(网经社讯)随着《数据安全法》的出台,以及近期各种网络安全审查活动的开展,数据安全成为企业关注的法律风险点。近期笔者将以企业为主要视角,分别从企业与政府机构合作、企业自身经营以及信息主体维权三种不同情景,从医药行业、关键信息基础设施(CII)、个人信息的收集等方面对企业经营的数据合规问题进行数据安全法与刑事法律的双重解读。
以互联网医疗领域为例,某科技公司想和国家卫生健康委员会进行合作,可能被要求或者自愿开发,或与政府部门合作开发接触者追踪APP,通过对医院收集的病人病历进行分析,获取该病人的特定地域、所在行业,来判断哪些地区哪个行业的人群容易患病的类型。根据这些大数据分析对特定地区和行业的用户定制化推荐医院的诊疗服务。
这种政府与企业合作的情境下,政府应当如何协调和处理与企业之间的数据共享关系,并且保证数据工作安全合法?
一、数据安全方面
1.共享数据的内容及性质
应当明确的是政府与企业之间共享的数据内容是病人病历,属于患者个人信息并无争议,但是否属于政务数据?根据《数安法》第40条,如果政府以履职为目的委托科技公司建设数据收集系统、存储加工数据,这种数据才属于政务数据,且要经过严格批准程序,受托方也不得擅自留存、使用或向他人提供政务数据。而本例中数据收集主体是科技公司,且目的并非受政府委托、为政府服务,而是便于科技公司日后为用户提供定制化诊疗服务,因此,科技公司收集到的数据不属于政务数据。科技公司对收集数据的处理不依照政务数据的处理规范进行规制,而要以个人信息保护的规定来判断科技公司的数据收集和处理行为。
2.数据共享方式的合法性
科技公司与卫健委的合作方式可能是以第三方信息系统接入卫健委系统,对病人病历、地理位置和行业等个人信息进行采集,则需要考察这是否满足合规要求。
《数安法》第32条规定,“任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。法律、行政法规对收集、使用数据的目的、范围有规定的,应当在法律、行政法规规定的目的和范围内收集、使用数据。”《互联网医疗健康信息安全管理规范》也要求互联网医疗健康信息安全管理应确保互联网医疗健康信息系统的合规性、可用性和安全性;确保互联网医疗健康信息采集、存储、传输、应用、销毁等全生命周期的信息处理合法、正当、必要的原则,不得过度处理,保障信息完整、保密,保护个人信息安全、公众利益和国家安全。
从海外经验来看,以英国为例,智慧医疗科技公司TPP与英国国家医疗服务体系NHS在医疗数据方面有紧密合作,TPP医疗系统储存着英国2/3以上人口的电子病历,托管5000万名患者的健康档案,而对于患者信息的隐私安全,则需要国家监管到企业合规都形成完善机制。例如国家监管层面,确定严格的数据安全保护法规和信息技术服务提供许可标准,同时设立专门数据监管机构和配套监管惩罚措施;行业监管层面,应当设置一系列行业认证和国家标准,以确保充分的数据安全和保护能力;企业层面,在用户端主动采取避免意外数据泄露的程序设计,等等。
在我国,2018年国务院办公厅出台了关于《促进“互联网+医疗健康”发展的意见》,确定了互联网医疗的发展方向,支持医疗健康信息互通共享。针对个人医疗健康信息的保护问题,国家也通过《网络安全法》、《电子病历应用规范(试行)》、《国务院办公厅关于促进和规范健康医疗大数据应用发展的指导意见》等法律和行政文件的形式作出了相关规定,加上2020年6月生效的《基本医疗卫生与健康促进法》(简称《卫健法》)第92条规定“任何组织或者个人不得非法收集、使用、加工、传输公民个人健康信息,不得非法买卖、提供或者公开公民个人健康信息。”进一步为个人医疗健康信息保护提供法律支撑。同时,我国也相继颁发了《电子病历共享文档规范》《电子病历与医院信息平台标准符合性测试规范》《电子健康档案与区域卫生信息平台标准符合性测试规范》(总共包含57项卫生行业标准)等一系列卫生信息标准,各级医疗机构和企业在设计开发和采购医疗信息系统时均应严格执行上述标准。
结合《数安法》第32条规定,并无法律明确禁止第三方信息系统接入政府系统,尤其《国家健康医疗大数据标准、安全和服务管理办法(试行)》对于卫健委建立健康医疗大数据开放共享的工作机制的共享和交换对象,除医疗卫生机构外,还包括“相关企事业单位”,所以法律并不禁止(国有)企业作为健康医疗大数据的共享对象。以互联网医疗产业发展为背景,第三方信息系统对医疗信息的使用、处理、管理均符合法律法规及相关标准,则不具有违法性。
3.互联网医疗中个人信息保护
不可否认,这种依托互联网作为载体和手段的健康医疗服务模式不仅得到了来自政策的肯定和引导,也受到了防疫需求的推动,但公民个人医疗、健康信息的安全和隐私保护问题也随之出现,甚至有不法人员破解及下载医院信息系统数据并牟取暴利的案例。涉及到病人的敏感个人信息,企业应当征得病人或监护人、委托代理人的授权许可,许可是不可缺少的前提,同时对于个人信息的采集利用应当遵守最小必要原则,收集的信息以达到目标为界限,不可过度收集。
根据《网络安全法》第40条规定“网络运营者应当对其收集的用户信息严格保密,并建立健全用户信息保护制度”,第41条规定“收集、使用个人信息需要征求被收集者的同意,未经被收集者同意,不得向他人提供个人信息。但是,经过处理无法识别特定个人且不能复原的除外”。作为第三方的科技公司利用卫健委系统中的健康医疗数据进行分析并形成模型,属于数据处理行为,将模型用于商业化的行为实质上是一种使用行为。《网络安全法》规定收集、使用个人信息需要征得被收集人的同意,第三方机构在卫健委的系统中进行处理、使用的行为当然需要经过患者的同意,并且对医疗机构与第三方机构之间的合作行为也需要向患者披露。但是,以上也仅限于未经处理,能识别特定个人且能复原的数据,经过处理不能识别特定主体,且不能复原的数据利用属于法定允许的范围内。其实,对医疗健康信息的保护和妥善利用并不相悖,通过合理的机制进行数据脱敏,则可以找到并规范对医疗健康数据的合理利用途径。
二、刑事风险解读
在这种合作关系下,企业与政府主体(国家工作人员)都存在着一定的刑事风险。以下根据现行《刑法》及相关司法解释进行列举:
1.如果科技公司存在非法获取公民个人信息的行为,则可能构成侵犯公民个人信息罪
《刑法》第253条之一【侵犯公民个人信息罪】违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。
窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。
单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各条款的规定处罚。
结合《最高人民法院、最高人民检察院关于办理侵犯公民个人信息刑事案件适用法律若干问题的解释》解读如下:
(1)“违反国家规定”,可以包括《网络安全法》《卫健法》,以及即将生效的《数安法》等,有关公民个人信息收集、使用、存储、处理等法律规定。
(2)行为方式包括:①向特定人提供公民个人信息,以及通过信息网络或者其他途径发布公民个人信息的;②未经被收集者同意,将合法收集的公民个人信息向他人提供的,但是经过处理无法识别特定个人且不能复原的除外;③通过购买、收受、交换等方式获取公民个人信息,或者在履行职责、提供服务过程中收集公民个人信息的。
不论获取公民个人信息的途径是非法的还是合法的,只要对公民个人信息进行转售或未经信息主体同意而提供给他人,都可以满足该罪的行为要件。
(3)“情节严重”包括:①出售或者提供行踪轨迹信息,被他人用于犯罪的;
②知道或者应当知道他人利用公民个人信息实施犯罪,向其出售或者提供的;
③非法获取、出售或者提供行踪轨迹信息、通信内容、征信信息、财产信息五十条以上的;
④非法获取、出售或者提供住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的公民个人信息五百条以上的;
⑤非法获取、出售或者提供第③、④项规定以外的公民个人信息五千条以上的;
⑥数量未达到第③至⑤项规定标准,但是按相应比例合计达到有关数量标准的;
⑦违法所得五千元以上的;
⑧将在履行职责或者提供服务过程中获得的公民个人信息出售或者提供给他人,数量或者数额达到第③至⑦项规定标准一半以上的;
⑨曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法获取、出售或者提供公民个人信息的。
⑩为合法经营活动而非法购买、收受第③、④项以外的信息:利用非法购买、收受的公民个人信息获利五万元以上的;曾因侵犯公民个人信息受过刑事处罚或者二年内受过行政处罚,又非法购买、收受公民个人信息的。
2.如果科技公司通过非法手段接入卫健委系统获取公民的病历信息,则还可能构成非法获取计算机信息系统数据罪
《刑法》第285条第二款【非法获取计算机信息系统数据、非法控制计算机信息系统罪】违反国家规定,侵入前款规定以外的计算机信息系统或者采用其他技术手段,获取该计算机信息系统中存储、处理或者传输的数据,或者对该计算机信息系统实施非法控制,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。
结合《最高人民法院、最高人民检察院关于办理危害计算机信息系统安全刑事案件应用法律若干问题的解释》解读如下:
(1)“计算机信息系统”:国家事务、国防建设、尖端科学技术领域以外的计算机信息系统。
(2)“情节严重”:①获取支付结算、证券交易、期货交易等网络金融服务的身份认证信息十组以上的;
②获取第①项以外的身份认证信息五百组以上的;
③非法控制计算机信息系统二十台以上的;
④违法所得五千元以上或者造成经济损失一万元以上的。
3.如果科技公司非法获取医疗机构病患的电子病历信息,可能构成侵犯商业秘密罪
《刑法》第219条【侵犯商业秘密罪】有下列侵犯商业秘密行为之一,情节严重的,处三年以下有期徒刑,并处或者单处罚金;情节特别严重的,处三年以上十年以下有期徒刑,并处罚金:
(一)以盗窃、贿赂、欺诈、胁迫、电子侵入或者其他不正当手段获取权利人的商业秘密的;
(二)披露、使用或者允许他人使用以前项手段获取的权利人的商业秘密的;
(三)违反保密义务或者违反权利人有关保守商业秘密的要求,披露、使用或者允许他人使用其所掌握的商业秘密的。
明知前款所列行为,获取、披露、使用或者允许他人使用该商业秘密的,以侵犯商业秘密论。
本条所称权利人,是指商业秘密的所有人和经商业秘密所有人许可的商业秘密使用人。
首先,《刑法修正案(十一)》删除了对“商业秘密”的定义,而参考《反不正当竞争法》第9条第三款规定,商业秘密是指不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息和经营信息。患者信息具备秘密性、法律强制保护的特殊性以及对医疗行业的商业价值属性,在性质上认定为医疗机构的商业秘密并无不妥。
其次,病历资料不仅有患者的个人信息,还包括医生的诊疗内容,而一般认为病历上诊疗信息是医生智力活动成果的结晶,受到知识产权保护,科技公司若收集的是病历资料,那么也包含了医生履职过程中形成的智力成果。
因此,根据科技公司使用病历资料的行为,如果未经医疗机构和患者本人同意或授权,通过电子侵入或其他不正当手段获取患者病历资料则可能构成侵犯商业秘密罪或其他侵犯知识产权类犯罪。
4.如果科技公司合法收集公民个人信息后,不履行信息网络安全管理义务导致用户病历信息泄露,则可能构成拒不履行信息网络安全管理义务罪
《刑法》第286条之一【拒不履行信息网络安全管理义务罪】网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务,经监管部门责令采取改正措施而拒不改正,有下列情形之一的,处三年以下有期徒刑、拘役或者管制,并处或者单处罚金:
(一)致使违法信息大量传播的;
(二)致使用户信息泄露,造成严重后果的;
(三)致使刑事案件证据灭失,情节严重的;
(四)有其他严重情节的。
单位犯前款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照前款的规定处罚。
有前两款行为,同时构成其他犯罪的,依照处罚较重的规定定罪处罚。
结合《最高人民法院、最高人民检察院关于办理非法利用信息网络、帮助信息网络犯罪活动等刑事案件适用法律若干问题的解释》解读如下:
(1)“造成严重后果”:①致使泄露行踪轨迹信息、通信内容、征信信息、财产信息五百条以上的;
②致使泄露住宿信息、通信记录、健康生理信息、交易信息等其他可能影响人身、财产安全的用户信息五千条以上的;
③致使泄露第①、②项规定以外的用户信息五万条以上的;
④数量虽未达到前三项规定标准,但是按相应比例折算合计达到有关数量标准的;
⑤造成他人死亡、重伤、精神失常或者被绑架等严重后果的;
⑥造成重大经济损失的;
⑦严重扰乱社会秩序的。
(2)“其他严重情节”:①对绝大多数用户日志未留存或者未落实真实身份信息认证义务的;
②二年内经多次责令改正拒不改正的;
③致使信息网络服务被主要用于违法犯罪的;
④致使信息网络服务、网络设施被用于实施网络攻击,严重影响生产、生活的;
⑤致使信息网络服务被用于实施危害国家安全犯罪、恐怖活动犯罪、黑社会性质组织犯罪、贪污贿赂犯罪或者其他重大犯罪的;
⑥致使国家机关或者通信、能源、交通、水利、金融、教育、医疗等领域提供公共服务的信息网络受到破坏,严重影响生产、生活的。
5.对于允许第三方信息系统接入卫健委系统的行为,卫健委及政府机构工作人员可能面临一定的法律风险
卫健委作为利用信息网络提供给医疗公共服务的单位,也属于《刑法》第286条之一第一款规定的“网络服务提供者”,因此,如果因卫健委医疗信息共享不规范导致患者病历信息泄露,经监管部门责令采取改正措施而拒不改正,造成严重后果的,卫健委或其工作人员也可能构成拒不履行信息网络安全管理义务罪。卫健委工作人员属于国家工作人员,也可能构成渎职类犯罪。
由此看来,允许第三方信息系统接入国家掌握的医疗信息系统,对于具体单位和工作人员而言都存在法律风险,这也一定程度上导致第三方信息系统在实践中难以通过接入官方信息系统的方式获取个人信息,而往往是本身作为医疗机构,对其单位经营过程中获取的个人信息加以利用。
