i医视角丨互联网医疗收集个人健康信息需合法合规

近日，工信部发布《关于侵害用户权益行为的APP通报（2020年第一批）》。

依据《网络安全法》、《电信条例》、《电信和互联网用户个人信息保护规定》等法律法规，工业和信息化部组织第三方检测机构对手机应用软件进行检查，对发现存在问题的企业进行督促整改。截至目前，尚有16款APP未完成整改，通报中有一家较为知名的互联网医疗平台。

在通报中，该互联网医疗APP涉及的问题为“私自收集个人信息、强制用户使用定向推送功能”，而检索以往被公报的违规APP，问题主要集中于以下几项：

（1）未向用户明示申请的全部隐私权限；

（2）未说明收集使用个人信息规则；

（3）恶意扣费等恶意行为；

（4）涉嫌侵犯公民个人隐私；

（5）涉嫌超范围采集公民个人隐私；

（6）无用户协议及隐私政策。

据此可见，被通报APP的问题集中在个人信息收集方面。互联网平台收集用户信息具有两面性，一方面对APP服务提供者而言，收集用户个人信息以提供更优质的服务是必要之举；另一方面如果违规收集个人信息，不仅将会面临相应的处罚，也会影响互联网平台的实际经营，引发用户群体的流失和信任危机。用户群体的流失代表着流量的丧失，对于互联网企业而言，流量的重要性不言而喻。

在用户个人信息安全合规问题上，不少互联网企业吃尽了苦头。例如2018年3月17日，媒体曝光Facebook上超5000万用户信息在用户不知情的情况下，被政治数据公司“剑桥分析”获取并利用。随后扎克伯格为5000万Facebook用户信息被泄露一事道歉。

截至2018年3月23日当周，Facebook股价累计跌13.89%。受该事件影响，Facebook 2018年二季度各项业绩指标不及预期。财报发布后，Facebook股价一日跌近19%。2019年12月，Facebook因API（应用程序接口）安全漏洞问题，导致2.67亿个用户的隐私数据被非法售卖。截至2019年12月13日当周，Facebook股价累跌逾3%。

互联网企业应重视数据合规法律问题，尤其是涉及用户隐私较多、且主要收集个人健康生理信息等敏感信息的互联网医疗企业，合规法律风险较高，需要重点对个人信息的收集、储存、使用等环节进行规范，通过规范相关经营行为，规避法律风险。

北京市康达律师事务所i医法律服务团队以目前我国个人信息保护的法律法规为依据，从个人信息的收集、储存和使用三个方面，为互联网医疗从业者提供建议。

一、个人信息的收集

个人信息的收集作为服务提供者的必要行为，同时也是获取用户原始数据信息的关键环节，应当做好对用户的知情同意，明示取得用户授权。

《网络安全法》第22条明确规定：“…网络产品、服务具有收集用户信息功能的，其提供者应当向用户明示并取得同意…。”《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《网络安全法》、《消费者权益保护法》、《刑法修正案（九）》、《电信和互联网用户个人信息保护规则》等法律法规明确保护个人信息，要求收集个人信息遵守合法、正当和必要的原则。

互联网医疗企业应在用户使用服务前，以《用户协议》的方式，说明用户及服务提供方的权利义务关系，并取得用户的明示同意。在收集用户信息之前，参照《个人信息安全规范》中的《隐私政策模板》，设计出适合本互联网平台业务模式、产品功能的《隐私政策》（也可以是隐私条款的形式在用户协议中体现），采用明示的授权协议，明确收集、使用范围，并同时说明信息的收集、使用规则，明示收集、使用信息的目的、方式，以获得用户的充分授权。

对于《隐私政策》或隐私条款中的关键条款，还须使用“增强式告知”（加粗、添加下划线等）方式告知并提示用户，并且通过“主动触发”的形式，由用户主动点击同意，或主动填写相关的个人信息。产品或服务在升级或增加功能后，需要扩大个人信息收集、使用范围时，需要同样按照“明示”的标准让用户知晓并同意。

二、个人信息的储存

完成个人信息的收集后，互联网医疗企业需要对收集到的个人健康信息进行去标识化处理，采取技术和管理方面的措施，将可用于恢复识别个人的信息与去标识化后的信息分开储存并加强访问和使用的权限管理。

此外，要根据所收集到信息的内容不同，按照我国《网络安全法》、《人口健康信息管理办法（试行）》、《国家健康医疗大数据标准、安全和服务管理办法（试行）》所规定的保密等级，做好分级保密工作。否则将面临相应的行政、刑事和民事责任。

以目前互联网医疗的服务主体——互联网医院为例，我国《互联网医院管理办法（试行）》规定：存储医疗数据的服务器不得存放在境外，而在我国目前法律法规体系下，医疗数据可以包括：人口健康信息、病历信息、人类遗传资源和医疗健康大数据等多种数据类型，且信息系统实施第三级信息安全等级保护。

根据公安部等部门出台的《信息安全等级保护管理办法》的规定，信息系统的安全保护等级分为五级，第三级是指“信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害”。 同时，根据该规定，“第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查”。

三、个人信息的使用

对于互联网医疗企业而言，应当严格按照授权内容使用所收集的信息，不得超出与收集个人信息时所声称的目的具有直接或合理关联的范围。对于直接从用户方收集的个人信息，应当遵循法定的原则和规则。在企业内部规章制度中明确个人信息使用规则，严格按照授权内容使用所收集的信息。如果要对该类信息进行再加工，需要对数据严格进行脱敏，减少个人隐私信息被反向识别的风险。

国家标准GB/T 35273-2020《信息安全技术 个人信息安全规范》中明确规定，在个人信息的使用方面，个人信息的控制者需要制定以下访问控制措施：

a）对被授权访问个人信息的人员，应建立最小授权的访问控制措施策略，使其只能访问职责所需的最小必要的个人信息，且仅具备完成职责所需的最少的数据操作权限；

b）对个人信息的重要操作设置内部审批流程，如进行批量修改、拷贝、下载等重要操作；

c）对安全管理人员、数据操作人员、审计人员的角色进行分离设置；

d）确因工作需要，需授权特定人员超权限处理个人信息的，应经个人信息保护责任人或个人信息保护工作机构进行审批，并记录在册；

针对包含个人生物识别信息和健康生理信息在内的个人敏感信息，则在前文规定的基础上，特别规定：对个人敏感信息的访问、修改等操作行为，宜在对角色权限控制的基础上，按照业务流程的需求触发操作授权。例如，当收到客户投诉，投诉处理人员才可访问该个人信息主体的相关信息。

四、侵犯个人信息将承担法律责任

在行政责任方面，《消费者权益保护法》、《网络安全法》、《治安管理处罚法》、《电信和互联网用户个人信息保护规定》等法律均做出了规定。例如：我国《网络安全法》第64条规定：网络运营者、网络产品或者服务的提供者违反本法第22条第3款、第41条至第43条规定,侵害个人信息依法得到保护的权利的,由有关主管部门责令改正,可以根据情节单处或者并处警告、没收违法所得、处违法所得一倍以上十倍以下罚款,没有违法所得的,处一百万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。

在刑事责任方面，《刑法》286条之一规定的拒不履行信息网络安全管理义务罪第二项：致使用户信息泄露，造成严重后果的，处三年以下有期徒刑、拘役或管制，并处或单处罚金。而依据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第三条：未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”，即不当使用合法取得的公民个人信息可能构成侵犯公民个人信息罪。

不当获取公民个人信息可能构成《刑法》第285条非法获取计算机信息系统数据罪或非法控制计算机信息系统罪；明知他人犯罪而提供公民个人信息可能构成他人实施罪名的共同犯罪。

在民事责任方面，《侵权责任法》、《最高人民法院关于审理利用信息网络侵害人身权益民事纠纷案件适用法律若干问题的规定》规定，网络用户、网络服务提供者利用网络侵害他人民事权益的，应当承担侵权责任。此外，我国与数据、信息相关的法律、行政法规、部门规章如下图所示：

互联网医疗服务者在大力发展、扩大业务的同时，应重视互联网医疗中的数据合规问题，以减少法律风险，确保企业依法依规长远发展。

本期i医团队仅就数据合规中的个人信息收集、存储和使用部分，为互联网医疗服务者提供了几点建议，如需了解更为个性化的合规方案或数据交易流转方面的事宜，欢迎与我们联系。