随着国民对于个人信息保护意识的觉醒,越来越多的人在意自己的个人信息安全问题,国家也从法律层面以及技术操作规范层面对个人信息的收集、存储、使用、流转、销毁等多个环节提出了具体的要求。
互联网辅助生殖信息平台作为以收集用户信息起家的互联网企业,对于个人信息的合法处置需要特别注意。这不仅是由于个人信息的收集使用有了明确而具体的规范,更是因为这些互联网辅助生殖信息平台收集的是有关生殖、有关性的超敏感性个人信息,这些信息毫无疑问的属于个人信息中的个人敏感信息,也同时属于个人健康信息,因此在法律层面受到多重规范保护。
同样,一旦这些个人健康信息被泄露,会对用户造成极大的恐慌,滋生对该平台的不信任感和厌恶感,对于依靠用户流量生存的互联网企业来说,这样的结果无疑是对企业的巨大打击。因此,在做好合法收集用户信息的同时,也应当按照要求做好数据的安全保障工作,比如购买正版软件,定期检查数据存放服务器,敏感信息脱敏存放,按照等级保护要求进行备案和检查等。
一般而言,互联网辅助生殖信息平台企业尤其需要注意个人信息的收集、存储和使用阶段存在的法律风险,具体包括以下内容:
(1)个人信息的收集
个人信息的收集作为服务提供者的必要行为,同时也是获取用户原始数据信息的关键环节,应当做好对用户的知情同意,明示取得用户授权。
《网络安全法》第22条明确规定:“…网络产品、服务具有收集用户信息功能的,其提供者应当向用户明示并取得同意…。”《全国人民代表大会常务委员会关于加强网络信息保护的决定》、《网络安全法》、《消费者权益保护法》、《刑法修正案(九)》、《电信和互联网用户个人信息保护规则》等法律法规明确保护个人信息,要求收集个人信息遵守合法、正当和必要的原则。
互联网辅助生殖企业应在用户使用服务前,以《用户协议》的方式,说明用户及服务提供方的权利义务关系,并取得用户的明示同意。在收集用户信息之前,参照《个人信息安全规范》中的《隐私政策模板》,设计出适合本互联网平台业务模式、产品功能的《隐私政策》(也可以是隐私条款的形式在用户协议中体现),采用明示的授权协议,明确收集、使用范围,并同时说明信息的收集、使用规则,明示收集、使用信息的目的、方式,以获得用户的充分授权。
对于《隐私政策》或隐私条款中的关键条款,还须使用“增强式告知”(加粗、添加下划线等)方式告知并提示用户,并且通过“主动触发”的形式,由用户主动点击同意,或主动填写相关的个人信息。产品或服务在升级或增加功能后,需要扩大个人信息收集、使用范围时,需要同样按照“明示”的标准让用户知晓并同意。
(2)个人信息的储存
完成个人信息的收集后,互联网辅助生殖信息平台企业需要对收集到的个人健康信息进行去标识化处理,采取技术和管理方面的措施,将可用于恢复识别个人的信息与去标识化后的信息分开储存并加强访问和使用的权限管理。
对于个人敏感信息,GB/T35273-2020《信息安全技术个人信息安全规范》中要求信息的控制者采用加密等安全措施,并不应当存储原始个人生物识别信息(如样本、图像等)。
此外,要根据所收集到信息的内容不同,按照我国《网络安全法》、《人口健康信息管理办法(试行)》、《国家健康医疗大数据标准、安全和服务管理办法(试行)》所规定的保密等级,做好分级保密工作。否则将面临相应的行政、刑事和民事责任。
辅助生殖信息服务平台咨询与诊疗的合法性与合规性
在现有的互联网辅助生殖信息平台中,一些具备开展线上+线下双模式的企业或平台,同时也在平台中开展了咨询服务,这些咨询服务直接针对用户的备孕或者辅助生殖需求,解答的是用户的医学类疑问,根据我国目前关于互联网医疗领域的法律法规,这种行为或涉及互联网健康咨询或者互联网诊疗的范畴。
互联网健康咨询虽然准入门槛较低,但相关企业务必注意法律红线,即不得通过互联网健康咨询开展诊疗活动。虽然在法律上很难区分“诊疗行为”与“非诊疗健康咨询行为”的范畴,但在线服务者应只提供建议性的回答,不得带有具有诊断疾病、开具处方等诊疗行为,具体表现为建议用户吃什么药,采用何种治疗方式等等。
互联网诊疗虽然可以开展诊疗活动,但对开展互联网诊疗的主体和具体服务者都有着严格准入要求,具备一定的门槛。而且开展诊疗活动时不得对用户开展首诊,而对于互联网辅助生殖信息平台,其所吸收的前端用户大多都未在其线下门诊就诊,也即属于不能开展的首诊对象,一旦违规开展,可能面临相应的行政处罚。
除了不得首诊外,互联网辅助生殖信息平台上开展互联网诊疗还需注意以下几点:
(1)医师在诊疗时应尽到注意义务,除应当向患者说明病情及诊疗方案外,还应告知患者互联网诊疗的风险。医师在互联网诊疗过程中存在告知不足时,互联网辅助生殖信息平台将可能承担侵权责任。
(2)线上诊疗应当为患者建立电子病历,且符合《医疗机构病历管理规定》和《电子病历基本规范(试行)》等相关文件要求,并按照规定进行管理。
(3)线上诊疗应严格遵守《处方管理办法》等处方管理规定。在线开具的处方必须有医师电子签名(应符合《电子签名法》对电子签章的法律规定),经药师审核后,才可进行药品配送。
(4)线上诊疗需要妥善保管患者信息,严格执行信息安全和医疗数据保密的有关法律法规。若有非法买卖、泄露患者信息的行为,医疗机构将可能被追究相关责任。
但是如何确保上述行为不触及咨询和诊疗行为的法律红线,建议由专业的互联网医疗律师团队对其进行合规审查,并草拟服务知情同意书,或设置相关风险告知和提示内容,以此类方式确保平台的服务合法性,并且有效规避经营风险。
跨境辅助生殖医疗服务的法律风险
跨境辅助生殖服务一直是辅助生殖领域的热点,为享受更好的医疗服务,跨境辅助生殖存在潜在的巨大需求、巨额的商业利益,激发了大量的灰色产业链。为了规避国内对辅助生殖和代孕的禁止性规定,有些人选择进行远赴海外进行辅助生殖手术或是代孕,因此互联网辅助生殖信息平台也做起了跨国中介的服务。
在我国禁止代孕的背景下,个人前往海外进行代孕回国后的法律风险和争议自不必多说,后续系列文章中将会以案例方式进行详细论述。在此单纯从企业跨国中介服务的角度而言,特别需要注意其掌握的个人健康信息数据出境的法律风险。
在我国《网络安全法》、《个人信息和重要数据出境安全评估办法(征求意见稿)》、《信息安全技术数据出境安全评估指南(征求意见稿)》等有关“数据出境”的法规的要求下,根据数据的不同类型和重要程度,对其是否可以出境和是否需要安全评估均有着具体的要求。其中均提及,出境数据包含人口健康等领域数据时,需要由网络运营者主动报请行业主管或监管部门组织安全评估,或由国家网信部门、行业主管部门启动部门评估。
此外,根据《信息安全技术数据出境安全评估指南(征求意见稿)》的附录A《重要数据识别指南》,个人和家族的遗传信息(人类遗传资源信息)被归划到重要数据行列,因此如果重视数据出境的安全问题,就不仅触碰了“个人信息”的红线,同时也触碰了“重要数据”的红线,企业可能面临相应的处罚。
因此,互联网辅助生殖企业在进行跨国中介活动时,需要聘请包含医疗数据合规律师和专业技术人员在内的数据合规团队对其跨国数据传输行为进行风险评估与把控。
辅助生殖领域法律问题解析系列(三):互联网+辅助生殖篇
作者:连卓源来源:康达律师事务所

随着国民对于个人信息保护意识的觉醒,越来越多的人在意自己的个人信息安全问题,国家也从法律层面以及技术操作规范层面对个人信息的收集、存储、使用、流转、销毁等多个环节提出了具体的要求。