首页 > 资讯 > 医疗健康App合规要点(下)——个人信息收集使用合规

医疗健康App合规要点(下)——个人信息收集使用合规

泰然健康网
2025-05-16 16:49

　　随着大数据、云计算、物联网、人工智能等技术的飞速发展, 互联网医疗市场规模不断扩大, “互联网+医疗健康”已然成为公共医疗机构、医药企业的业务拓展重点。前瞻产业研究院数据显示, 预计2020年我国互联网医疗市场规模有望达到900亿元。移动医疗作为互联网医疗的一个重要分类, 在改善就医体验、重配医疗资源、健康管理方面发挥着重要作用。

　　移动医疗是指借由移动互联技术以及各类移动互联平台提供的医疗保健服务。移动医疗服务的实现形式是多元化的。各类医疗健康类App是移动医疗最直观的表现形式, 所能实现的功能基本已覆盖了诊前、诊中、诊后全程, 包括: 网络问诊、诊前咨询、网上挂号、网上支付、网上查询检验检查结果、健康教育与管理、医患交流、诊后随访、数据采集、慢病管理、远程监控、互联网药品销售、医生或病患社群等。医疗健康App的功能、需求和经营模式日益多样化, App收集数据的渠道、种类以及收集处理的目的和方式随之变得更为繁杂。结合法规与从业经验, 笔者将通过本文解析医疗健康App的合规要点, 其中上篇基于医疗健康App的属性分析, 剖析医疗健康App广告合规要点, 下篇中分析医疗健康App相关个人信息收集使用的合规要点。

　　下篇

　　一、医疗健康数据的属性

　　医疗健康数据的来源多样, 包括病历信息、遗传病史、健康状况、医疗保险信息、实时身体机能指数、饮食结构、运动偏好等等。厘清该等数据的法律属性是合规收集、使用和处理的前提, 我们梳理总结常见医疗健康数据的法律定义如下。

　　1. 个人信息/个人敏感信息——《网络安全法》

　　按照《网络安全法》和《信息安全技术个人信息安全规范》(“《个人信息安全规范》”), 能够识别自然人个人身份而未进行匿名化处理的医疗健康数据都应属于法律意义上的“个人信息”。因此, App用户输入的挂号身份信息、就诊记录、各项生理特征信息等都属于可以识别个人身份的信息。根据《个人信息安全规范》第3.2条以及附录B的列举, 个人财产信息(如用户的交易和消费记录、银行账号等)、个人健康生理信息、个人生物识别信息(如App收集面部信息以实现在线咨询)、个人身份信息、网络身份标识信息(如账号、密码、口令等)等构成“个人敏感信息”, 受更高程度的法律保护。

　　2. 人口健康信息——《人口健康信息管理办法(试行)》

　　人口健康信息是指各级各类医疗卫生计生服务机构在服务和管理过程中产生的人口基本信息、医疗卫生服务信息等人口健康信息, 其中, 电子信息与纸质文本具有同等法律效力。需要注意的是, 虽然负责管理人口健康信息的责任单位为各级各类医疗卫生计生服务机构, 但责任机构可以委托其他机构管理人口健康信息, 委托单位也承担相应管理和安全责任。据此, 提供在线挂号服务的App有可能收集、管理人口健康信息, 需要承担相应责任。

　　3. 人类遗传资源——《人类遗传资源管理条例》

　　人类遗传资源信息是指利用人类遗传资源材料(含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料)产生的数据等信息资料。未进行匿名化处理的人类遗传资源信息可能构成个人信息。对于人类遗传资源信息的收集、保藏、利用、对外提供均应遵守《人类遗传资源管理条例》相关行政审批程序的规定, 并符合伦理原则, 尊重人类遗传资源提供者的隐私。

　　4. 健康医疗大数据——《国家健康医疗大数据标准、安全和服务管理办法(试行)》(“《管理办法》”)

　　健康医疗大数据, 是指在人们疾病防治、健康管理等过程中产生的与健康医疗相关的数据。根据该定义, 几乎所有的医疗健康App所收集处理的数据均可构成健康医疗大数据。各级各类医疗卫生机构和相关企事业单位是健康医疗大数据安全和应用管理的责任单位。责任单位应当按照《管理办法》的规定履行健康医疗大数据管理职责。

　　5. 医疗器械相关数据——《医疗器械网络安全注册技术审查指导原则》(“《指导原则》”)

　　医疗器械相关数据从内容上可以分为健康数据和设备数据。健康数据指标明生理、心理健康状况的私人数据, 涉及患者隐私信息。设备数据指的是描述设备运行状况的数据, 用于监视、控制设备运行或用于设备的维护保养, 本身不涉及患者隐私信息。对于构成医疗器械的医疗健康App, 运营者应当按照《指导原则》的要求, 保证医疗器械网络安全, 保持医疗器械相关数据的保密性、完整性和可得性。

　　6. 重要数据——《信息安全技术数据出境安全评估指南(征求意见稿)》

　　重要数据是指一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,