原标题:郭玉兰等:“健康医疗数据合规”那些事儿系列之四 - 互联网医疗企业如何合规地对个人健康医疗数据进行跨境传输
在本系列的前三篇文章中,我们讨论了某跨国医疗产品生产商内部以数据平台实现数据的互联互通和信息共享这一情境下互联网医疗企业如何合规收集、存储、境内分享、跨境传输个人健康医疗数据。本文将进一步讨论在收集客户个人医疗健康数据后,如何在整个全流程经营过程中合规使用个人健康医疗数据的问题。
1在个人医疗健康数据的收集阶段,该跨国医疗产品生产商已经取得了客户的授权同意,就数据使用是否需要再次取得客户的授权同意?
如果收集阶段取得的客户个人授权同意范围未包括数据的使用,或者使用的数据范围与前期客户同意授权收集的数据范围不同,该跨国医疗产品生产商作为数据控制者在使用客户个人健康医疗数据时,还应获得客户的授权同意。所有授权同意应使用通俗易懂的语言,并且包含有关要使用的数据内容、数据的用途以及使用方式、数据使用期限、数据主体权利以及公司采取的保护措施等具体信息。
使用个人健康医疗数据不能超出客户授权同意的范围。如因业务需要,确需超范围使用的,跨国医疗产品生产商应再次征得客户的同意。
2通常情况下,跨国医疗产品生产商使用个人医疗健康数据需要取得个人客户的授权同意,是否有例外情形?
有例外情形。在没有获得个人客户的授权同意,该跨国医疗产品生产商在以下情形可以使用个人的健康医疗数据:
(1)向个人客户提供其本人健康医疗数据;
(2)涉及公共利益或法律法规要求时;
(3)用于科学研究、医学/健康教育、公共卫生或医疗保健操作目的的。
另外,如果该跨国医疗产品生产商针对个人健康医疗数据汇聚分析处理之后得到了不能识别个人的健康医疗相关数据,则该数据不再属于个人信息,无需征得客户个人授权同意,但其使用仍应遵守国家其他相关法规要求。
3使用个人医疗健康数据需要遵循最低限度原则吗?
需要。根据《信息安全技术——健康医疗数据安全指南》的要求,使用个人医疗健康数据的跨国医疗产品生产商应制定、实施合理的策略与流程,将使用限制在最低限度。
4跨国医疗产品生产商使用个人医疗健康数据用于市场营销活动有什么限制?
跨国医疗产品生产商应获得个人客户授权同意才能将其个人健康医疗数据用于开展市场营销活动,但双方之间进行的面对面的营销沟通除外。
跨国医疗产品生产商如需将个人健康数据用于市场营销活动,应以合理方式提示个人客户,并让其充分知悉,明确、自主作出同意。该授权应是独立的,并且不得作为客户获得任何公共服务、医疗服务的前置条件或者捆绑于其他服务条款之中。跨国医疗产品生产商在取得授权同意的同时,应书面告知客户其有权随时撤销该授权。
5跨国医疗产品生产商在使用个人医疗健康数据过程中,需要赋予个人客户哪些主要权利?
(1)访问其个人健康医疗数据;
(2)复查并获得其个人健康医疗数据的副本;
(3)更正或补充其个人健康医疗数据信息;
(4)历史回溯查询跨国医疗产品生产商使用或披露数据的情况,最短回溯期为六年;
(5)限制跨国医疗产品生产商使用或披露个人健康医疗数据,以及限制向相关人员披露信息;但是跨国医疗产品生产商没有义务同意上述限制请求;但一旦同意,除非法律法规要求以及医疗紧急情况下,跨国医疗产品生产商应遵守商定的限制;
(6)撤销跨国医疗产品生产商使用授权,并要求其删除个人信息。
综上,跨国医疗产品生产商在使用个人健康医疗数据过程中,需要注意遵守并履行维护客户数据安全和隐私安全的义务,在实现商业目的和追求商业价值的同时,时刻保持数据处理的合规性和合法性。本文系健康医疗数据合规系列文章最终篇,后续我们会对其他运用场景中的数据合规和安全问题继续以系列文章的形式进行深入地分析和探讨,敬请持续关注!
特别声明:
以上内容属于作者个人观点,不代表其所在机构立场,亦不应当被视为出具任何形式的法律意见或建议。
返回搜狐,查看更多
