大数跨境
首页
>
《个人信息保护法》实施:医疗机构规范信息处理,建立数据合规体系
>
0
0

《个人信息保护法》实施:医疗机构规范信息处理,建立数据合规体系

《个人信息保护法》实施:医疗机构规范信息处理,建立数据合规体系 中瑞佳星
2021-11-03
3
个人信息保护


2021年11月1日,《中华人民共和国个人信息保护法》正式开始实施,医疗机构应切实履行义务,建设数据合规体系。在此之前,我国已经先后出台了《网络安全法》和《数据安全法》,来规范网络空间安全管理,明确数据安全监管职责。

规范网络空间安全管理
2017年6月1日起施行的《网络安全法》,是我国第一部全面规范网络空间安全管理方面问题的基础性法律,其中明确了个人信息的范围——
“个人信息,是指以电子或者其他方式记录的能够单独或者与其他信息结合识别自然人个人身份的各种信息,包括但不限于自然人的姓名、出生日期、身份证件号码、个人生物识别信息、住址、电话号码等。”
《网络安全法》中明确规定,网络运营者应当按照网络安全等级保护制度的要求,履行一系列安全保护义务,包括制定安全管理制度和操作规程、技术措施等,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意。网络运营者收集、使用个人信息,应当遵循合法、正当、必要的原则,公开收集、使用规则,应当对其收集的用户信息严格保密,并建立健全用户信息保护制度。
明确数据安全监管职责
2021年9月1日起施行的《数据安全法》是我国实施数据安全监督和管理的一部基础法律,其中所称数据,是指任何以电子或者其他方式对信息的记录。数据处理包括数据的收集、存储、使用、加工、传输、提供、公开等。
《数据安全法》的实施有利于管理好、利用好数据资源,形成全社会共同维护数据安全和促进发展的良好环境。其中明文规定,“工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责”。“相关行业组织按照章程,依法制定数据安全行为规范和团体标准,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展”。
规范个人信息处理活动
此前,我国个人信息保护的相关内容散乱分布于各部门法或各类行政法规、规章、司法解释等。例如《执业医师法》《医疗机构病历管理规定》《医疗事故处理条例》《传染病防治法》《关于对艾滋病病毒感染者和艾滋病病人的管理意见》等均对个人医疗健康信息保护进行了规定。
而今日起实施的《个人信息保护法》则一部个人信息保护方面的专门法律,解决了个人信息层面法律法规不成体系的问题。全文共八章七十四条,规定了个人信息处理规则、国家机关处理个人信息的特别规定、个人信息跨境提供的规则、个人在个人信息处理活动中的权利和义务、履行个人信息保护职责的部门及法律责任等方方面面的内容。在总则中就明确规定:“自然人的个人信息受法律保护,任何组织、个人不得侵害自然人的个人信息权益。”
什么是个人信息?



《个人信息保护法》中明确了两个概念——“个人信息”和“敏感个人信息”。
“个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息,不包括匿名化处理后的信息。个人信息的处理包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等”。
“任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息”。
为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需,而处理个人信息的,也属于个人信息处理规则的一般规定。同时,在公共场所安装图像采集、个人身份识别设备,应当为维护公共安全所必需,遵守国家有关规定,并设置显著的提示标识。所收集的个人图像、身份识别信息只能用于维护公共安全的目的,不得用于其他目的,取得个人单独同意的除外。
“敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。”
关于敏感个人信息,只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。
对于医疗机构而言,患者个人信息大多属于敏感个人信息(如个人生物识别信息、医疗健康数据),因此在处理这些患者个人信息时,除了遵循个人信息保护的一般义务,还应当严格遵守敏感个人信息的相关规定。
个人信息处理者的义务
个人信息处理者,是指在个人信息处理活动中自主决定处理目的、处理方式的组织、个人。
根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等,采取下列措施确保个人信息处理活动合法合规,并防止未经授权的访问以及个人信息泄露、篡改、丢失:
相关措施>>
1、制定内部管理制度和操作规程;
2、对个人信息实行分类管理;
3、采取相应的加密、去标识化等安全技术措施;
4、合理确定个人信息处理的操作权限,并定期对从业人员进行安全教育和培训;
5、制定并组织实施个人信息安全事件应急预案;
6、法律、行政法规规定的其他措施。

如果处理的个人信息达到了国家网信部门的规定数量,则需指定专门的负责人来对个人信息处理活动和采取的保护措施进行监督。个人信息处理者还应当事前进行个人信息保护影响评估,发生或者可能发生个人信息泄露、篡改、丢失的,应当立即采取补救措施,并通知相关负责部门和负责人。
提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者,应当按照国家规定建立健全个人信息保护合规制度体系。
总结
《网络安全法》《数据安全法》《个人信息保护法》相辅相成,共同构建起中国数据安全的法律保障体系,成为推动我国数字经济持续健康发展的坚实“防火墙”。随着医疗行业数字化转型的推进,智慧医疗深入发展,互联网医疗、AI医疗、电子病历、智能硬件等推广应用,医疗领域的数据安全保护已经刻不容缓,医疗机构应当切实履行法律规定的义务,尽快加强建设数据合规体系,保障信息安全,抵御风险。



  本文来源:医信邦

【声明】内容源于网络
0
0
中瑞佳星
公司业务范围涵盖企业信息化PLM、MES、EMS、ERP、PDM、SCM、CRM、WMS、DNC、CAPP、ISC、SPC、工控安全在内的全业务链。公司拥有大型应用软件系统开发、实施的能力,拥有经验丰富的行业应用咨询,拥有强大的技术团队。
内容 315
粉丝 0
中瑞佳星 公司业务范围涵盖企业信息化PLM、MES、EMS、ERP、PDM、SCM、CRM、WMS、DNC、CAPP、ISC、SPC、工控安全在内的全业务链。公司拥有大型应用软件系统开发、实施的能力,拥有经验丰富的行业应用咨询,拥有强大的技术团队。
总阅读231
粉丝0
内容315