2017年6月1日《中华人民共和国网络安全法》正式实施;同年12月29日,《信息安全技术 个人信息安全规范》(“2017版《规范》”)正式发布;2020年3月7日,新版《信息安全技术 个人信息安全规范》GB/T35273-2020(以下简称“2020版《规范》”)正式发布。从颁布的频率之高来看,可见国家在当前数字经济环境下,对于个人信息安全和隐私保护工作非常重视。与此同时,国家工信部为有效提升互联网行业网络数据安全保护能力,充分发挥标准在保障网络数据安全、推动行业健康有序发展,助力数字经济高质量发展,也编制完成了《网络数据安全标准体系建设指南》(以下简称建设指南),并即将于近期正式发布。
2020版《规范》和“建设指南”参考了近几年国外立法趋势和执法经验,反映了在应用新技术与商业模式创新的同时,对信息安全和个人信息保护的高度关切。所以可以预言在不久的将来,将对我国个人信息保护领域起到重要的指导和引领作用。本文将尝试把“规范”和“指南”中的主要内容做一个参照和融合,结合当前风起涌云的“互联网+医疗健康”领域的信息化建设,希望将来无论是自建的医疗机构还是参与合作共建的互联网企业,在其产品设计之初时就能够更多地参照该规范和指南来进一步指导项目的建设和实施。“建设指南”中包括了建设思路及目标、建设内容、组织实施三个部分。其中第一部分是建设思路及目标,明确了标准体系建设的总体思路、基本原则、建设目标。第二部分是建设内容,提出了网络数据安全标准体系框架、重点标准化领域及方向,具体为基础共性、关键技术、安全管理、重点领域四大类标准。其中基础共性标准还包括术语定义、数据安全框架、数据分类分级,可为各类标准制定提供基础性支撑。关键技术标准从数据采集、传输、存储、处理、交换、销毁等数据全生命周期维度对数据安全技术进行规范。其中核心的关键技术标准体系如下图所示。
以下将从全生命周期数据安全的六个环节展开个人信息保护的论述:(1)数据采集环节的个人信息保护:“最少够用”原则在技术层面,数据采集标准用于规范数据采集格式、数据标签、数据审查校验等方面相关技术要求,有效提升数据质量,主要包括数据清洗比对、数据质量监控等标准。在数据采集应用层面,随着互联网服务日益平台化和集成化,包括互联网医疗应用场景,无论是单一APP还是公众号、小程序、业务网站等应用通常都集成了多项业务功能。首先关于在“用户告之”环节,通常情况下最为常见的授权做法是将全部业务功能所需要的个人信息授权,全部打包在一份隐私政策内,在用户明示同意隐私政策后即可一劳永逸解决授权问题。另一方面,这些业务功能往往名目繁多,某些互联网企业还有意地使用“改善体验”、“产品研发”等似是而非、模棱两可的描述,而让用户无法感知其具体内容的表述。在这种情况下,用户往往处于“被动授权”状态,某些场景下为了其不需要使用的某些功能而无意中额外地提供了使用个人信息的授权,这也违背了规范里积极倡导的“最少够用”原则——对个人信息控制者的要求包括:a) 收集的个人信息的类型应与实现产品或服务的业务功能有直接关联;直接关联是指没有上述个人信息的参与,产品或服务的功能无法实现;b) 自动采集个人信息的频率应是实现产品或服务的业务功能所必需的最低频率;c) 间接获取个人信息的数量应是实现产品或服务的业务功能所必需的最少数量。目前国际上对移动APP的个人隐私信息保护主要存在两种模式:以欧盟为代表的立法模式和以美国为代表的企业自律模式。我国则采用软件运营者自律为主、政府监管为辅的模式。其实在2019年底出台的《APP违法违规收集使用个人信息行为认定方法》,就是运营者自律结合政府监管模式的重要体现。此外在“最少够用”原则的整体要求外,当个人信息控制者在收集个人信息时,还应该遵循以下授权同意的要求:a) 收集个人信息,应向个人信息主体告知收集、使用个人信息的目的、方式和范围等规则,并获得个人信息主体的授权同意;b) 收集个人敏感信息前,应征得个人信息主体的明示同意,并应确保个人信息主体的明示同意是其在完全知情的基础上自主给出的、具体的、清晰明确的意愿表示;c) 收集个人生物识别信息前,应单独向个人信息主体告知收集、使用个人生物识别信息的目的、方式和范围,以及存储时间等规则,并征得个人信息主体的明示同意;d) 收集年满14周岁未成年人的个人信息前,应征得未成年人或其监护人的明示同意;不满14周岁的,应征得其监护人的明示同意;- 应要求个人信息提供方说明个人信息来源,并对其个人信息来源的合法性进行确认;
- 应了解个人信息提供方已获得的个人信息处理的授权同意范围,包括使用目的,个人信息主体是否授权同意转让、共享、公开披露、删除等;
- 如开展业务所需进行的个人信息处理活动超出已获得的授权同意范围的,应在获取个人信息后的合理期限内或处理个人信息前,征得个人信息主体的明示同意,或通过个人信息提供方征得个人信息主体的明示同意。
所以针对上述情形,在用户告知环节,对提供多项业务功能自主选择,也向个人信息控制者提出了以下一系列要求:- 不应通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意各项业务功能收集个人信息的请求;
- 应把个人信息主体主动作出的肯定性动作,如主动点击、勾选、填写等,作为产品或服务的业务功能开启条件,个人信息控制者应仅在个人信息主体开启该业务功能后,开始收集个人信息;
- 关闭或退出业务功能的途径或方式应与个人信息主体选择使用业务功能的途径或方式同样方便。个人信息主体选择关闭或退出特定业务功能后,个人信息控制者应停止该业务功能的个人信息收集活动;
- 个人信息主体不授权同意使用、关闭或退出特定业务功能的,不应频繁征求个人信息主体的授权同意;
- 如个人信息主体不授权同意使用、关闭或退出特定业务功能的,不应暂停个人信息主体自主选择使用的其他业务功能,或降低业务功能的服务质量;
- 不得仅以改善服务质量、提升使用体验、研发新产品、增强安全性等为由,强制要求要求个人信息主体同意收集个人信息。
因此,按以上这些采集环节的原则和规定进行认真自查和合规整改,是目前各家互联网医疗运营企业内在要求和主要任务。
数据传输标准用于规范数据传输过程中可以标准化的功能架构、安全协议及其他安全相关技术要求,主要包括数据完整性保护、数据加密传输等标准。其中:- 数据加密传输:是指在数据传输过程当中如果涉及到密码等很重要的隐私数据,需要对该数据进行加密传输,不应该进行明文传输。因为在传输过程当中,你的数据可能会被劫持,如果是明文传输的密码等隐私数据,劫持者就知道你的密码了。而大部分用户的很多账号往往都是使用相同的密码,这样就会存在被非法撞库的风险。数据加密还需要前、后端进行密切配合,约定相关条件,这样前、后端才能正确地对数据进行加解密。所以这个约定条件就比较重要,前端不能轻易暴露。此外由于前端不是编译运行的,代码存在被破解的风险;所以还需要增加加密流程的复杂度,提高破解者解密的成本,不要让非法解密者轻易识别出加密流程。
- 数据完整性:是指数据没有遭受以未授权方式所作的更改或破坏的特性,往往通过数据验证来保证数据的完整性和一致性。数据验证主要是用于权限管理要求比较高的web应用,防止劫持者对请求数据进行篡改,从而达到越权目的。
数据存储标准用于规范存储平台安全机制、数据安全存储方法、安全审计、安全防护技术等相关技术要求,主要包括数据库安全、云存储安全、数据安全审计、数据防泄漏等标准。个人信息控制者对于个人敏感信息的传输和存储的要求包括:a) 传输和存储个人敏感信息时,应采用加密等安全措施;(采用密码技术时宜遵循密码管理相关国家标准。)c) 原则上不应存储原始个人生物识别信息(如样本、图像等),可采取的措施包括但不限于:- 仅存储不可逆的摘要信息,而且是无法回溯到原始信息的摘要信息;
- 在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能,这也意味着采集和认证两个环节均通过手机等终端完成,并由终端将识别和认证结果回传,并不需要将个人生物识别信息回传至企业服务器;
- 在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证功能后删除可提取个人生物识别信息的原始图像。也就是说,在互联网企业使用个人生物识别信息完成识别和认证后应立即删除,避免用于其他用途。
大家知道在互联网医疗健康领域,会经常碰到此种数据采集的场景,无论是用于身份识别还是生命体征数据的采集环节。大家知道与常规的个人信息不同,个人生物识别信息在人的一生中几乎不会发生变化,或是变化缓慢,在短期内保持恒定,因此个人生物识别信息和个人身份紧密绑定的效果非常好。另一方面,个人生物识别信息一旦被泄露和不法利用,将给个人带来严重的财产安全和信息安全隐患。所以2020版《规范》进一步对这些个人生物识别信息在收集、存储和共享方面都提出了特殊要求,回应了社会公众对个人生物识别信息泄露愈发的担忧。从上述三种路径来看,2020版《规范》并非一刀切完全禁止存储和使用个人生物识别信息,而是限制将原始个人生物识别信息回传至企业服务器。但是即使如此,仍然会给现有的个人信息收集模式带来挑战。
此外还设立了专门的退出路径,当个人信息控制者停止运营其产品或服务时,应:b) 将停止运营的通知以逐一送达或公告的形式通知个人信息主体;数据处理标准用于规范敏感数据、个人信息的保护机制及相关技术要求,明确敏感数据保护的场景、规则、技术方法,主要包括匿名化/去标识化、数据脱敏等标准。在数据经济时代,精细化运营成为互联网企业的标配,当然也包括互联网医疗领域运营企业。他们通常会通过对用户诊疗个案数据进行挖掘、清洗、分类,使得海量复杂的数据被抽象成“标签”,并利用这些“标签”将患者的基础疾病、医疗行为、健康预期等内容具象化,使得其医疗产品和健康服务更加具有精准性和针对性,这种运营手法被称为“患者画像”。2020版《规范》新增了关于用户画像的描述限制和使用限制,对个人信息控制者的要求包括:
b) 在业务运营或对外业务合作中使用用户画像的,不应:- 危害国家安全、荣誉和利益,煽动颠覆国家政权、推翻社会主义制度,煽动分裂国家、破坏国家统一,宣扬恐怖主义、极端主义,宣扬民族仇恨、民族歧视,传播暴力、淫秽色情信息,编造、传播虚假信息扰乱经济秩序和社会秩序。
同时,2020版《规范》还建议,尽可能避免使用具有明确身份指向性、可以精确定位到特定个人的直接用户画像,而尽可能使用“间接用户画像”。2020版《规范》对数据的“个性化展示”提出了较为细致的操作规范,核心在于保障用户的知情权和选择权。2020版《规范》要求,在向用户提供业务功能的过程中使用个性化展示的,应当以标注等形式将其与非个性化展示的内容进行显著区分。参考《违法认定办法》的有关规定,建议如果APP运营者将个人信息用于个性化信息展示,那么个人信息保护政策也需要描述具体应用的场景和功能模块,更进一步保护用户的知情权。2020版《规范》建议建立个人信息主体对个性化展示所依赖的个人信息的自主控制机制。数据交换标准用于规范数据安全交换模型、角色权责定义、安全管控技术框架,并明确数据溯源模型、过程和方法,支撑数据安全共享、审计和监管,主要包括多方安全计算、透明加密、数据溯源等标准。数据交互就以当前炙手可热的“数据中台”战略为例,特别是对于拥有多个业务条线的平台型互联网企业而言。作为以互联网运营为核心的主体,他们的愿景是通过“数据中台”,将不同纵向垂直业务条线所收集、整理的个人信息进行横向的汇聚与融合,也就是传统意义上上的“条块结合”。最后再将汇聚融合块上的成果反哺到条上的各业务条线中。从运营的角度来看,这样既可以极大地提升各个业务条线所收集数据的使用效率,其次也可以更大程度地实现潜在的数据变现的价值。但是这种数据的汇聚融合也可能存在未经授权使用或是超出授权范围使用的可能性。因此对于个人信息的汇聚融合,2020版《规范》在定义层面对“个人信息”的范围进行更细化的界定,即个人信息控制者通过个人信息或者其他信息加工处理后形成的信息,例如用户画像或者特征标签,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,属于个人信息。也就是说,即使个人信息经过加工处理,如果依然通过处理后的数据能够识别到具体个人,其授权使用的范围仍应视同个人信息进行规制。在使用个人信息进行汇聚融合时,同样应当符合在收集个人信息时所生成的目的,否则应当重新获得个人信息主体的授权同意。此外,2020版《规范》也建议,应当根据汇聚融合后个人信息所用于的目的,开展个人信息安全影响评估,采取有效的个人信息保护措施,主要包括:a) 应建立个人信息安全影响评估制度,评估并处置个人信息处理活动存在的安全风险;b) 个人信息安全影响评估应主要评估处理活动遵循个人信息安全基本原则的情况,以及个人信息处理活动对个人信息主体合法权益的影响,内容包括但不限于:- 个人信息收集环节是否遵循目的明确、选择同意、最小必要等原则;
- 个人信息处理是否可能对个人信息主体合法权益造成不利影响,包括是否会危害人身和财产安全、损害个人名誉和身心健康、导致差别性待遇等;
- 匿名化或去标识化处理后的数据集重新识别出个人信息主体或与其他数据集汇聚后重新识别出个人信息主体的风险;
- 共享、转让、公开披露个人信息对个人信息主体合法权益可能产生的不利影响;
- 发生安全事件时,对个人信息主体合法权益可能产生的不利影响。
c) 在产品或服务发布前,或业务功能发生重大变化时,应进行个人信息安全影响评估;d) 在法律法规有新的要求时,或在业务模式、信息系统、运行环境发生重大变更时,或发生重大个人信息安全事件时,应进行个人信息安全影响评估;e) 形成个人信息安全影响评估报告,并以此采取保护个人信息主体的措施,使风险降低到可接受的水平;f) 妥善留存个人信息安全影响评估报告,确保可供相关方查阅,并以适宜的形式对外公开。最后关于数据的审计以及可追溯,也提出了明确的要求:a) 应对个人信息保护政策、相关规程和安全措施的有效性进行审计;b) 应建立自动化审计系统,监测记录个人信息处理活动;c) 审计过程形成的记录应能对安全事件的处置、应急响应和事后调查提供支撑;e) 应及时处理审计过程中发现的个人信息违规使用、滥用等情况;上述要求对于平台型医疗互联网企业是不小的挑战,所以建议在这类平台型企业应当在各个业务条线的个人信息保护政策中对汇聚融合其他条线的个人信息的目的和使用范围进行充分告知。同时,在汇聚融合的信息性质和使用范围超出原有授权时,应当重新获得个人信息主体的明示同意。数据销毁标准用于规范数据销毁和介质销毁的安全机制和技术要求,确保存储数据永久删除、不可恢复,主要包括数据销毁、介质销毁等标准。原先这个环节并不被大家所关注,但作为全生命周期个人信息随时可中止的“终末”一环。个人信息主体注销账户:a) 通过注册账户提供产品或服务的个人信息控制者,应向个人信息主体提供注销账户的方法,且方法简便易操作;b) 受理注销账户请求后,需要人工处理的,应在承诺时限内(不超过15个工作日)完成核查和处理;c) 注销过程如需进行身份核验,要求个人信息主体再次提供的个人信息类型不应多于注册、使用等服务环节收集的个人信息类型;d) 注销过程不应设置不合理的条件或提出额外要求增加个人信息主体义务,如注销单个账户视同注销多个产品或服务,要求个人信息主体填写精确的历史操作记录作为注销的必要条件等;e) 注销账户的过程需收集个人敏感信息核验身份时,应明确对收集个人敏感信息后的处理措施,如达成目的后立即删除或匿名化处理等;f) 个人信息主体注销账户后,应及时删除其个人信息或匿名化处理。因法律规规定需要留存个人信息的,不能再次将其用于日常业务活动中。这些要求在APP违法违规收集使用个人信息专项整治行动中已有体现。同时,注销期限、注销后个人敏感信息处理等要求也明确为《违法认定办法》所规定,成为强制性规范。在互联网医院和互联网诊疗拓展过程中,特别是线下医疗机构和第三方合作的运营模式中,数据的受托处理和共享转让是往往是数据流转的常见形式,对此2020版《规范》对于个人信息流转过程中的法律责任分配也提出了新的要求。例如,个人信息控制者在知晓受委托者未按照委托要求处理个人信息,或未能有效履行个人信息安全保护责任的,应当立即要求受托方停止相关行为,或通过更改口令、收回权限、断开网络链接等方式予以补救,并在必要时终止委托关系。类似的要求也出现在共享转让环节中,在数据接收方处理个人信息存在违法或违约行为时,个人信息控制者应当采取有效行动降低风险和损失。
上述要求为互联网主体责任方在涉及数据流转的对外合作的合同起草和谈判提供了很有价值的参考。个人信息控制者应当在涉及数据流转的对外合作时,注意审阅、补充相关合同条款,以使得自身在对方涉及个人信息处理的履约出现违法和违约问题时,能够具有充分的自我救济和风险控制手段,并在此基础上避免己方的违约和被诉可能性。2020版《规范》也提出了一系列的管理要求和风险控制建议,包括:内部管理流程上,建立第三方产品或服务接入管理机制和流程,妥善留存第三方接入的有关合同和管理记录;
- 针对第三方的管理上,与第三方签署合同,明确双方的安全责任及个人信息安全措施,要求第三方向个人信息主体收集个人信息时需要征得用户授权同意,并核查实现方式。同时,要求第三方产品建立响应个人信息主体请求和投诉机制。此外,还应当监督第三方加强个人信息安全管理,对于第三方自动化工具开展技术检测,并对其手机个人信息的行为进行审计,在违约时及时切断接入;
- 对于个人信息主体的管理上,应当向个人信息主体明确标识产品或服务由第三方提供,避免在出现个人信息安全纠纷时责任不明。
个人信息安全与隐私信息的保护不止是制定隐私条款,还需要落实条款中承诺的具体内容。但目前针对健康产业的各类APP、公众号及小程序应用,目前尚缺乏统一的评价标准和监管机制。而相对于其他行业应用,医疗卫生健康行业面临着相对更高的信息安全风险。医疗服务存在信息不对称情况,医疗服务提供者及运营商可能在诊疗过程中收集了患者过多的隐私信息,其过程不容易被察觉。因此,必须遵循“包容谨慎”的原则,加强各类大健康移动应用的质量和数据安全监管,切实防范风险,守住底线。针对大健康产业隐私信息的特殊性,有关部门应构建互联网医疗健康各类移动应用的隐私保护政策评价体系和监管机制:
- 定期对隐私政策的规范性和可操作性做出评价,利用技术标准检测其安全性和稳定性,对不符合要求的APP进行下架处理;
- 督促运营商落实企业主体责任,设立个人信息安全专职部门和专员,以应对信息安全事件的发生;
- 加强内部管理,定期审核内部工作人员的操作权限,注重离职保密协议的签订以及信息安全的培训与考核,防止个别工作人员因经济利益驱使、出于好奇心理等原因泄露用户医疗健康数据。
在网络安全和个人信息保护合规越来越被重视的当下,自2020年10月1日起正式生效的新版《个人信息安全规范》将为互联网医疗如何完善个人信息保护制度提供了切实可行的实践指引。从过往的实践中不难看出,我国《网络安全法》初步搭建了网络安全治理基本法律框架。在此背景下《网络数据安全标准体系建设指南》以及《个人信息安全规范》文件的出台,已成为政府和行业网络信息安全监管部门在落实监管举措和制定监管细则的重要参考依据。正所谓“无规矩不成方圆”,在依法治国的基本理念的指导下,“互联网医疗”信息便民、信息惠民的道路也将越走越宽、越走越稳。
https://chcsc.chima.org.cn