曹剑峰:“互联网医疗”如何加强个人信息安全保护?

作者:曹剑峰 发布时间:2020-04-19
浏览次数:
一、背景


2017年6月1日《中华人民共和国网络安全法》正式实施,同年12月29日,《信息安全技术  个人信息安全规范》(“2017版《规范》”)也正式发布。2020年3月7日,新版《信息安全技术  个人信息安全规范》GB/T 35273-2020(以下简称“2020版《规范》”)正式发布,从颁布的频率之高来看,可见国家对与在当前数字经济环境下,对于个人信息安全和隐私保护工作的重视程度。与此同时,工信部为了有效提升互联网行业网络数据安全保护能力,充分发挥标准在保障网络数据安全、推动行业健康有序发展,助力数字经济高质量发展,也编制完成了《网络数据安全标准体系建设指南》(以下简称建设指南),并即将于近期正式发布。


2020版《规范》和“建设指南”参考了近几年国外立法趋势和执法经验,反映了在应用新技术与商业模式创新的同时,对信息安全和个人信息保护的高度关切。所以可以预言在不久的将来,将对我国个人信息保护领域起到重要的指导和引领作用。本文将尝试把“规范”和“指南”中的主要内容做一个参照和融合,结合当前风起涌云的“互联网+医疗健康”领域的信息化建设,希望将来无论是自建的医疗机构还是参与合作共建的互联网企业,在其产品设计之初时就能够更多地参照该规范和指南来进一步指导项目的建设和实施。


二、全生命周期网络数据安全体系如何保护个人信息安全?



“建设指南”中包括了建设思路及目标、建设内容、组织实施三个部分。其中第一部分是建设思路及目标,明确了标准体系建设的总体思路、基本原则、建设目标。第二部分是建设内容,提出了网络数据安全标准体系框架、重点标准化领域及方向,具体为基础共性、关键技术、安全管理、重点领域四大类标准。其中基础共性标准还包括术语定义、数据安全框架、数据分类分级,可为各类标准制定提供基础性支撑。关键技术标准从数据采集、传输、存储、处理、交换、销毁等数据全生命周期维度对数据安全技术进行规范其中核心的关键技术标准体系如下图所示



以下将从全生命周期数据安全的六个环节展开个人信息保护的论述:


1
数据采集环节的个人信息保护:“最少够用”原则


在技术层面,数据采集标准用于规范数据采集格式、数据标签、数据审查校验等方面相关技术要求,有效提升数据质量,主要包括数据清洗比对、数据质量监控等标准。在数据采集应用层面,随着互联网服务日益平台化和集成化,包括互联网医疗应用场景,无论是单一App还是公众号、小程序、业务网站等应用通常都集成了多项业务功能。首先关于在“用户告之”环节,通常情况下最为常见的授权做法是将全部业务功能所需要的个人信息授权,全部打包在一份隐私政策内,在用户明示同意隐私政策后即可一劳永逸解决授权问题。


另一方面,这些业务功能往往名目繁多,某些互联网企业还有意地使用“改善体验”、“产品研发”等似是而非、模棱两可的描述,而让用户无法感知其具体内容的表述。在这种情况下,用户往往处于“被动授权”状态,某些场景下为了其不需要使用的某些功能而无意中额外地提供了使用个人信息的授权,这也违背了规范里积极倡导的“最少够用”原则。所以针对上述情形,2020版《规范》也重点围绕“最少够用”原则,在用户告知环节,对提供多项业务功能的个人信息控制者提出了以下一系列要求:


(1)除去个人信息保护政策外,宜在实际开始收集特定个人信息时,向个人信息主体提供收集、使用该个人信息的目的、方式和范围,以便个人信息主体作出具体的授权同意前,能充分考虑对其的具体影响;

(2)不应通过捆绑产品或服务各项业务功能的方式,要求个人信息主体一次性接受并授权同意各项业务功能收集个人信息的请求;

(3)应把个人信息主体主动作出的肯定性动作,如主动点击、勾选、填写等,作为产品或服务的业务功能开启条件,个人信息控制者应仅在个人信息主体开启该业务功能后,开始收集个人信息;

(4)关闭或退出业务功能的途径或方式应与个人信息主体选择使用业务功能的途径或方式同样方便。个人信息主体选择关闭或退出特定业务功能后,个人信息控制者应停止该业务功能的个人信息收集活动;

(5)个人信息主体不授权同意使用、关闭或退出特定业务功能的,不应频繁征求个人信息主体的授权同意;

(6)如个人信息主体不授权同意使用、关闭或退出特定业务功能的,不应暂停个人信息主体自主选择使用的其他业务功能,或降低业务功能的服务质量;

(7)不得仅以改善服务质量、提升使用体验、研发新产品、增强安全性等为由,强制要求要求个人信息主体同意收集个人信息。


无独有偶,在2019年底出台的《App违法违规收集使用个人信息行为认定方法》对于上述第2、5、6、7项要求也有所提及。因此,按这些规定进行认真自查和合规整改,是各家互联网医疗运营企业的内在要求。上述要求的核心在于,个人信息控制者应当针对各个业务功能收集相应范围的个人信息,不应违背用户意愿,强迫用户接受其打包的产品或服务以及对应的个人信息收集请求。


2
数据传输环节的个人信息保护


数据传输标准用于规范数据传输过程中可以标准化的功能架构、安全协议及其他安全相关技术要求,主要包括数据完整性保护、数据加密传输等标准。其中

  • 数据加密传输:是指在数据传输过程当中如果涉及到密码等很重要的隐私数据,需要对该数据进行加密传输,不应该进行明文传输。因为在传输过程当中,你的数据可能会被劫持,如果是明文传输的密码等隐私数据,劫持者就知道你的密码了。而大部分用户的很多账号往往都是使用相同的密码,这样就会存在被非法撞库的风险。数据加密还需要前、后端进行密切配合,约定相关条件,这样前、后端才能正确地对数据进行加解密。所以这个约定条件就比较重要,前端不能轻易暴露。此外由于前端不是编译运行的,代码存在被破解的风险;所以还需要增加加密流程的复杂度,提高破解者解密的成本,不要让非法解密者轻易识别出加密流程。
  • 数据完整性:是指数据没有遭受以未授权方式所作的更改或破坏的特性,往往通过数据验证来保证数据的完整性和一致性。数据验证主要是用于权限管理要求比较高的web应用,防止劫持者对请求数据进行篡改,从而达到越权目的。

3
数据存储环节个人信息保护


数据存储标准用于规范存储平台安全机制、数据安全存储方法、安全审计、安全防护技术等相关技术要求,主要包括数据库安全、云存储安全、数据安全审计、数据防泄漏等标准。这里重点来讨论一下对个人生物识别信息的收集、存储和转让的规范问题。大家知道在互联网医疗健康领域,会经常碰到此种数据采集的场景,无论是用于身份识别还是生命体征数据的采集环节。大家知道与常规的个人信息不同,个人生物识别信息在人的一生中几乎不会发生变化,或是变化缓慢,在短期内保持恒定,因此个人生物识别信息和个人身份紧密绑定的效果非常好。另一方面,个人生物识别信息一旦被泄露和不法利用,将给个人带来严重的财产安全和信息安全隐患。所以2020版《规范》进一步对这些个人生物识别信息在收集、存储和共享方面都提出了特殊要求,回应了社会公众对个人生物识别信息泄露愈发的担忧。所以特别提出了“单独告知”和“分开存储或有限存储”两大原则。

  • “单独告知”原则还主要体现在“收集”和“共享转让”两个环节。

    第一、在收集个人生物识别信息时,除了与其他个人信息的收集一样需要取得被收集人明示同意外,2020版《规范》还要求应当单独告知个人信息主体。这也意味着,除了在个人信息保护政策中写明个人生物识别信息的收集、使用规则外,在每次收集个人生物识别信息时,应当再以弹窗等形式单独告知收集、使用的目的、方式、范围以及存储时间等规则,并获得个人信息主体的知情同意;
    第二、个人生物识别信息原则上不应转让和共享,因业务需要确需共享、转让的,也应当单独向个人信息主体告知目的、涉及的个人生物识别信息类型、数据接收方的具体身份和数据安全能力等,并征得个人信息主体的明示同意。
  • 在个人生物识别信息的存储方面,2020版《规范》则进一步升级,确定了除非为了履行法律法规规定的义务,个人信息控制者不应存储样本、图像等原始个人生物识别信息的消极性原则。为了贯彻该原则,新规范提供了三种技术实现路径供企业参考:
    第一、 仅存储不可逆的摘要信息,而且是无法回溯到原始信息的摘要信息
    第二、 在采集终端中直接使用个人生物识别信息实现身份识别、认证等功能,这也意味着采集和认证两个环节均通过手机等终端完成,并由终端将识别和认证结果回传,并不需要将个人生物识别信息回传至企业服务器
    第三、 在使用面部识别特征、指纹、掌纹、虹膜等实现识别身份、认证功能后删除可提取个人生物识别信息的原始图像。也就是说,在互联网企业使用个人生物识别信息完成识别和认证后应立即删除,避免用于其他用途
从上述三种路径来看,2020版《规范》并非一刀切完全禁止存储和使用个人生物识别信息,而是限制将原始个人生物识别信息回传至企业服务器。但是即使如此,仍然会给现有的个人信息收集模式带来挑战。


4
数据处理环节的个人信息保护


数据处理标准用于规范敏感数据、个人信息的保护机制及相关技术要求,明确敏感数据保护的场景、规则、技术方法,主要包括匿名化/去标识化、数据脱敏等标准。在数据经济时代,精细化运营成为互联网企业的标配,当然也包括互联网医疗领域运营企业。他们通常会通过对用户诊疗个案数据进行挖掘、清洗、分类,使得海量复杂的数据被抽象成“标签”,并利用这些“标签”将患者的基础疾病、医疗行为、健康预期等内容具象化,使得其医疗产品和健康服务更加具有精准性和针对性,这种运营手法被称为“患者画像”。2020版《规范》新增了关于用户画像的描述限制和使用限制。描述限制包括用户画像中不得包含淫秽色情、赌博、迷信、恐怖、暴力等内容,也不得包含对民族、种族、宗教、残疾、疾病歧视的内容;使用限制则包括在互联网企业的业务运营和对外业务合作中,不得侵害公民、法人和其他组织的合法权益,或是存在危害国家安全、传播违法违规信息的行为。同时,2020版《规范》还建议,尽可能避免使用具有明确身份指向性、可以精确定位到特定个人的直接用户画像,而尽可能使用“间接用户画像”。


2020版《规范》对数据的“个性化展示”提出了较为细致的操作规范,核心在于保障用户的知情权和选择权。2020版《规范》要求,在向用户提供业务功能的过程中使用个性化展示的,应当以标注等形式将其与非个性化展示的内容进行显著区分。参考《违法认定办法》的有关规定,建议如果APP运营者将个人信息用于个性化信息展示,那么个人信息保护政策也需要描述具体应用的场景和功能模块,更进一步保护用户的知情权。2020版《规范》建议建立个人信息主体对个性化展示所依赖的个人信息的自主控制机制。


5
数据交换环节个人信息保护


数据交换标准用于规范数据安全交换模型、角色权责定义、安全管控技术框架,并明确数据溯源模型、过程和方法,支撑数据安全共享、审计和监管,主要包括多方安全计算、透明加密、数据溯源等标准。数据交互就以当前炙手可热的“数据中台”战略为例,特别是对于拥有多个业务条线的平台型互联网企业而言。他们的愿景是通过“数据中台”,将不同业务条线所收集、整理的个人信息进行汇聚融合,并将汇聚融合的成果反哺到业务条线中,这样可以极大地提升各个业务条线所收集数据的使用效率,更大程度地挖掘数据价值。但是这种数据的汇聚融合也可能存在未经授权使用或是超出授权范围使用的可能性。因此对于个人信息的汇聚融合,2020版《规范》在定义层面对“个人信息”的范围进行更细化的界定,即个人信息控制者通过个人信息或者其他信息加工处理后形成的信息,例如用户画像或者特征标签,能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然人活动情况的,属于个人信息。也就是说,即使个人信息经过加工处理,如果依然通过处理后的数据能够识别到具体个人,其授权使用的范围仍应视同个人信息进行规制。在使用个人信息进行汇聚融合时,同样应当符合在收集个人信息时所生成的目的,否则应当重新获得个人信息主体的授权同意。此外,2020版《规范》也建议,应当根据汇聚融合后个人信息所用于的目的,开展个人信息安全影响评估,采取有效的个人信息保护措施


上述要求对于平台型医疗互联网企业是不小的挑战,所以建议在这类平台型企业应当在各个业务条线的个人信息保护政策中对汇聚融合其他条线的个人信息的目的和使用范围进行充分告知。同时,在汇聚融合的信息性质和使用范围超出原有授权时,应当重新获得个人信息主体的明示同意。


6
数据销毁环节个人信息保护


数据销毁标准用于规范数据销毁和介质销毁的安全机制和技术要求,确保存储数据永久删除、不可恢复,主要包括数据销毁、介质销毁等标准。原先这个环节并不被大家所关注,但作为全生命周期个人信息随时可中止的“终末”一环,2020版《规范》大幅增加了个人信息主体注销账户的细节性要求,这些要求主要包括:

  • 对于网站、App、客户端软件等采用交互式页面提供产品或服务的,最好直接设置便捷的交互式页面提供功能或选项,便于个人信息主体在线注销账户等请求;
  • 如果注销账户需要人工处理,应当在承诺时限(不超过15个工作日)内完成核查和处理;
  • 不得在注销过程中设置不合理的条件或提出额外要求增加个人信息主体的义务;
  • 注销账户过程中需要核验身份时,要求个人信息主体提供的信息不得多于注册、使用等环节收集的个人信息类型,如果在注销环节收集的是个人敏感信息,应当明确收集个人敏感信息后的处理措施,且在达成目的后立即删除或匿名化处理。


上述要求在App违法违规收集使用个人信息专项整治行动中已有体现。同时,注销期限、注销后个人敏感信息处理等要求也明确为《违法认定办法》所规定,成为强制性规范。我们建议各家互联网企业对此引起高度重视,尽快梳理和调整用户注销的流程。


三、个人信息安全主体责任与相关第三方责任



在互联网医院和互联网诊疗拓展过程中,特别是线下医疗机构和第三方合作的运营模式中,数据的受托处理和共享转让是往往是数据流转的常见形式,对此2020版《规范》对于个人信息流转过程中的法律责任分配也提出了新的要求。例如,个人信息控制者在知晓受委托者未按照委托要求处理个人信息,或未能有效履行个人信息安全保护责任的,应当立即要求受托方停止相关行为,或通过更改口令、收回权限、断开网络链接等方式予以补救,并在必要时终止委托关系。类似的要求也出现在共享转让环节中,在数据接收方处理个人信息存在违法或违约行为时,个人信息控制者应当采取有效行动降低风险和损失。


上述要求为互联网主体责任方在涉及数据流转的对外合作的合同起草和谈判提供了很有价值的参考。个人信息控制者应当在涉及数据流转的对外合作时,注意审阅、补充相关合同条款,以使得自身在对方涉及个人信息处理的履约出现违法和违约问题时,能够具有充分的自我救济和风险控制手段,并在此基础上避免己方的违约和被诉可能性。除了受托处理和共享数据,从技术集成角度目前在自身服务和信息产品中以SDK、API等形式嵌入第三方产品或服务的场景也非常常见,但个人信息控制者和第三方产品或服务提供方的权利义务并不一定明确。针对这一点,2020版《规范》也提出了一系列的管理要求和风险控制建议,包括:内部管理流程上,建立第三方产品或服务接入管理机制和流程,妥善留存第三方接入的有关合同和管理记录

  • 针对第三方的管理上,与第三方签署合同,明确双方的安全责任及个人信息安全措施,要求第三方向个人信息主体收集个人信息时需要征得用户授权同意,并核查实现方式同时,要求第三方产品建立响应个人信息主体请求和投诉机制此外,还应当监督第三方加强个人信息安全管理,对于第三方自动化工具开展技术检测,并对其手机个人信息的行为进行审计,在违约时及时切断接入

  • 对于个人信息主体的管理上,应当向个人信息主体明确标识产品或服务由第三方提供,避免在出现个人信息安全纠纷时责任不明

    

四、结束语


在网络安全和个人信息保护合规越来越被重视的当下,自2020年10月1日起正式生效的新版《个人信息安全规范》将为互联网医疗如何完善个人信息保护制度提供了切实可行的实践指引。从过往的实践中不难看出,我国《网络安全法》初步搭建了网络安全治理基本法律框架。在此背景下《网络数据安全标准体系建设指南》以及《个人信息安全规范》文件的出台,已成为政府和行业网络信息安全监管部门在落实监管举措和制定监管细则的重要参考依据。正所谓“无规矩不成方圆”,在依法治国的基本理念的指导下,“互联网医疗”信息便民、信息惠民的道路也将越走越宽、越走越稳。


曹剑峰

上海市卫生健康委信息中心副主任


- 特别关注 -

CHIMA大讲堂第一期回放

https://live.chima.org.cn/watch/975050


CHIMA大讲堂第二期回放

https://live.chima.org.cn/watch/997828


CHIMA大讲堂第三期回放

https://live.chima.org.cn/watch/1093145


CHIMA大讲堂第四期回放

https://live.chima.org.cn/watch/1112683