以医药公司为视角探析患者个人信息保护.docVIP

以医药公司为视角探讨患者个人信息保护 　　【摘 要】 随着大数据时代的到来，个人信息的经济价值逐渐被社会广泛关注。其中患者的个人信息，不仅医院应该着重加以保护，医药公司同样也负有不可推卸的责任。目前国内对这一问题的探讨多集中于医院，恰恰忽略了具备一定的关联性却商业性更强的医药公司对患者数据的利用和保护。立法上的欠缺、公民个人维权意识淡薄，都导致此类事件屡见不鲜。未来中国立法将参考国际通行做法进行变革，医药公司应提前做好准备，规避法律风险 【关键词】 医药公司;个人信息保护;数据控制者;被遗忘权;数据披露 为更好了解本公司药物在临床上的实际使用情况，医药公司派人前往与自己有长期合作关系的医院收集患者姓名、性别、症状、诊疗信息、用药情况等，后将这些信息进行汇总和分析，作为市场调研结果发布到公司内部网站上，指导后续的研发和经营。这样的行为看似是公司的内部经营行为，但其在收集患者相关信息时没有征得患者同意，也没有遵循相关原则加以使用，已经侵犯了患者的个人信息 一、“个人信息”与“个人隐私”的概念辨析 关于这两个概念，目前有几种不同的“出镜”方式：在2015年《网络安全法》（草案）（以下简称《草案》）的法条表述中，这两个概念并列出现;在2013年《信息安全技术-公用及商用服务信息系统个人信息保护指南》（以下简称《保护指南》）中，“个人信息”被定义为全部或部分经过信息系统处理的数据;而在2012年欧盟新制定的《一般数据保护条例》（以下简称GDPR）中，将其定义为与一个身份已经被识别或者身份可以被识别的自然人相关的任何信息[1];在国际社会上，美国、香港用的是“Privacy Act”，而欧洲用的则是“Data Protection Act”的概念 对此，笔者个人认为：“个人信息”是人类进入信息时代的产物，而个人隐私是传统民法上的概念，强调对公民个人人格利益的保护。[2]在目前大数据时代背景下，“个人信息”的概念日渐受到重视。因此笔者将采用“个人信息”的概念阐述在数字经济时代中对个人信息利用与保护并重的政策 二、立法规制现状 针对上述情况，现有的立法规制包括：2012年《关于加强网络信息保护的决定》（以下简称《保护决定》）、2013年《保护指南》、2015年《草案》）以及《刑法》（2015年）第253条之一“侵犯公民个人信息罪”。这些法条要求在收集患者个人信息时，必须本着合法、正当、必要的原则，明示一些事项，并征得其同意。后续处理和转移时也必须经过患者同意。另外对于违反规定向他人提供公民个人信息，情节严重的，还可能承担刑事责任 实践中，类似的情况屡见不鲜，但却并没有引发大量的维权诉讼，一是因为目前公民对就这一问题的法律意识相对较为薄弱，二是立法上对此类问题的规制并没有予以充分的惩罚措施：《保护指南》单纯进行了行为规范，没有提到相应的法律责任和救济途径;《保护决定》中虽然提到救济途径和惩罚措施，但范围仅限于网络服务，且内容十分粗略。因此现阶段类似行为虽然存在法律风险，但尚未引发较为严重的法律后果 三、未来可能产生的变化 尽管目前我国有很多规范性文件涉及到个人信息保护，但从整体来看：立法碎片化现象突出;利益衡量不清晰;相关文件位阶偏低，高位阶的规范性文件多为宣示性规定;相关行政执法部门的定位、权限等不明确……随着数字经济时代的到来，未来中国立法会日益加强对公民个人数据保护，不论是仿照欧盟将个人数据保护上升到人权高度加以规制，还是参考美国在不同行业内根据经营者的承诺进行约束，这种保护都将是切实落在每一个数据控制者身上的法律责任。《草案》的出台就是一个最好的例证 从《草案》来看，立法者认为：目前实践中非法获取、泄露甚至倒卖个人信息的情况时有发生，已经严重损害了公民的合法权益，立法必须予以重视;在法条内容上将积极借鉴国外通行做法;当然鉴于中国目前的环境，现阶段的立法还只能停留在较为原则性的规定上，但会为未来具体规则预留接口 那么未来中国立法将在哪些方面进行努力？这些努力又会给医药公司带来哪些新的法律风险呢？ 1、明确不同角色的责任 目前在《保护指南》中，已经出现个人信息主体、个人信息管理者、个人信息获得者等不同角色的区分，而在GDPR规定下，所有法律责任的承担者是数据控制者。[3]一旦中国未来参考了这种模式，医药公司公司就会成为最终的责任承担者 2、“被遗忘权”（“删除权”） 《保护指南》5.5条规定了删除行为，虽然借鉴了GDPR中“被遗忘权”的规定，但并没有将其上升为一种权利。如果未来立法采纳这一国际通行做法，将其规定为“被遗忘权”，那么医药公司在使用这些信息时就要另外承担一个删除的义务 3、数据披露 《保护指南》4.1.3中规定：数据泄露以后，个人信息管理者应