杭州市律師協會主辦 《杭州律師》歡迎投稿設為首頁|加入收藏|聯系我們
下載中心
熱門文章
您現在所在的位置:首頁 > 專業委員會 > 民事專業委員會
“個人信息保護法律實務和立法前瞻”研討會會議綜述
來源:民事專業委員會、醫藥健康專業委員會 發表時間:2021-04-23 瀏覽:1190 分享:

 

    研討會時間:2021年4月11日。

    研討會開展方式:互聯網線上和線下結合。

    參與嘉賓:杭州市律協民事專業委員會主任胡浩明律師、浙江省衛生與健康委及杭州市律協醫健委主任趙麗華律師、杭州市律協民事委副主任邴朝祥律師、浙江省省律協衛生健康委副主任李雪云律師。

    參與人員:全市律師。

    活動綜述撰寫者:劉云波,杭州市律師協會民事專業委員會委員、秘書處秘書。

    一、個人信息保護法草案的基本立法現狀

    2020年10月21日,全國大人常委會法工委發布了《中華人民共和國個人信息保護法(草案)》征求意見稿(以下簡稱“《個人信息保護法》”),就個人信息保護有關的立法問題向社會公開征求意見。業內人士廣泛響應,認為這部法律的出臺可謂意義重大,甚至將2020年稱之為我國個人信息保護立法元年都不為過。

    長期以來,我國雖在不斷出臺有關個人信息保護的立法文件,但從沒有一部法律法規能夠如此系統及全面地對個人信息保護相關問題進行專門性立法。從現有頒布的法律來看,包括《民法典》、《刑法》、《電子商務法》、《網絡安全法》、《消費者權益保護法》以及《廣告法》等雖有部分內容與個人信息保護的話題相契合,但在社會實踐中,這些法律的適用大多規定的較為原則,并不能滿足人民群眾對個人信息保護的各類迫切需求。此外,縱觀其他法規及規范性文件,例如《關于加強網絡信息保護的決定》、《電信和互聯網用戶個人信息保護規定》、《信息安全技術個人信息安全規范》(GB/T 35273—2020)等規定,雖然在我們律師辦案中起到著極強的合規參考價值,但其同時也存在著一定的滯后性,并不能夠適應各類互聯網企業的合規需要。在我國個人信息保護立法長期并不完善的大背景下,近年來,對個人信息濫用的案例不斷涌現,對司法及行政監管部門也帶來了較大挑戰。終于,在千呼萬喚中,這部《個人信息保護法》被推上歷史舞臺,等待它揮灑出絢爛奪目的篇章。

    《個人信息保護法》全文涵蓋了八章,七十條的內容。分別為總則、個人信息處理規則、個人信息跨境提供的規則、個人在個人信息處理活動中的權利、個人信息處理者的義務、履行個人信息保護職責的部門、法律責任和附則。在這些看似枯燥的法條中,其實蘊涵著立法者對人臉識別、人肉搜索、數據跨境傳輸、自動化決策、信息脫敏等熱點問題的對策及解答。此外,《個人信息保護法》還對行政監管和個人信息保護之間的原則及邊界問題進行了規定。總的來說,我們認為《個人信息保護法》吸取了來自世界各國和各地區的先進經驗。與此同時,其結合了我國國情及長期以來面對的各類困難,使得自然人個體、互聯網企業、國家安全和公共利益、跨境傳輸技術要求以及國際上通行的慣例等達到了一定的平衡,進而制定了這部法律。《個人信息保護法》的出臺,一方面對我國國內互聯網企業的合規提出了新的期待,另一方面也對我國政府監管提出了更高要求。因此,借著《個人信息保護法》征求意見稿頒布后的空檔期,我們建議有需求的互聯網企業通讀這部法律,并及時按照法律規定調整合規模式,盡可能補齊自身經營上的短板,使得公司在個人信息保護層面面臨的法律風險更為可控。我們也將結合長期開展的律師實務工作,對《個人信息保護法》進行逐條解讀,以期供各方深入學習和交流。

    二、活動中嘉賓對個人信息保護的理解

    醫健委主任趙麗華律師闡述了個人信息保護的基本概念、理論,以及個人信息與個人隱私的聯系與區別,介紹了現行法律法規中對個人信息保護的規定,包括《民法典》、《生物安全法》、《基本醫療衛生與健康法》、《傳染病防治法》、《治安管理處罰法》等。趙律師還結合自身的從業經驗,分享了自己辦理的部分醫療領域中發生的個人信息泄露和保護的案例。

    民事委副主任邴朝祥律師介紹了《個人信息保護法(草案)》的立法兩點,并結合國內外優秀的立法實踐進行了對比,對個人信息保護的立法前瞻給予了積極的期待。

    李雪云律師是醫健領域的資深專家,同時也是浙江省律師協會醫療衛生與健康專業委員會的副主任,李律師對醫療糾紛中發生的個人信息保護問題發表了許多獨到的見解。個人信息保護在醫療健康領域具有獨特性,病人的病理信息等權益應當得到有效的保護,集中體現在如病情的知情權、病歷的保護等方面。李律師也在討論中分享了自己承辦的一些典型案例。

    三、醫療健康領域中關于個人信息保護的特別適用

    根據《草案》第40條規定,關鍵信息基礎設施運營者和處理個人信息達到國家網信部門規定數量的個人信息處理者,應當將在中華人民共和國境內收集和產生的個人信息存儲在境內。如確需數據出境的,應當通過國家網信部門組織的安全評估。根據已經生效的《網絡安全法》的規定,醫療衛生機構可能會被歸類為關鍵信息基礎設施運營者,關鍵信息基礎設施運營者比一般網絡運營者承擔的個人信息保護以及數據安全合規義務要嚴格得多。此外,健康醫療與生命科學領域會涉及大量的病歷信息和醫療專業人員的個人信息。

    雖然病歷信息通常會進行匿名化處理,但仍可能包含人口健康信息,監管機構對這些數據有本地存儲的要求和數據出境的限制。同時,由于醫療專業人員個人信息一般為實名信息且數量較大,也應及時考慮數據出境的合規要求。并且,醫療專業人員的部分個人信息雖然已是公開的個人信息,但《草案》也提及了對處理公開的個人信息的要求和限制。

    此外,根據《草案》第29條關于對敏感個人信息的定義,個人健康醫療信息、個人生物特征屬于敏感個人信息。對于敏感個人信息的保護,《草案》除了規定適用一般個人信息保護原則外,規定了更加嚴格的標準。

    主要體現在以下三個方面:

    第一,處理敏感個人信息應當取得個人的單獨同意,且有可能還需要依法取得書面同意,相比《草案》第14條規定的處理一般個人信息的“充分知情+自愿、明確同意”為核心的規則更為嚴格。

    第二,在個人信息處理告知事項上,除《草案》第18條規定的處理一般個人信息應告知的事項外,還應當告知處理敏感信息的必要性及對個人的影響。

    第三,處理敏感個人信息應當根據《草案》第54條規定事前進行風險評估,并對處理情況進行記錄,且風險評估報告和處理情況記錄應當至少保存3年。

    自2009年3月17日《中共中央國務院關于深化醫藥衛生體制改革的意見》、《國務院辦公廳關于促進“互聯網+醫療健康”發展的意見》(國辦發〔2018〕26號)頒布以來,我國逐步開始對個人接受醫療服務、參與健康活動進行電子化記錄,國家鼓勵醫療機構應用互聯網等信息技術進行醫療服務模式,因此電子健康檔案數據、應用的醫院信息平臺之間數據的互聯互通儼然已成為現實。基于上述分析,這也意味著對于健康醫療和生命科學領域而言,個人健康醫療信息在收集、儲存、處理與利用的過程中將會面臨更嚴格的合規義務。

    此外,合同研究組織(Contract Research Organization, CRO)通過合同形式為制藥企業、醫療機構、中小醫藥醫療器械研發企業、甚至各種政府基金等機構在基礎醫學和臨床醫學研發過程中提供服務的機構,也勢必將接觸到很多健康醫療和生命科學領域的敏感個人信息,因此CRO也具有保護個人信息的嚴格合規義務。根據《草案》第22條規定,健康醫療和生命科學領域除需要與受托方就處理目的、方式、信息種類、保護措施以及權利義務進行規定外,還需要對受托方處理個人信息活動進行監督,以共同履行《草案》規定保護個人信息的義務。

    《草案》還規定,在公共場所安裝圖像采集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,并設置顯著的提示標識。“公共安全”一詞含義廣泛,醫院等公共場所收集此類信息是否符合這些要求,尚存疑問。

    四、個人信息保護法的立法影響

    就整體的立法進程而言,個人信息保護法已于2018年被列入十三屆全國人大常委會立法規劃。2019年經第十三屆全國人大常委會第四十四次委員長會議通過,制定《個人信息保護法》被明確列入全國人大常委會2020年度立法工作計劃。《草案》的正式發布表明相關立法進度正在按計劃有序進行,后續應持續保持高度關注并及時調整策略。

    目前相對龐雜的合規體系對企業如何在過渡期有效管控個人信息保護風險,特別是在數字化轉型和大數據等新技術應用過程中如何同步考慮個人信息保護,從而為業務發展和部署保駕護航,提出了更高的要求。

    五、結語

    綜上所述,本次研討會建議:社會各界,尤其是作為市場主體的企業應當從把控整體合規風險、確保個人信息安全的角度出發,立即行動,變被動為主動,多方面開展個人信息保護工作。

 

[ 下載本頁  |  打印  |  關閉 ]  
首頁 | 關于我們 | 聯系我們 | 編委會 | 工作信箱 | 管理登錄
杭州律師網 Copyright (c) 2007 - 2021 版權所有 浙ICP備14042401號-1  浙公網安備 33010402004171號
主辦單位:杭州市律師協會        技術支持:創搏網絡
必威体育平台