个人信息保护法:为数据安全上把“锁”
2021年8月20日,我国《个人信息保护法》正式审议通过,并将于同年11月1日起施行。
近年来,随着《网络安全法》、《数据安全法》的出台,2021年8月20日,我国《个人信息保护法》正式审议通过,并将于同年11月1日起施行,可以说《个人信息保护法》与《网络安全法》、《数据安全法》一起,形成我国数字经济法治的三驾马车,共同构建了数字经济的基础性法律制度,也将共同奠定我国网络空间安全发展的基本框架。
《个人信息保护法》堪称中国首部个人信息保护单独立法,翻开了我国个人信息保护法治事业的新篇章。其理清了个人信息、敏感个人信息、个人信息处理者、自动化决策、去标识化、匿名化的基本概念,从适用范围、个人信息处理的基本原则、个人信息及敏感个人信息处理规则、个人信息跨境传输规则、个人信息保护领域各参与主体的职责与权力以及法律责任等方面对个人信息保护进行了全面规定,建立起个人信息保护领域的基本制度体系
01/企业进行信息收集必须合法并合规
个人信息保护已经成为广大人民群众最关心最直接最现实的利益问题之一。截至2020年12月,我国网民规模达9.89亿,较2020年3月增长8540万,互联网普及率达70.4%。随着“互联网+”深度融合和数字经济快速发展,线下活动逐渐向线上转移融合,消费互联网广泛改变人们的生活方式,互联网深刻改变人们的工作方式,网络已经与人们的生产生活密不可分。
现实生活中,一些企业、机构甚至个人,从商业利益等出发,随意收集、违法获取、过度使用、非法买卖个人信息,利用个人信息侵扰人民群众生活安宁、危害人民群众财产安全和生命健康等问题仍十分突出。日常生活中,随意收集个人信息的场景十分常见,人们对此司空见惯却又颇感无奈。
个人信息频繁被收集使用,个人生活安宁被不断侵扰,用户合法权益得不到切实保障,甚至滋生长链条的黑色产业。
《个人信息保护法》的出台有效回应了这些不规范、不合法的问题。总体来看,个人信息保护法对个人信息保护问题作出了全面性、基础性的规定,能够有效实现个人信息保护法治环境。对于很多大型互联网企业而言,数据的规模越大,其泄露的问题越严峻,后果更恶劣,影响的范围也是更大更为深远。毕竟,在企业云的选择上,数据安全性始终是使用者一个重要的考虑的条件。云计算、云存储只有拥有安全性和私密性的双重保障才能让客户放心。
互联网医疗企业,在获取信息方面也是需要严格的遵守以下相关的条例要求。
一、个人信息的收集:个人信息的收集作为服务提供者的必要行为,同时也是获取用户原始数据信息的关键环节,应当做好对用户的知情同意,明示取得用户授权。
二、个人信息的储存:完成个人信息的收集后,互联网医疗企业需要对收集到的个人健康信息进行去标识化处理,采取技术和管理方面的措施,将可用于恢复识别个人的信息与去标识化后的信息分开储存并加强访问和使用的权限管理。
三、个人信息的使用对于互联网医疗企业而言,应当严格按照授权内容使用所收集的信息,不得超出与收集个人信息时所声称的目的具有直接或合理关联的范围。对于直接从用户方收集的个人信息,应当遵循法定的原则和规则。在企业内部规章制度中明确个人信息使用规则,严格按照授权内容使用所收集的信息。如果要对该类信息进行再加工,需要对数据严格进行脱敏,减少个人隐私信息被反向识别的风险。
四、侵犯个人信息将承担法律责任在行政责任方面,《消费者权益保护法》、《网络安全法》、《治安管理处罚法》、《电信和互联网用户个人信息保护规定》等法律均做出了规定。唯有切实的做到从源头保证数据的安全,才能使客户信息切实的受到保障,最终也将赋能企业获得长足的发展,积极响应国家的号召,争当具备社会责任感的企业。
02/互联网医院信息数据愈加透明化,更应加强安防力度
信息化的当下,每个人的隐私都变得越来越透明,大多数公司会切实的保证用户隐私安全,但部分公司可能会利用这些数据进行不当操作。
对于用户而言,只要有使用互联网的行为,就势必留下数据的痕迹,这些数据就为不轨之人提供了可趁之机。不过国家也对个人信息保护意识和能力提出了更高的要求,2021年以来,工信部、国家网信办等部门也屡次对违规收集、使用个人信息的APP进行点名并要求整改。可以看出,数据在作为宝贵社会资源的同时,也越来越得到监管层面的高度重视。企业也要意识到保护用户就是保护自身,越是数据发达的时代,越是应该小心翼翼。
那么,《个人信息保护法》的出台,对于互联网医疗企业意味着什么?
随着移动互联网医疗行业迅猛发展,依托5G、人工智能等技术应用加速普及,其服务必要收集的生理健康等个人信息敏感程度高、流转环节多,在个人信息保护中也面临风险和挑战。另外,国家层面对于个人信息保护日益重视,不仅体现在立法进程的加快上,同时体现在专项治理行动的开展频次与力度上。面对日益加强的审查,以及《个人信息保护法》的出台,我们可以发现,网络安全和数据保护涉及的法律问题很多,包括数据收集(适用范围、收集规则)、数据管理(境内存储、分级管理、匿名提供、救济程序)、数据跨境(告知同意、评估外方、完善约定、信息收集)、儿童特殊保护、广告宣传合规等。
互联网医疗平台需要建立适合自身平台的自我规制保护机制,同时,要构建统一的隐私政策评价指标体系,方便修正不合理的隐私消除霸王条款和不公平的单方面免责声明。医疗信息同时涉及到大量敏感个人信息,这类敏感数据一旦泄露,将对个人信息主体甚至社会公共卫生和安全造成不利影响,因此对敏感个人信息的保护极为重要,同时,有些企业会通过大数据进行自动化决策,也需要特别关注。
我国的个人信息保护法对相关制度进行了全方位的规定,体现了我国政府维护公民基本权益的决心,为个人信息的规范化收集与利用提供了保障。
03/更多法律法规出台,为数据安全保驾护航
个人信息保护法的正式颁布,为个人信息处理活动提供了明确的法律依据,为个人维护其个人信息权益提供了充分保障,为企业合规处理提供了操作指引。我国也将逐步加强医疗健康领域涉及的网络和数据安全立法,随着《个人信息保护法》的出台,更多配套制度也将陆续制定和发布。
此次颁布的《个人信息保护法》也对我们个人以及每一个相关的企业带来了深刻的意义:
第一,随着现代科技的发展,尤其是社交网络、大数据、人脸识别、自动驾驶、人工智能等科技的发展,个人信息受到侵害的风险也日益增加,也需要强化对个人信息的保护。《个人信息保护法》以领域法的面目出现,是包含了公法规范和私法规范的综合性法律和基础性法律。作为个人信息保护的基本法,本法确立了个人信息保护的基础性制度,提升了个人信息保护制度的系统性。
第二,数据是信息社会的“石油”,数据是数字经济的生产要素。通过立法强化对个人信息的保护,在此基础上在推动数据的合理使用,这是数字经济健康发展的必然要求。《个人信息保护法》总结了我国的立法和实践经验,借鉴了域外的立法经验(如《欧盟通用数据保护条例》),强调在严格保护个人信息基础上,规范数据的利用与流通,为数字经济的发展奠定良好的制度基础。
第三,放眼世界,各国都在探索数据治理的方案。欧盟、美国都在寻找适合其自身的制度方案。《欧盟通用数据保护条例》就比较注重个人信息权益的保护,而美国则比较注重数据的流动和利用。在全球的数字经济中,我国占有非常重要的地位。《个人信息保护法》结合我国实际,既注重个人信息的保护,也注重保护个人信息和促进数据流通之间的平衡,探索了数据治理的中国方案。
据悉,全国医疗机构网络信息安全管理办法正在起草中,预计不久将会出台。互联网医疗企业应加强关注立法进展,并根据立法趋势提早着手自身合规体系的建立和完善,提升数据安全能力。
总之,野蛮生长的时代早已过去,一切都要回归秩序,不管是为了用户,还是为了自己,或者为了未来智能时代那永无止境的数据分析和算法训练,数据安全也要放在最重要的位置。