文丨天元律师事务所 刘瑛 李晓华
2017年6月1日《中华人民共和国网络安全法》（“《网络安全法》”）实施以来，其中与数据安全和个人信息保护有关的规范要求尤为引人关注。特别是近两年来数据安全事件、个人信息泄露事件频发，欧盟《通用数据保护条例》（“GDPR”）、美国加州《消费者隐私法案》（“CCPA”）等域外监管要求提升的背景下，对于作为网络运营者的企业，就所处行业、不同的业务和平台下在数据安全和个人信息保护方面有哪些问题，如何在《网络安全法》框架下结合行业特点和企业特性积极有效地应对、进而搭建与本企业相适应的数据合规体系。值《网络安全法》实施两年之际，天元将推出数据合规系列文章，从不同维度归纳和分享我们对问题的思考及实务经验。
在政策和技术的共同推动下，互联网医疗行业百花齐放。在线问诊和健康咨询、在线预约挂号、诊疗报告在线查询、复诊开药、药品配送等多种形式的互联网医疗服务为患者提供便利，缓解人们看病难问题；健康医疗大数据业务则为政府部门、各级医疗机构、科研机构、药品和医疗器械生产企业提供有价值的医疗数据解决方案，促进医疗行业发展。互联网医疗行业涉及大量的个人信息，随着我国关于互联网医疗法律法规的不断完善，互联网医疗经营者应当重视个人信息、患者隐私保护以及医疗数据的安全问题。本文将介绍互联网医疗行业中数据管理的合规要点，并聚焦互联网问诊、药品咨询配送和健康医疗大数据业务场景，重点介绍其中数据管理的合规要点。
首先，如同其他行业的互联网业务经营者，互联网医疗经营者也会收集、使用个人信息（包括但不限于个人身份信息和个人健康生理信息）。与各类互联网行业涉及的数据合规管理要点相同，互联网医疗经营者在收集和使用个人信息前，应当明示收集、使用信息的目的、方式和范围，并取得信息主体的同意，其所收集信息的范围应当符合最少、必要原则。同时，互联网医疗经营者还需要特别关注以下方面的数据合规问题。
一、互联网问诊服务中数据管理的合规要点
互联网问诊服务是互联网医疗服务平台提供的主要服务之一。互联网问诊服务在收集信息方面有其特点。
从信息主体看，用户除了患者，还可能涉及患者家属、医生；该场景下所收集的信息既有完全行为能力人的信息，也可能涉及无行为能力人或限制行为能力人（例如未成年人、因疾病而不能完全辨认自己行为的成年人）的信息。
从信息内容来看，所收集的信息涉及识别用户的一般身份信息（例如用户登录时的手机、邮箱、姓名等）、互联网医疗服务费用支付时所需的银行账号等金融信息、患者健康生理信息（例如患者的病情隐私、病历信息、诊断结果、用药信息、患处照片）等。
为此，互联网医疗服务平台经营者需要结合互联网问诊服务的特点，有的放矢地管理。
二、药品配送服务中数据管理的合规要点
与互联网问诊相配套的，互联网医疗服务平台通常还提供用药咨询及药品配送辅助服务。用户向互联网医疗服务平台提出用药咨询需求，互联网医疗服务平台收集用药咨询需求和相关信息（包括识别患者身份的个人信息、患者病情隐私、付款人金融信息和收货人联系信息）后，将其提供给合作实体医疗机构和药房，经医生开出处方并经药剂师审核后，由药房安排药品销售和配送事宜。上述场景涉及相关个人信息的共享和流转。
对此安排，互联网医疗服务平台经营者应在相关用户协议、隐私政策中提前告知用户、取得用户授权。在信息共享和流转的过程中，互联网医疗服务平台经营者应保证个人信息不被相应的合作伙伴之外的任何个人、组织和机构所获知，并对相关实体医疗机构和药房等合作伙伴的数据保护义务提出要求。
三、健康医疗大数据业务中的数据管理的合规要点
以海量患者信息和医疗服务信息为基础的健康医疗大数据业务是互联网医疗行业的重要组成部分和重要发展方向之一。健康医疗大数据经营者在海量患者信息和医疗服务信息的基础上，通过大数据、人工智能等先进技术对相关信息进行整合、处理和分析，为政府部门、各级医疗机构、科研机构、药品和医疗器械生产企业提供解决方案。除了信息收集环节需要关注的合规问题外，健康医疗大数据经营者应关注以下：   
（一）信息使用的合规要点
健康医疗大数据业务经营者使用患者信息和医疗服务信息等（既包括对相关数据进行整合、处理和分析，也包括在完成数据整合和处理后对相关数据进行再利用），应当取得信息相关权益人（既可能包括患者本人或其监护人，也可能包括因参与信息生成过程而享有权益或负有法定保管责任的主体）的授权。
健康医疗大数据业务经营者将相关大数据分析结果提供给其他合作方或向社会公示时，除了需要取得信息权益人的同意外，应当以不能还原识别特定自然人身份的脱敏信息呈现。   
（二）信息储存和管理的合规要点
健康医疗大数据业务经营者对人口健康信息进行储存和管理时，应当特别注意遵循《网络安全法》、《人口健康信息管理办法（试行）》等法律法规关于人口健康信息储存和管理的要求。涉及与政府部门、医疗机构、科研机构等公共机构合作的，健康医疗大数据业务经营者还需要关注由此所涉对相关保密信息的保密，特别是对于病历资料的访问、复制等，均应遵守合作方、主管政府部门和相关法律法规的规定。健康医疗大数据业务经营过程中所获取、收集和产生的人口健康信息应在境内储存。   
（三）人类遗传资源资源信息相关的合规要点
人类遗传资源包括含有人体基因组、基因及其产物的器官、组织、细胞、血液、制备物、重组脱氧核糖核酸（DNA）构建体等遗传材料及相关的信息资料。健康医疗大数据业务经营过程中，如果涉及对人类遗传资源信息的获取、收集和使用，应当遵守法律法规的规定，包括但不限于按照相关法律法规办理涉及人类遗传资源信息的国际合作项目报批手续；严格遵守相关法律法规对人类遗传资源信息的使用、转让、披露和申请专利的限制。
天元数据合规服务
天元团队连续二十余年为TMT行业提供法律服务，对通信及互联网产业政策、行业发展和变迁历程、以及业务有着深刻的理解和感受。从2012年底全国人大常委会关于公民个人信息保护的第一个专门性法律颁布至今，天元持续为行业内领先的企业客户提供数据合规、用户个人信息保护、网络和信息安全方面的法律服务。天元数据合规服务包括：对企业的业务模式、业务规则、业务流程以及业务方案中涉及的用户个人信息保护、数据使用与安全、数据跨境等问题进行合规性审查和论证；为企业审查和起草用户个人信息协议、授权文件、隐私政策等文件；协助企业搭建数据业务合规体系，制订相关文件；以及数据合规培训。天元数据合规服务涵盖数据及个人信息的收集、使用、存储、管理、合作、经营以及数据跨境等业务及安全管理的全链条。