浅析“互联网+医疗”领域的数据保护及商业秘密保护
浅析“互联网+医疗”领域的数据保护及商业秘密保护
我国多年来一直存在人口基数大、经济发展水平差异明显的问题,不可避免地也同样导致医疗资源数量不足、分布不均以及患者就医艰窘等种种问题。传统医疗行业分分"触网","互联网+医疗"概念和应用强势进出时长,顺应着时代发展需求和行业背景现状应运而生。近年来,我国境内互联网医疗行业发展速度较快、市场规模较大。在政策的大力支持,以及分级诊疗、社会办医、处方流转等医疗改革不断推进等因素影响下,国内互联网医疗行业快速发展。根据数据统计,2019年国内整体互联网医疗市场规模有望达到270亿元,到2026年有望达到1980亿元,2019-2026年的复合增速达到32.93%[1]。
2020年伊始,随着新型冠状病毒肺炎疫情爆发,在线医疗、医药平台优势凸显,成为百姓坚强的后盾之一。诸如平安好医生、丁香医生、春雨、微医等在线医疗平台也在疫情发生的第一时间开通了网上问诊专区,制定线上预防机制,从而判定疑似病例,告知应对举措以及预防隔离措施,提供答疑和健康宣讲。伴随着在线预约挂号、在线诊疗开药、个人健康问询等多种类、多元化的"互联网+医疗"行业百家争鸣,2018年至今,医疗体系遭受黑客入侵攻击、信息泄露的频率明显呈上升趋势,无疑也让"互联网+医疗"行业的信息安全和数据保护的问题逐渐进入公众视角。此外,技术人员或中高层管理人员商业秘密泄露或侵权的事件不断增加,越来越多的国内企业开始重视商业秘密保护, "互联网+医疗"行业当然也不例外。
"互联网+医疗"企业及医疗机构加强自身的有效合规运营,以满足和确保行业的合规健康发展就成为了管理的重中之重。本文旨在从"互联网+医疗"的数据保护的监管要求,商业秘密保护的重要性等方面,从外至内两个维度来初步分析"互联网+医疗"企业及医疗机构的相关合规监管需求,并初步提出完善企业内部有效合规管理的相关建议。

一、"互联网+医疗"的数据保护

(一)"互联网+医疗"数据保护的监管背景
2017年,《法制日报》刊文《超过7亿条公民信息遭泄露,8000余万条公民信息被贩卖》,曝出黑客入侵了某部委的医疗服务信息系统,大量孕检信息遭到泄露和买卖,一时轰动全国。而这些孕检信息来自某部委下属某妇幼保健医院的网站数据,辐射范围遍布全国。事件起源于2016年2月至3月,王某辉在学习黑客技术时,获取了大量孕检类型的公民个人信息,同年7月起,其用名为"哈佛校长"等的QQ号,将这些信息出售。2017年8月31日,浙江省松阳县人民法院一审判决,王某辉、陈某亮等7人非法搜索、交换、买卖公民个人信息总计约8000万条,构成侵犯公民个人信息罪,获刑三至五年不等。
随着"互联网+医疗"和医院信息化建设高速发展,"互联网+医疗"平台及医疗机构全程以电子化的途径进行采集、记录、传输和存储,积累了大量的患者基本信息、化验结果、电子处方、生产数据和运营信息等数据,这些数据涉及公民隐私、医患关系、医院运作和发展等多因素。然而,伴随医疗行业互联网化的推进,医疗信息安全问题如影随形。由于数据分类好、使用价值高、安全保障和风险管理措施较落后,近年来,针对"互联网+医疗"公司及医疗机构的勒索、医疗信息泄露等医疗行业的信息安全事件层出不穷,其信息系统也成为了国内外不法黑客的重点攻击对象之一。
(二)"互联网+医疗"数据保护的主要监管体系
自2017年《网络安全法》(以下简称"《网安法》")的生效以来,国家通过法律规定提出了网络运营者至关键信息基础设施运营者在网络安全、数据保护基本制度方面需要完善的各项要求。"互联网+医疗"公司及医疗机构作为行业的重要参与者,当然也要遵循国家法律的相关要求。随着国家相应的法律法规、行政规范文件的发布,更加明确了"互联网+医疗"涉及的数据安全事件的法律后果,对"互联网+医疗"公司及医疗机构的数据安全管控提供了严格的法律依据。我国现行相关法律法规组成的主要监管体系如下表所示:
点击可查看大图
(三)"互联网+医疗"数据保护的初步合规建议
1、完成或完善网络安全等级保护(以下简称"等保")工作
"互联网+医疗"企业及医疗机构,由于日常运营充分利用和依赖网络,更应当落实好网络安全保护义务,应当做好等保工作。具体来说,应当根据等保要求采取符合法律规定的技术措施和管理措施,组织专家定级评审网络;属于二级以上的,报请主管部门核准[2],且应当等级确定后10个工作日内,到县级以上公安机关备案[3]。
2018年7月国家卫健委《互联网医院管理办法(试行)》与《互联网医院管理办法》提出医疗机构的信息系统应当参照《信息系统安全等级保护基本要求》及《信息安全技术网络安全等级保护定级指南(征求意见稿)》的规定采取高级别的安全保护措施保障诊疗信息系统的安全,要求医疗机构的信息系统必须实施第三级信息安全等级保护。
实践过程中已经出现部分企业因未能有效履行等保制度的义务,而遭受行政处罚,例如:杭州某某医疗美容医院有限公司作为网络运营者因未落实网络安全等级保护制度,信息系统未开展信息安全等级保护测评工作,于2020年5月29日被公安机关给予行政处罚[4]。
2、制定网络安全事件应急预案
"互联网+医疗"企业及医疗机构在运作过程中必然会涉及大量患者个人的隐私数据,让很多不法分子对其中可乘利益十分垂涎,一旦遭受网络黑客的违法攻击就会使得这些高度敏感的数据泄露外流,对企业的公信力和用户的个人信息保护都造成极大的损害。因此《网安法》、《国家网络安全事件应急预案》等法律法规提出了强制性规定,意在避免该现象的发生。
令人惋惜的是,实践中仍有大量网络运营者未能重视此方面的保护,例如乐清某牙科医院的网站因未设置应急预案制度而被植入恶意链接,被乐清市公安局网络警察大队给予行政处罚。且除了正常应急预案制度的制定,通信管理局在日常检查中也格外注重网络运营者是否对此应急预案进行实地演练,并要求提供演练情况的记录等。
因此,对于"互联网+医疗"企业及医疗机构,建议制定如有害程序、网络攻击、信息破坏等的网络安全事件应急预案及个人信息安全事件应急预案,明确负责人、通知机制、补救措施、内部责任划分等。同时将应急响应机制具体化,如遇网络安全事件,应如何记录内容、评估影响、采取措施控制事态,并按照国家法律法规的要求,区分不同事件级别,严格进行上报。
3、全面申请互联网站备案
根据与许多"互联网+医疗"企业或医疗机构的沟通,对于此处所称的"备案",被通常理解为最基本的ICP备案。但根据法律法规的全面要求,除网站的ICP备案外,还有诸如公安联网备案、行业备案、工商亮照等一系列的备案机制。
首先,根据公安部33号令《计算机信息网络国际联网安全保护管理办法》规定,任何一家网站应当于开通之日起30日内,应当向住所地公安机关(网安部门)办理联网备案。此备案可通过全国公安机关互联网站安全管理服务平台进行网上申请完成。其次,有效的行业备案监管措施对于该行业能否长期蓬勃发展起到至关重要的作用。比如,"互联网+医疗"平台不仅发布药店和药品信息,还提供药品交易服务(即患者可购买药品并支付),则属于"B21在线数据处理与交易处理业务",除应当取得该业务的ICP证,还应根据《中华人民共和国药品管理法(2019修订)》的规定向所在地省级人民政府药品监督管理部门进行行业备案。行业备案为特定行业要求,具体备案流程参照地方主管部门规定与说明。若"互联网+医疗"平台通过应用程序APP等从事相关服务,则根据《移动互联网应用程序信息服务管理规定》的相关要求,应当在业务上线运营三十日内向所在省级网信办备案。以上海互联网应用商店备案为例,经营主体应按要求准备材料,报送上海市网信办。再次,作为运营主体的"互联网+医疗"企业或医疗机构,应当在其网站或应用程序主页显著位置,持续公示营业执照信息以及与其经营业务有关的行政许可信息,或提供电子链接标识。
4、规范个人信息的收集、使用和存储
"互联网+医疗"由于其行业的特殊性,在日常运营中会大量接触患者个人的健康医疗信息。那么,相关信息的收集和使用首先应遵守个人信息收集和使用的规范与原则(如最小化原则、必要性原则等),并应确保健康医疗信息主体的基本权利(如删除权、更正权等),需要特别注意这些信息作为个人敏感信息享有更高的保护标准。应遵循明示同意、目的明确、公开透明、一数一源、最少够用等原则。具体操作标准建议以《信息安全技术 个人信息安全规范》为基本要求,参考《信息安全技术 健康医疗信息安全指南》相关内容,并结合具体信息所适用的专门法律法规(例如《人口健康信息管理办法(试行)》《人类遗传资源管理条例》等)要求操作。
其次,在存储和传输方面,我们国家普遍采取"本地存储+传输评估" 的模式。即,在境内收集到的健康医疗信息应当存储在境内,未经安全评估和审批的健康医疗信息原则上不得向境外传输。
再次,在涉及数据传输环节的"互联网+医疗"业务中,还应当注意健康医疗信息的流转合规,防止因第三方供应商行为不当引发健康医疗信息在披露或共享方面的法律风险。
截至目前,健康医疗信息保护方面的处罚案例确实存在,但处罚力度有限。但我们相信未来执法频率和整顿力度会逐步上升。除行政处罚,根据相关国内外报道,健康医疗信息合规不当还可能引发舆论关注,给企业商业信誉等造成负面影响。
实践中,除上述主要资质完善的合规要求外,"互联网+医疗"企业及医疗机构还应当建立健全内部专门的数据安全保护体系,完善相关内部制度及标准操作流程,全面细致地更新网站或手机应用软件上的隐私保护政策,构建内部高效健全的数据安全保护的合规团队等,从而最大程度的保护公司的数据安全,保证公司健康、长远的发展。

二、"互联网+医疗"的商业秘密保护

对于任何一家企业而言,商业秘密是企业独有的"商业秘方",其商业价值、技术价值、经济价值难以预估,是企业非常重要的无形资产,甚至是企业立于市场的核心竞争力。近几年,由于企业中高层管理人员、主要技术人员、核心业务人员的频繁流动,导致商业秘密泄露的案例越发增多,使得企业对于商业秘密的认识和保护的弊端也越发凸显。对于保护商业秘密,国内企业在重视程度和有效的内部制度方面大相径庭。由于疏于防范,许多企业因商业秘密的泄露而元气大伤,甚至濒临破产。故此,越来越多的中国企业将商业秘密保护作为内部监管环节的主要着眼点之一。对于"互联网+医疗"企业或医疗机构而言,由于其持有的信息特殊性,不仅涉及公司内部经营机密,还涉及极其大量的、敏感的个人信息,则从笔者角度而言,"互联网+医疗"企业及医疗机构更应当关注自身的商业秘密保护。
(一)商业秘密的内涵
目前我国的法律法规体系中没有单独规范和调整商业秘密的单行法律。但对于商业秘密的含义,《反不正当竞争法》、《刑法》中对"商业秘密"做了明确定义,且此定义所反映的主要特性与国际上的惯用规则几乎一致。即"商业秘密"是指不为公众所知悉、具有商业价值/实用性并经权利人采取相应保密措施的技术信息、经营信息等商业信息。此对商业秘密的构成均明确了不为公众所知悉的新颖性、商业价值性及保密性的"三性要求"。
(二)"互联网+医疗"行业的商业秘密外延
一般而言,商业秘密根据《反不正当竞争法》、《保密法》、《关于禁止侵犯商业秘密行为的若干规定》等相关法律法规的规定,从日常运营实际操作方面,大致可以分为以下几类。第一类为经营信息,比如经营方针决策、投资决策意向、发展规划、经营计划方案、经营状况和实际实力、认证模式和服务定价、市场分析、营销策略等;第二类为交易信息,比如有合作关系企业和客户名单、客户资料、合作意向、投资合同条款、营销网络和渠道、客户抵押物信息、成本价格、拍卖标的底价、收费标准等;第三类为公司管理信息,比如财务预算、财务报表、统计资料、财务分析报告、资产状况、工资薪酬资料、人事资料、业务标准规范和操作流程、业务培训资料等等。
而将"商业秘密"这一概念投影于"互联网+医疗"行业,除一般公司运营过程中的通用内部信息外,相关企业或机构还可能收集、处理大量包括个人信息、临床研究数据、患者治疗数据等在内的个人敏感信息和重要数据。由于"互联网+"时代的到来进一步加速了数据的积累与流通,"互联网+医疗"行业的"商业秘密"范围同样应当慎重关注其作为运用或立足于互联网科技的主体所应当关注的更广阔的范围。2020年9月10日,最高院公布的《关于审理侵犯商业秘密纠纷民事案件适用法律若干问题的规定》(法释〔2020〕7号)第1条明确了"与技术有关的结构、原料、组分、配方、材料、样品、样式、植物新品种繁殖材料、工艺、方法或其步骤、算法、数据、计算机程序及其有关文档等信息,人民法院可以认定构成反不正当竞争法第九条第四款所称的技术信息。"综上可以初步得出,如果 "互联网+医疗"企业及医疗机构因运营"互联网+医疗"业务所编写、持有、掌握的不为公众所悉知,具有商业价值,以及已采取了相应保密措施的代码、算法、程序、数据等,则也应当被认定为其商业秘密,并予以严格保护。
(三)"互联网+医疗"行业商业秘密的主要监管体系
如前所述,我国目前并没有针对商业秘密的专门法律,关于商业秘密的规定散见于不同的法律法规的具体条文中。且国际上也对重视商业秘密保护,有着通用的国际条约及多边、双边协定等。初步总结,对于"互联网+医疗"行业的"商业秘密",其主要监管体系如下:
点击可查看大图
(四)"互联网+医疗"数据保护的初步合规建议
如前所述,商业秘密对于企业而言具有至关重要的意义,一旦企业的商业秘密被泄露,将对企业的安全和利益造成难以预估的重大损失。然而商场如战场,作为企业员工,稍有不慎就会泄露商业秘密,使竞争对手从中获利,从而难以预估地危害企业的合法利益。故此,笔者初步从以下几个方面提出对于"互联网+医疗"行业商业秘密保护的合规建议。
1、建立健全企业内部商业秘密保护的合规体系
由于商业秘密的对于"互联网+医疗"企业及医疗机构而言,应当建立具有高效性、可操作性的商业秘密保护专项制度;对公司内部以"地毯式"地筛查并分类、点列式地列明商业秘密的范围和内容;以标记、分类、隔离等方式对商业秘密及其载体进行管理;规范并严格加强商业秘密经手或接触行为流程的审批;对能够接触商业秘密的设备及人员进行权限设计;对员工进行商业秘密保护的专项培训等。
2、完善保密协议及竞业限制条款
对于法律、金融、医疗等很多特殊类型的行业,在雇佣员工的劳动合同或劳动协议中都会附有专项保密协议和竞业限制条款,明确规定了员工的相应保密义务、违反保密和竞业禁止义务时需要承担的违约责任。对于中高级管理人员、业务部门核心人员、技术人员等可能接触或掌握商业秘密较多的重点岗位人员,实施更为严格责任的条款约束。
3、加强特殊数据保护的合规举措
针对"互联网+医疗行业"可能接触的特殊数据极有可能被认定为企业或医疗机构的商业秘密,那么如何在企业正常运作中确保数据合规就令人深思,主要需要注意的应当是特殊的科研、实验数据及重要信息的存储和传输。
首先,不是所有科研数据都可以跨境存储或传输。例如,《人口健康信息管理办法(试行)》规定"人口健康信息"不得存储于境外服务器。又如,《保守国家秘密法》规定国家秘密不得出境。那么,对于"互联网+医疗"行业涉及最多的"健康医疗大数据",《国家健康医疗大数据标准、安全和服务管理办法(试行)》规定除了在原则上要求本地化存储之外,确需向境外提供的,应当进行安全评估审核。实践中确有企业因为不合规数据出境的问题而被给予行政处罚,例如:某某科技公司与某某医院未经许可与英国某大学开展中国人类遗传资源国际合作研究,该科技公司未经许可将部分人类遗传资源信息从网上传递出境,最终导致该研究项目被叫停,该研究工作中所有未出境的遗传资源材料及相关研究数据被销毁,责令整改验收合格后才能再行开展相关国际合作[5]。
其次,对于不是与疾病相关的人类遗传资源信息、个人疾病信息等其它健康医疗信息,也不等于"互联网+医疗"企业可以随意处置。2019年出台的《数据安全管理办法(征求意见稿)》以及2020年7月公布的《数据安全法(草案)》等法律法规再次界定了"重要数据"这一概念和分类,即"一旦泄露可能直接影响国家安全、经济安全、社会稳定、公共健康和安全的数据,如未公开的政府信息,大面积人口、基因健康、地理、矿产资源等。重要数据一般不包括企业生产经营和内部管理信息、个人信息等"。如果企业所掌握的其它健康医疗信息属于重要数据,那么"发布、共享、交易或向境外提供重要数据前,应当评估可能带来的安全风险,并报经行业主管监管部门同意;行业主管监管部门不明确的,应经省级网信部门批准"[6]。
4、重视严格监管下的VPN使用
很多"互联网+医疗"企业为跨国公司,需要使用跨境VPN确保内部信息的安全性。而VPN的使用,也可能会直接导致商业秘密保护的疏漏,同样应当受到"互联网+医疗"行业保护其商业秘密的关注。而且近年来,国内对于VPN的监管有渐严的趋势,执法案件逐渐出现,并有增多趋势。
实际上,1997年国务院就发布了《计算机信息网络国际联网管理暂行规定》,根据该规定,计算机信息网络直接进行国际联网,必须使用邮电部国家公用电信网提供的国际出入口信道。任何单位和个人不得自行建立或者使用其他信道进行国际联网。直至2017年1月,工信部下发《关于清理规范互联网网络接入服务市场的通知》,未经电信主管部门批准,不得自行建立或租用专线(含虚拟专用网络VPN)等其他信道开展跨境经营活动。基础电信企业向用户出租的国际专线,应集中建立用户档案,向用户明确使用用途仅供其内部办公专用,不得用于连接境内外的数据中心或业务平台开展电信业务经营活动。该条规定被作为执法依据的案件逐渐出现,并有增多趋势。
从处罚力度来看,该条规定被作为执法的主要依据之一,违反前述规定将由公安机关责令停止联网,给予警告,可以并处15000元以下的罚款;有违法所得的,没收违法所得。但是,对于"互联网+医疗"企业或医疗机构而言,相比之下,罚款事小,停止联网可能实质性影响公司运营。

三、结语

对于逐渐完善的立法、执法环境和更为趋严的监管要求,"互联网+医疗"企业及医疗机构的发展趋势也如国家网信办的评论[7],也同样经历着从野蛮生长到逐步成熟的过程。那么,在"互联网+医疗"企业及机构遍地开花、形态日趋丰富的背景下,相关企业及医疗机构更应当从内到外、多维度、多层次的加大企业合规管控及内部规范力度,使企业在不断发展的市场上更加稳健、长久地立于不败之地。
[注]
[1] 智研咨询,《2020-2026年中国互联网+医疗IT行业市场消费调查及投资前景评估报告》。
[2] 第十七条,《网络安全等级保护条例(征求意见稿)》,2018年6月27日由公安部发布。
[3] 第十八条,《网络安全等级保护条例(征求意见稿)》。
[4] 杭西公(西)行罚决字[2020]02824号。
[5] 国科罚〔2015〕2号。
[6] 第二十八条,《数据安全管理办法(征求意见稿)》。
[7] 参见国资委网站http://www.sasac.gov.cn/n2588030/n2588924/c7941469/content.html,最后访问时间:2019年11月27日。 人民日报海外版社论,国家网信办官网转载,2019年9月3日,http://www.cac.gov.cn/2019-09/03/c_1124954777.htm。
The End