原標(biāo)題：郭玉蘭等：“健康醫(yī)療數(shù)據(jù)合規(guī)”那些事兒系列之四 - 互聯(lián)網(wǎng)醫(yī)療企業(yè)如何合規(guī)地對個人健康醫(yī)療數(shù)據(jù)進行跨境傳輸

在本系列的前三篇文章中，我們討論了某跨國醫(yī)療產(chǎn)品生產(chǎn)商內(nèi)部以數(shù)據(jù)平臺實現(xiàn)數(shù)據(jù)的互聯(lián)互通和信息共享這一情境下互聯(lián)網(wǎng)醫(yī)療企業(yè)如何合規(guī)收集、存儲、境內(nèi)分享、跨境傳輸個人健康醫(yī)療數(shù)據(jù)。本文將進一步討論在收集客戶個人醫(yī)療健康數(shù)據(jù)后，如何在整個全流程經(jīng)營過程中合規(guī)使用個人健康醫(yī)療數(shù)據(jù)的問題。

1在個人醫(yī)療健康數(shù)據(jù)的收集階段，該跨國醫(yī)療產(chǎn)品生產(chǎn)商已經(jīng)取得了客戶的授權(quán)同意，就數(shù)據(jù)使用是否需要再次取得客戶的授權(quán)同意？

如果收集階段取得的客戶個人授權(quán)同意范圍未包括數(shù)據(jù)的使用，或者使用的數(shù)據(jù)范圍與前期客戶同意授權(quán)收集的數(shù)據(jù)范圍不同，該跨國醫(yī)療產(chǎn)品生產(chǎn)商作為數(shù)據(jù)控制者在使用客戶個人健康醫(yī)療數(shù)據(jù)時，還應(yīng)獲得客戶的授權(quán)同意。所有授權(quán)同意應(yīng)使用通俗易懂的語言，并且包含有關(guān)要使用的數(shù)據(jù)內(nèi)容、數(shù)據(jù)的用途以及使用方式、數(shù)據(jù)使用期限、數(shù)據(jù)主體權(quán)利以及公司采取的保護措施等具體信息。

使用個人健康醫(yī)療數(shù)據(jù)不能超出客戶授權(quán)同意的范圍。如因業(yè)務(wù)需要，確需超范圍使用的，跨國醫(yī)療產(chǎn)品生產(chǎn)商應(yīng)再次征得客戶的同意。

2通常情況下，跨國醫(yī)療產(chǎn)品生產(chǎn)商使用個人醫(yī)療健康數(shù)據(jù)需要取得個人客戶的授權(quán)同意，是否有例外情形？

有例外情形。在沒有獲得個人客戶的授權(quán)同意，該跨國醫(yī)療產(chǎn)品生產(chǎn)商在以下情形可以使用個人的健康醫(yī)療數(shù)據(jù)：

（1）向個人客戶提供其本人健康醫(yī)療數(shù)據(jù)；

（2）涉及公共利益或法律法規(guī)要求時；

（3）用于科學(xué)研究、醫(yī)學(xué)/健康教育、公共衛(wèi)生或醫(yī)療保健操作目的的。

另外，如果該跨國醫(yī)療產(chǎn)品生產(chǎn)商針對個人健康醫(yī)療數(shù)據(jù)匯聚分析處理之后得到了不能識別個人的健康醫(yī)療相關(guān)數(shù)據(jù)，則該數(shù)據(jù)不再屬于個人信息，無需征得客戶個人授權(quán)同意，但其使用仍應(yīng)遵守國家其他相關(guān)法規(guī)要求。

3使用個人醫(yī)療健康數(shù)據(jù)需要遵循最低限度原則嗎？

需要。根據(jù)《信息安全技術(shù)——健康醫(yī)療數(shù)據(jù)安全指南》的要求，使用個人醫(yī)療健康數(shù)據(jù)的跨國醫(yī)療產(chǎn)品生產(chǎn)商應(yīng)制定、實施合理的策略與流程，將使用限制在最低限度。

4跨國醫(yī)療產(chǎn)品生產(chǎn)商使用個人醫(yī)療健康數(shù)據(jù)用于市場營銷活動有什么限制？

跨國醫(yī)療產(chǎn)品生產(chǎn)商應(yīng)獲得個人客戶授權(quán)同意才能將其個人健康醫(yī)療數(shù)據(jù)用于開展市場營銷活動，但雙方之間進行的面對面的營銷溝通除外。

跨國醫(yī)療產(chǎn)品生產(chǎn)商如需將個人健康數(shù)據(jù)用于市場營銷活動，應(yīng)以合理方式提示個人客戶，并讓其充分知悉，明確、自主作出同意。該授權(quán)應(yīng)是獨立的，并且不得作為客戶獲得任何公共服務(wù)、醫(yī)療服務(wù)的前置條件或者捆綁于其他服務(wù)條款之中?？鐕t(yī)療產(chǎn)品生產(chǎn)商在取得授權(quán)同意的同時，應(yīng)書面告知客戶其有權(quán)隨時撤銷該授權(quán)。

5跨國醫(yī)療產(chǎn)品生產(chǎn)商在使用個人醫(yī)療健康數(shù)據(jù)過程中，需要賦予個人客戶哪些主要權(quán)利？

（1）訪問其個人健康醫(yī)療數(shù)據(jù)；

（2）復(fù)查并獲得其個人健康醫(yī)療數(shù)據(jù)的副本；

（3）更正或補充其個人健康醫(yī)療數(shù)據(jù)信息；

（4）歷史回溯查詢跨國醫(yī)療產(chǎn)品生產(chǎn)商使用或披露數(shù)據(jù)的情況，最短回溯期為六年；

（5）限制跨國醫(yī)療產(chǎn)品生產(chǎn)商使用或披露個人健康醫(yī)療數(shù)據(jù)，以及限制向相關(guān)人員披露信息；但是跨國醫(yī)療產(chǎn)品生產(chǎn)商沒有義務(wù)同意上述限制請求；但一旦同意，除非法律法規(guī)要求以及醫(yī)療緊急情況下，跨國醫(yī)療產(chǎn)品生產(chǎn)商應(yīng)遵守商定的限制；

（6）撤銷跨國醫(yī)療產(chǎn)品生產(chǎn)商使用授權(quán)，并要求其刪除個人信息。

綜上，跨國醫(yī)療產(chǎn)品生產(chǎn)商在使用個人健康醫(yī)療數(shù)據(jù)過程中，需要注意遵守并履行維護客戶數(shù)據(jù)安全和隱私安全的義務(wù)，在實現(xiàn)商業(yè)目的和追求商業(yè)價值的同時，時刻保持?jǐn)?shù)據(jù)處理的合規(guī)性和合法性。本文系健康醫(yī)療數(shù)據(jù)合規(guī)系列文章最終篇，后續(xù)我們會對其他運用場景中的數(shù)據(jù)合規(guī)和安全問題繼續(xù)以系列文章的形式進行深入地分析和探討，敬請持續(xù)關(guān)注！

特別聲明：

以上內(nèi)容屬于作者個人觀點，不代表其所在機構(gòu)立場，亦不應(yīng)當(dāng)被視為出具任何形式的法律意見或建議。

返回搜狐，查看更多