近日,工信部发布《关于侵害用户权益行为的APP通报(2020年第一批)》。
依据《网络安全法》、《电信条例》、《电信和互联网用户个人信息保护规定》等法律法规,工业和信息化部组织第三方检测机构对手机应用软件进行检查,对发现存在问题的企业进行督促整改。截至目前,尚有16款APP未完成整改,通报中有一家较为知名的互联网医疗平台。
在通报中,该互联网医疗APP涉及的问题为“私自收集个人信息、强制用户使用定向推送功能”,而检索以往被公报的违规APP,问题主要集中于以下几项:
(1)未向用户明示申请的全部隐私权限;
(2)未说明收集使用个人信息规则;
(3)恶意扣费等恶意行为;
(4)涉嫌侵犯公民个人隐私;
(5)涉嫌超范围采集公民个人隐私;
(6)无用户协议及隐私政策。
据此可见,被通报APP的问题集中在个人信息收集方面。互联网平台收集用户信息具有两面性,一方面对APP服务提供者而言,收集用户个人信息以提供更优质的服务是必要之举;另一方面如果违规收集个人信息,不仅将会面临相应的处罚,也会影响互联网平台的实际经营,引发用户群体的流失和信任危机。用户群体的流失代表着流量的丧失,对于互联网企业而言,流量的重要性不言而喻。
在用户个人信息安全合规问题上,不少互联网企业吃尽了苦头。例如2018年3月17日,媒体曝光Facebook上超5000万用户信息在用户不知情的情况下,被政治数据公司“剑桥分析”获取并利用。随后扎克伯格为5000万Facebook用户信息被泄露一事道歉。
截至2018年3月23日当周,Facebook股价累计跌13.89%。受该事件影响,Facebook2018年二季度各项业绩指标不及预期。财报发布后,Facebook股价一日跌近19%。2019年12月,Facebook因API(应用程序接口)安全漏洞问题,导致2.67亿个用户的隐私数据被非法售卖。截至2019年12月13日当周,Facebook股价累跌逾3%。
北京市康达律师事务所i医法律服务团队以目前我国个人信息保护的法律法规为依据,从个人信息的收集、储存和使用三个方面,为互联网医疗从业者提供建议。
一、个人信息的收集
《网络安全法》第22条明确规定:“…网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意…。”《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《网络安全法》、《消费者权益保护法》、《刑法修正案(九)》、《电信和互联网用户个人信息保护规则》等法律法规明确保护个人信息,要求收集个人信息遵守合法、正当和必要的原则。
二、个人信息的储存
完成个人信息的收集后,互联网医疗企业需要对收集到的个人健康信息进行去标识化处理,采取技术和管理方面的措施,将可用于恢复识别个人的信息与去标识化后的信息分开储存并加强访问和使用的权限管理。
此外,要根据所收集到信息的内容不同,按照我国《网络安全法》、《人口健康信息管理办法(试行)》、《国家健康医疗大数据标准、安全和服务管理办法(试行)》所规定的保密等级,做好分级保密工作。否则将面临相应的行政、刑事和民事责任。
以目前互联网医疗的服务主体——互联网医院为例,我国《互联网医院管理办法(试行)》规定:存储医疗数据的服务器不得存放在境外,而在我国目前法律法规体系下,医疗数据可以包括:人口健康信息、病历信息、人类遗传资源和医疗健康大数据等多种数据类型,且信息系统实施第三级信息安全等级保护。
根据公安部等部门出台的《信息安全等级保护管理办法》的规定,信息系统的安全保护等级分为五级,第三级是指“信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害”。同时,根据该规定,“第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查”。
三、个人信息的使用
国家标准GB/T35273-2020《信息安全技术个人信息安全规范》中明确规定,在个人信息的使用方面,个人信息的控制者需要制定以下访问控制措施:
b)对个人信息的重要操作设置内部审批流程,如进行批量修改、拷贝、下载等重要操作;
c)对安全管理人员、数据操作人员、审计人员的角色进行分离设置;
四、侵犯个人信息将承担法律责任
在刑事责任方面,《刑法》286条之一规定的拒不履行信息网络安全管理义务罪第二项:致使用户信息泄露,造成严重后果的,处三年以下有期徒刑、拘役或管制,并处或单处罚金。而依据《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》第三条:未经被收集者同意,将合法收集的公民个人信息向他人提供的,属于刑法第二百五十三条之一规定的“提供公民个人信息”,即不当使用合法取得的公民个人信息可能构成侵犯公民个人信息罪。
不当获取公民个人信息可能构成《刑法》第285条非法获取计算机信息系统数据罪或非法控制计算机信息系统罪;明知他人犯罪而提供公民个人信息可能构成他人实施罪名的共同犯罪。
互联网医疗服务者在大力发展、扩大业务的同时,应重视互联网医疗中的数据合规问题,以减少法律风险,确保企业依法依规长远发展。
本期i医团队仅就数据合规中的个人信息收集、存储和使用部分,为互联网医疗服务者提供了几点建议,如需了解更为个性化的合规方案或数据交易流转方面的事宜,欢迎与我们联系。