Copyright © 2021-2023 LIGOU.CMS 版权所有
2021/06/29
2021年6月10日,《数据安全法》经全国人大常委会表决通过,进一步完善了我国数据合规顶层立法。今年,《个人信息保护法》草案也已经过两次审议,颁布在即,国家不断鼓励数据要素发展,北京、上海、深圳等多地加快本地化数据立法并成立数据交易所,探索数据资产化和数据交易实现路径。
2021年6月29日,LCOUNCIL联合天达共和律师事务所举办的“数据合规热点问题研讨会”圆满落幕。会议邀请到天达共和律师事务所的合伙人申晓雨律师、胡晓华律师,两位嘉宾从刚颁布的《数据安全法》出发,结合近期立法、监管活动以及互联网医疗的业态等方向进行专业解读。来自各个行业的近40位法务同行们齐聚在北京市朝阳区天达共和律师事务所会议室,与律师嘉宾共同探讨数据合规热点问题。除此之外,LC
从《数据安全法》解读2021年最新企业数据合规要点
OUNCIL特别采用线上转播形式,让未能到场的法务同行可以线上参与此次研讨会。
会议分为两个部分,上半场由天达共和律师事务所合伙人申晓雨进行分享。申晓雨律师从《数据安全法》在国数据合规立法体系中的地位和意义、《数据安全法》核心要点解读、《数据安全法》《个人信息保护法(草案)》及其他配套规定看企业数据合规的几个热点问题这三个方面展开分析。
申律师对《数据安全法》的核心要点做了详尽的解读。她指出对于数据安全的保护应当贯穿于数据的全生命周期以及数据处理活动的各个环节,在开展涉及个人信息的数据处理活动时,应当遵守有关法律、行政法规的规定。
因不同数据在经济社会发展中的重要程度不同,一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度也不一样。数据分类主要分为三个级别,每个级别适用的数据保护制度不同:
1. 一般数据:适用数据一般安全管理制度
2. 重要数据:国家统筹协调有关部门制定重要数据目录;各地区、各部门确定本地区、本部门以及相关行业、领域的重要数据具体目录;对重要数据进行重点保护
3. 核心数据:关系国家安全、国民经济命脉、重要民生、重大公共利益等数据;对核心数据实行更加严格的管理制度
在“ 从《数据安全法》《个人信息保护法(草案)》及其他配套规定看企业数据合规的几个热点问题”这一部分的讲解中,申晓雨律师从企业内部数据合规体系的完善、数据的本地化存储和跨境传输、数据来源的合法性进行分析,用五条相关法例重点强调了数据来源的合法性。
Part.2
从不同市场参与主体剖析互联网医疗行业数据合规要点
研讨会的下半场由天达共和律师事务所合伙人胡晓华展开分享。胡晓华律师从不同市场参与主体剖析互联网医疗行业数据合规问题进行分析,分别就“互联网医疗业务形态及相关参与主体”与“从不同市场主体剖析数据合规关注要点”两部分内容向与会同行展开专业分享。
胡律师讲解了互联网医疗的4个类别,即互联网医疗、互联网诊疗、远程医疗以及智慧医疗,严谨阐释了互联网医疗的专项规定、服务提供主体、服务范围限制、准入形式/资质证照要求、处方要求等相关概念,同时着重强调了互联网医疗患者的个人信息保护问题以及互联网医疗机构的数据合规问题。
在互联网医疗机构的数据合规问题中,胡晓华律师以下要点四个方向进行分享。
一、患者的个人信息保护问题
胡晓华律师指出患者的健康医疗信息属于个人信息,依法受保护,医疗机构及其医务人员应当对患者的隐私和个人信息保密。并且表示国家对健康医疗数据的标准、安全和服务管理有明确规定,同时列出了侵犯患者个人信息保护,会面临的法律风险以及刑政责任、民事责任、刑事责任。
二、互联网医疗机构的数据合规问题
胡律师先是根据《指南》《网络安全法》《个人信息安全规范》《国家健康医疗大数据标准、安全和服务管理办法(试行)》及《人口健康信息管理办法(试行)》相关规定,对健康医疗数据的定义及类别进行解说。她指出《指南》列明了医生在提供健康医疗服务过程中调阅相应患者数据的场景、患者通过在线方式查询本人健康医疗数据的场景、学术性医学中心、研究机构等进行临床研究的场景等8个具有代表性的数据安全场景。
三、数据运营企业的数据合规关注要点
胡晓华律师讲解了健康医疗数据的运营模式由早期以医疗机构为主导模式演变为目前“以地方政府为主导”的模式,数据收集环节的合规要求需要遵守数据获取渠道合法、数据收集的最小必要原则、制定个人医疗数据信息保护制度、信息主体授权的例外情形四点。
四、医药及医疗器械研发企业的数据合规关注要点
最后一部分,胡晓华律师指出了互联网+临床数据交互存在的三个问题:数据权属难以确定;难以对临床数据进行保护;现有法律体系未明确临床数据的互联网交互共享机制。
胡律师重点讲解了智能医疗器械信息泄露责任:
1、因果关系 不应对智能医疗器械自身的数据保护给予过于苛刻的要求,只有当智能医疗器械本身存在缺陷造成数据外泄时,严重违反数据安全等级规范的情况下,才可认定基本的因果关系存在。 2、缺陷医药及医疗器械的侵权责任 • 先厘清智能医疗器械是否属于产品。 • 其次分析医疗器械侵权的缺陷。依据《民法典》第1202条的规定,若产品存在缺陷造成他人损害,研发人员作为生产者应承担无过错责任。《产品质量法》第46条在法律层面上解释了何为缺陷,其中关键在于如何认定不合理的危险。 3、智能医疗器械侵权的免责事由 • 智能医疗器械区别于其他产品的特殊之处在于其内涵的不可控。这主要取决于人工智能本质上属于一种算法自动化决策并自主优化决策的过程。 • 《产品质量法》第41条第2款为产品的生产者规定了三类免责事由:未将产品投入流通的;投入流通时引起损害的缺陷尚不存在;投入流通时科学技术水平尚不能发现缺陷的存在。我们认为,算法自动优化决策不当可归于第三类免责事由。
在两位律师分享的间隙,同行们短暂地休息片刻,品尝了精致的点心,彼此分享工作实践中关于数据合规方面的经验,自由交流参会所得。经过一下午的专业分享,与会同行们对数据合规热点问题有了更多的认识了解,此次研讨会也成功落下帷幕。
感谢各位莅临现场,同时感谢天达共和律师事务所对本次活动的鼎力支持,也感谢嘉宾们的专业分享,LCOUNCIL期待为各位带来更多专业的活动分享,也欢迎更多同行在未来参与我们的线下精彩活动!