研讨会时间：2021年4月11日。

    研讨会开展方式：互联网线上和线下结合。

    参与嘉宾：杭州市律协民事专业委员会主任胡浩明律师、浙江省卫生与健康委及杭州市律协医健委主任赵丽华律师、杭州市律协民事委副主任邴朝祥律师、浙江省省律协卫生健康委副主任李雪云律师。

    参与人员：全市律师。

    活动综述撰写者：刘云波，杭州市律师协会民事专业委员会委员、秘书处秘书。

    一、个人信息保护法草案的基本立法现状

    2020年10月21日，全国大人常委会法工委发布了《中华人民共和国个人信息保护法（草案）》征求意见稿（以下简称“《个人信息保护法》”），就个人信息保护有关的立法问题向社会公开征求意见。业内人士广泛响应，认为这部法律的出台可谓意义重大，甚至将2020年称之为我国个人信息保护立法元年都不为过。

    长期以来，我国虽在不断出台有关个人信息保护的立法文件，但从没有一部法律法规能够如此系统及全面地对个人信息保护相关问题进行专门性立法。从现有颁布的法律来看，包括《民法典》、《刑法》、《电子商务法》、《网络安全法》、《消费者权益保护法》以及《广告法》等虽有部分内容与个人信息保护的话题相契合，但在社会实践中，这些法律的适用大多规定的较为原则，并不能满足人民群众对个人信息保护的各类迫切需求。此外，纵观其他法规及规范性文件，例如《关于加强网络信息保护的决定》、《电信和互联网用户个人信息保护规定》、《信息安全技术个人信息安全规范》（GB/T 35273—2020）等规定，虽然在我们律师办案中起到着极强的合规参考价值，但其同时也存在着一定的滞后性，并不能够适应各类互联网企业的合规需要。在我国个人信息保护立法长期并不完善的大背景下，近年来，对个人信息滥用的案例不断涌现，对司法及行政监管部门也带来了较大挑战。终于，在千呼万唤中，这部《个人信息保护法》被推上历史舞台，等待它挥洒出绚烂夺目的篇章。

    《个人信息保护法》全文涵盖了八章，七十条的内容。分别为总则、个人信息处理规则、个人信息跨境提供的规则、个人在个人信息处理活动中的权利、个人信息处理者的义务、履行个人信息保护职责的部门、法律责任和附则。在这些看似枯燥的法条中，其实蕴涵着立法者对人脸识别、人肉搜索、数据跨境传输、自动化决策、信息脱敏等热点问题的对策及解答。此外，《个人信息保护法》还对行政监管和个人信息保护之间的原则及边界问题进行了规定。总的来说，我们认为《个人信息保护法》吸取了来自世界各国和各地区的先进经验。与此同时，其结合了我国国情及长期以来面对的各类困难，使得自然人个体、互联网企业、国家安全和公共利益、跨境传输技术要求以及国际上通行的惯例等达到了一定的平衡，进而制定了这部法律。《个人信息保护法》的出台，一方面对我国国内互联网企业的合规提出了新的期待，另一方面也对我国政府监管提出了更高要求。因此，借着《个人信息保护法》征求意见稿颁布后的空档期，我们建议有需求的互联网企业通读这部法律，并及时按照法律规定调整合规模式，尽可能补齐自身经营上的短板，使得公司在个人信息保护层面面临的法律风险更为可控。我们也将结合长期开展的律师实务工作，对《个人信息保护法》进行逐条解读，以期供各方深入学习和交流。

    二、活动中嘉宾对个人信息保护的理解

    医健委主任赵丽华律师阐述了个人信息保护的基本概念、理论，以及个人信息与个人隐私的联系与区别，介绍了现行法律法规中对个人信息保护的规定，包括《民法典》、《生物安全法》、《基本医疗卫生与健康法》、《传染病防治法》、《治安管理处罚法》等。赵律师还结合自身的从业经验，分享了自己办理的部分医疗领域中发生的个人信息泄露和保护的案例。

    民事委副主任邴朝祥律师介绍了《个人信息保护法（草案）》的立法两点，并结合国内外优秀的立法实践进行了对比，对个人信息保护的立法前瞻给予了积极的期待。

    李雪云律师是医健领域的资深专家，同时也是浙江省律师协会医疗卫生与健康专业委员会的副主任，李律师对医疗纠纷中发生的个人信息保护问题发表了许多独到的见解。个人信息保护在医疗健康领域具有独特性，病人的病理信息等权益应当得到有效的保护，集中体现在如病情的知情权、病历的保护等方面。李律师也在讨论中分享了自己承办的一些典型案例。

    三、医疗健康领域中关于个人信息保护的特别适用

    根据《草案》第40条规定，关键信息基础设施运营者和处理个人信息达到国家网信部门规定数量的个人信息处理者，应当将在中华人民共和国境内收集和产生的个人信息存储在境内。如确需数据出境的，应当通过国家网信部门组织的安全评估。根据已经生效的《网络安全法》的规定，医疗卫生机构可能会被归类为关键信息基础设施运营者，关键信息基础设施运营者比一般网络运营者承担的个人信息保护以及数据安全合规义务要严格得多。此外，健康医疗与生命科学领域会涉及大量的病历信息和医疗专业人员的个人信息。

    虽然病历信息通常会进行匿名化处理，但仍可能包含人口健康信息，监管机构对这些数据有本地存储的要求和数据出境的限制。同时，由于医疗专业人员个人信息一般为实名信息且数量较大，也应及时考虑数据出境的合规要求。并且，医疗专业人员的部分个人信息虽然已是公开的个人信息，但《草案》也提及了对处理公开的个人信息的要求和限制。

    此外，根据《草案》第29条关于对敏感个人信息的定义，个人健康医疗信息、个人生物特征属于敏感个人信息。对于敏感个人信息的保护，《草案》除了规定适用一般个人信息保护原则外，规定了更加严格的标准。

    主要体现在以下三个方面：

    第一，处理敏感个人信息应当取得个人的单独同意，且有可能还需要依法取得书面同意，相比《草案》第14条规定的处理一般个人信息的“充分知情+自愿、明确同意”为核心的规则更为严格。

    第二，在个人信息处理告知事项上，除《草案》第18条规定的处理一般个人信息应告知的事项外，还应当告知处理敏感信息的必要性及对个人的影响。

    第三，处理敏感个人信息应当根据《草案》第54条规定事前进行风险评估，并对处理情况进行记录，且风险评估报告和处理情况记录应当至少保存3年。

    自2009年3月17日《中共中央国务院关于深化医药卫生体制改革的意见》、《国务院办公厅关于促进“互联网+医疗健康”发展的意见》(国办发〔2018〕26号)颁布以来，我国逐步开始对个人接受医疗服务、参与健康活动进行电子化记录，国家鼓励医疗机构应用互联网等信息技术进行医疗服务模式，因此电子健康档案数据、应用的医院信息平台之间数据的互联互通俨然已成为现实。基于上述分析，这也意味着对于健康医疗和生命科学领域而言，个人健康医疗信息在收集、储存、处理与利用的过程中将会面临更严格的合规义务。

    此外，合同研究组织（Contract Research Organization, CRO）通过合同形式为制药企业、医疗机构、中小医药医疗器械研发企业、甚至各种政府基金等机构在基础医学和临床医学研发过程中提供服务的机构，也势必将接触到很多健康医疗和生命科学领域的敏感个人信息，因此CRO也具有保护个人信息的严格合规义务。根据《草案》第22条规定，健康医疗和生命科学领域除需要与受托方就处理目的、方式、信息种类、保护措施以及权利义务进行规定外，还需要对受托方处理个人信息活动进行监督，以共同履行《草案》规定保护个人信息的义务。

    《草案》还规定，在公共场所安装图像采集、个人身份识别设备，应当为维护公共安全所必需，遵守国家有关规定，并设置显著的提示标识。“公共安全”一词含义广泛，医院等公共场所收集此类信息是否符合这些要求，尚存疑问。

    四、个人信息保护法的立法影响

    就整体的立法进程而言，个人信息保护法已于2018年被列入十三届全国人大常委会立法规划。2019年经第十三届全国人大常委会第四十四次委员长会议通过，制定《个人信息保护法》被明确列入全国人大常委会2020年度立法工作计划。《草案》的正式发布表明相关立法进度正在按计划有序进行，后续应持续保持高度关注并及时调整策略。

    目前相对庞杂的合规体系对企业如何在过渡期有效管控个人信息保护风险，特别是在数字化转型和大数据等新技术应用过程中如何同步考虑个人信息保护，从而为业务发展和部署保驾护航，提出了更高的要求。

    五、结语

    综上所述，本次研讨会建议：社会各界，尤其是作为市场主体的企业应当从把控整体合规风险、确保个人信息安全的角度出发，立即行动，变被动为主动，多方面开展个人信息保护工作。