医药企业个人信息合规常见问题及应对措施

医药企业个人信息合规常见问题及应对措施 本文将结合最新立法动态与实务经验，梳理医药企业处理敏感个人信息时的合规义务，分析向其他主体传输个人信息的主要模式，以期助力相关医药企业实现个人信息出境合规。 在被称为“个人信息保护元年”的2021年中，中华人民共和国数据安全法中华人民共和国个人信息保护法（以下简称“个人信息保护法”）等规定先后出台，为我国的个人信息保护法律体系搭建了基础的框架。而在进入2022年之后，立法者并未停下完善我国法律体系的脚步，包括数据出境安全评估办法个人信息出境标准合同规定（征求意见稿）（以下简称“标准合同规定（征求意见稿）”）在内的各类法律文件相继发布。在这一趋势下，各类企业都面临着愈发严峻的合规压力。医药行业作为一个本就会接触大量个人信息，尤其是敏感个人信息的行业，所面对的监管压力更大，处理合规问题更是首当其冲。以下，笔者将结合实践经验，简述医药企业在个人信息合规领域的常见问题及应对措施，供相关企业参考。 一 医药企业应当关注“敏感个人信息”的合规义务 在个人信息中，有一个相对特殊的类别，即“敏感个人信息”。根据个人信息保护法第二十八条的规定“敏感个人信息是一旦泄露或者非法使用，容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息。”而包括“医疗健康”信息在内的多项信息均被个人信息保护法明确列举为敏感个人信息，故医药企业不可避免地需要在业务中对于处理“敏感个人信息”时的合规义务予以特别的关注。根据个人信息保护法，笔者建议医药企业作为敏感个人信息的处理者应当特别注意履行以下的义务。 首先，根据个人信息保护法第二十九条的规定，在处理敏感个人信息前，医药企业作为个人信息处理者应当取得个人的单独同意作为处理个人信息的合法性基础。这意味着医药企业不能将敏感个人信息与一般个人信息混同，仅获得个人的概括性授权，而应当就敏感个人信息出具单独的告知同意书，允许个人仅拒绝其对敏感个人信息的处理行为。需要特别注意的是，敏感个人信息还包括“不满十四周岁未成年人的个人信息”，个人信息保护法对于这类信息亦作出了特别规定，即处理前必须获得“未成年人的父母或者其他监护人”的单独同意。在实践中，亦可能存在个别较难获取单独同意的场景，对于这一问题，笔者建议医药企业可以考虑以其他合法性基础代替个人或未成年人监护人的单独同意。个人信息保护法第十三条在第二至七项规定了包括“为订立、履行个人作为一方当事人的合同所必需”在内的多项合法性基础，并明确有这些规定情形的，“不需取得个人同意”。故在实践中，如果存在一些较难直接获取个人单独同意的场景，医药企业亦可以考虑仅处理向个人提供服务所必需的个人信息，以“为订立、履行个人作为一方当事人的合同所必需”作为未能取得单独同意时的替代合法性基础。 其次，根据个人信息保护法第五十五条的规定，“处理敏感个人信息”属于应当开展“个人信息保护影响评估”的情形之一。医药企业在开展个人信息保护影响评估时，应当特别注意法律法规的以下几点要求第一，作为一项事前预警机制，个人信息保护影响评估必须在特定个人信息处理活动开展之前完成，因此个人信息处理者有必要提前制定关于个人信息保护影响评估的内部制度、流程，摸排医药企业内部各部门的个人信息处理活动，确定需要开展个人信息保护影响评估的场景，并规划相应的评估方案。第二，虽然原则上可以聘请外部的团队协助医药企业开展个人信息保护影响评估，但是根据个人信息保护法第五十五条的规定，开展评估仍然是个人信息处理者，即医药企业自身的义务。同时，参考信息安全技术 个人信息安全影响评估指南（GB/T 39335-2020）第5.2.1条的要求，个人信息处理者亦需要“任命负责进行个人信息安全影响评估的人员（评估人）”，并“指定人员负责签署评估报告”。故综合上述规定，笔者建议医药企业亦应当在内部确定负责个人信息保护影响评估的部门或人员，以主导或配合外部团队完成个人信息保护影响评估。第三，根据个人信息保护法第五十六条的规定，在完成评估后，个人信息保护影响评估报告和处理情况记录都应当至少保存三年。故个人信息保护影响评估并非一劳永逸的工作，而是需要持续进行保存与记录，笔者建议医药企业建立起个人信息处理活动的档案管理制度，将历次风险评估报告及处理结果进行保存留档，以应对监管部门可能的不定期抽查，降低自身的合规风险。 二 合理确定与其他主体的个人信息传输模式 除关注与敏感个人信息有关的合规义务外，医药企业在日常经营中可能面临的另一项常见合规问题，就是如何向其他主体传输个人信息。在实践中，新品研发、线上销售等环节都可能涉及医药企业与外部合作方（例如合作研发机构、CRO、医药代理公司等）或关联主体传输个人信息的场景，因此合理确定个人信息的传输模式，妥善约定各方的权利义务关系，就成为了医药企业必须处理的合规问题。在目前个人信息保护法的体系下，医药企业向其他主体传输个人信息主要有三种模式向其他个人信息处理者提供个人信息（以下简称“对外提供个人信息”），委托处理个人信息，以及作为共同处理者传输个人信息。 前两种模式，“对外提供个人信息”与“委托处理个人信息”的一项重要区别在于，接收方能否自主决定如何使用个人信息。在医药企业“对外提供个人信息”的模式下，接收方也是独立的个人信息处理者，故只要具备相应的合法性基础，就可以自主决定如何使用接收的个人信息，无需再次征得医药企业的同意。而在“委托处理个人信息”的模式下，接收方则属于医药企业的“受托人”，仅能根据医药企业的指示处理个人信息，无权将个人信息用于未经医药企业许可的目的。相应的，医药企业在两种模式下亦需要承担不同的义务，在“对外提供个人信息”的模式下，根据个人信息保护法第二十三条的规定，医药企业需要向个人告知“接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类”并取得单独同意（除非已经有其他的合法性基础）。而在“委托处理个人信息”的模式下，医药企业可以选择不向个人披露接收方，但是必须对接收方的个人信息处理活动进行监督。综合上述的分析，“对外提供个人信息”与“委托处理个人信息”作为两种传输个人信息的模式各有优劣，前者无法直接干预接收方的处理行为，还需要承担向个人告知与取得单独同意义务，但是可以免除监督接收方的责任，而后者则恰好相反。 而第三种模式，即“作为共同处理者传输个人信息”，则与“对外提供个人信息”相对更为类似，接收方亦有权自主决定个人信息的处理行为，但区别在于，如果医药企业或接收方在处理个人信息的过程中侵害了个人信息权益，那么应当对个人承担连带责任，而非各自独立承担责任。由于这一特点可能导致风险在主体之间的传递，故在实践中，这一模式较多被应用于医药企业与关联主体之间的个人信息传输场景。 如前所述，医药企业就个人信息传输行为可能根据不同模式而需要面临不同的合规义务，但是依据个人信息保护法第四条的规定，个人信息不包括“匿名化处理后的信息”，故实务中亦有不少医药企业客户曾计划通过将个人信息进行匿名化处理以避免相应的合规义务。关于这一点，笔者理解要完成“匿名