2020版《規(guī)范》和“建設指南”參考了近幾年國外立法趨勢和執(zhí)法經驗，反映了在應用新技術與商業(yè)模式創(chuàng)新的同時，對信息安全和個人信息保護的高度關切。所以可以預言在不久的將來，將對我國個人信息保護領域起到重要的指導和引領作用。本文將嘗試把“規(guī)范”和“指南”中的主要內容做一個參照和融合，結合當前風起涌云的“互聯網+醫(yī)療健康”領域的信息化建設，希望將來無論是自建的醫(yī)療機構還是參與合作共建的互聯網企業(yè)，在其產品設計之初時就能夠更多地參照該規(guī)范和指南來進一步指導項目的建設和實施。

“建設指南”中包括了建設思路及目標、建設內容、組織實施三個部分。其中第一部分是建設思路及目標，明確了標準體系建設的總體思路、基本原則、建設目標。第二部分是建設內容，提出了網絡數據安全標準體系框架、重點標準化領域及方向，具體為基礎共性、關鍵技術、安全管理、重點領域四大類標準。其中基礎共性標準還包括術語定義、數據安全框架、數據分類分級，可為各類標準制定提供基礎性支撐。關鍵技術標準從數據采集、傳輸、存儲、處理、交換、銷毀等數據全生命周期維度對數據安全技術進行規(guī)范。其中核心的關鍵技術標準體系如下圖所示。

以下將從全生命周期數據安全的六個環(huán)節(jié)展開個人信息保護的論述：

在技術層面，數據采集標準用于規(guī)范數據采集格式、數據標簽、數據審查校驗等方面相關技術要求，有效提升數據質量，主要包括數據清洗比對、數據質量監(jiān)控等標準。在數據采集應用層面，隨著互聯網服務日益平臺化和集成化，包括互聯網醫(yī)療應用場景，無論是單一App還是公眾號、小程序、業(yè)務網站等應用通常都集成了多項業(yè)務功能。首先關于在“用戶告之”環(huán)節(jié)，通常情況下最為常見的授權做法是將全部業(yè)務功能所需要的個人信息授權，全部打包在一份隱私政策內，在用戶明示同意隱私政策后即可一勞永逸解決授權問題。

另一方面，這些業(yè)務功能往往名目繁多，某些互聯網企業(yè)還有意地使用“改善體驗”、“產品研發(fā)”等似是而非、模棱兩可的描述，而讓用戶無法感知其具體內容的表述。在這種情況下，用戶往往處于“被動授權”狀態(tài)，某些場景下為了其不需要使用的某些功能而無意中額外地提供了使用個人信息的授權，這也違背了規(guī)范里積極倡導的“最少夠用”原則。所以針對上述情形，2020版《規(guī)范》也重點圍繞“最少夠用”原則，在用戶告知環(huán)節(jié)，對提供多項業(yè)務功能的個人信息控制者提出了以下一系列要求：

無獨有偶，在2019年底出臺的《App違法違規(guī)收集使用個人信息行為認定方法》對于上述第2、5、6、7項要求也有所提及。因此，按這些規(guī)定進行認真自查和合規(guī)整改，是各家互聯網醫(yī)療運營企業(yè)的內在要求。上述要求的核心在于，個人信息控制者應當針對各個業(yè)務功能收集相應范圍的個人信息，不應違背用戶意愿，強迫用戶接受其打包的產品或服務以及對應的個人信息收集請求。

數據傳輸標準用于規(guī)范數據傳輸過程中可以標準化的功能架構、安全協議及其他安全相關技術要求，主要包括數據完整性保護、數據加密傳輸等標準。其中

數據存儲標準用于規(guī)范存儲平臺安全機制、數據安全存儲方法、安全審計、安全防護技術等相關技術要求，主要包括數據庫安全、云存儲安全、數據安全審計、數據防泄漏等標準。這里重點來討論一下對個人生物識別信息的收集、存儲和轉讓的規(guī)范問題。大家知道在互聯網醫(yī)療健康領域，會經常碰到此種數據采集的場景，無論是用于身份識別還是生命體征數據的采集環(huán)節(jié)。大家知道與常規(guī)的個人信息不同，個人生物識別信息在人的一生中幾乎不會發(fā)生變化，或是變化緩慢，在短期內保持恒定，因此個人生物識別信息和個人身份緊密綁定的效果非常好。另一方面，個人生物識別信息一旦被泄露和不法利用，將給個人帶來嚴重的財產安全和信息安全隱患。所以2020版《規(guī)范》進一步對這些個人生物識別信息在收集、存儲和共享方面都提出了特殊要求，回應了社會公眾對個人生物識別信息泄露愈發(fā)的擔憂。所以特別提出了“單獨告知”和“分開存儲或有限存儲”兩大原則。

• “單獨告知”原則還主要體現在“收集”和“共享轉讓”兩個環(huán)節(jié)。

  第一、在收集個人生物識別信息時，除了與其他個人信息的收集一樣需要取得被收集人明示同意外，2020版《規(guī)范》還要求應當單獨告知個人信息主體。這也意味著，除了在個人信息保護政策中寫明個人生物識別信息的收集、使用規(guī)則外，在每次收集個人生物識別信息時，應當再以彈窗等形式單獨告知收集、使用的目的、方式、范圍以及存儲時間等規(guī)則，并獲得個人信息主體的知情同意；
  第二、個人生物識別信息原則上不應轉讓和共享，因業(yè)務需要確需共享、轉讓的，也應當單獨向個人信息主體告知目的、涉及的個人生物識別信息類型、數據接收方的具體身份和數據安全能力等，并征得個人信息主體的明示同意。
• 在個人生物識別信息的存儲方面，2020版《規(guī)范》則進一步升級，確定了除非為了履行法律法規(guī)規(guī)定的義務，個人信息控制者不應存儲樣本、圖像等原始個人生物識別信息的消極性原則。為了貫徹該原則，新規(guī)范提供了三種技術實現路徑供企業(yè)參考：
  第一、 僅存儲不可逆的摘要信息，而且是無法回溯到原始信息的摘要信息；
  第二、 在采集終端中直接使用個人生物識別信息實現身份識別、認證等功能，這也意味著采集和認證兩個環(huán)節(jié)均通過手機等終端完成，并由終端將識別和認證結果回傳，并不需要將個人生物識別信息回傳至企業(yè)服務器；
  第三、 在使用面部識別特征、指紋、掌紋、虹膜等實現識別身份、認證功能后刪除可提取個人生物識別信息的原始圖像。也就是說，在互聯網企業(yè)使用個人生物識別信息完成識別和認證后應立即刪除，避免用于其他用途。

數據處理標準用于規(guī)范敏感數據、個人信息的保護機制及相關技術要求，明確敏感數據保護的場景、規(guī)則、技術方法，主要包括匿名化/去標識化、數據脫敏等標準。在數據經濟時代，精細化運營成為互聯網企業(yè)的標配，當然也包括互聯網醫(yī)療領域運營企業(yè)。他們通常會通過對用戶診療個案數據進行挖掘、清洗、分類，使得海量復雜的數據被抽象成“標簽”，并利用這些“標簽”將患者的基礎疾病、醫(yī)療行為、健康預期等內容具象化，使得其醫(yī)療產品和健康服務更加具有精準性和針對性，這種運營手法被稱為“患者畫像”。2020版《規(guī)范》新增了關于用戶畫像的描述限制和使用限制。描述限制包括用戶畫像中不得包含淫穢色情、賭博、迷信、恐怖、暴力等內容，也不得包含對民族、種族、宗教、殘疾、疾病歧視的內容；使用限制則包括在互聯網企業(yè)的業(yè)務運營和對外業(yè)務合作中，不得侵害公民、法人和其他組織的合法權益，或是存在危害國家安全、傳播違法違規(guī)信息的行為。同時，2020版《規(guī)范》還建議，盡可能避免使用具有明確身份指向性、可以精確定位到特定個人的直接用戶畫像，而盡可能使用“間接用戶畫像”。

2020版《規(guī)范》對數據的“個性化展示”提出了較為細致的操作規(guī)范，核心在于保障用戶的知情權和選擇權。2020版《規(guī)范》要求，在向用戶提供業(yè)務功能的過程中使用個性化展示的，應當以標注等形式將其與非個性化展示的內容進行顯著區(qū)分。參考《違法認定辦法》的有關規(guī)定，建議如果APP運營者將個人信息用于個性化信息展示，那么個人信息保護政策也需要描述具體應用的場景和功能模塊，更進一步保護用戶的知情權。2020版《規(guī)范》建議建立個人信息主體對個性化展示所依賴的個人信息的自主控制機制。

數據交換標準用于規(guī)范數據安全交換模型、角色權責定義、安全管控技術框架，并明確數據溯源模型、過程和方法，支撐數據安全共享、審計和監(jiān)管，主要包括多方安全計算、透明加密、數據溯源等標準。數據交互就以當前炙手可熱的“數據中臺”戰(zhàn)略為例，特別是對于擁有多個業(yè)務條線的平臺型互聯網企業(yè)而言。他們的愿景是通過“數據中臺”，將不同業(yè)務條線所收集、整理的個人信息進行匯聚融合，并將匯聚融合的成果反哺到業(yè)務條線中，這樣可以極大地提升各個業(yè)務條線所收集數據的使用效率，更大程度地挖掘數據價值。但是這種數據的匯聚融合也可能存在未經授權使用或是超出授權范圍使用的可能性。因此對于個人信息的匯聚融合，2020版《規(guī)范》在定義層面對“個人信息”的范圍進行更細化的界定，即個人信息控制者通過個人信息或者其他信息加工處理后形成的信息，例如用戶畫像或者特征標簽，能夠單獨或者與其他信息結合識別特定自然人身份或者反映特定自然人活動情況的，屬于個人信息。也就是說，即使個人信息經過加工處理，如果依然通過處理后的數據能夠識別到具體個人，其授權使用的范圍仍應視同個人信息進行規(guī)制。在使用個人信息進行匯聚融合時，同樣應當符合在收集個人信息時所生成的目的，否則應當重新獲得個人信息主體的授權同意。此外，2020版《規(guī)范》也建議，應當根據匯聚融合后個人信息所用于的目的，開展個人信息安全影響評估，采取有效的個人信息保護措施。

上述要求對于平臺型醫(yī)療互聯網企業(yè)是不小的挑戰(zhàn)，所以建議在這類平臺型企業(yè)應當在各個業(yè)務條線的個人信息保護政策中對匯聚融合其他條線的個人信息的目的和使用范圍進行充分告知。同時，在匯聚融合的信息性質和使用范圍超出原有授權時，應當重新獲得個人信息主體的明示同意。

數據銷毀標準用于規(guī)范數據銷毀和介質銷毀的安全機制和技術要求，確保存儲數據永久刪除、不可恢復，主要包括數據銷毀、介質銷毀等標準。原先這個環(huán)節(jié)并不被大家所關注，但作為全生命周期個人信息隨時可中止的“終末”一環(huán)，2020版《規(guī)范》大幅增加了個人信息主體注銷賬戶的細節(jié)性要求，這些要求主要包括：

上述要求為互聯網主體責任方在涉及數據流轉的對外合作的合同起草和談判提供了很有價值的參考。個人信息控制者應當在涉及數據流轉的對外合作時，注意審閱、補充相關合同條款，以使得自身在對方涉及個人信息處理的履約出現違法和違約問題時，能夠具有充分的自我救濟和風險控制手段，并在此基礎上避免己方的違約和被訴可能性。除了受托處理和共享數據，從技術集成角度目前在自身服務和信息產品中以SDK、API等形式嵌入第三方產品或服務的場景也非常常見，但個人信息控制者和第三方產品或服務提供方的權利義務并不一定明確。針對這一點，2020版《規(guī)范》也提出了一系列的管理要求和風險控制建議，包括：內部管理流程上，建立第三方產品或服務接入管理機制和流程，妥善留存第三方接入的有關合同和管理記錄。

• 針對第三方的管理上，與第三方簽署合同，明確雙方的安全責任及個人信息安全措施，要求第三方向個人信息主體收集個人信息時需要征得用戶授權同意，并核查實現方式。同時，要求第三方產品建立響應個人信息主體請求和投訴機制。此外，還應當監(jiān)督第三方加強個人信息安全管理，對于第三方自動化工具開展技術檢測，并對其手機個人信息的行為進行審計，在違約時及時切斷接入；

• 對于個人信息主體的管理上，應當向個人信息主體明確標識產品或服務由第三方提供，避免在出現個人信息安全糾紛時責任不明。

在網絡安全和個人信息保護合規(guī)越來越被重視的當下，自2020年10月1日起正式生效的新版《個人信息安全規(guī)范》將為互聯網醫(yī)療如何完善個人信息保護制度提供了切實可行的實踐指引。從過往的實踐中不難看出，我國《網絡安全法》初步搭建了網絡安全治理基本法律框架。在此背景下《網絡數據安全標準體系建設指南》以及《個人信息安全規(guī)范》文件的出臺，已成為政府和行業(yè)網絡信息安全監(jiān)管部門在落實監(jiān)管舉措和制定監(jiān)管細則的重要參考依據。正所謂“無規(guī)矩不成方圓”，在依法治國的基本理念的指導下，“互聯網醫(yī)療”信息便民、信息惠民的道路也將越走越寬、越走越穩(wěn)。

曹劍峰

上海市衛(wèi)生健康委信息中心副主任

- 特別關注 -

CHIMA大講堂第一期回放

https://live.chima.org.cn/watch/975050

CHIMA大講堂第二期回放

https://live.chima.org.cn/watch/997828

CHIMA大講堂第三期回放

https://live.chima.org.cn/watch/1093145

CHIMA大講堂第四期回放

https://live.chima.org.cn/watch/1112683