郭玉兰等:互联网医疗企业如何合规收集健康医疗数据( 二 )


3收集个人健康医疗数据应当遵从哪些原则?
(1)收集个人健康医疗数据的合法性原则收集者不得以欺诈、诱骗或任何误导的方式来收集数据;以及收集者不得通过非法渠道获取任何个人健康医疗数据 。
(2)收集个人健康医疗数据的最小必要原则
收集者只能收集实现产品或服务的功能所必需的最低频率和最少数量的健康医疗数据 。
(3)数据主体的明示授权同意原则
收集者须事先获得数据主体明示的授权同意 。
(4)公开透明原则
收集者应以明确易懂的方式公开收集个人健康医疗数据的目的、方式、范围等规则 。
(5)安全原则
收集者应具备收集数据后能够预测可能出现的风险以及应对风险的能力 , 以确保收集到的数据的保密性、完整性以及安全性 。
4收集个人健康医疗数据时需要满足哪些具体的合规合法要求?
(1)当收集者直接收集个人健康医疗数据时 , 需要做到:只收集与实现自身产品或服务功能有直接联系的个人健康医疗数据 , 对于并非实现业务功能不可或缺的数据 , 收集者不进行任何形式的收集 。当产品或服务需要收集多项个人健康医疗数据来实现不同业务时:(a) 收集者不能采取“一揽子”获取客户同意的方式 , 而是应就每个业务逐项征求客户明示同意;并且(b) 除个人健康医疗数据保护政策外 , 收集者应单独向各数据主体告知收集其个人健康医疗数据的目的、方式和范围 , 以及存储时间等规则 , 以便数据主体在做出具体的授权同意前 , 能充分考虑对其的影响 。收集年满14周岁未成年人的个人信息前 , 须征得未成年人或其监护人的明示同意;不满14周岁的 , 应征得其监护人的明示同意 。
(2)当收集者间接获取个人健康医疗数据时 , 还需:要求数据提供者说明数据来源 , 并对来源合规合法性进行确认 。要求数据提供者就其提供的个人健康医疗数据已获得数据主体明确同意进行确认 。如开展的业务超出原先已获得授权范围的 , 还须再次就新开展的业务获得数据主体的明示同意 。
本文系《“健康医疗数据合规”那些事儿》系列文章之一 , 先从“健康医疗数据收集”这个小的切入点着手 , 旨在抛砖引玉 , 为医疗企业在新形势下“健康医疗数据”的合规化提供参考和借鉴 , 后续将会对其他数据处理过程中涉及的数据存储、跨境传输以及隐私保护等合规问题进行一一探讨 。
特别声明:
以上内容属于作者个人观点 , 不代表其所在机构立场 , 亦不应当被视为出具任何形式的法律意见或建议 。

郭玉兰等:互联网医疗企业如何合规收集健康医疗数据
文章图片

文章图片

来源:搜狐