疫情防控丨同舟共济——不同场景下健康医疗数据流转的合规路径
引言
因突发、新型、危重等特点,新型冠状病毒肺炎已经被纳入法定乙类传染病管理,采取甲类传染病预防、控制措施,且迅速升级引发全国绝大部分省区市启动重大突发公共卫生事件一级响应。举国上下全力战“疫”,各级卫生疾控部门、医疗机构为疫情防治前赴后继,各民生部门、研究机构、各类企业、组织和个人都在竭尽所能的出谋划策。作为法律服务工作者,我们也需要贡献微薄之力,希望通过对数据共享合规机制的探讨,在抗击疫情的大背景下,更加细致地分析如何通过数据的合规共享与调配,为打赢疫情防治阻击战提供支持。
“无形”的帮手——数据资源调配
近日,科技部在通知中提出,“加强有关实验数据、临床病例、流行病学统计等数据、成果的开放共享,共同做好防控新型冠状病毒肺炎科技应对工作”,而国家卫生健康委员会(“卫健委”)也同样在通知中指出,“强化与工信、公安、交通运输等部门的信息联动,形成公路、铁路、民航、通讯、医疗等疫情相关方多源数据监测、交换、汇聚、反馈机制,利用大数据技术对疫情发展进行实时跟踪、重点筛查、有效预测,为科学防治、精准施策提供数据支撑”[注]
如前述不同部委的通知中所强调的,最大可能有效识别病毒携带者、统筹公众预防也是目前传染病防治关键,都离不开健康医疗数据资源的合理共享与调配。作为被共享与调配的主角,健康医疗数据在现有法律体系下存在相对广泛的内涵。
1. 现有健康医疗数据体系
通常而言,从法律定义上看,健康医疗数据主要包含人口健康信息、病历信息、人类遗传资源和医疗健康大数据等多种数据类型(具体概念请见下表),涉及的主体多为各级各类医疗卫生计生服务机构、相关科研机构、高等学校、医疗行业企业等。
2. 特殊时期健康医疗数据范围和控制主体的拓展
而在特殊情况(如传染病疫情防控时)下,如卫健委在其通知中所提及的,除医疗卫生行业主体和主管机构外,更多相关行业和领域的多种主体将实际加入到应对的队伍之中,例如在本次疫情下提供重要支撑的交通运输行业主管部门与企业、电信行业企业、地图与数据服务行业企业等。
这些主体一方面从个人用户处接收各类数据,另一方面也在提供服务中产生、衍生出更多种类的相关数据,不排除在一定程度上扩展了通常大家认定的健康医疗数据范围。例如,为确保追踪风险人群的迁移情况,这些人群的行踪轨迹、出行情况就成为了疫情下重要的健康医疗数据资源,风险人群的身份信息将有必要与提供数据支撑的大数据行业企业共享,最终合理筛选并形成决策支持的数据依据。类似的,为筛查和管理密切接触者、疑似病例,具有武汉旅居史的个人所乘坐公共交通工具的记录,虽然通常属于个人出行记录而非医疗相关数据,但在疫情下就可能因公共卫生的考量而发生本质变化,在构成受到法律保护的个人信息之外,也成为的重要健康医疗数据资源。
不过,前述主体将不再仅仅来源于医疗卫生相关行业,本身的业务、能力和资源亦各有不同,掌握的数据资源展现形态也千变万化,同时也不可避免地面临各行业的具体监管规则限制。为了“化零为整”,健康医疗数据资源的协调、调配虽不易被感知,但具有极为重要的地位。以疫情防控为例,通常可能发生的数据资源调配和共享需求如下:
也正是为此,在此次新型冠状病毒疫情下,国务院应对新型冠状病毒感染的肺炎疫情联防联控机制及各部委均不同程度地对相关健康医疗数据的共享提出了一定的要求:
3. 健康医疗数据现有规制
然而,值得注意的是,由于健康医疗数据的内涵与外延存在一定的弹性,同时与个人之间往往具有不可分割的联系,现有法律体系下,健康医疗数据可能受到不同角度规则体系的交叉监管。而出于个人信息保护等方面的权益平衡考虑,这些监管要求往往在健康医疗数据对外共享的规制上采取了较为审慎和严格的态度。
以人口健康信息、病历信息、人类遗传资源和健康医疗大数据这四类最主要的健康医疗数据类别为例,通常与数据共享相关的限制就包括:
人口健康信息:以授权利用为原则,以提高医学研究、科学决策和便民服务水平为目的,分类管理,逐步互联共享。
病历信息:《医疗机构病历管理规定》(以下简称“《病历管理规定》”)中对于病历的保管、复制、查阅进行了严格的限制规定,除为患者提供诊疗服务的医务人员,以及经卫生计生行政部门、中医药管理部门或者医疗机构授权的负责病案管理、医疗管理的部门或者人员外,原则上,其他任何机构和个人不得擅自查阅患者病历。
人类遗传资源:符合伦理原则,通过伦理审查,不得危害中国公众健康、国家安全和社会公共利益;尊重提供者隐私,取得事先知情同意,并保护其合法权益;特别的,境外主体仅在经批准后,通过与中方单位合作的方式开展涉及人类遗传资源的国际合作科学研究。
健康医疗大数据:国家卫生健康委员会(以下简称“国家卫健委”)负责按照国家信息资源开放共享有关规定,建立健康医疗大数据开放共享的工作机制,统筹建设健康医疗大数据上报系统平台、信息资源目录体系和共享交换体系;体系内,不同等级用户按权限共享,并确保在授权范围内使用相关数据。除此之外,任何单位和个人不得擅自利用和发布未经授权或超出授权范围的健康医疗大数据,不得使用非法手段获取数据。
基于以上,不难看出,健康医疗数据具有集合性质,并非边界绝对清晰的单一法律概念,因而涉及到不同的法律规则体系;同时,健康医疗数据的外延可能随着社会生活现状的变化尤其是在应急状态下具有一定的弹性。在此前提下,同样可以清楚判断的是,健康医疗数据具有极高的价值,在日常生活和特殊时期均能发挥重要的作用,但这些价值与作用的发挥,尤为依赖对健康医疗数据进行合理的流转和调配。而现行法律体系下,为兼顾个人信息等基本权益,健康医疗数据的共享往往受到较为严格的限制,这也相应为掌握各类健康医疗数据的机构、企业和组织提出了很高的合规要求,以确保法律规则与价值发挥之间的平衡点。
场景分析:健康医疗数据的共享思路
为更加具体地分析健康医疗数据如何顺利在不同主体之间流转,结合目前疫情防治的大背景,在目前《传染病防治法》建立的传染病监测、预警和其他发现机制发现传染病之后,我们选取了具有典型意义的数据共享实践进行如下的场景化分析。
场景一:
传染病研究
在发现传染病后,为及时指导传染病的医疗救治和防控工作,通常需要迅速地对传染病进行流行病学、病因病机、诊断治疗、预防控制的全面研究。但如此次疫情所呈现的,医疗机构由于处在医疗救治活动的一线阵地,研究力量有限,疾病预防控制部门和卫生行政主管部门授权的研究机构和其他第三方研究机构的研究力量将成为重要的补充。
图示 1 传染病研究场景下数据共享示意图
根据《传染病防治法》规定,官方授权研究机构(即指疾病预防控制机构和卫生行政部门指派的、与传染病有关的专业技术机构)“可以进入传染病疫点、疫区进行调查、采集样本、技术分析和检验”[6]。而与官方授权研究机构不同的是,其他第三方研究机构无法进入疫点、疫区,因此其研究的数据来源将只能依靠医疗机构的分享。然而,虽然部分类型健康医疗数据具有可行的共享路径,但《病历管理规定》原则上禁止除为患者提供诊疗服务的医务人员以外的其他机构和个人擅自查阅患者病历。为此,医疗机构虽可能在疫情下需要第三方研究力量提供支持,但在目前的法律规则下仍难以在未经患者充分授权的情况下,直接向第三方研究机构共享完整的病历记录等健康医疗数据。
如前所述,我国现行立法高度强调了对患者个人隐私的尊重和保护,但实践中也容易对疫情下医疗机构向第三方研究机构求援形成限制。从域外的立法经验来看,美国《1996年健康保险流通与责任法案》(下称“HIPPA”)体系下的数据分类规则方式可能有一定的借鉴意义。HIPPA及随后发布的隐私规则、安全规则区分了不同层次的健康医疗数据类型,含受保护的健康信息(Protected Health Information,PHI)、可识别个人的健康信息(Individually Identifiable Health Information)、受限制数据集(limited data sets)、脱敏信息(De-Identified Information)。其中,某些类型的健康医疗数据可能在无需患者个人授权时,即可使用或向其他主体提供,例如基于传染病通知与疾病防控的目的使用和共享PHI的数据,以及基于医学研究目的使用和共享受限制数据集。
对于健康医疗数据如何共享挖掘更大的价值是当前我国医疗行业监管立法的重点之一,一定程度上也吸收了其他司法辖区的先进经验。2019年4月公布的《信息安全技术 健康医疗数据安全指南》(征求意见稿,下称“《指南》”)已经采纳了受限制数据集[7]的概念,并提供部分数据共享和披露相关的例外规定,例如,基于科学研究、医学/健康教育、公共卫生或医疗保健操作目的,使用或对第三方披露受限制数据集时,无需患者授权[8]。
考虑到目前《指南》仍未生效,对于抗击疫情一线的医疗机构和急切希望贡献力量的第三方研究机构而言,涉及健康医疗数据的共享虽以疫情应对优先,但也应当切实做好必要、合理的合规应对措施。具体而言,医疗机构为疫情研究确有必要向第三方研究机构提供健康医疗数据(如病例数据、临床检验和诊断情况、生物样本数据等)的,除在可行的情况下以授权同意书等方式取得患者授权以外,我们也建议数据共享各方尽量采取多方面的保障措施,包括但不限于:
1) 确保订立必要的书面协议,明确数据共享各方的权利义务,要求数据接收方严格建立隔离环境,限制该等健康医疗数据的使用和留存范围,以避免发生泄漏和不当利用;
2) 可行时适当引入卫生行政主管部门和疾病预防控制机构作为授权主体,以确保合法性基础;
3) 合理参照HIPPA和《指南》中的受限制数据集等概念,切实进行疫情下病例数据的去标识化和匿名化,保护患者个人隐私等基本权利。
此外,仍值得一提的是,由于健康医疗数据的敏感性,前述分析并不针对境外研究机构。换言之,即便在疫情下,中国境内医疗机构向境外研究机构共享传染病例相关的健康医疗数据,仍可能受到人口健康信息、人类遗传资源等监管体系的严格规制,需要事先履行相应的审批、申报等法定程序;同时,该数据共享行为还将不可避免地构成健康医疗数据的跨境传输行为,而考虑到健康医疗数据(尤其是疫情下的健康医疗数据)还可能构成重要数据,医疗机构本身也可能落入关键信息基础设施的范围中,有关数据跨境传输的监管要求(包括但不限于安全评估与审批要求)也同样值得该等场景下的医疗机构及其合作伙伴关注。
场景二:
传染病疫情隔离与追踪
在疫情控制措施中,隔离措施被认为是阻断传染病传播扩散的最有效手段之一,也同时是传染病防治中最困难、涉及主体类型和数据共享最复杂的任务。而为了切实完成隔离措施,如前所述,不同行业和企业对外共享该等健康医疗数据时的可行性和合规性问题,可能需要视情况具体分析。以下我们选取交通运输行业和电信行业作为代表进行对比。
图示 2 传染病疫情控制场景下数据共享示意图
首先,交通运输企业基于在购票、用户管理等方面的实名制要求,天然地对于人口流动情况(含出行记录、位置定位等)具有精确统计和分析的便利。该等实名认证信息以及相应的人口流动情况在疫情下可能被扩展纳入健康医疗数据的范畴内,但目前《传染病防治法》《网络安全法》《突发事件应对法》等相关法律中仅对于实物物资和人员等的紧急调集做出了授权性规定,并未明确涉及数据资源的调配。
好在此次新型冠状病毒疫情下,交通运输主管部门所发布的《关于统筹做好疫情防控和交通运输保障工作的紧急通知》(下称“《交通部紧急通知》”)从行业主管部门层面向客运、出租车、网约车等交通运输企业提出了要求,即向卫生行政主管部门报送病例密切接触人员信息;同时,《交通部紧急通知》也一定程度上为交通运输企业为抗击疫情提供数据资源的支持提供了行政监管执法层面的依据和支持。为此,基于《交通部紧急通知》,相较于共享数据的合法性基础外,交通运输企业更需要关注涉及的数据类型(字段范围)、准确程度、共享方式(主动提供或依请求提供)、数据接收对象(直接向卫生行政主管部门提供或向其指定的机构提供)等。
而相对应的,基础电信运营商等电信企业基于其对移动基站接入信号、移动设备漫游情况等技术资源的掌握,也对于特定设备持有人的具体行踪轨迹、位置信息拥有及时的了解,理论上同样可以为疫情下的人口迁移分析提供准确、实时的数据基础。不过,如前所述,目前传染病和公共卫生事件相关法律法规中并未明确对于疫情下健康医疗数据的调用进行明确规定,同时《电信条例》和《电信和互联网用户个人信息保护规定》要求,“电信业务经营者及其工作人员不得擅自向他人提供电信用户使用电信网络所传输信息的内容”[9],“电信业务经营者、互联网信息服务提供者及其工作人员对在提供服务过程中收集、使用的用户个人信息应当严格保密,不得泄露、篡改或者毁损,不得出售或者非法向他人提供”[10]。
在此前提下,目前工信部门同样紧密安排、为疫情提供大数据支撑服务[11],但也更为强调“疫情态势研判、疫情防控部署以及对流动人员的疫情监测、精准施策”,并未要求电信企业进行数据对外共享。因此,相较于交通运输企业,电信企业所掌握的行踪轨迹、位置信息等数据虽然也同样可能被扩展纳入疫情下的健康医疗数据概念范围中,但由于通信行业直接涉及通信自由等更为基本的公民权利,同时也缺乏明确的法律和行政执法要求作为基础,其对外共享相关数据将面临更为实质的合规限制。
为此,虽然疫情的爆发引发了健康医疗数据在各类主体之间的流转需求,但不同行业和企业对外共享相关数据时的可行性仍然需要根据自身所处的行业特性和法律监管要求进行相应判断。我们将在随后的文章中对于政府机关如何合法合规获取并在政府机构内部以及市场主体中共享上述数据进一步深入探讨 。
场景三:
医疗救治
对于确诊和疑似患者,入院诊断和治疗是当务之急。目前传染病的疾控防治多以条线垂直管理,如本次新型冠状病毒肺炎作为单一条线,在应急指挥部的要求下,从国家到省、地区、县市、乡镇的进行纵向统筹和汇报。但同时,传染病“条强块弱”的管理方式在面对新型冠状病毒肺炎这种突发的公共卫生事件时,不论是从诊疗方式的互通有无、床位或医疗物资的统一调配、还是在满足医疗资源紧缺下患者入院、转院的需求,区域内、跨区域医疗机构间的合作显得尤为迫切和重要。
图示 3 医疗救治场景下数据共享示意图
从诊疗角度出发,医疗机构间具有共享需求的信息多为患者的病历信息和传染病病程及治疗方案信息。传染病防治要求设立指定医院,并且“医疗机构不具备相应救治能力的,应当将患者及其病历记录复印件一并转至具备相应救治能力的医疗机构。”[12]然而在目前医疗资源紧张的情况下,并非所有患者均可入住指定医院,这样非就诊医院专家一并参与新型冠状病毒肺炎的救治成为切实需求。
非诊治医院的专家参与救治需要在医疗机构间共享患者的原始病历。然而《病历管理规定》对病历借阅、复制有着严格要求,并未明确非就诊医院的医务人员出于诊疗目的是否可以不受限地查阅患者病历,我们注意到即使出于科研目的,其他医疗机构对于病历查阅也需提出申请获得同意,且查阅的病历资料不得带离患者就诊医疗机构。当前,面对传染病隔离要求的大环境,多方、远程会诊和研讨治疗方案都是必要做法。应对病历共享的不确定性,鉴于卫生行政主管部门和疾病预防控制机构在疫情下汇集了大量患者病历信息,接诊的医疗机构可考虑(1)申请卫生行政主管部门和疾病预防控制机构统筹医疗机构间病历信息共享工作;同时(2)通过获得患者授权的方式,为诊疗目的在医疗机构间共享病历信息。此外,《传染病信息报告管理规范(2015年版)》要求区域信息平台或医疗机构的电子健康档案、电子病历系统应当具备传染病信息报告管理功能,并要逐步实现与传染病报告信息管理系统的数据自动交换功能,这也为医疗机构间与疾病预防控制机构间的信息共享提供了可能路径。
对于医疗机构间病历信息的共享,医疗机构也需做好数据传输、存储、使用的安全措施,注重其中的隐私保护和数据分级分类,应通过身份鉴别和授权控制加强用户管理,做到行为可管理、可控制、可追溯。医疗机构可参考《国家健康医疗大数据标准、安全和服务管理办法(试行)》中的要求,严格规范不同等级用户的数据接入和使用权限,并确保数据在授权范围内使用。对于在此过程中,涉及的数据存储、运维、信息技术产品和服务提供的第三方也应保证其在授权范围内提供服务。此外,鉴于病历信息中可能存在被认定为人类遗传资源的信息,在选择共享数据的医疗机构和服务提供商时,医疗机构还应注意可能发生的数据出境问题。
场景四:
疫情后的应对
如上所述,疫情防控期间,由于当前突发公共卫生事件的性质,很多应对措施出于应急的目的具有特殊性,也可能打破常态化下健康医疗信息可被获得的主体范围,诸如交通、住宿、旅行社等企业主体都参与到疫情防治中,并获得大量的疫情或患者信息。
当疫情褪去,这些其他企业主体应妥善处理获得的疫情、患者相关信息。在没有患者或有权主管机构、医疗机构等明确授权的情况下,各组织、主体对这些数据的处理应以疫情防治目的为限,且注意保护患者隐私。此外,为控制疫情,大量个人信息也成集合式地被收集,例如同一家庭人员、与确诊患者乘同一高铁车厢的人员、同一办公室人员,相关主体之后应遵守个人信息的规则处理这些信息,如需进一步传染病追踪研究,需单独获得相关人员的同意。
图示 4 疫情后应对场景下数据共享示意图
此外,对于治愈患者的追踪治疗和医学帮助也切实需要各医疗机构间健康医疗信息的共享。从治愈患者需求出发,例如多家医院间的横向病历共享需要健康医疗大数据平台的进一步完善,可考量患者是否有权授权打通本人在多家医院间的诊疗记录;当援助武汉的医生回到原地方,患者的远程医疗、甚至智能医疗穿戴设备等方面的科研跟踪均有待仅一步完善。这里都离不开目前患者就诊医院对外的数据提供。
在没有突发公共卫生应急的前提后,前文所述的一些打破原健康医疗信息共享限制的例外将不再存在。此时,基于上述进一步处理健康医疗数据的需求,在中国现行法律法规基础上,健康医疗数据相关应用过程通常由政府或授权机构所主导,且现行有效的监管规定中未能明确医疗数据的商业化使用规则。
治愈患者和后续就诊医疗机构之外的第三方,需从人口健康信息、人类遗传资源、病历、健康医疗大数据等行业规制下,甄别其所处的场景和环节,分情况评估。第三方的数据共享可考虑不同的路径。1)第三方以数据处理者的身份,以合作医疗机构的名义进行处理;2)第三方以数据控制者身份,与合作医疗机构开展合作。两种方式下,第三方在数据处理、留存、目的把控、合规义务程度上均有不同。为此,第三方为合法取得健康医疗数据,通常需要进行合理的商业模式设计,例如引入患者授权,构建三方关系进而主张相关数据来源于患者本人授权,进而降低合作中可能面临的合规风险。此外,健康医疗数据对外方的利用限制较为严格,尤其是在涉及中国人类遗传资源的合作上,要求外方不得在中国境内采集、保藏中国人类遗传资源,不得向境外提供中国人类遗传资源,利用中国人类遗传资源的国际合作也仅可以通过与中方合作的方式进行,且需经国务院科技部批准。
结论与建议
健康医疗数据一直在医学发展和传染病防控中扮演着重要的角色,随着信息技术的发展,健康医疗大数据成为行业新的驱动力。在本次疫情下暴露出的数据资源调配问题仅仅是冰山一角,健康医疗数据在各类主体之间的流转如何兼顾不同的数据类别和法律体系的交叉监管,合理管控常态下的法律规则底线和疫情防控等特殊情况中的必要例外,是需要长时间探讨但同时亟需解决的问题。
目前我国应对疫情的响应机制下,政府部门的中心化作用提供了极高的应对效率,但也一定程度上掩盖了目前健康医疗数据共享路径中的一些值得研究和澄清的问题,例如健康医疗数据的跨境传输性质认定、合规路径,例如疫情状态下的研究成果归属等。
在这样的法律背景下,企业主体,尤其是医疗机构、相关研究机构和掌握大量可能潜在构成健康医疗数据的其他企业主体,除常规经营下的数据合规措施以外,还应当更加重视公共卫生事件、网络安全事件等特殊状态下的应对措施,重点关注:
提前规划,切实建立公共卫生事件、网络安全事件等特殊状态下的响应预案,确保机构内部及时响应与行动;
区分常态化经营和特殊状态下的数据对外共享通道,重点关注特殊情况下向主管部门的必要数据共享机制;
及时、全面梳理自身掌握且可用的健康医疗数据等数据资产,合理构建必要的数据资产分级分类体系,提前拟定不同类别数据和场景下的配套细则,为启动应急响应预案后提供实践指引。
后记
作为法律服务工作者,我们希望健康医疗数据在疫情下的共享研究不仅能够帮助高效但有序的完成“无形武器”数据的调配,避免事后可能存在的争议,也能够促进健康医疗数据能够在未来迎来一个更为流畅、便捷的共享规则体系。
只要大家同舟共济,一定能够战胜疫情。我们相信2020年初春留给我们的还会有更多你我携手共进,团结温暖的印记。
[注] 参见《国家卫生健康委办公厅关于加强信息化支撑新型冠状病毒感染的肺炎疫情防控工作的通知》。
[1] 参见《人口健康信息管理办法(试行)》第三条。
[2] 参见:http://www.nhc.gov.cn/mohwsbwstjxxzx/s8553/201405/d22d7df3236f4b4fadb9e34bbb5e1901.shtml (访问日期:2020年2月5日)。
[3] 参见《医疗机构病历管理规定》第二条。
[4] 参见《中华人民共和国人类遗传资源管理条例》第二条。
[5] 参见《国家健康医疗大数据标准、安全和服务管理办法(试行)》(以下简称“《健康医疗大数据管理办法》”)。
[6] 《传染病防治法》 第四十八条
发生传染病疫情时,疾病预防控制机构和省级以上人民政府卫生行政部门指派的其他与传染病有关的专业技术机构,可以进入传染病疫点、疫区进行调查、采集样本、技术分析和检验。
[7] 参见《指南》第3.8条,即“经过基本的去标识化处理,但仍可识别相应个人的、需要保护的个人健康医疗数据集”。
[8] 参见《指南》第7条。
[9] 参见《电信条例》第六十五条,“电信用户依法使用电信的自由和通信秘密受法律保护。除因国家安全或者追查刑事犯罪的需要,由公安机关、国家安全机关或者人民检察院依照法律规定的程序对电信内容进行检查外,任何组织或者个人不得以任何理由对电信内容进行检查。
电信业务经营者及其工作人员不得擅自向他人提供电信用户使用电信网络所传输信息的内容。”
[10] 参见《电信和互联网用户个人信息保护规定》第十条。
[11] 参见新华网报道《工信部调度部署疫情防控大数据支撑服务工作》,网址:http://www.xinhuanet.com/politics/2020-01/26/c_1125503905.htm,最后访问时间2020年2月6日。
[12] 参见《传染病防治法》第五十二条。
金杜网络安全与数据合规团队文章共享
相关文章链接
Links of Related Articles
人工智能 >>
2020年“AI”应有大爱 2020-01
人工智能系列之人脸识别信息的内涵与合规难题 2019-11
数据合规 >>
宜未雨而绸缪——企业上市关注的重点数据合规问题 2020-01
“数”年快乐——万字长文说“数据融合” 2020-01
平安夜里说平安——“数据资产”的误区与合规条件 2019-12
按图索骥——图示移动APP个人信息保护的重点 2019-11
大一统而慎始也——新型信用监管机制问答 2019-10
竹杖芒鞋轻胜马:医疗大数据发展和合规管理并重 2019-09
星光奉献给长夜——儿童个人信息保护的亮点和启示 2019-08
投资出行领域,数据是金矿还是烫手山芋?2019-07
Development Of PrcRegulations On Cross Border Data Transfer 2019-06
数据监管新要求,电子商务法时代跨境电商将走向何方? 2018-11
你的“饼干”安全吗?——Cookie 与个人信息保护 2018-08
“明者因时而变,知者随事而制” ——《个人信息安全规范》实务探讨 2018-02
谨于言而慎于行:互联网信息内容服务管理新规出台 2017-08
No “Data”, No “Internet of Vehicles” 2017-07
布局“自动驾驶”:此时不为,更待何时?2017-07
Putting an “Invisibility Cloak” over Personal Information —— A discussion on “invisible waybills” introduced by express industry 2017-07
图解“车联网” 2017-06
无“数据”,怎“车联”?——“车联网”数据类核心业务法律监管刍议 2017-05
为个人信息披上一件“隐形衣”——从快递行业推行“隐形面单”说开去 2017-05
欲善其事,先利其器——解读《互联网信息内容管理行政执法程序规定》 2017-05
你的数据,能不能走出国门? 2017-04
中国推进个人信息保护 2017-04
2017年,大数据合规离我们有多远? 2017-01
隔耳有“墙”——从美国FCC新规则谈个人信息保护新趋势 2016-12
个人信息保护的百万罚单时代来了? 2016-11
网络安全 >>
博观而约取,厚积而薄发:《密码法》要点评析及企业合规路径 2019-11
亡羊补牢未为迟:如何应对网络安全勒索事件 2019-06
“欲穷千里目,更上一层楼”——国际新形势下的等保2.0 2019-05
叶上初生并蒂莲——最新出台的《电子商务法》与《网络安全法》之比较 2018-09
《网安法》生效后不得不知的N件大事 2017-08
“新”电信业务办法:更简、更活、更规范 2017-07
必将婴城固守,皆为金城汤池——看《关键信息基础设施安全保护条例(征求意见稿)》 2017-07
Petya来袭,网络安全事件应急预案正当其时 2017-07
图解安全评估流程——互联网业务安全不可因“新”而废“管” 2017-06
《网络安全法》及其部分配套规定今起实施 2017-06
“一带一路”背景下中国企业境外并购的网络安全和数据合规问题 2017-06
十三五“新常态”下企业营商的合规挑战 2017-05
开启互联网新闻监管新时代——《互联网新闻信息服务管理规定》述评 2017-05
画龙画虎先画骨 ——解读《网络产品和服务安全审查办法(试行)》 2017-05
热点解读:网信办连续颁布三项重磅新规 2017-05
部分文章请详见China Law Insight官方网站。
——— 本文作者 ———
宁宣凤
合伙人
合规业务部
susan.ning@cn.kwm.com
宁宣凤律师的主要执业领域为反垄断与反不正当竞争,以及网络安全与数据合规。在反垄断领域,宁律师所提供的法律服务内容主要包括经营者集中反垄断申报、应对反垄断行政调查、反垄断法合规咨询以及反垄断诉讼。早在2008年《反垄断法》实施之前,宁宣凤律师就曾积极参与政府起草该项法案的咨询工作,并在该法颁布后,继续积极参与协助相关条例、实施办法及指南的起草工作。在网络安全与数据合规领域,宁律师曾为多家国内外知名企业提供数据合规尽职调查、风险评估、合规体系建设等法律服务。作为国内最早涉足该类法律实务的律师之一,宁律师在为客户提供网络安全与数据合规法律咨询服务方面有着丰富的经验。
吴涵
合伙人
合规业务部
wuhan@cn.kwm.com
吴涵律师的主要执业领域为网络安全与数据合规。吴律师协助客户制定修改隐私政策,制定跨境数据传输计划,制定数据商业化合规方案,梳理企业数据(包括个人信息保护)合规体系,进行网络安全和数据合规自查,协助搭建数据融合的商业及合规框架,构建企业数据资产体系,进行内部网络安全和数据合规培训等。吴律师擅长从中国数据合规的角度为跨国企业在中国的分支机构提供网络安全和数据合规意见。同时吴涵律师能够立足中国相关法律法规,为中国走出去企业建立符合欧盟(GDPR)及美国等跨司法辖区要求的网络安全与数据合规体系。项目覆盖金融、保险、数据风控、网约车平台、航空、消费电子、互联网广告、汽车、电商等多个行业。
付昊
律师助理
合规业务部
王诗笋
律师
合规业务部
感谢关注金杜研究院