企业邮箱

中文 EN

北京
北京

【互联网医疗案例篇】案例化解析医疗机构场景下的数据合规和个人信息保护要点(下)

随着医疗的快速发展、互联互通建设的不断深入、临床科研等需求的不断增加,内外网数据交互日益频繁等,网络安全、数据安全、个人信息安全风险持续增加,系统性风险持续增大。这些因素给医疗机构网络及信息安全建设带来了更大的挑战。构建完善的信息安全保障体系,对于提升整体信息安全保障能力、推动医疗机构高质量发展,具有重要的研究价值和现实意义。


本文承续《案例化解析医疗机构场景下的数据合规和个人信息保护要点(中)-医疗机构案例篇》的宗旨,从实际案例出发,具体探讨新兴的互联网医疗中可能出现的数据风险及管理漏洞,并结合法律、法规、规章、其他规范性文件等的相关规定探讨互联网医疗安全技术建设和安全管理体系建设,以期促进数据合规和个人信息保护的完善。

一、互联网医疗的特殊性

2022年7月21日,国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款。自此,由滴滴公司触发的全国首例网络安全审查程序终于重锤落下,盖棺定论。


对滴滴公司进行的高额罚款,彰显了国家执法部门严格监管的态度与决心,这不仅是为所有的互联网企业敲响合规发展的警钟,更同时提醒了所有与网络安全、数据安全、信息安全有关的企事业单位提高对相关合规问题的重视程度。


对于医疗机构而言,其长期以来承载着治病救人、救死扶伤的诊疗职能,因此国家相关部门出台了大量的医学诊疗规范和法律、行政法规以定义、规范、保护医疗机构的诊疗职能,使其能更好的为广大人民群众提供诊疗服务,维护人民群众的生命健康,提高生命质量,构建健康中国。


医疗机构的上述主要职能是由其固有属性所决定的,主要归口管理部门是国家和地方卫健委。因此即便2018年《互联网诊疗管理办法(试行)》《互联网医院管理办法(试行)》和《远程医疗服务管理规范(试行)》等互联网医疗领域专门性法规文件的颁布,后遭逢新冠疫情影响,事实上快速推进了我国互联网医疗的发展,但我国对于互联网医疗的发展定位还是重在医疗。据国家卫健委统计,截至2021年6月,我国互联网医院超1600家,初步形成了线上线下一体化医疗服务模式,但2022年最新颁布的《互联网诊疗监管细则(试行)》,依然将重点监管对象定义为诊疗行为的合法合规问题,也即互联网医疗视为线下诊疗行为的线上延伸,强调贯彻“线上线下相一致”原则。


但事实上,由于互联网医疗的医疗安全和数据信息双重属性,在互联网医疗的语境下,医疗机构不仅需要注意来自卫生行政部门对医疗安全的监管,同样也应遵守《网络安全法》《数据安全法》《个人信息保护法》等有关数据与信息安全保护法规的要求。

二、互联网医疗的载体

事实上,互联网医疗的定义和内涵十分宽泛、包罗万象,其作为一个领域的大概念,可至少包含“互联网健康咨询”、“互联网诊疗”、“互联网医院”、“远程诊疗”、“第三方服务平台”、“互联网护理”等众多不同的子项目概念,但对于医疗机构而言,出现较多的形式当属“互联网诊疗”、“互联网医院”这两项典型的互联网医疗行为,因此在本文的语境下,“互联网医疗”通常代指医疗机构所开展的上述两类行为。通常而言,医疗机构开展互联网医疗或由其院内信息部承建,亦可见通过外包服务的方式,委托第三方进行建设之情况,其通常的载体表现形式为APP和小程序等移动端软件。


正如前文提及,互联网医疗在我国被视为线下诊疗行为的线上延伸,且同时具备双重属性。从《网络安全法》《数据安全法》《个人信息保护法》所能覆盖的医疗安全符合性而言,本系列文章已对医疗机构所需注意的问题进行分析。因此在本文的语境下,“互联网医疗”通常代指已具备医疗安全符合性的行为,在后文的讨论中,将不再对其医疗属性进行分析,而仅考虑其数据信息属性。

因此,结合互联网医疗的载体表现形式,实践中不易被人关注、不易被人熟知的数据信息政策保护等非医疗属性的问题则显得尤为重要,特以本文对相关问题加以重点提示。

三、非医疗属性案例

互联网医疗依托前文提及的各类载体,不断获取和处理患者信息。对于数据和信息而言,其采集、存储、传输、应用和销毁等数据及信息生命周期活动属于重点关注对象,也即医疗机构应当在以上的全部阶段均对数据和信息保有高度的注意义务,而这些注意义务往往来自于非医疗属性问题。


事实上,医疗机构因非医疗属性问题而导致的处罚案例也屡见不鲜,如广东云医院APP曾因侵害用户权益被处罚。广东云医院APP是由广东省医院协会牵头打造的平台,以广东省大型公立医院联盟为核心,整合了医疗管理机构、医院、医生、药企、保险、物流等资源,打通了线上诊疗、电子处方、网上购药、诊中支付以及送药到家的环节,据称曾为国内首个省级云医院平台。


但2021年1月,广东云医院APP因存在“侵害用户权益”、“安全隐患”等问题被广东省通信管理局责令整改,具体问题包括:

1.在申请打开可收集个人信息的权限,未同步告知用户其目的,且隐私政策也未明示收集使用个人信息的目的、方式和范围;

2.APP首次运行未经用户阅读并同意隐私政策前行为监控发现GET_TASK检索了应用程序、Android ID、MAC地址、IP地址、IMEI、IMSI;

3.明确拒绝非必要权限后再次打开APP会再次索要权限;

4.未在隐私政策等公示文本中逐一列明APP所集成第三方SDK收集使用个人信息的目的、方式和范围。


医师朋友或许会对上述问题觉得陌生,因为这些问题并非是常见的、因医学诊疗行为不当而导致的,而是主要来源于有关建设方对数据与个人信息保护合规问题的不熟悉、不重视,其主管部门也并非医疗机构所熟悉的卫健委系统,而是来自信息与通信管理部门,医疗领域的相关案件同样屡见不鲜。


2019年,“健康天津”APP因涉嫌无隐私协议收集用户位置信息等违法违规行为,被天津市公安局武清分局网安支队处以行政警告并责令限期整改。


2021年1月,“康爱多掌上药店”APP被广东省通信管理局查出在侵害用户权益方面存在三方面问题:一是APP首次运行未经用户阅读并同意隐私政策,申请获取电话权限和储存权限;二是APP隐私政策难以阅读,文字过小过密;三是未在隐私政策等公示文本中逐一列明APP所集成第三方SDK收集使用个人信息的目的、方式和范围。


国家计算机病毒应急处理中心在“净网2020”专项行动中对互联网监测发现,《叮当快药》(版本5.7.0)、《药师帮》(版本4.31.0)、《健康云》(版本5.1.3)、《1药网》(版本5.9.1)、《智慧好医院》(版本2.1.3)、《春雨医生》(版本8.8.8)、《平安好医生》(版本7.2.0)等20余款移动应用存在涉嫌隐私不合规行为。存在问题:未向用户明示申请的全部隐私权限、未说明收集使用个人信息规则、未提供有效的更正、删除个人信息及注销用户账号功能等。

四、隐私与信息保护要点

从以上案例中,我们可以看到,医疗机构或医疗领域存在的问题具有相当程度的共性,也即均是由于有关建设方缺乏对数据安全、个人信息收集等非医疗属性的相应政策法规的了解或注意不当而导致的,鲜少出现因故意而为的情况。针对APP收集使用个人信息的合规监管同样一直也是网信办、公安部、工信部等部门整治个人信息收集使用违规行为的前沿阵地。有关问题同样存在于本文开头提及的滴滴公司案件中。


在对滴滴公司进行处罚时,有关部门经查明,滴滴公司共存在16项违法事实,归纳起来主要是8个方面:一是违法收集用户手机相册中的截图信息1196.39万条;二是过度收集用户剪切板信息、应用列表信息83.23亿条;三是过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;四是过度收集乘客评价代驾服务时、APP后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;五是过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条;六是在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条;七是在乘客使用顺风车服务时频繁索取无关的“电话权限”;八是未准确、清晰说明用户设备信息等19项个人信息处理目的。


以上问题简单而言,是由于APP在收集使用个人信息时,没有完善知情告知、处理流程不具备合规、合理性等,而有关这些问题的约定,通常体现在APP或小程序的《隐私政策》、《用户协议》中。


实践中,随着有关部门的查处力度加大,倒逼越来越多的运营商在软件上架阶段就需完善相应内容,否则将不予上架。因此医疗机构在通过不同载体开展互联网医疗时,应格外注意对隐私等个人信息的保护,特别是互联网医疗过程中会涉及大量的敏感个人信息,需要医疗机构结合自身建设需求和功能特征,对隐私政策内容进行量体裁衣、量身定位,方能避免因此种非医疗因素导致处罚。


医疗机构主要应注意对知情告知完整性、索取授权的范围和合理性、最小必要原则贯彻性、敏感个人信息处理的特定性和充分必要性、用户信息全周期保护的权利要求性,具体隐私政策的编纂方式、方法不在本文赘述,本文仅对该问题进行特别提示。医疗机构可结合国家互联网信息办公室等部门出台的《App违法违规收集使用个人信息行为认定方法》等有关指导方案,加以审定完善。

五、总 结

互联网医疗逐渐被千家万户所熟悉,逐渐成为医疗机构传统线下业态之外的新生业态,但仍处于不断更新规制的状态。在医疗机构开展互联网医疗的场景下,对非医疗属性的数据与信息保护问题不仅是时代发展的必要要求,同时也能使得医疗机构通过完善相应程序,实现保护数据安全和个人信息安全的程序正义。因此,医疗机构应对相关问题保持高度的注意义务,及时自查,及时修正。

联系我们

北京总部More

地 址: 北京市朝阳区建外大街丁12号英皇集团中心8层,100022

电 话:(010) 5086 7666

传 真:(010) 5691 6450

邮 箱: kangda@kangdalawyers.com

西安More

地 址: 西安市雁塔区太白南路139号荣禾云图中心7层、15层,710061

电 话:(029)8836 0129

传 真:

邮 箱: kangda@kangdalawyers.com

深圳More

地 址: 深圳市福田区中心四路一号嘉里建设广场1期19楼,518046

电 话:(0755)8860 0388

传 真:

邮 箱: kangda@kangdalawyers.com

海口More

地 址: 海口市海甸四东路6号颐和花园B座二层,570208

电 话:(0898)6625 4181

传 真:

邮 箱: kangda@kangdalawyers.com

上海More

地 址: 上海市黄浦区中山南一路768号博荟广场C座905室,200023

电 话:(021)6390 1100

传 真:

邮 箱: kangda@kangdalawyers.com

广州More

地 址: 广州市天河区珠江东路32号利通广场29层2901室,510510

电 话:(020)3739 2666

传 真:

邮 箱: kangda@kangdalawyers.com

杭州More

地 址: 杭州市上城区西子国际中心2号楼1501-1503室,310002

电 话:(0571)8577 9929

传 真:

邮 箱: kangda@kangdalawyers.com

沈阳More

地 址: 沈阳市沈河区友好街10号新地中心40层,110013

电 话:(024)2250 3388

传 真:

邮 箱: kangda@kangdalawyers.com

南京More

地 址: 南京市建邺区应天大街888号金鹰世界A座26层,210008

电 话:(025)8411 1616

传 真:

邮 箱: kangda@kangdalawyers.com

天津More

地 址: 天津市河北区海河东路78号茂业大厦2601室,300141

电 话:(022)2445 9827

传 真:

邮 箱: kangda@kangdalawyers.com

菏泽More

地 址: 菏泽市开发区人民路菏建·数码大厦B座西单元19层,274005

电 话:(0530)5566 148

传 真:

邮 箱: kangda@kangdalawyers.com

成都More

地 址: 成都市锦江区东御街18号百扬大厦1栋11层1101室,610020

电 话:(028)8774 7485

传 真:

邮 箱: kangda@kangdalawyers.com

苏州More

地 址: 苏州市工业园区思安街99号鑫能商务广场1幢1001-1002室,215028

电 话:(0512)6758 6952

传 真:(0512)6758 6972

邮 箱: kangda@kangdalawyers.com

呼和浩特More

地 址: 呼和浩特市如意开发区如意河大街西蒙奈伦广场3号楼B座8层,010050

电 话:(0471)5166 277

传 真:

邮 箱: kangda@kangdalawyers.com

香港More

地 址: 香港上环干诺道中200号信德中心(西翼)20层2002号

电 话:(00852)2333 9989

传 真:(00852)2333 9186

邮 箱: kangda@kangdalawyers.com

武汉More

地 址: 武汉市硚口区中山大道1号越秀.财富中心写字楼11层1101-1102,430030

电 话:(027)8361 5198

传 真:

邮 箱: kangda@kangdalawyers.com

郑州More

地 址: 郑州市金水区郑东新区农业南路51号楷林中心10座12层,450046

电 话:(0371)8895 9887

传 真:

邮 箱: kangda@kangdalawyers.com

长沙More

地 址: 长沙市雨花区芙蓉中路三段567号第六都兴业IEC32层,410021

电 话:(0731)8218 3551

传 真:(0731)8218 3551

邮 箱: kangda@kangdalawyers.com

厦门More

地 址: 厦门市湖里区高林中路469号新景地大厦23层,361016

电 话:(0592)5211 009

传 真:

邮 箱: kangda@kangdalawyers.com

重庆More

地 址: 重庆市江北区桂花街支路10号成大锦嘉国际大厦10层,400020

电 话:(023)6775 9966

传 真:

邮 箱: kangda@kangdalawyers.com

合肥More

地 址: 合肥市蜀山区政务区华润大厦西塔B座30层,230071

电 话:(0551)62930997

传 真:

邮 箱: kangda@kangdalawyers.com

隐私政策

康达律师事务所(以下简称“本所”)是一家设立于中国的综合性律师事务所。本所网站上的信息仅供您参考,不应视为本所为本网站访问者就特定事项提供的法律意见或建议,本网站访问者不应将其作为作为或不作为的依据。

本所对本网站及网站所包含的文字及图片等各类信息拥有知识产权,未经授权,请勿转载或使用。

本网站超链接的第三方网站不受本所控制,仅为您方便之需,本所不对该等网站的访问者承担任何明示、默示的担保或责任。

欢迎访问本网站,如有任何问题,请与本所联系。