新法前瞻∣最高可罚5000万,合规处理“个人医疗健康信息”应注意的9个问题_中美健康咨询网

新法前瞻∣最高可罚5000万,合规处理“个人医疗健康信息”应注意的9个问题

文:吴维钦 

2020年10月21日,全国人大常委会法工委发布了《中华人民共和国个人信息保护法(草案)》征求意见稿。

根据《个人信息保护法(草案)》规定,个人医疗健康信息,不仅是个人信息,还是属于敏感个人信息。

本文结合《个人信息保护法(草案)》,梳理了合规处理个人医疗健康信息应当注意的9个问题。

01法律规定个人医疗健康信息有哪些类型 

(一)生物识别信息、健康信息

《民法典》第一千零三十四条个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

 (二)个人生物特征、医疗健康信息

《个人信息保护法(草案)》第二十九条个人信息处理者具有特定的目的和充分的必要性,方可处理敏感个人信息。

敏感个人信息是一旦泄露或者非法使用,可能导致个人受到歧视或者人身、财产安全受到严重危害的个人信息,包括种族、民族、宗教信仰、个人生物特征医疗健康、金融账户、个人行踪等信息。 

(三)健康生理信息

第五条非法获取、出售或者提供公民个人信息,具有下列情形之一的,应当认定为刑法第二百五十三条之一规定的“情节严重”:

(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的; 

需要注意的是,《个人信息保护法(草案)》第四条规定,匿名化处理后的信息不属于个人信息;第六十九条规定,匿名化,是指个人信息经过处理无法识别特定自然人且不能复原的过程。

02什么情况下才可以处理个人信息?

符合下列情形之一的,个人信息处理者方可处理个人信息:

1.取得个人的同意;

2.为订立或者履行个人作为一方当事人的合同所必需;

3.为履行法定职责或者法定义务所必需;

4.为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需; 

5.为公共利益实施新闻报道、舆论监督等行为在合理的范围内处理个人信息;

6.法律、行政法规规定的其他情形。

依据:《个人信息保护法(草案)》第13

03个人信息处理的告知要求 

(一)

1.在充分知情的前提下,自愿、明确作出意思表示;

2.告知个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,应当重新取得个人同意;

3.不满十四周岁未成年人个人信息的,应当取得其监护人的同意 

(二)

个人信息处理者在处理个人信息前,应当以显著方式、清晰易懂的语言向个人告知下列事项: 

1.个人信息处理者的身份和联系方式;

2.个人信息的处理目的、处理方式,处理的个人信息种类、保存期限

3.个人行使本法规定权利的方式和程序;

4.法律、行政法规规定应当告知的其他事项。

前款规定事项发生变更的,应当将变更部分告知个人。

个人信息处理者通过制定个人信息处理规则的方式告知第一款规定事项的,处理规则应当公开,并且便于查阅和保存。 

依据:《个人信息保护法(草案)》第141518

04敏感个人信息处理的特别要求

1.敏感个人信息指包括种族、民族、宗教信仰、个人生物特征、医疗健康、金融账户、个人行踪等信息。

2. 个人信息处理者具有特定的目的和充分的必要性,方可处理敏感个人信息。

3. 个人信息处理者应当取得个人的单独同意。

依据:《个人信息保护法(草案)》第2930

05跨境提供个人信息的规定

(一)个人信息跨境提供的前提条件

个人信息处理者因业务等需要,确需向中华人民共和国境外提供个人信息的应当至少具备下列一项条件:

1.依照本法第四十条的规定通过国家网信部门组织的安全评估;

2.按照国家网信部门的规定经专业机构进行个人信息保护认证;

3.与境外接收方订立合同,约定双方的权利和义务,并监督其个人信息处理活动达到本法规定的个人信息保护标准;

4.法律、行政法规或者国家网信部门规定的其他条件。

 (二)向信息权人告知,并取得单独同意

应当向个人告知境外接收方的身份、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外接收方行使本法规定权利的方式等事项

依据:《个人信息保护法(草案)》第3839

06什么情况下,要及时删除个人信息?

有下列情形之一的,个人信息处理者应当主动或者根据个人的请求,删除个人信息:

()约定的保存期限已届满或者处理目的已实现;

()个人信息处理者停止提供产品或者服务

()个人撤回同意

()个人信息处理者违反法律、行政法规或者违反约定处理个人信息;

()法律、行政法规规定的其他情形。 

法律、行政法规规定的保存期限未届满,或者删除个人信息从技术上难以实现的,个人信息处理者应当停止处理个人信息

依据:《个人信息保护法(草案)》第47

 07处理者的信息安全保障义务 

个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人的影响、可能存在的安全风险等,采取必要措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露或者被窃取、篡改、删除: 

()制定内部管理制度和操作规程;

()对个人信息实行分级分类管理;

()采取相应的加密、去标识化等安全技术措施;

()合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;

()制定并组织实施个人信息安全事件应急预案

()法律、行政法规规定的其他措施。

依据:《个人信息保护法(草案)》第50

08违法处理个人信息,最高可罚款5000 

违法处理个人信息的行政责任如下: 

一般违法:责令改正没收违法所得给予警告;拒不改正的,单位最高可罚款100万,直接责任人最高可罚款10万。

以上如情节严重的:责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关主管部门吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款 

依据:《个人信息保护法(草案)》第62

09你离侵犯公民个人信息罪可能只有一步之遥 

(一)刑法定义

侵犯公民个人信息罪(刑法第253条)指“违反国家有关规定,向他人出售或者提供公民个人信息的行为 

(二)量刑标准

1.情节严重的行为,处三年以下有期徒刑或者拘役,并处或者单处罚金;

2.情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。 

特别需要注意,刑法第253条规定,在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。

(三)立案追诉标准

《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》

(四)非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的
(七)违法所得五千元以上的;

(八)将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三项至第七项规定标准一半以上的

意味着,医药企业或医疗机构等,通过在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人的,只要达到500条或违法所得2500,即构成侵犯公民个人信息罪的立案标准。

本文参考法律规范

《民法典》(2021)

《个人信息保护法(草案)》(2020)

《信息安全技术个人信息安全规范》(2020年版)

《数据安全管理办法(征求意见稿)》(2019)

《网络安全法》(2017)

《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》(2017) 

吴维钦 ,北京大成(厦门)律师事务所 律师,中国研究型医院学会医药法律专业委员会委员,福建省医事法学研究会理事,福建新闻频道公益律师;执业领域:医疗、医药、医疗器械民商事法律实务、企业法律风险防控。

图片来源网络

来源医疗法律实务研究授权转载,版权归原作者