(2025年)个人信息保护题及答案.docxVIP

(2025年)个人信息保护题及答案

一、某智能医疗设备企业2025年拟开发基于患者电子病历的AI辅助诊断系统，需收集患者姓名、身份证号、既往病史、基因检测数据、就诊影像资料（含面部特征）五类信息。请结合《个人信息保护法》及2025年最新监管要求，分析该企业收集行为应满足的合规要件。

答案：该企业收集行为需满足以下合规要件：

1.合法性基础：需取得患者明确同意，且同意需满足单独、具体、充分知情要求。基因检测数据属于敏感个人信息（《个保法》第28条），需取得患者书面或其他可追溯的单独同意，并告知处理的必要性及对权益的影响；就诊影像资料含面部特征，若用于生物识别则需特别说明技术方案及风险（2025年《生物识别信息保护指南》新增要求）。

2.最小必要原则：需证明五类信息均为AI模型训练的必要输入。例如，身份证号仅用于唯一标识患者时可收集，但需说明为何不能使用匿名化编号替代；基因检测数据若仅用于特定疾病分型，需排除与诊断无关的基因位点数据收集（2025年国家网信办《个人信息处理最小必要评估指引》明确字段级必要性标准）。

3.安全技术措施：需通过去标识化+加密双重保护，基因数据应采用同态加密存储，影像资料需部署访问控制白名单（2025年《医疗健康数据安全标准》要求三类以上敏感信息需实施技术隔离区管理）；系统需通过国家认可的个人信息保护认证（2025年市场监管总局将医疗数据处理