|
作者|邓勇 达晓律师事务所 (本文系知产力取得独家首发的稿件,转载须征得作者自己同意,并在显要位置注明文章来源。) (本文3661字,阅读约需7分钟) 摘 要 本文拟从国度卫生健康委员会于2018年7月12日发布的《国度健康医疗大数据规范、保险和效劳管理措施(试行)》规则中就智能可穿戴设备效劳商的合规途径中止初步讨论。 北京时间2018年9月13日,苹果公司在2018苹果秋季新品发布会上推出了三款新手机和第四代苹果手表Apple Watch Series 4。苹果公司表示,该款最新一代的智能手表背面内置了一个电子式心脏传感器,用户将手指放置在数码表冠上30 秒,与背面的传感器相配合,Apple Watch上就会显现出用户的实时心电图,联动iOS设备心电图会完好地记载到iPhone或iPad中,便于用户自查或提供给医生用于诊断。这是第一款直接面向消费者提供的非处方心电图产品,并且曾经经过了美国食品和药品监视管理局(FDA)的认证。该款智能手表已于2018年9月21日在中国正式开售。 就在苹果推出最新一代手表之前不久,国度卫生健康委员会于2018年7月12日发布了国卫规划发[2018]23号《国度健康医疗大数据规范、保险和效劳管理措施(试行)》(下称《大数据措施》)。该《大数据措施》是依据《中华人民共和国网络保险法》等法律法规以及《国务院办公厅关于促进和规范健康医疗大数据应用展开的指导意见》(国办发〔2016〕47号)和《国务院办公厅关于促进“互联网+医疗健康”展开的意见》(国办发〔2018〕26号)等文件肉体制定出台的,是我国针对健康医疗大数据的第一部部门规章,初次对健康医疗大数据的规范、保险和效劳管理中止了规则。 一、智能可穿戴设备效劳商将成为健康医疗大数据的义务主体 相对智能手机而言,智能可穿戴设备更能迎合当今时期人们对医疗健康的日常监测需求,让身体的生理体征监测变得愈加方便。对比传统的医疗检测设备,智能可穿戴设备可实时采集用户大量的健康医疗数据信息及行为习气,在与智能手机或平板电脑等智能终端联动后还能够经过大数据、云计算等技术应用,成为医疗诊断获取信息的重要途径。正是基于这种市场需求,目前市面上曾经呈现了多款针对体温、心率、睡眠、血压、血糖、胎心等指标中止监测的智能可穿戴产品,而以运入手环、智能手表、智能体脂秤为代表的智能可穿戴设备已渐成气候,上文提及的最新一代苹果手表更是曾经具备绘制心电图的准医疗检查功用。 《大数据措施》第四条将健康医疗大数据定义为“是指在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据。”,并在第六条第二款规则“各级各类医疗卫生机构和相关企事业单位是健康医疗大数据保险和应用管理的义务单位”。依据上述规则,只需智能可穿戴设备具备可采集用户健康医疗数据的功用,则智能可穿戴设效劳商将成为健康医疗大数据的义务单位。 二、智能可穿戴设备效劳商作为义务主体可能面临的风险 1.非法采集数据的风险 采集用户的健康数据是智能可穿戴设备的中心功用。《大数据措施》第二十二条规则“义务单位应当依照《中华人民共和国网络保险法》的请求,严厉规范不同等级用户的数据接入和运用权限,并确保数据在受权范围内运用。任何单位和个人不得擅自应用和发布未经受权或超出受权范围的健康医疗大数据,不得运用非法伎俩获取数据”;第二十九条规则“义务单位采集健康医疗大数据,应当严厉执行国度和行业相关规范和程序,契合业务应用技术规范和管理规范,做到规范统一、术语规范、内容精确,保障效劳和管理对象在本单位信息系统中身份标识独一、基本数据项分歧,所采集的信息应当严厉实行信息复核终审程序,做好数据质量管理。”。我国《网络保险法》的第四十一[1]和四十二条[2]对采集包含用户健康数据在内的个人信息中止了严厉规则,未经用户同意采集个人信息是明显违法的。假定一旦就采集用户健康数据事宜发作纠葛,智能可穿戴设备效劳商有义务证明其采集数据的行为是取得了用户的答应的,否则将面临删除所采集的不法信息且不能继续采集等不利结果。 2.违法管理数据的风险 《大数据措施》第二十三条规则“义务单位应当树立严厉的电子实名认证和数据访问控制,规范数据接入、运用和销毁过程的痕迹管理,确保健康医疗大数据访问行为可管、可控及效劳管理全程留痕,可查询、可追溯,对任何数据泄密泄露事故及风险可追溯到相关义务单位和义务人。”,这一条关于管理健康医疗数据的义务单位提出了较高的技术请求和制度请求,规则智能可穿戴设备效劳商要对健康医疗数据实施留痕管理;而第三十条关于“义务单位应当具备契合国度有关规则请求的数据存储、容灾备份战争安管理条件,增强对健康医疗大数据的存储管理。健康医疗大数据应当存储在境内保险可信的效劳器上,因业务需求确需向境外提供的,应当依照相关法律法规及有关请求中止保险评价审核”的规则则愈加明白,这一条也是顺应《网络保险法》第三十七条的规则[3]。从2018年2月28日起,苹果公司在中国内地的iCloud效劳将由云上贵州大数据产业展开有限公司担任运营,大陆一切苹果用户的iCloud数据都将迁移到云上贵州存储,这一数据迁移也是苹果公司的合规之举。置信苹果公司在大陆出卖具备监测用户心电图功用的最新一代苹果手表时,也会谨慎思索《大数据措施》的上述规则。 3.非法运用数据的风险 《大数据措施》第十七条规则“义务单位应当树立健全相关保险管理制度、操作规程和技术规范,落实“一把手”义务制,增强保险保障体系树立,强化统筹管理和谐和监视,保障健康医疗大数据保险。触及国度秘密的健康医疗大数据的保险、管理和运用等,依照国度有关失密规则执行。义务单位应当树立健全触及国度秘密的健康医疗大数据管理与运用制度,对制造、审核、注销、拷贝、传输、销毁等环节中止严厉管理。”。《大数据措施》并未对“一把手”及“一把手”所需承担的义务作出明白规则,但依据基本法理,此处的“一把手”通常是指企业的法定代表人;假如参考《网络保险法》的相关表述,也可推测“一把手”或可同等于《网络保险法》所规则“直接担任的主管人员”。我国《刑法》第二百五十三条规则了“非法获取公民个人信息罪”的立功行为,关于“直接担任的主管人员和其他直接义务人员”将与单位一同承担刑事义务。据此,《大数据措施》所规则的健康医疗数据义务单位的“一把手”义务制,将给义务单位的直接主管人员带来极大的义务风险,“一把手”亟需积极贯彻严厉的管理制度,确保健康医疗大数据的保险。 4.数据非法泄露的风险 《大数据措施》第二十三、三十四条和三十五条对健康医疗大数据的泄露中止了明白规则,智能可穿戴设备效劳商作为大数据的控制者,有义务确保大数据的存储、运用及管理保险,确保不得非法泄露。 三、智能可穿戴设备效劳商的合规途径 分离上述可能的风险剖析,有以下合规途径可参考: 1. 贯彻落实法定代表人或实践控制人义务制 《大数据措施》所规则的“一把手”义务制是贯彻实施一切管理制度的中心,只需让义务单位的法定代表人或实践控制人能够真正成为大数据保险管理制度的最终承担者,才有可能有效唤醒决策层的管理认识,才有可能真正进步实践管理者的管理水平,从而确保存理制度的真正落实。 2. 依法构建并落实数据管理机制 从法理上看,健康医疗大数据属于个人隐私范畴,所以在构建数据管理机制时需求以维护个人隐私为最高准绳,应当将从客户处采集的隐私数据依据不同的数据类别设置不同的隐私查看及运用权限。而健康医疗数据的管理睬包含但不限于采集、存储、复制、传输、迁移、运用、销毁等多个环节,树立树立医疗数据活动管理体系对健康医疗数据义务单位健全数据管理制度,完善数据受权体系具有重要意义。另外关于健康医疗数据的失密检查机制也应当成为医疗数据内部管理制度的重要组成部分。 3. 选择有资质有实力可信任的协作同伴 《大数据措施》第三十一、三十二条均对义务单位选择健康医疗大数据的协作方中止了明白规则,并强调“义务单位委托有关机构存储、运营健康医疗大数据,委托单位与受托单位共同承担健康医疗大数据的管理战争安义务”。故义务单位在选择相关数据效劳商协作时,需求提早尽到审核义务,确保该协作方契合国度和行业规则的数据运营效劳的条件,具备相应的效劳资质、可树立健全的数据控制管理制度、契合国度保险规范的网络保险等级规范、个人隐私维护制度等。 注释 [1]《网络保险法》第四十一条“网络运营者搜集、运用个人信息,应当遵照合法、合理、必要的准绳,公开搜集、运用规则,明示搜集、运用信息的目的、方式和范围,并经被搜集者同意。网络运营者不得搜集与其提供的效劳无关的个人信息,不得违背法律、行政法规的规则和双方的商定搜集、运用个人信息,并应当依照法律、行政法规的规则和与用户的商定,处置其保存的个人信息。” [2]《网络保险法》第四十二条“网络运营者不得泄露、窜改、毁损其搜集的个人信息;未经被搜集者同意,不得向他人提供个人信息。但是,经过处置无法辨认特定个人且不能恢复的除外。网络运营者应当采取技术措施和其他必要措施,确保其搜集的个人信息保险,避免信息泄露、毁损、丧失。在发作或者可能发作个人信息泄露、毁损、丧失的状况时,应当立刻采取弥补措施,依照规则及时告知用户并向有关主管部门讲演。” [3]《网络保险法》第三十七条“关键信息基础设备的运营者在中华人民共和国境内运营中搜集和产生的个人信息和重要数据应当在境内存储。因业务需求,确需向境外提供的,应当依照国度网信部门会同国务院有关部门制定的措施中止保险评价;法律、行政法规另有规则的,依照其规则。” |
名表回收网手机版
