观韬视点 | 个人信息告知同意处理规则在健康医疗数据合规领域的应用
2021年8月20日,第十三届全国人民代表大会常务委员会第三十次会议通过《中华人民共和国个人信息保护法》(“《个人信息保护法》”),新法将于2021年11月1日起施行。近年来,随着《中华人民共和国网络安全法》(“《网络安全法》”)、《中华人民共和国数据安全法》(“《数据安全法》”)及《个人信息保护法》的陆续公布,国家对于个人信息的保护进入强监管时代。
健康医疗数据是国家重要的基础性战略资源,健康医疗数据安全是国家安全的重要组成部分。作为健康医疗数据的收集者、使用者和处理者,及时建立健康医疗数据合规体系,是“互联网+医疗健康”企业应对数据合规挑战的重要方式。其中,告知同意规则是个人信息保护的核心规则,也是保障个人信息主体对其个人信息处理的知情权和决定权的重要措施。
一、 《个人信息保护法》出台前相关规定
在《个人信息保护法》出台前,个人信息处理的告知同意规则已在其它相关法律文件中有所体现,主要规定包括《中华人民共和国民法典》(《“民法典》”)、《网络安全法》、《数据安全法》、《国家健康医疗大数据标准、安全和服务管理办法(试行)》、《信息安全技术健康医疗数据安全指南》GB/T 39725_2020等。具体内容如下:
法律文件 | 具体内容 |
《民法典》 | 处理个人信息的,应当遵循合法、正当、必要原则,不得过度处理,并符合下列条件:(1)征得该自然人或者其监护人同意,但是法律、行政法规另有规定的除外;(2)公开处理信息的规则;(3)明示处理信息的目的、方式和范围;(4)不违反法律、行政法规的规定和双方的约定。(第一千零三十五条) |
信息处理者未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。(第一千零三十八条) | |
《网络安全法》 | 网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,明示收集、使用信息的目的、方式和范围,并经被收集者同意。(第四十一条) 网络运营者未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外。(第四十二条) |
《数据安全法》 | 任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。(第三十二条) |
《国家健康医疗大数据标准、安全和服务管理办法(试行)》 | 我国公民在中华人民共和国境内所产生的健康和医疗数据,国家在保障公民知情权、使用权和个人隐私的基础上,根据国家战略安全和人民群众生命安全需要,加以规范管理和开发利用。(第二条) |
《信息安全技术健康医疗数据安全指南》GB/T 39725-2020 | 控制者在使用或披露个人健康医疗数据时,应获得主体的个人授权;所有授权应使用通俗易懂的语言,并且包含有关要披露或使用的数据内容、数据的接收方、数据的用途以及使用方式、数据使用期限、数据主体权利以及控制者采取的保护措施等具体信息。 |
二、 《个人信息保护法》确立的告知同意规则
《个人信息保护法》首次确立了“敏感个人信息”的法律概念,即一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息(第28条),并进一步明确定义了健康医疗信息归属于敏感个人信息范畴。
此外,《个人信息保护法》确立了以告知同意为核心的个人信息处理规则,与此前出台的相关法律相比,明确提出了“单独同意”和“书面同意”的要求。该法生效后,“互联网+医疗健康”企业只有在具有特定的目的和充分的必要性的情形下,方可处理健康医疗信息,并且应视情况取得个人的单独同意或者书面同意。具体要求如下:
从上述规定可以看出,《个人信息保护法》改变了传统的个人信息一揽子告知同意的方式,要求处理健康医疗信息等敏感个人信息应当取得个人的单独同意。与此相适应,“互联网+医疗健康”企业应进一步优化告知同意规则的具体应用措施。
三、 告知同意规则的具体应用
全国信息安全标准化技术委员会于2020年1月20日公布的《信息安全技术个人信息告知同意指南》(征求意见稿)(“《告知同意指南》”)为“互联网+医疗健康”企业处理告知的内容、结构,及征得个人信息主体同意后收集、使用个人信息的方式提供了具体的操作参考。
1、优化告知同意机制
健康医疗大数据服务企业可以从以下几个要素出发,进一步优化告知同意的方案和机制:
要素 | 优化方案 |
友好展示 | 使用友好、生动、形象的方式编辑告知内容(如使用插图、漫画等),优化告知内容风格及其组织形式,以促进个人信息主体理解 |
适应载体 | 告知内容、展示形式、征得同意的方式等可以根据告知载体的类型、界面特点进行适应性设计,如适宜的字体大小、额外的震动和语音提示等 |
考虑影响 | 确定告知内容的详细程度和个人信息主体给出“肯定性动作”进行同意的明确程度时,可根据个人信息处理活动对个人权益影响程度进行权衡,包括对个人信息主体使用服务过程的用户体验等因素 |
区分阶段 | 根据个人信息主体使用产品和服务业务功能的范围和个人信息处理阶段,结合隐私政策、用户协议、提示语句等不同文本的性质和展示效果,设置具体的告知同意方案 |
兼顾差异 | 充分考虑复杂多样的网络条件、技术差异,个人信息主体的理解能力、水平(例如儿童或残障人士)等,使用可以广泛适用或针对特定群体的告知同意解决方案 |
2、告知同意合规指引
(1)告知程序
为更好履行告知程序,从自身角度出发,“互联网+医疗健康” 企业可关注以下几个方面:
a)健康医疗数据处理政策(如隐私政策)及相关文件应真实、准确、完整,清晰易懂;
b)健康医疗数据处理政策(如隐私政策)及相关文件在便于个人信息主体访问的情况下公布,如内容发生变更,应及时告知;
c)关注是否存在《个人信息保护法》列明的需要转移个人信息、向其他个人信息处理者提供其处理的个人信息的情况,如存在,确认是否按要求完整披露。
结合《告知同意指南》,从用户体验和权益保障角度出发,企业还可根据个人信息处理活动的实际情况,进一步关注如下事项:
a)如收集的个人信息涉及敏感个人信息(如既往病史、检查检验报告),需明确标识或突出显示;
b)个人信息处理规则等告知内容发生重大变化的部分,需明确标识或突出显示;
c)将对个人信息主体产生重要的或易于引起异议或争端的内容靠前推送,以便用户自行理解并支持其后续关于同意的判断;
d)针对特殊群体,提供除文本外的图片、语音或视频等对告知内容进行阐述。
(2)同意程序
对于《个人信息保护法》提出的单独同意和书面同意的要求,企业征得个人信息主体同意时,可优先采用明示同意的方式,且提供撤回同意路径。确保个人信息主体在理解收集目的和相关处理规则的基础上自主给出具体的、清晰明确的意思表示。
结合《告知同意指南》,明示同意的模式可以包括:
a)设置交互式界面,由个人信息主体做出主动勾选、主动点击“同意”“下一步”“继续”、滑动滑块、主动发送等动作表示意愿;
b)由个人信息主体主动填写、输入个人信息表示意愿;
c)由个人信息主体开启可收集个人信息的API、权限表示意愿;
d)个人信息主体通过纸质或电子的书面声明、签字确认表示意愿;
e)个人信息主体通过电子签名方式表示意愿;
f)个人信息主体通过电话录音、视频录像等方式表示意愿。
企业可结合健康医疗数据不同的级别和使用场景选择上述模式中的一种或几种。如收集个人信息可能对个人信息主体权益造成重大财产损失的,可在交互式界面执行“下一步”“同意”等操作基础上,进一步采取电话回访、签字确认等方式。
随着市场、产品及业务场景的日益发展,个人信息处理的告知同意规则亦在相应发展之中。“互联网+医疗健康”企业应持续自查是否已全面满足合规要求,并结合业界实践发展,不断推进内部合规体系和处理措施的完善。
