法治>

互联网医疗企业要避免触碰数据安全红线

2021-09-14 10:10:34中国商报网 收藏0 评论0 字数6,033 分享

随着9月起我国首部有关数据安全的专门法律《中华人民共和国数据安全法》(以下简称数据安全法)的正式施行,以及近期各种网络安全审查活动的开展,数据安全成为企业关注的法律风险点。笔者以企业为主要视角,分别从企业与政府部门合作、企业自身经营以及信息主体维权三种不同场景,就医药行业、关键信息基础设施、个人信息的收集等方面,对企业经营的数据合规问题与数据安全法、刑事法律的关系进行解读。

以互联网医疗领域为例,假设某科技公司计划与国家卫健委进行合作,可能被要求或者自愿开发,或与政府部门合作开发接触者追踪App,通过对医院收集的病人病历进行分析,获取病人的特定地域、所在行业,来判断哪些地区、哪个行业的人群容易患某种病的类型。通过大数据分析,为特定地区和行业的用户定制化推荐医院诊疗服务。

在这种政府部门与企业合作的场境下,企业应当如何处理与政府部门之间的数据共享关系,并且保证数据工作安全合法?笔者从数据如何安全合规和怎样避免刑事风险两大方面进行阐述。

数据如何安全合规

随着数字经济不断发展,数据正成为企业关键的生产要素,数据的价值与安全性之间的矛盾也不断产生。那么,数据如何做到安全合规?

首先要弄清共享数据的内容及性质。应当明确的是,政府部门与企业之间共享的数据内容是病人病历,这些病历属于患者个人信息并无争议,但是否属于政务数据呢?根据数据安全法第四十条规定,“国家机关委托他人建设、维护电子政务系统,存储、加工政务数据,应当经过严格的批准程序,并应当监督受托方履行相应的数据安全保护义务。受托方应当依照法律、法规的规定和合同约定履行数据安全保护义务,不得擅自留存、使用、泄露或者向他人提供政务数据。”

本例中数据收集主体是科技公司,其目的并非受政府部门委托、为政府部门服务,而是便于科技公司日后为用户提供定制化诊疗服务,因此,科技公司收集到的数据不属于政务数据。科技公司对于收集数据的处理,并不依照政务数据的处理规范进行规制,要以个人信息保护的规定来判断科技公司的数据收集和处理行为。

其次,要保证数据共享方式的合法性。科技公司与卫健委系统的合作方式,可能是以第三方信息系统接入卫健委系统,对病人病历、地理位置和行业等个人信息进行采集,需要考察这种行为是否满足合规要求。

数据安全法第三十二条规定,“任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。”《互联网医疗健康信息安全管理规范(征求意见稿)》也要求互联网医疗健康信息安全管理应确保互联网医疗健康信息系统的合规性、可用性和安全性;确保互联网医疗健康信息采集、存储、传输、应用、销毁等全生命周期的信息处理合法、正当、必要的原则,不得过度处理,保障信息完整、保密,保护个人信息安全、公众利益和国家安全。

2018年,国务院办公厅出台《关于促进“互联网+医疗健康”发展的意见》,确定了互联网医疗的发展方向,支持医疗健康信息互通共享。针对个人医疗健康信息的保护问题,网络安全法、《电子病历应用管理规范(试行)》、《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》等都作出了相关规定。自2020年6月1日起施行的基本医疗卫生与健康促进法第九十二条规定:“国家保护公民个人健康信息,确保公民个人健康信息安全。任何组织或者个人不得非法收集、使用、加工、传输公民个人健康信息,不得非法买卖、提供或者公开公民个人健康信息。”该规定进一步为个人医疗健康信息保护提供法律支撑。此外,我国相继发布了《电子病历共享文档规范》《电子病历与医院信息平台标准符合性测试规范》《电子健康档案与区域卫生信息平台标准符合性测试规范》等一系列卫生行业标准,各级医疗机构和企业在设计开发和采购医疗信息系统时均应严格执行上述标准。

结合数据安全法第三十二条规定,并无明确禁止第三方信息系统接入政务系统。《国家健康医疗大数据标准、安全和服务管理办法(试行)》对于建立健康医疗大数据开放共享的工作机制的共享和交换对象,除医疗卫生机构外,还包括“相关企事业单位”。所以,法律并不禁止(国有)企业作为健康医疗大数据的共享对象。以互联网医疗产业发展为背景,第三方信息系统对医疗信息的使用、处理、管理均符合法律法规及相关标准,则不具有违法性。

最后,应注重互联网医疗中个人信息保护。不可否认,这种依托互联网作为载体和手段的健康医疗服务模式,不仅得到了来自政策层面的肯定和引导,也受到了防疫需求的推动,但公民个人医疗、健康信息的安全和隐私保护问题也随之出现,甚至有不法人员破解及下载医院信息系统数据并牟取暴利的案例。涉及病人的敏感个人信息企业应当征得病人或监护人、委托代理人的授权许可,许可是不可缺少的前提,同时对于个人信息的采集利用应当遵守最小必要原则,收集的信息以达到目标为界限,不可过度收集。

网络安全法规定,网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。收集、使用个人信息需要征求被收集者的同意,未经被收集者同意,不得向他人提供个人信息。但经过处理无法识别特定个人且不能复原的除外。根据以上规定,作为第三方的科技公司利用卫健委系统中的健康医疗数据进行分析并形成模型,属于数据处理行为,将模型用于商业化的行为实质上是一种使用行为。网络安全法规定收集、使用个人信息需要征得被收集人的同意,第三方机构在卫健委系统中进行处理、使用的行为当然需要经过患者的同意,并且对医疗机构与第三方机构之间的合作行为也需要向患者披露。但以上也仅限于未经处理能识别特定个人且能复原的数据,经过处理不能识别特定主体且不能复原的数据利用属于法定允许的范围内。对医疗健康信息的保护和妥善利用并不相悖,通过合理的机制进行数据脱敏,就可以规范对医疗健康数据的利用行为。

怎样避免刑事风险

在合作关系下,企业与政府部门(国家工作人员)都存在着一定的刑事风险。以下根据现行刑法及相关司法解释进行列举。

“雷区”一:如果科技公司存在非法获取公民个人信息的行为,则可能构成侵犯公民个人信息罪。

刑法第二百五十三条之一规定,违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各条款的规定处罚。

结合《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》解读如下。

第一,“违反国家规定”,包括网络安全法、基本医疗卫生与健康促进法以及数据安全法等有关公民个人信息收集、使用、存储、处理等法律规定。

第二,行为方式包括:向特定人提供公民个人信息以及通过信息网络或者其他途径发布公民个人信息的;未经被收集者同意将合法收集的公民个人信息向他人提供的,但是经过处理无法识别特定个人且不能复原的除外;通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的。

不论获取公民个人信息的途径是非法的还是合法的,只要对公民个人信息进行转售或未经信息主体同意而提供给他人,都可以满足该罪的行为要件。

第三,“情节严重”包括:一是出售或者提供行踪轨迹信息,被他人用于犯罪的;二是知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;三是非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息50条以上的;四是非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息500条以上的;五是非法获取、出售或者提供第三、四项规定以外的公民个人信息5000条以上的;六是数量未达到第三至五项规定标准,但是按相应比例合计达到有关数量标准的;七是违法所得5000元以上的;八是将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第三至七项规定标准一半以上的;九是曾因侵犯公民个人信息受过刑事处罚或者两年内受过行政处罚,又非法获取、出售或者提供公民个人信息的;十是为合法经营活动而非法购买、收受第三、四项以外的信息,具有下列情形之一的:利用非法购买、收受的公民个人信息获利5万元以上的,曾因侵犯公民个人信息受过刑事处罚或者两年内受过行政处罚又非法购买、收受公民个人信息的。

“雷区”二:如果科技公司通过非法手段接入卫健委系统获取公民的病历信息,则可能构成非法获取计算机信息系统数据、非法控制计算机信息系统罪。

刑法第二百八十五条规定,违反国家规定,侵入国家事务、国防建设、尖端科学技术领域的计算机信息系统的,处三年以下有期徒刑或者拘役。违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

结合《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》解读如下。

第一,本罪涉及的“计算机信息系统”是国家事务、国防建设、尖端科学技术领域以外的计算机信息系统。

第二,“情节严重”包括:获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的,获取前述信息以外的身份认证信息500组以上的,非法控制计算机信息系统20台以上的,违法所得5000元以上或者造成经济损失1万元以上的。

“雷区”三:如果科技公司非法获取医疗机构病患的电子病历信息,可能构成侵犯商业秘密罪。

刑法第二百一十九条规定,“有下列侵犯商业秘密行为之一,情节严重的,处三年以下有期徒刑,并处或者单处罚金;情节特别严重的,处三年以上十年以下有期徒刑,并处罚金:(一)以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人的商业秘密的;(二)披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密的;(三)违反保密义务或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密的。明知前款所列行为,获取、披露、使用或者允许他人使用该商业秘密的,以侵犯商业秘密论。本条所称权利人,是指商业秘密的所有人和经商业秘密所有人许可的商业秘密使用人。”

首先,刑法修正案(十一)删除了“商业秘密”的定义,而参考反不正当竞争法第九条第三款规定,商业秘密是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息和经营信息。患者信息具备秘密性、法律强制保护的特殊性以及对医疗行业的商业价值属性,在性质上认定为医疗机构的商业秘密并无不妥。

其次,病历资料不仅有患者的个人信息,还包括医生的诊疗内容,而一般认为病历上诊疗信息是医生智力活动成果的结晶,受到知识产权保护,科技公司若收集的是病历资料,那么也包含了医生履职过程中形成的智力成果。

因此,根据科技公司使用病历资料的行为,如果未经医疗机构和患者本人同意或授权,通过电子侵入或其他不正当手段获取患者病历资料则可能构成侵犯商业秘密罪或其他侵犯知识产权类犯罪。

“雷区”四:如果科技公司合法收集公民个人信息后,不履行信息网络安全管理义务导致用户病历信息泄露,则可能构成拒不履行信息网络安全管理义务罪。

刑法第二百八十六条之一规定,“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:(一)致使违法信息大量传播的;(二)致使用户信息泄露,造成严重后果的;(三)致使刑事案件证据灭失,情节严重的;(四)有其他严重情节的。单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。”

结合《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》解读如下。

第一,“造成严重后果”包括:一是致使泄露行踪轨迹信息、通信内容、征信信息、财产信息500条以上的;二是致使泄露住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的用户信息5000条以上的;三是致使泄露前述信息以外的用户信息5万条以上的;四是数量虽未达到前三项规定标准,但是按相应比例折算合计达到有关数量标准的;五是造成他人死亡、重伤、精神失常或者被绑架等严重后果的;六是造成重大经济损失的;七是严重扰乱社会秩序的,八是造成其他严重后果的。

第二,“其他严重情节”包括:一是对绝大多数用户日志未留存或者未落实真实身份信息认证义务的;二是两年内经多次责令改正拒不改正的;三是致使信息网络服务被主要用于违法犯罪的;四是致使信息网络服务、网络设施被用于实施网络攻击,严重影响生产、生活的;五是致使信息网络服务被用于实施危害国家安全犯罪、恐怖活动犯罪、黑社会性质组织犯罪、贪污贿赂犯罪或者其他重大犯罪的;六是致使国家机关或者通信、能源、交通、水利、金融、教育、医疗等领域提供公共服务的信息网络受到破坏,严重影响生产、生活的;七是其他严重违反信息网络安全管理义务的情形。

“雷区”五:对于允许第三方信息系统接入卫健委系统的行为,有关政府机构工作人员可能面临一定的法律风险。

卫健委系统作为利用信息网络提供给医疗公共服务的单位,也属于刑法第二百八十六条之一第一款规定的“网络服务提供者”。因此,如果因医疗信息共享不规范导致患者病历信息泄露,经监管部门责令采取改正措施而拒不改正,造成严重后果的,卫健委系统或其工作人员也可能构成拒不履行信息网络安全管理义务罪。而工作人员属于国家工作人员,也可能构成渎职类犯罪。

由此看来,允许第三方信息系统接入国家掌握的医疗信息系统,对于具体单位和工作人员而言都存在法律风险,这在一定程度上导致第三方信息系统在实践中难以通过接入官方信息系统的方式获取个人信息,而往往是本身作为医疗机构,对其单位经营过程中获取的个人信息加以利用。

总之,无论是互联网医疗企业还是政府部门,在数据安全法实施后,不但要充分研究该法有关条文规定,规避数据安全合规“红线”,还要研究刑法避免踩到数据安全刑事“雷区”。(梁雅丽 唐宛茁)

(梁雅丽系京都律师事务所高级合伙人、京都刑事辩护研究中心主任。唐宛茁系梁雅丽律师助理、北京大学法学学士、北京大学刑法学专业法学硕士。)

责任编辑:辛文

参与讨论

请登录后讨论

提交评论

最新讨论