智库快讯丨美国FTC有关个人信息保护的新规定：健康类APP和可穿戴设备厂商不当处理个人信息将面临巨额罚款

联邦贸易委员会(FTC)委员提名人莉娜·汗(Lina Khan)于2021年4月21日在华盛顿国会山举行的参议院商务、科学和运输委员会确认听证会上作证。（图片来源:SAUL LOEB/POOL/法新社，Getty Images）

2021年9月15日，美国联邦贸易委员会（Federal Trade Commission，简称FTC）发布政策声明，要求搜集健康信息的APP开发者和设备运营商在发生个人信息被泄露或者未经消费者同意而共享的情形时，必须做好相应警示，及时通告消费者，否则将面临最高43792美元每起每天的巨额罚款。

与欧盟GDPR统一数据法典立法模式不同，美国一直采取不同领域分别制定专门数据保护规定的立法模式，实施分类监管。其中健康数据涉及个人隐私，是数据保护的重要的领域之一。早在1996年，美国就颁布了《健康保险流通和责任法》（Health Insurance Portability and Accountability Act， 简称HIPAA），规定了医疗机构对健康数据的安全保护义务，建立了健康数据共享的同意机制，即未经患者同意，医疗机构不得允许第三方使用或者向第三方共享患者的健康数据。HIPAA还规定了医疗结构的披露义务，如发生数据泄露，应在规定的时限内告知受影响的患者。由于HIPAA的监管范围有限，为加强对健康数据的监管，FTC于2009年颁布《健康泄露通知规则》（Health Breach Notification Rule），其中规定，泄露消费者敏感健康数据将承担相应法律责任。

各类健康类APP和可穿戴设备的爆发式增长，带来大量隐私泄露和数据安全问题。FTC发布的政策声明将健康APP、健身手环和其年来流行的连接设备囊括在《健康泄露通知规则》的约束范围之内，明确了发生消费者个人数据不当共享或泄露时，相关厂商通知消费者的具体要求。

随着越来越多的人使用APP和其他技术来监控疾病，记录诊疗、用药、体重、睡眠、饮食等信息，美政府认为《健康泄露通知规则》的重要性越发突出。相关服务提供商应以更加谨慎的态度来确保消费者个人数据安全。

消息来源：

STATEMENT OF THE COMMISSION，“On Breaches by Health Apps and Other Connected Devices”