原标题:郭玉兰等:“健康医疗数据合规”那些事儿系列之二 - 互联网医疗企业如何合规存储和...|互联网医疗企业如何合规存储和境内共享个人健康医疗数据( 二 )
1境内共享个人健康医疗数据的基本原则和要求是什么?
(1)事先征得自然人客户明确和单独同意原则 。
境内子公司应将共享对象、共享目的、共享手段、数据接收方的类型以及可能产生的后果等告知并事先征得自然人客户的单独同意 。 但在特定情况下 , 境内子公司可不必征得自然人客户的事先同意 , 如:企业履行法律法规规定的义务必须披露的 。 与国家安全、国防安全直接相关 。 与公共安全、公共卫生、重大公共利益直接相关的 。 出于维护客户或其他个人的生命、财产等重大合法权益但又很难得到本人授权同意的 。
(2)须有特定目的和充分的必要性原则 。
依据《个人信息保护法》 , 只有在具有特定目的和充分必要性的前提下 , 个人信息处理者方可处理敏感个人信息 。 回归到我们的案例 , 考虑到自然人客户的个人健康医疗数据属于敏感个人信息 , 因此 , 境内共享个人健康医疗数据需要满足“具有特定目的”以及“具备充分必要性”的前提条件 。 一般来说 , 图中所示的集团关联公司之间的业务往来和合作可以被认定为“具备特定目的和必要性” 。
(3)须采取严格的保护措施 。
如在共享前采取去标识化措施、在共享时采用密码技术以及对共享使用介质的严格管控等措施来实现共享过程中对个人健康数据的完整性和保密性的保护 。
(4)准确记录 。 境内子公司需准确记录与存储个人健康医疗数据的共享情况 , 包括共享日期、规模、目的 , 以及数据接收方基本情况等 , 以备客户的回溯或有关机关的检查 。
2境内子公司出于自身保护以及降低风险的目的 , 其在境内共享个人健康医疗数据有哪些特别注意事项?
(1)在共享前开展安全影响的评估 , 依据评估结果有针对性地在共享前、共享时以及共享后采取保护措施 。
(2)如发现数据接收方违反法律或双方约定处理共享的个人健康医疗数据的 , 境内子公司应立即要求数据接收方停止所有违法或不合规行为 , 自行采取或要求数据接收方采取补救措施(如更改密码、断开网络连接等)来减少或消除个人健康医疗数据面临的安全风险 。 必要时 , 需解除与数据接收方的业务关系 , 并要求数据接收方及时删除其获得的个人健康医疗数据 。
(3)共享数据过程一旦侵犯自然人客户权益的 , 境内子公司须承担对应的损害赔偿责任 。 因此 , 共享个人健康医疗数据时 , 建议境内子公司与数据接收方通过合同的形式共同确定应满足的保护个人健康医疗数据安全要求 , 明确自身和数据接收方应分别承担的责任和义务 , 并向客户明确告知 , 以减少因数据接收方不合规给自己带来的风险和损失 。
综上
综上 , 境内子公司在存储和境内共享个人健康医疗数据过程中 , 需要注意遵守并履行维护客户数据安全和隐私安全的义务 , 在实现商业目的和追求商业价值的同时 , 时刻保持数据处理的合规性和合法性 。 本文系健康医疗数据合规系列文章之二 , 后续还会对首页数据流转图项下后续步骤中涉及的数据合规问题进行进一步分析和探讨 , 敬请持续关注!
特别声明:
以上内容属于作者个人观点 , 不代表其所在机构立场 , 亦不应当被视为出具任何形式的法律意见或建议 。
文章图片
来源:搜狐
- 加盟行业|原来加盟行业是这么玩的!
- 体验首款Linux消费级平板,原来芯片和系统全是国产
- 增资|撤离、暂缓!马云没有想到,蚂蚁融资生变,原因浮出水面
- 互联网时代|原极狐汽车总裁被挖至小米 担任小米汽车副总裁
- 原神·cos美图,飒爽帅气的优菈姐姐
- 将100只家鸡放到荒野中,它们3年后会有什么变化?原因何在?
- 换手机为什么建议避开128GB的,原因主要有3点,懂的都懂
- 联想|原来和联想一起的紫光,方正,TCL电脑等国产电脑都去哪儿了?
- 原价1899元涨到2800元!RTX 3050溢价近50%还买不到
- 原标题:月背工作满三年|月背工作三年 嫦娥四号如何做到超服期役?专家回应