随着疫情的出现和持续，为了方便广大患者就医，互联网医院逐渐进入大众的视野。互联网医院通过网络实现问诊、诊断、开药和抓药，免去了患者频繁出入医院暴露于病毒感染的风险，为常见病和慢性病患者带来很大的便利。

但是，互联网医院的出现和兴起也带来了数据安全的问题，为了进行诊断，患者需要将其健康数据上传到网络上，而这些数据涉及个人的健康信息，属于个人信息保护法规定的敏感信息，一旦泄漏后果不堪设想。

为规范互联网应用、确保数据和隐私安全，我国近年来也陆续发布了《网络安全法》、《电子商务法》，并于2021年6月10日公布了《中华人民共和国数据安全法》，于8月20日公布了《个人信息保护法》，为数字经济划定了红线，而互联网医院由于涉及大量的个人敏感信息，更应该遵守法律的各项规定，避免发生数据滥用和数据泄漏等风险。

当前，医疗领域所需收集及处理的医疗数据通常包括医疗健康数据、患者电子病历、患者个人信息、更有甚者会涉及到患者基因序列等遗传信息，基于此，医疗数据可能涉及在现有法律法规的多个维度下的多种受保护的数据类型。考虑到不同法律法规对于数据的规制程度及所限定的具体义务不同，如何在满足数据合规的规范下进行数据收集、处理及共享成为医疗行业经营者目前亟需解决的问题。

本文中将就医疗领域中数据合规中的重点问题进行分析及说明。具体地，本文中将首先对《个人信息保护法》及《中华人民共和国人类遗传资源管理条例》中与医疗数据相关的规定进行分析，其后，对于医疗数据，特别是例如互联网医院中降低数据合规风险给出建议。

（1）明确敏感个人信息的组成及处理规则

《个人信息保护法》第28条明确了处理敏感个人信息的组成范畴为：“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息，包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息，以及不满十四周岁未成年人的个人信息。”

基于此，其中明确规定了医疗健康相关数据应属于敏感个人信息的范畴，医疗行业经营者应当遵守《个人信息保护法》中关于敏感个人信息的相关规定及处理原则。

具体地，《个人信息保护法》中进一步规定：“只有在具有特定的目的和充分的必要性，并采取严格保护措施的情形下，个人信息处理者方可处理敏感个人信息”。 因此，对于互联网医院而言，必须基于必要性原则收集个人信息，即，只能收集对患者诊断而言必要的信息，而不能超出这个范围。例如，不能收集患者的人脸识别信息、指纹信息等，如果这些信息与诊断无关。

且在《个人信息保护法》第29-30条明确了敏感个人信息的如下处理原则：

“处理敏感个人信息应当取得个人的单独同意；法律、行政法规规定处理敏感个人信息应当取得书面同意的，从其规定。

个人信息处理者处理敏感个人信息的，除本法第十七条第一款规定的事项外，还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响；依照本法规定可以不向个人告知的除外。”

特别地，应注意，在医疗诊断或互联网医院运营中，若需处理不满十四周岁的未成年人信息时，还应遵守《个人信息保护法》第31条的如下规定：

“个人信息处理者处理不满十四周岁未成年人个人信息的，应当取得未成年人的父母或者其他监护人的同意。”

也就是说，未成年人的个人信息都属于敏感信息，不仅要遵从上述敏感信息的处理原则，还需要征得未成年人的监护人的同意，为此，信息处理者处理不满十四周岁未成年人个人信息的，应当制定专门的个人信息处理规则。

（2）明确“告知-同意”的信息收集原则

长期以来，在实践中，互联网企业（例如互联网医院）推出的App通常以勾选“隐私协议”来获取用户一揽子授权，用户经常面临着“不同意即不可用”的困境。

《个人信息保护法》确立了个人信息处理应遵循的原则，强调处理个人信息应当遵循合法、正当、必要和诚信原则，具有明确、合理的目的并与处理目的直接相关，采取对个人权益影响最小的方式，限于实现处理目的的最小范围，公开处理规则，保证信息质量，采取安全保护措施等。

对于互联网医院所涉及的个人敏感信息，在处理这些信息时更应当在事先充分告知的前提下取得个人同意，个人信息处理的重要事项发生变更的，应当重新向个人告知并取得同意。并且这些同意需要向用户明确告知收集这些个人医疗健康数据的目的、使用方式、使用范围等，并获得用户的“单独同意”和“书面同意”。

对于收集方式不合法及不合规的情况，可能导致行政处罚（例如被责令整改、通报批评、甚至下架相关产品）。具体地，综合近期的行政处罚案例，我们认为，对于数据合规的行政查处中，重点关注企业是否能够以明确、直接的方式向用户公开所要收集的个人信息，并且将重点核查企业是否在信息收集过程中依照相关规章法规的要求，明确告知了使用个人信息的目的、方式、范围。

（3）最小必要原则

首先，在数据的采集过程中，应注意遵循最小必要原则。《个人信息保护法》第6条规定了：“处理个人信息应当具有明确、合理的目的，并应当与处理目的直接相关，采取对个人权益影响最小的方式。收集个人信息，应当限于实现处理目的的最小范围，不得过度收集个人信息”。

具体地，GB35273中规定了：“收集的个人信息的类型应与实现产品或服务的业务功能有直接关联；直接关联是指没有上述个人信息的参与，产品或服务的功能无法实现。自动采集个人信息的频率应是实现产品或服务的业务功能所必须的最低频率。获取个人信息的数量应是实现产品或服务功能所必需的最少数量。”

基于此，在互联网医院的运营过程中，应当在服务所需的最小范围内，采集与产品或服务直接相关且实现相关业务功能所必需的个人数据，不应过度延伸；且在采集过程中，应以实现产品或服务功能必需的最低频率采集，并将所采集的用户数据数量限定为实现产品或功能的最少数量。此外，在法律规定的保存期限届满、处理目的已实现或个人撤回同意的特定情况下，应及时删除个人信息。例如，对于复诊用户而言，仅保存复诊所需的数据，保存的期限应局限于诊疗过程，一旦用户已经痊愈，则应当及时删除用户的数据。

互联网医院在进行诊疗过程中，有些数据有可能归属于遗传资源材料及遗传资源信息，此时，除了应当遵循《个人信息保护法》关于敏感个人信息的相关规定外，还应当遵循《中华人民共和国人类遗传资源管理条例》中的相关规定。

《人类遗传资源管理条例》适用于在中国境内从事的中国人类遗传资源的采集行为，并规定了在遗传资源的采集、处理、保藏、处境中的相关规定。

具体地，《中华人民共和国人类遗传资源管理条例》第二条规定：“本条例所称人类遗传资源包括人类遗传资源材料和人类遗传资源信息。人类遗传资源材料是指含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料。人类遗传资源信息是指利用人类遗传资源材料产生的数据等信息资料。”从这个定义可以看出，互联网医院在问诊过程中很可能涉及到这些人类遗传资源信息，例如，对一些遗传类疾病的基因检查结果、涉及生殖健康领域的疾病的基因筛查结果、采集的血样信息等：

（1）人类遗传资源采集

《人类遗传资源管理条例》适用于在中国境内从事的中国人类遗传资源的采集行为。中国人类遗传资源的采集仅限我国的科研机构、高等学校、医疗机构、企业(“中方单位”)进行，外国组织及外国组织、个人设立或者实际控制的机构（“外方单位”）不得在我国境内采集人类遗传资源。

采集“特定类型”的人类遗传资源，即我国重要遗传家系、特定地区人类遗传资源或者采集国务院科学技术行政部门规定种类、数量的人类遗传资源，应通过科技部审批。例如，为研发新冠疫苗，采集武汉地区的人类基因数据或病理数据，就需要审批。在申请审批时，申请单位需提供采集方案、知情同意书、伦理审查批件及人类遗传资源管理制度等申请材料，供科技部审查。

对于不涉及前述“特定类型”的人类遗传资源的采集行为，《人类遗传资源管理条例》未要求审批/备案，但仍需满足采集人类遗传资源的一般性要求，即事先告知人类遗传资源提供者采集目的、采集用途、对健康可能产生的影响、个人隐私保护措施及其享有的自愿参与和随时无条件退出的权利，征得人类遗传资源提供者书面同意。

（2） 人类遗传资源利用

人类遗传资源的“利用”，是对利用人类遗传资源材料或信息开展研发生产活动的统称。医疗企业基于人类遗传资料或信息展开研究、研发或药物生产等活动时，应当遵循人类遗传资源利用的相关规定。

具体地，根据《人类遗传资源管理条例》的规定：中方单位自行“利用”人类遗传资源开展研发生产活动，以及与其他中方单位分享人类遗传资源或开展合作研发，无需审批或备案。涉及外方单位的“利用”行为则需要科技部审批/备案，具体是指：(1)“国际合作科学研究”：适用审批制，例如“关于肿瘤抑制基因的研究”；(2)“国际合作临床试验”：适用备案制，例如“保健品服用前后的皮肤微生物变化的临床测试”。 

应了解，其中所谓“国际合作”，是指“中方单位”与“外方单位”进行合作。“外方单位”是指“外国组织及外国组织、个人设立或者实际控制的机构”，包括外国机构、在华外资机构，以及受外国或外资机构控制的在华内资机构。

（3）人类遗传资源保藏

《人类遗传资源管理条例》项下的“保藏”，是指将来源合法的人类遗传资源保存在适宜环境条件下，保证其质量和安全，用于未来科学研究的行为，不包括实验室检测后按照法律、法规要求或临床研究方案约定的临时存储行为。

“保藏”不限于以人类遗传资源保存为最终目的的行为，也包括为了用于未来科学研究而对材料或信息进行存储。实践中，例如将人类精子冷冻保存于精子库、将遗传资料数据存于数据库等，都属于保藏行为。

中国人类遗传资源的保藏仅限中方单位进行，外方单位不得在我国境内保藏人类遗传资源。保藏我国人类遗传资源的单位需按照申请条件在科技部办理审批，这意味着，不同的保藏单位对同一份人类遗传资源信息分别进行保藏，每一家保藏单位应单独取得审批。保藏单位应落实保藏管理工作，采取安全措施，制定应急预案，记录保藏情况并留档，每年度向科技部提交年报等。

总而言之，对广大医药企业、医疗机构来说，在遵循《人类遗传资源管理条例》及科技部门监管要求的基础上，有机结合网络安全与数据合规的相关要求，将有助于合规开展医疗相关的数据处理活动。接下来将给出具体建议如下：

（1）数据收集中的合规建议——明示同意+书面同意

依据《信息安全技术-个人信息安全规范》，采集涉及个人医疗健康等信息的 “个人敏感信息”，需要取得个人信息主体的“明示同意”，即个人信息主体在完全知情的基础上自愿给出的、具体的、清晰明确的愿望表示。

具体地，医药企业、医疗机构在采集个人医疗健康等信息时，应注意尊重个人信息主体的意愿，不应要求个人信息主体一次性接受并授权同意全部信息收集请求，应向个人信息主体提供对各项请求分别选择“同意”或“拒绝”的选项。

此外，医药企业、医疗机构需在《个人信息保护政策》或《隐私政策》等书面材料中明确个人敏感信息的收集、使用场景，收集的目的、方式和范围等内容，征求个人信息主体的同意，并告知个人信息主体对其提供的个人信息享有的权利和权利行使途径。信息收集方应避免违规收集个人信息，比如默认个人信息主体同意被收集信息、超范围收集信息、收集与所提供服务或披露的目的无关的信息、不提供撤回同意的途径等。

（2）数据安全管理中的合规建议——信息安全三级等级保护

一方面，在进行医疗数据采集中，若设置互联网医院，则应遵循《互联网医院管理办法（试行）》第十五条：“互联网医院信息系统按照国家有关法律法规和规定，实施第三级信息安全等级保护”的规定，按照信息安全三级等级保护的规定实施信息保护。

另一方面，存储个人敏感信息的医药企业、医疗机构等，属于《网络安全法》项下的“网络运营者”，应按照网络安全等级保护的要求，履行网络安全保护义务。另外，如果还存储有人类遗传资源信息，则很可能会涉及到“重要数据”。按照《数据安全法》的要求，重要数据的处理者应当设立数据安全负责人和管理机构，落实数据安全保护责任，定期开展风险评估，并向有关主管部门报送风险评估报告。