世辉观点 | HCP的个人信息保护
在与医疗卫生专业人士(Healthcare Professional,下称“HCP”)的日常互动交往中,医药公司不可避免地会处理HCP的个人信息。在中国《个人信息保护法》出台生效后,医药公司在处理HCP个人信息时应注意哪些问题,本文将结合HCP个人信息处理的不同业务场景予以具体分析。
作者:世辉律师事务所 | 卢璟 | 王新锐
处理HCP个人信息的业务场景
对于医药公司而言,常见的处理HCP个人信息的业务场景包括以下几种情形:
01 日常拜访与沟通
很多公司还会开发数字化工具(例如:微信小程序)用于协助与HCP的日常沟通,例如:向HCP推送医学信息、学术交流机会等。通过这些数字化工具,医药公司还可能会收集HCP的文章浏览记录、点赞行为等个人信息,从而通过自动化决策向HCP进行个性化的信息推送。
HCP个人信息处理
与《个人信息保护法》合规
处理个人信息的合法性基础
在日常拜访与沟通的场景下,医药公司应基于HCP的同意处理其个人信息。
由于医药公司依赖的合法性基础是HCP的同意,如果医药公司需要跨境传输HCP的个人信息(例如:将HCP的个人信息汇集到全球总部在境外设立的CRM系统),还需要取得HCP的单独同意。
告知事项
另外,如果涉及到个人信息的跨境传输,还需要向个人信息主体告知:境外接收方的名称和联系方式、处理目的、处理方式、个人信息的种类以及个人信息主体向境外接收方行使法定权利的方式和程序等事项。
个人信息跨境传输
有关个人信息跨境传输的单独同意(如上文所述); 有关个人信息跨境传输的额外告知事项(如上文所述); 需要针对个人信息跨境传输开展个人信息保护影响评估,并且对跨境传输的处理情况予以记录,保护影响评估报告和处理情况记录需要保存至少3年; 跨境传输需要符合法定条件,包括:
对于关键信息基础设施运营这或者处理个人信息达到国家网信部门规定数量的个人信息处理者,应将HCP个人信息在境内存储,跨境传输需要通过国家网信部门组织的安全评估; 对于其他个人信息处理者,应当符合以下三种条件之一: (i)通过国家网信部门组织的安全评估; (ii)通过专业机构进行的个人信息保护认证; (iii)按照国家网信部门制定的标准合同与境外接。
自动化决策
委托处理
在委托处理的情况下,《个人信息保护法》要求医药公司与第三方签订委托处理协议,约定:委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等。另外,医药公司需要对第三方的个人信息处理活动进行监督。
针对委托处理个人信息,医药公司需要开展个人信息保护影响评估,并且对委托处理情况予以记录,保护影响评估报告和处理情况记录需要保存至少3年。
处理个人信息的合法性基础
有些医药公司选择将“HCP的同意”作为合法性基础。在此情形下,医药公司需要注意的事项与上文所述事项相同。 有些医药公司选择将“为履行HCP作为一方当事人的合同所必需”作为合法性基础,其理由在于:当医药公司邀请HCP参加会议时,会与HCP签订参会协议,并且协议中有安排差旅的相关内容。为了履行这份参会协议所必需,医药公司需要处理HCP的个人信息。
其他合规义务
处理个人信息的合法性基础
由于合法性基础不是“HCP的同意”,对于个人信息跨境、处理敏感个人信息等问题,医药公司无需获得HCP的单独同意。
告知事项
另外,由于在聘请HCP提供专业服务时,需要收集HCP的银行账户等敏感个人信息,医药公司还需要告知《个人信息保护法》所要求的有关处理敏感个人信息的额外事项,即:向HCP告知处理敏感个人信息的必要性以及对HCP个人权益的影响。
处理敏感个人信息
其他合规义务
处理个人信息的合法性基础
1、有些医药公司选择将“HCP的同意”作为合法性基础。在此情形下,医药公司需要注意的事项与上文所述事项相同。
2、有些医药公司选择将“为履行法定义务所必需”作为合法性基础,其理由在于:《药物临床试验质量管理规范》明确要求申办者在选择研究者时,应当选择经过临床试验的培训、有临床试验的经验的研究者。因此,医药公司(作为申办者)审阅研究者的相关背景信息是为了履行这一法定义务。
我们认为,将“为履行法定义务所必需”作为合法性基础是有其合理性的。不过,需要注意的是,如果医药公司在处理研究者的相关个人信息时还带有其他目的(例如:基于研究者的特定专业经历对其进行后续的拜访或定向化的信息推送),则这些为了其他目的的处理活动仍需要具备相应的合法性基础(例如:研究者的同意等)。
处理个人信息的合法性基础
由于合法性基础不是“HCP的同意”,对于个人信息跨境等问题,医药公司无需获得HCP的单独同意。
其他合规义务
处理个人信息的合法性基础
由于合法性基础不是“HCP的同意”,对于个人信息跨境等问题,医药公司无需获得HCP的单独同意。
(注:类似的,在不良反应报告过程中,处理患者的医疗健康等敏感个人信息,也可以依赖“为履行法定义务所必需”这一合法性基础,无需取得患者的单独同意。)
告知事项
其他合规义务
处理个人信息的合法性基础
1、在日常拜访与沟通的告知文件中加入有关为合规调查之目的处理HCP相关个人信息的内容,并获得HCP的同意。换言之,HCP所作出的这个同意既包括了医药公司为日常拜访与沟通之目的处理个人信息,也包括了为合规调查之目的处理个人信息。通过这种方式,医药公司可以依赖“HCP的同意”这一合法性基础在合规调查中处理相关个人信息。
2、 依赖“为履行法定义务所必需”这一合法性基础。根据《公司法》第5条,公司从事经营活动,必须遵守法律、行政法规,遵守社会公德、商业道德。医药公司可以主张开展合规调查的目的是为确保公司的经营活动不会违反反腐败法律以及其他适用的法律法规或商业道德。当然,《公司法》第5条的要求能否作为合规调查中处理个人信息的法定义务,还有待进一步观察执法者的态度。
其他合规义务
版权与免责
本文章仅供业内人士参考,不应被视为任何意义上的法律意见。未经世辉律师事务所书面同意,本文章不得被用于其他目的。如需转载,请注明来源。如您对本文章的内容有任何问题,可联系本文作者卢璟律师、王新锐律师或您熟悉的其他世辉律师。
卢璟 合伙人
luj@shihuilaw.com
卢璟律师在生命科学领域有着丰富的法律服务经验,其服务的客户既包括辉瑞、拜耳、吉利德、美敦力、奥林巴斯等外商投资企业,也包括百济神州、天演药业、永仁心等根植于中国的的药械创新公司。卢律师为客户提供的服务包括:数据合规体系以及反腐败合规体系的搭建,合规治理有效性的评估,在并购交易中开展合规尽职调查,代表雇主企业开展针对员工的内部合规调查,以及在产品许可交易、销售外包服务交易、广阔市场项目、零售渠道合作项目、患者援助项目、数字化平台管理项目等各类交易或合作项目中为企业提供商业谈判、尽职调查、协议起草以及法律及合规风险分析等服务。
卢璟律师先后毕业于北京大学和美国哥伦比亚大学,并获得法学学士和法学硕士学位。加入世辉之前,卢律师是美国盛德国际律师事务所的资深律师,并作为其中国生命科学团队的核心成员工作多年。
王新锐 合伙人
wangxr@shihuilaw.com
王新锐律师毕业于清华大学法学院,执业已超过18年,曾长期在国内顶尖律师事务所工作,现为世辉律师事务所合伙人。
王律师长期深耕网络安全和数据保护业务,其提供深度法律服务的客户包括数十家中外顶级科技公司,亦为多个中央部委和地方政府的数据立法和监管工作提供支撑。王律师作为中方专家,入选ICC(国际商会)、B20(二十国集团工商峰会)等国际组织的数字治理工作组。
王律师是《个人信息保护国际比较研究》、《数据服务框架》两本书的主要作者,并有大量文章和译作公开发表,专业观点经常被新华社、人民网等国内外主流媒体引用。近两年,王律师作为课程讲师在北大、清华等多所著名高校讲授网络法和数据保护相关内容,并兼任对外经贸大学法学院高级研究员。
2018年以来,王律师本人和团队在TMT和数据保护领域先后获得钱伯斯、The Legal 500、ALB、商法、China Law & Practice、asialaw、LEGALBAND等多个法律专业评级机构的推荐,其中包括ALB China十五佳TMT律师、The Legal 500亚太数据保护领先律师、LegalBand中国顶级律师排行榜:网络安全和数据保护(第一梯队)(2019-2021)等个人奖项。
往期推荐
世辉观点 | 企业境外上市过程面临的数据合规问题和相关风险 2021版 世辉观点|脱敏临床试验数据的《个人信息保护法》合规 世辉观点 |《互联网信息服务算法推荐管理规定》系列解读一:合规红线和义务清单 世辉解读 |《数据出境安全评估办法(征求意见稿)》对企业合规工作的影响 世辉观点 || 《汽车数据安全管理若干规定(试行)》重点条文解读 辉说诉讼 || 《个保法》下侵权诉讼:权利人和个人信息处理者应如何应对? Impact of the Draft Measures on Outbound Data Assessment Shihui Articles || What does the PIPL mean for an HR manager? 世辉资讯 | 世辉为《个人信息保护法》落地工作提供支撑 世辉资讯|中国信通院联合世辉等多家机构发起“数据安全推进计划” 辉说医疗数据合规 开启线上研讨直通车 活动预告 || 王新锐律师受邀参加《数据出境安全评估办法(征求意见稿)》解读活动 世辉资讯 || 世辉律师事务所合伙人王新锐律师受邀参加第四届计算法学国际论坛 世辉资讯 | 世辉合伙人王新锐律师近期接受新华社采访 活动回顾 | 世辉“辉荟”系列活动之“投融资中的数据合规”闭门研讨会 世辉当选中国网络安全产业联盟数据安全工作委员会副主任单位