大數(shù)據(jù)時代如何保護個人隱私���,幾乎是每一名民眾都十分關心的公共話題���。11月1日���,《中華人民共和國個人信息保護法》(以下簡稱 《個人信息保護法》)正式實施,標志著中國在個人信息保護上開啟了一個全新的紀元���。醫(yī)療衛(wèi)生機構由于涉及大量患者個人信息���,屬于例法強監(jiān)管的領域和對象。那么���,如何更好的理解《個人信息保護法》具體細則���,如何快速符合法律要求���,做到合法合規(guī)?以下���,神州醫(yī)療數(shù)據(jù)安全管理部門為您深度解讀���。
《個人信息保護法》應用于生產場景
伴隨醫(yī)療信息化與智慧醫(yī)院的建設,電子病歷���、遠程醫(yī)療���、互聯(lián)網(wǎng)醫(yī)院、醫(yī)聯(lián)體���、數(shù)字療法���、APP應用���、分級診療���、公共衛(wèi)生數(shù)據(jù)直報���、藥物臨床試驗等種種的深度推進,患者個人信息在機構內不同科室或部門的收集���、存儲���、使用、加工���、傳輸���、提供等情形越來越多。這給患者的個人信息保護帶來了巨大的挑戰(zhàn)���。因此���,醫(yī)療衛(wèi)生機構作為《個人信息保護法》中的個人信息處理者,如有違反《個人信息保護法》的行為���,將依據(jù)第66條規(guī)定“情節(jié)嚴重的���,除沒收違法所得���,并處五千萬以下或者上一年度營業(yè)額百分之五以下罰款,并可以責令暫停相關業(yè)務或者停業(yè)整頓���、通報有關部門吊銷相關業(yè)務許可證或者吊銷營業(yè)執(zhí)照���;對直接負責的主管人員和其他直接責任人員處十萬以上一百萬以下罰款,并可以決定禁止其在一定期限內擔任相關企業(yè)的董事���、監(jiān)事���、高級管理人員和個人信息保護負責人”。
《個人信息保護法》在應用場景下的解讀
《個人信息保護法》中對于敏感個人信息的定義���,是指一旦泄露或者非法使用���,可能導致個人受到歧視或者人身、財產安全受到嚴重危害的個人信息���,包括種族���、民族、宗教信仰���、個人生物特征���、醫(yī)療健康、金融賬戶���、個人行蹤等信息���。《個人信息保護法》明確要求:
1���、通過自動化決策方式向個人進行信息推送���、商業(yè)營銷,應提供不針對其個人特征的選項或提供便捷的拒絕方式���;
2���、處理生物識別���、醫(yī)療健康、金融賬戶���、行蹤軌跡等敏感個人信息���,應取得個人的單獨同意;
3���、對違法處理個人信息的應用程序���,責令暫停或者終止提供服務���。
對于醫(yī)療機構而言���,患者個人信息大多屬于敏感個人信息(如個人生物識別信息、醫(yī)療健康數(shù)據(jù))���,因此在處理這些患者個人信息時���,除了遵循個人信息保護的一般義務���,還應當按照敏感個人信息的相關規(guī)定從嚴進行合規(guī)管理。包括:個人信息處理者具有特定的目的和充分的必要性���,方可處理敏感個人信息;個人數(shù)據(jù)的收集應該滿足最小化原則���,即收集數(shù)據(jù)的范圍應滿足達成目的所需的最小單位���;基于個人知情同意處理敏感個人信息的,個人信息處理者應當取得個人的“單獨同意”���;應當向個人告知處理敏感個人信息的必要性以及對個人的影響等���。
個人信息泄露事件,引發(fā)的思考
當前���,醫(yī)療衛(wèi)生機構和醫(yī)務人員泄露患者的個人信息時有發(fā)生���。那么,醫(yī)師如何去履行“依法保護患者的個人信息”義務���?醫(yī)師在履行前述義務時���,有必要熟悉下列事項:
1���、哪些屬于患者的個人信息?是否分類管理���?
2���、對患者個人信息的相關法律法規(guī)及規(guī)章是如何規(guī)定的?
3���、如何去保護患者的個人信息���?
4、患者個人信息泄露后的法律后果有哪些���?
5���、發(fā)生患者個人信息泄露后如何救濟?
6、患者對其個人信息享有哪些權利���?
7���、哪些情形下應取得患者的同意?哪些情況下則無需取得患者的同意���?……等等。
如果醫(yī)師不熟悉上述內容���,則難以依法履行保護患者個人信息的義務���,故醫(yī)療衛(wèi)生機構應建立個人信息保護的系列內部管理制度和操作規(guī)程,采取相應的安全技術措施���,設定相應的操作權限���,并面向醫(yī)師完成培訓與考核,以便于避免或降低醫(yī)師操作不當而導致的患者個人信息泄露事件���。
神州醫(yī)療賦能患者個人信息保護
神州醫(yī)療在組織公司團隊認真學習《個人信息保護法》的同時���,結合很多長期合作的醫(yī)療衛(wèi)生機構的工作實際���,梳理醫(yī)療衛(wèi)生機構在個人信息保護方面存在的漏洞,建立風險清單���。結合文本圖像加密技術���、聯(lián)邦學習、區(qū)塊鏈等技術���,開發(fā)了能夠“即插即用”的數(shù)據(jù)安全模塊���,以及病例自動脫敏錄入平臺等結構化與非結構化AI輔助診療產品,構建了面對全體醫(yī)務人員的患者個人敏感信息分類分級培訓體系���,并形成了針對管理層和信息科的一體化隱私平臺���,旨在協(xié)助醫(yī)療結構完善相關舉措,及時建立健全個人信息保護合規(guī)管理體系���。
1���、制定相應的個人信息內部管理制度和操作規(guī)程���,對個人信息實行分類管理。
2���、采取相應的加密���、去標識化等安全技術措施,合理確定個人信息處理的權限���,并定期對從業(yè)人員進行安全教育和培訓���。
3���、制定并組織實施個人信息安全事件的應急預案���。
4、定期對其個人信息遵守法律行政法規(guī)的情況進行合規(guī)審計���。
5���、對處理敏感個人信息���、向境外提供個人信息等情形應在事前進行個人信息保護影響評估并留存相應的記錄。
6���、完善個人信息泄露后的補救措施和通知義務制度���。
媒體報道
2021-11-03
分享:
TOP