原標(biāo)題：郭玉蘭等：“健康醫(yī)療數(shù)據(jù)合規(guī)”那些事兒系列之四 - 互聯(lián)網(wǎng)醫(yī)療企業(yè)如何合規(guī)地對(duì)個(gè)人健康醫(yī)療數(shù)據(jù)進(jìn)行跨境傳輸

在本系列的前三篇文章中，我們討論了某跨國(guó)醫(yī)療產(chǎn)品生產(chǎn)商內(nèi)部以數(shù)據(jù)平臺(tái)實(shí)現(xiàn)數(shù)據(jù)的互聯(lián)互通和信息共享這一情境下互聯(lián)網(wǎng)醫(yī)療企業(yè)如何合規(guī)收集、存儲(chǔ)、境內(nèi)分享、跨境傳輸個(gè)人健康醫(yī)療數(shù)據(jù)。本文將進(jìn)一步討論在收集客戶個(gè)人醫(yī)療健康數(shù)據(jù)后，如何在整個(gè)全流程經(jīng)營(yíng)過程中合規(guī)使用個(gè)人健康醫(yī)療數(shù)據(jù)的問題。

1在個(gè)人醫(yī)療健康數(shù)據(jù)的收集階段，該跨國(guó)醫(yī)療產(chǎn)品生產(chǎn)商已經(jīng)取得了客戶的授權(quán)同意，就數(shù)據(jù)使用是否需要再次取得客戶的授權(quán)同意？

如果收集階段取得的客戶個(gè)人授權(quán)同意范圍未包括數(shù)據(jù)的使用，或者使用的數(shù)據(jù)范圍與前期客戶同意授權(quán)收集的數(shù)據(jù)范圍不同，該跨國(guó)醫(yī)療產(chǎn)品生產(chǎn)商作為數(shù)據(jù)控制者在使用客戶個(gè)人健康醫(yī)療數(shù)據(jù)時(shí)，還應(yīng)獲得客戶的授權(quán)同意。所有授權(quán)同意應(yīng)使用通俗易懂的語(yǔ)言，并且包含有關(guān)要使用的數(shù)據(jù)內(nèi)容、數(shù)據(jù)的用途以及使用方式、數(shù)據(jù)使用期限、數(shù)據(jù)主體權(quán)利以及公司采取的保護(hù)措施等具體信息。

使用個(gè)人健康醫(yī)療數(shù)據(jù)不能超出客戶授權(quán)同意的范圍。如因業(yè)務(wù)需要，確需超范圍使用的，跨國(guó)醫(yī)療產(chǎn)品生產(chǎn)商應(yīng)再次征得客戶的同意。

2通常情況下，跨國(guó)醫(yī)療產(chǎn)品生產(chǎn)商使用個(gè)人醫(yī)療健康數(shù)據(jù)需要取得個(gè)人客戶的授權(quán)同意，是否有例外情形？

有例外情形。在沒有獲得個(gè)人客戶的授權(quán)同意，該跨國(guó)醫(yī)療產(chǎn)品生產(chǎn)商在以下情形可以使用個(gè)人的健康醫(yī)療數(shù)據(jù)：

（1）向個(gè)人客戶提供其本人健康醫(yī)療數(shù)據(jù)；

（2）涉及公共利益或法律法規(guī)要求時(shí)；

（3）用于科學(xué)研究、醫(yī)學(xué)/健康教育、公共衛(wèi)生或醫(yī)療保健操作目的的。

另外，如果該跨國(guó)醫(yī)療產(chǎn)品生產(chǎn)商針對(duì)個(gè)人健康醫(yī)療數(shù)據(jù)匯聚分析處理之后得到了不能識(shí)別個(gè)人的健康醫(yī)療相關(guān)數(shù)據(jù)，則該數(shù)據(jù)不再屬于個(gè)人信息，無需征得客戶個(gè)人授權(quán)同意，但其使用仍應(yīng)遵守國(guó)家其他相關(guān)法規(guī)要求。

3使用個(gè)人醫(yī)療健康數(shù)據(jù)需要遵循最低限度原則嗎？

需要。根據(jù)《信息安全技術(shù)——健康醫(yī)療數(shù)據(jù)安全指南》的要求，使用個(gè)人醫(yī)療健康數(shù)據(jù)的跨國(guó)醫(yī)療產(chǎn)品生產(chǎn)商應(yīng)制定、實(shí)施合理的策略與流程，將使用限制在最低限度。

4跨國(guó)醫(yī)療產(chǎn)品生產(chǎn)商使用個(gè)人醫(yī)療健康數(shù)據(jù)用于市場(chǎng)營(yíng)銷活動(dòng)有什么限制？

跨國(guó)醫(yī)療產(chǎn)品生產(chǎn)商應(yīng)獲得個(gè)人客戶授權(quán)同意才能將其個(gè)人健康醫(yī)療數(shù)據(jù)用于開展市場(chǎng)營(yíng)銷活動(dòng)，但雙方之間進(jìn)行的面對(duì)面的營(yíng)銷溝通除外。

跨國(guó)醫(yī)療產(chǎn)品生產(chǎn)商如需將個(gè)人健康數(shù)據(jù)用于市場(chǎng)營(yíng)銷活動(dòng)，應(yīng)以合理方式提示個(gè)人客戶，并讓其充分知悉，明確、自主作出同意。該授權(quán)應(yīng)是獨(dú)立的，并且不得作為客戶獲得任何公共服務(wù)、醫(yī)療服務(wù)的前置條件或者捆綁于其他服務(wù)條款之中?？鐕?guó)醫(yī)療產(chǎn)品生產(chǎn)商在取得授權(quán)同意的同時(shí)，應(yīng)書面告知客戶其有權(quán)隨時(shí)撤銷該授權(quán)。

5跨國(guó)醫(yī)療產(chǎn)品生產(chǎn)商在使用個(gè)人醫(yī)療健康數(shù)據(jù)過程中，需要賦予個(gè)人客戶哪些主要權(quán)利？

（1）訪問其個(gè)人健康醫(yī)療數(shù)據(jù)；

（2）復(fù)查并獲得其個(gè)人健康醫(yī)療數(shù)據(jù)的副本；

（3）更正或補(bǔ)充其個(gè)人健康醫(yī)療數(shù)據(jù)信息；

（4）歷史回溯查詢跨國(guó)醫(yī)療產(chǎn)品生產(chǎn)商使用或披露數(shù)據(jù)的情況，最短回溯期為六年；

（5）限制跨國(guó)醫(yī)療產(chǎn)品生產(chǎn)商使用或披露個(gè)人健康醫(yī)療數(shù)據(jù)，以及限制向相關(guān)人員披露信息；但是跨國(guó)醫(yī)療產(chǎn)品生產(chǎn)商沒有義務(wù)同意上述限制請(qǐng)求；但一旦同意，除非法律法規(guī)要求以及醫(yī)療緊急情況下，跨國(guó)醫(yī)療產(chǎn)品生產(chǎn)商應(yīng)遵守商定的限制；

（6）撤銷跨國(guó)醫(yī)療產(chǎn)品生產(chǎn)商使用授權(quán)，并要求其刪除個(gè)人信息。

綜上，跨國(guó)醫(yī)療產(chǎn)品生產(chǎn)商在使用個(gè)人健康醫(yī)療數(shù)據(jù)過程中，需要注意遵守并履行維護(hù)客戶數(shù)據(jù)安全和隱私安全的義務(wù)，在實(shí)現(xiàn)商業(yè)目的和追求商業(yè)價(jià)值的同時(shí)，時(shí)刻保持?jǐn)?shù)據(jù)處理的合規(guī)性和合法性。本文系健康醫(yī)療數(shù)據(jù)合規(guī)系列文章最終篇，后續(xù)我們會(huì)對(duì)其他運(yùn)用場(chǎng)景中的數(shù)據(jù)合規(guī)和安全問題繼續(xù)以系列文章的形式進(jìn)行深入地分析和探討，敬請(qǐng)持續(xù)關(guān)注！

特別聲明：

以上內(nèi)容屬于作者個(gè)人觀點(diǎn)，不代表其所在機(jī)構(gòu)立場(chǎng)，亦不應(yīng)當(dāng)被視為出具任何形式的法律意見或建議。

返回搜狐，查看更多