《个人信息保护法》生效，医院应做好哪些准备才能合规？

数据时代如何保护个人隐私，几乎是每一名民众都十分关心的公共话题。11月1日，《中华人民共和国个人信息保护法》（以下简称 《个人信息保护法》）正式实施，标志着中国在个人信息保护上开启了一个全新的纪元。医疗卫生机构由于涉及大量患者个人信息，属于例法强监管的领域和对象。那么，如何更好的理解《个人信息保护法》具体细则，如何快速符合法律要求，做到合法合规？以下，神州医疗数据安全管理部门为您深度解读。

《个人信息保护法》应用于生产场景

伴随医疗信息化与智慧医院的建设，电子病历、远程医疗、互联网医院、医联体、数字疗法、APP应用、分级诊疗、公共卫生数据直报、药物临床试验等种种的深度推进，患者个人信息在机构内不同科室或部门的收集、存储、使用、加工、传输、提供等情形越来越多。这给患者的个人信息保护带来了巨大的挑战。因此，医疗卫生机构作为《个人信息保护法》中的个人信息处理者，如有违反《个人信息保护法》的行为，将依据第66条规定“情节严重的，除没收违法所得，并处五千万以下或者上一年度营业额百分之五以下罚款，并可以责令暂停相关业务或者停业整顿、通报有关部门吊销相关业务许可证或者吊销营业执照；对直接负责的主管人员和其他直接责任人员处十万以上一百万以下罚款，并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人”。

《个人信息保护法》在应用场景下的解读

《个人信息保护法》中对于敏感个人信息的定义，是指一旦泄露或者非法使用，可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息，包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。《个人信息保护法》明确要求：

01 通过自动化决策方式向个人进行信息推送、商业营销，应提供不针对其个人特征的选项或提供便捷的拒绝方式；

02 处理生物识别、医疗健康、金融账户、行踪轨迹等敏感个人信息，应取得个人的单独同意；

03 对违法处理个人信息的应用程序，责令暂停或者终止提供服务。

对于医疗机构而言，患者个人信息大多属于敏感个人信息（如个人生物识别信息、医疗健康数据），因此在处理这些患者个人信息时，除了遵循个人信息保护的一般义务，还应当按照敏感个人信息的相关规定从严进行合规管理。包括：个人信息处理者具有特定的目的和充分的必要性，方可处理敏感个人信息；个人数据的收集应该满足最小化原则，即收集数据的范围应满足达成目的所需的最小单位；基于个人知情同意处理敏感个人信息的，个人信息处理者应当取得个人的“单独同意”；应当向个人告知处理敏感个人信息的必要性以及对个人的影响等。

个人信息泄露事件引发的思考

当前，医疗卫生机构和医务人员泄露患者的个人信息时有发生。那么，医师如何去履行“依法保护患者的个人信息”义务？医师在履行前述义务时，有必要熟悉下列事项：

01 哪些属于患者的个人信息？是否分类管理？

02 对患者个人信息的相关法律法规及规章是如何规定的？

03 如何去保护患者的个人信息？

04 患者个人信息泄露后的法律后果有哪些？

05 发生患者个人信息泄露后如何救济？

06 患者对其个人信息享有哪些权利？

07 哪些情形下应取得患者的同意？哪些情况下则无需取得患者的同意？……等等。

如果医师不熟悉上述内容，则难以依法履行保护患者个人信息的义务，故医疗卫生机构应建立个人信息保护的系列内部管理制度和操作规程，采取相应的安全技术措施，设定相应的操作权限，并面向医师完成培训与考核，以便于避免或降低医师操作不当而导致的患者个人信息泄露事件。

神州医疗赋能患者个人信息保护

神州医疗在组织公司团队认真学习《个人信息保护法》的同时，结合很多长期合作的医疗卫生机构的工作实际，梳理医疗卫生机构在个人信息保护方面存在的漏洞，建立风险清单。结合文本图像加密技术、联邦学习、区块链等技术，开发了能够“即插即用”的数据安全模块，以及病例自动脱敏录入平台等结构化与非结构化AI辅助诊疗产品，构建了面对全体医务人员的患者个人敏感信息分类分级培训体系，并形成了针对管理层和信息科的一体化隐私平台，旨在协助医疗结构完善相关举措，及时建立健全个人信息保护合规管理体系。

01 制定相应的个人信息内部管理制度和操作规程，对个人信息实行分类管理。

02 采取相应的加密、去标识化等安全技术措施，合理确定个人信息处理的权限，并定期对从业人员进行安全教育和培训。

03 制定并组织实施个人信息安全事件的应急预案。

04 定期对其个人信息遵守法律行政法规的情况进行合规审计。

05 对处理敏感个人信息、向境外提供个人信息等情形应在事前进行个人信息保护影响评估并留存相应的记录。

06 完善个人信息泄露后的补救措施和通知义务制度。