互联网医疗被谈及最多的隐私保护问题，致力于推动数据开放的OMAHA联盟此前撰文认为，

互联网健康平台需要建立适合自身平台的自我规制保护机制，同时，要构建统一的隐私政策评价指标体系，方便修正不合理的隐私消除霸王条款和不公平的单方面免责声明。

申晓雨也告诉健康界，医疗信息涉及到大量敏感个人信息，“互联网+医疗”行业对于人脸识别、远程诊疗等新型技术的采用也会涉及大量个人的敏感信息（比如人脸信息、指纹、声纹、医疗记录、健康信息等）的采集，这类敏感数据一旦泄露，将对个人信息主体甚至社会公共卫生和安全造成不利影响，因此对敏感个人信息的保护极为重要，同时，有些企业会通过大数据进行自动化决策，也需要特别关注。

近年来，我国逐步加强医疗健康领域涉及的网络和数据安全立法，随着《个人信息保护法》的出台，更多配套制度也将陆续制定和发布。

据悉，全国医疗机构网络信息安全管理办法正在起草中，预计不久将会出台。申晓雨建议，建议互联网医疗企业关注立法进展，并根据立法趋势提早着手自身合规体系的建立和完善，提升数据安全能力。