一、研究背景
一 个人信息保护面临严峻形势
随着移动互联网技术的飞速发展,医疗APP作为健康管理和医疗服务的新型工具,在人们的日常生活中扮演着越来越重要的角色。然而,随之而来的个人信息安全问题也日益凸显。用户在享受医疗APP带来便捷服务的同时,往往不自觉地提交了大量的个人信息,并通过了多项隐私授权。这些信息的流向、存储方式以及使用途径,对于用户而言往往是一个难以窥视的“黑盒子”。
一方面,医疗APP收集个人信息的规模和范围,从用户的个人基础信息如姓名、年龄、性别,到更为敏感的健康状况、病历记录、用药情况等,医疗APP几乎涵盖了用户健康管理的方方面面。用户对于这些信息被收集的过程往往缺乏明确的感知,导致许多用户在不完全了解的情况下便轻易授权了个人信息的使用权限。
另一方面,对于个人信息的存储和使用,更是充满了风险,例如将用户数据交由第三方进行研究或分析。这种情况下,数据的流向和使用方式就更加难以管控,数据被滥用和不当使用的风险也随之增加。
总得来看,医院涉及的个人信息数量庞大,在管理和保护方面面临着巨大的挑战,且缺乏有效的数据安全防护手段,随着技术的不断进步,黑客攻击和信息泄露的风险也在不断增加,这些因素共同导致了个人信息保护地难以落实。
二 医院个人信息保护的必要性
随着医疗技术的进步和信息系统的普及,医院积累了大量的患者个人信息和诊疗数据,医院个人信息多数为个人健康信息,相比其他领域的个人信息(如个人联系方式、住址、财务信息等)隐私程度更高,而医疗健康信息从患者的个人基本信息到检查检验结果、诊断结果、治疗信息及手术信息等,一旦泄露或被滥用,将可能导致患者名誉受损、经济损失甚至生命健康受到威胁。医疗健康信息的来源包括病患数据、病历信息、医疗保险信息、健康日志、基因遗传、医学实验、临床数据、体外诊断产品(in vitrodiagnostic products,IVD)及第三方检测数据、科研数据等。同时,个人信息的泄露还可能引发医疗纠纷和社会不稳定因素,对医疗秩序造成不良影响。因此,保护患者个人信息不仅是医院的法律责任,也是维护患者权益和保障医疗秩序的重要措施。
除了医院个人信息的高价值外,对医院个人信息保护的迫切性也来自于相关法律法规的严格要求。其中,《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)作为一部专门针对个人信息保护的法律,为个人信息处理者设定了明确的责任和义务。医院作为典型的个人信息处理者,其收集、存储、使用患者个人信息的行为应受到法律的严格监管。
自2025年1月1日起施行的《网络数据安全管理条例》(以下简称《管理条例》),《管理条例》的第二十八条规定“网络数据处理者处理1000万人以上个人信息的,还应当遵守本条例第三十条、第三十二条对处理重要数据的网络数据处理者(以下简称重要数据的处理者)作出的规定。”因此,存储1000万人及以上个人信息的医院,多数医疗健康信息也属于个人信息中的敏感信息,是与国家安全、经济发展以及社会公共利益密切相关的重要数据,应参照国家重要数据的标准来加强安全管理。另外,《管理条例》的第五章设专章规定了网络数据跨境安全管理,在全球化背景下,医院可能涉及跨国医疗合作、学术交流等活动,这就涉及到个人信息的跨境传输,根据《管理条例》的规定,医院在进行个人信息出境时必须满足合规要求,确保个人信息的安全性和合法性。
三 国外个人信息保护发展现状
信息技术的飞速发展和全球化进程的加速,个人信息保护已成为全球共同关注的议题。各国纷纷出台相关法律法规,规范个人信息的收集、使用、存储和共享,以保护个人隐私和数据安全。
首先,以欧盟为例,其制定了《通用数据保护条例》(简称GDPR),为欧盟境内的个人信息保护提供了统一的标准和要求。GDPR要求组织在处理个人信息时必须遵守一系列原则,包括明确告知信息用途、取得合法同意、尊重信息自主权等,并规定了严格的罚则来确保法规的执行。
其次,美国虽然未制定统一的个人信息保护法,但其在各个行业领域都进行了立法尝试。例如,在医疗领域,美国实施了《健康保险携带和责任法案》(HIPAA),明确规定了个人隐私数据保护的具体范围和披露原则。要求医疗机构、保险公司等相关实体在处理个人健康信息时必须遵守严格的隐私保护标准。这一法案的实施,有效地保护了个人健康信息的隐私和安全,减少了信息泄露和滥用的风险。
此外,其他国家如加拿大、澳大利亚等也制定了相应的个人信息保护法律,以确保个人信息的安全和隐私。
四 国内个人信息保护合规审计
医疗健康信息属于敏感个人信息,在合规义务方面,《个人信息保护法》明确要求,处理个人信息应当在事先充分告知的前提下取得个人同意,并规定在处理敏感个人信息、向他人提供或公开个人信息、跨境转移个人信息等环节应取得个人的单独同意。《个人信息保护法》第五章从内部控制和外部监管两个维度对 “个人信息处理者的义务”进行了设定。如:第五十四条从内部控制角度为个人信息处理者设定了强制定期审计的义务,第六十四条规定了特殊情形下的选择性审计。个人信息保护合规审计通过对个人信息处理者的个人信息处理活动是否遵守法律、行政法规及相关技术标准情况进行审查和评价等监督活动,确实是一个督促医院更好落实个人信息保护的有效手段。
2024年7月,《数据安全技术 个人信息保护合规审计要求》公开征求意见,为我们落实个人信息保护合规审计提供了国家标准参考。标准中给出个人信息保护合规审计的审计原则、审计总体要求,针对个人信息处理者以及开展个人信息保护合规审计的审计人员提出了总体要求。标准附录给出了个人信息保护合规审计流程、审计证据、审计内容和审计方法、审计底稿模板、报告模板等参考。
2023年8月3日,国家网信办公开的《个人信息保护合规审计管理办法(征求意见稿)》(简称《管理办法》)及附带的《个人信息保护合规审计参考要点》(简称《参考要点》),进一步细化了个人信息保护合规审计的具体要求和操作流程,为组织开展合规审计提供了明确指导。该征求意见稿明确了个人信息保护合规审计的目的、原则、程序和要求,强调了审计活动的独立性和客观性。同时,参考要点也为审计活动提供了具体的参考依据和评判标准。
二、个人信息保护合规审计
一 基本概念
为有效防范个人信息保护合规风险,将审计嵌入个人信息保护合规管理的评价和监督中,就形成了个人信息保护合规审计。个人信息保护合规审计是指审计机构和审计人员以个人信息保护的相关法律、规则及准则为依据,对被审计单位及其员工的个人信息保护行为是否合规所实施的一种监督活动。由于个人信息兼具私有属性和公共属性的特征,个人信息保护合规审计要实现双重目标:从个人信息的私有属性出发,个人信息保护合规审计要实现监管型目标,规范个人信息处理活动,防范侵害个人信息权益事件的发生;从个人信息的公共属性出发,个人信息保护合规审计要实现服务型目标,促进个人信息社会价值和使用价值的发挥。
二 适用情形
《个人信息保护法》将合规审计的触发情形区分为“定期自主审计”与监管部门认为个人信息处理活动存在较大风险或者发生个人信息安全事件时要求的“不定期强制审计”两类。《管理办法》根据个人信息处理者的处理活动规模,进一步要求处理超过100万人个人信息的个人信息处理者,应当每年至少开展一次合规审计;其他个人信息处理者,应当每两年至少开展一次合规审计。同时,对审计机构的推荐和选择也明确了要求,以及个人信息处理者在专业机构开展合规审计工作时的协助配合。
三 要点解读
《参考要点》则将使用自动化决策、参与网络暴力、处理敏感信息等相关情况纳入审计范畴,首次针对外部独立监督机构职能和个人信息保护社会责任报告内容作出具体要求,详细列举了个人信息处理者或其委托的专业机构在开展合规审计时的审查事项,与《个人信息保护法》中各章规定相对应,同时纳入了GB/T 35273-2020《信息安全技术 个人信息安全规范》等行政法规和国家标准的要求,基本囊括了个人信息处理全流程各环节。
四 核心内容
个保合规审计的核心内容包括个人信息权益保障和个人信息处理者基本义务两方面。
在个人信息权益保障的合规审计,个人信息处理活动包括个人信息的收集、存储、使用、加工、传输、提供、公开和删除等活动。审计的重点内容包括:对个人信息处理合法性的基础审查,确保个人信息处理活动有明确的法律依据。同时,审计还需要关注个人信息处理规则的执行情况是否遵循了相关规定。在共同处理、委托、提供等情况下,审计需要关注个人权益的保障是否得到妥善处理,确保个人信息在流转过程中不被非法获取或滥用。此外,公开与收集、删除权和可携带权、跨境提供及境外接收要求等方面的合规性也是审计的重要内容。特别是对于未成年人的个人信息保护,审计要求更加严格,以确保其权益得到充分保障,自动化决策是否遵循了公平、公正、透明的原则,是否对个人权益造成了不当影响等等。
在个人信息处理者基本义务的合规审计,应明确个人信息保护合规的主体责任,《参考要点》明确了个人信息处理者对个人信息保护承担主体责任的主要审查要点:一是重点对个人信息保护制度的建设情况的审计,重点关注个人信息处理者是否按照法律法规的要求建立个人信息保护的内部管理制度和操作流程。二是重点审计个人信息保护合规制度的遵守情况,重点关注个人信息处理者是否按照法规要求并结合自身业务特点进行个人信息的分类管理,是否采取网络安全等基础安全控制措施和加密等安全技术措施,是否定期对员工开展个人信息保护安全培训,是否制定个人信息安全事件应急预案并定期进行应急演练。三是如果对提供重要互联网平台服务、用户数量巨大、业务类型复杂的个人信息处理者进行个人信息保护合规审计,还应关注其是否成立主要由外部成员组成的独立机构对个人信息保护情况进行监督,是否按照公开、公平、公正的原则明确平台的个人信息保护规范和义务,是否定期发布个人信息保护社会责任报告等。
三、医院个人信息保护场景分析
以下如图1是医院个人信息处理活动的展示,包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等,对每个阶段使用的情况进行分析,并给出应采取的个人信息保护措施,为个人信息保护合规审计提供实践参考。
图1 医院个人信息处理活动
一 收集
1.场景描述
个人信息收集目前医院从外部采集的数据主要包括科研数据,主要是按照研究类型进行人工填报。从患者个人主体采集的数据包括患者基本信息、患者院内诊疗数据、患者在院外的行为和感官产生的数据。重点关注个人信息收集是否获得授权同意,收集方式是否具有合法正当性,收集目的是否明确且合理,收集范围是否存在超范围收集情况,收集频率是否为所必需的最低频率,收集数量是否为所必需的最小数量。
2.参考《个人信息保护法》第六条,限于实现处理目的的最小范围,不得过度收集和第十三条,取得个人的同意。
应采用合同协议等方式,明确双方在数据安全方面的责任及义务;
告知授权、明示同意、隐私协议、留存时间、采集内容最小化;
采集未成年人信息的知情同意、防护措施;
制定数据采集的操作规程,规范采集数据的目的和用途等。
3.安全技术要求
身份鉴别、终端控制、设备物理位置、网络接入方式;
采集过程的日志记录;
访问控制、数据加密。
二 传输
1.场景描述
数据传输分为院内传输和院外传输。重点关注是否对个人信息传输进行分级管控,是否进行传输前的授权批准,是否对个人信息进行校验,是否采用入侵检测等安全技术进行传输安全保障。
2.参考《个人信息保护法》第十条 任何组织、个人不得非法收集、使用、加工、传输他人个人信息,不得非法买卖、提供或者公开他人个人信息;不得从事危害国家安全、公共利益的个人信息处理活动。
不同部门、区域间、不同级别数据传输安全策略;
外部机构的审批流程。
3.安全技术要求
数据传输选择技术,传输采用的密码技术,通信双方身份认证,加密协议;
加密传输。
三 存储
1.场景描述
数据存储安全主要涉及两方面的内容,一个是存储环境的安全性,另一个是数据内容的安全性。除此之外,还需要考虑数据备份与恢复的安全。重点关注存储期限是否为所必要的最短时间,存储地点是否存在境内存储的要求,存储技术是否采用加密和去标识化等安全措施,存储设置是否具有备份和恢复策略。按照《医疗机构病例管理规定》《电子病历应用管理规范》,门急诊病历,由医疗机构保管的,保存时间不少于15年,住院病历保存时间不少于30年。
2.参考《个人信息保护法》第十九条 除法律、行政法规另有规定外,个人信息的保存期限应当为实现处理目的所必要的最短时间。第三十六条 国家机关处理的个人信息应当在中华人民共和国境内存储。
数据存储位置;
院外存储的要求;
数据跨境要求;
备份恢复演练。
3.安全技术要求
用户身份认证和权限控制;
数据存储应采用加密;
备份策略,明确备份周期、频率、范围等。
四 使用
1.场景描述
对于诊疗过程的数据访问,前端医护患诊疗过程、后端业务数据交互过程中,要确保数据的安全传输、数据的合理展示、数据的可控访问;特权账号的数据访问场景;医疗数据导出场景下,通过对数据导出的安全管理,降低可能存在的数据安全风险;在医院客户端、自助终端的展示环节,规范终端及信息展示管理,采取医疗数据去标识化处理措施;以及服务对象告知、医疗数据集成平台和医生查阅数据等场景的数据使用安全。重点关注是否超范围使用个人信息,是否对个人敏感信息进行脱敏展示,是否对个人信息查询进行授权管理,是否对个人信息加工处理过程进行防泄露管控。
2. 参考《个人信息保护法》第五十一条 (二)对个人信息实行分类管理。(三)采取相应的加密、去标识化等安全技术措施。
不同级别数据访问控制过程中的相关安全措施;
最小化原则权限访问控制;
使用流程审批、使用场景、使用规则、授权机制等;
详细记录访问过程和操作日志记录;
数据导出时,最小化原则,导出场景,导出范围;
安全协议承诺书。
3.安全技术要求
数据水印、脱敏、匿名化技术、加密;
数据存储应采用加密;
身份鉴别、多因素认证。
五 提供和公开
1.场景描述
个人信息提供和公开方面,包括机构内部交换、外部共享、数据公开披露等活动,主要有公开披露、医联体数据共享、医保报销核算、商保查询分析和科研机构研究等场景。重点关注个人信息提供活动是否向信息主体尽到告知义务,提供范围是否超出个人同意范畴,是否和信息接收方签署责任协议并约束接收方行为。数据公开时重点关注公开披露是否得到信息主体的单独同意、是否存在适当的信息保护措施、是否存在披露规则并进行准确记录。
2.参考《个人信息保护法》第十条 不得非法买卖、提供或公开他人个人信息;第二十三条 向其他个人信息处理者提供其处理的个人信息的,应当向个人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得个人的单独同意。接收方变更原先的处理目的、处理方式的,应当依照本法规定重新取得个人同意。第二十五条 个人信息处理者不得公开其处理的个人信息,取得个人单独同意的除外。
敏感数据去标识化;
数据交换的认证和记录,个人授权同意;
相关协议或承诺,明确数据使用用途、不出境、访问审计和销毁承诺等;
跨机构数据使用的管理审批要求。
3.安全技术要求
数据传输加密;
上报、共享数据的审计和监测。
六 删除和销毁
1.场景描述
个人信息删除或销毁方面,重点关注是否具有受理个人信息删除诉求的途径,是否按照法规要求主动删除个人信息或按照信息主体要求删除个人信息等。
2.参考《个人信息保护法》第四十七条 有下列情形之一的,个人信息处理者应当主动删除个人信息;个人信息处理者未删除的,个人有权请求删除:(一)处理目的已实现、无法实现或者为实现处理目的不再必要;(二)个人信息处理者停止提供产品或者服务,或者保存期限已届满;(三)个人撤回同意;(四)个人信息处理者违反法律、行政法规或者违反约定处理个人信息;(五)法律、行政法规规定的其他情形。
数据保存期限、删除机制、删除流程、数据删除的场景;
测试数据的清理。
3.安全技术要求
数据存储介质的销毁管理办法,销毁技术措施。
四、保护策略和技术手段
一 个保合规审计工具使用
采用电子化和自动化手段可以让个人信息保护合规审计的效能提升。在审计前应做好审计计划,确定审计目标和范围,确定审计依据和重点,审计依据可以是法律法规、国标、行标、团标,审计流程包含审计准备、审计实施、审计报告、问题整改、归档管理。我们设计有三类人员角色使用个保合规审计工具,参见图2。
图2 个人信息保护合规审计工具用例图
个保合规审计过程的自动化包括数据资产梳理和敏感个人信息识别,需要有自动化手段梳理数据资产,从应用系统、数据库等网络流量中识别出个人信息,并根据数据特征判断;采集个人信息保护合规的证据,比如:个人信息处理活动,包括个人信息的收集、存储、使用、加工、传输、提供、公开、删除等,每个阶段使用的个保技术手段(如:审计、脱敏、加密)的网络日志和安全策略;为审计员提供不同行业个人信息保护政策和审计要点参考知识库,随着各行业的个保合规审计项目的增加,通过不断完善的法律法规和审计要点知识库,更大范围的适应不同行业的个人信息保护,提升审计的自动化程度和准确率。
二 医院个人信息保护策略
个保合规审计的目标在于个人信息保护,客观上起到了为医院保驾护航的作用:一是对个人信息处理行为的合规性进行监督和鉴证,可作为事后界定个人信息合规与否的判定依据;二是在审计结果的应用上,警示可能存在的合规风险,填补制度漏洞,提升合规水平。个人信息保护合规审计本就承载着外部规范与内在价值的追求,既不能单靠医院的合规自律,也不能仅靠外部监管,而应当双管齐下。
1.持续关注个人信息保护合规要求
在合规方面,也就是监管侧在推动个人信息保护合规审计的过程中,应当充分考虑不同医院的特点和需求,灵活调整审计策略,以达到既保护个人信息权益,又促进医院发展的双重目标。
2.合规建议的转化落地
合规审计完成之后,不应局限于形成的合规审计报告,而是需要对合规审计报告中存在的合规风险和漏洞进行整改加固。
3.个人信息保护策略
在技术体系方面,构建通用安全、数据全生命周期安全、平台安全的技术防护体系,明确各层级的个人信息保护安全技术保护要求。
在运营体系方面,展开数据安全风险评估个人信息保护评估,形成常态化、集中化、规范化的个人信息保护安全运营,实现事前预防、事中管控、事后审计溯源的持续、全面的安全防护。
在监督评价体系方面,行业主管单位通过评估认证、监测预警、个人信息保护合规审计等活动实现有效治理。
结 语
本文从个人信息保护面临严峻形势和医院实施个人信息保护的必要性开始,分析了国内外医院个人信息保护法律法规要求,个人信息保护合规审计是一个有效解决方法,针对医院个人信息使用的处理过程,进行合规审计的几个典型场景、关键点,并在此基础上提出基于个人信息全生命周期合规管理的工作思路和技术手段,对加强医院个人信息保护合规审计起到了推动的作用。
(本文作者:北京安华金和科技有限公司 谭峻楠)
声明:本文来自CCIA数据安全工作委员会,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。