适用场景
主要面向涉及医疗健康领域,特别是制药企业、互联网医疗平台以及与医疗专业人士(HCP)有数据交互的出海企业。无论是在日常业务拓展、学术交流、产品研发还是平台运营阶段,均需关注HCP个人信息合规。
核心要点
1. HCP个人信息收集的法律基础
企业在收集HCP个人信息前,需明确法律依据,通常是履行合同的必要性或获得HCP的知情同意。需特别区分日常拜访与合同履行场景,避免混淆法律基础。
2. 多方合作场景下的责任划分
在与第三方(如学术协会、CRO、临床试验机构)合作处理HCP个人信息时,企业应通过书面协议明确各方在个人信息处理中的角色(个人信息处理者、受托方或独立处理者)及各自的权利义务,确保责任清晰。
3. 特定处理行为的单独同意要求
涉及HCP敏感个人信息、向第三方提供、公开披露或跨境传输HCP个人信息时,企业必须获得HCP的单独同意,而非将其混淆于一般同意中,以满足更严格的合规要求。
4. 自动化决策与个性化推荐合规
利用数字工具分析HCP偏好并进行个性化推广时,企业需履行自动化决策的告知义务,提供非定制化选项,并进行个人信息保护影响评估,确保决策过程透明和可控。
5. 数据来源合规性审查
即使作为爬虫数据的接收方,企业也有责任审查数据供应商获取和使用数据的合规性,确保所获取HCP数据的来源合法授权,避免因数据源不合规而承担连带责任。
实务建议
- 在收集HCP个人信息前,务必明确并记录其法律基础,避免模糊或不当引用。
- 严格限定个人信息收集范围,仅限于实现处理目的所必需的最小范围,避免过度收集。
- 对于跨境传输、敏感信息处理、向第三方提供等特定场景,务必设计独立的同意机制,确保获得HCP的单独同意。
- 与第三方合作时,在合同中详细约定各方在个人信息处理中的责任、义务、数据安全保障措施及违约责任。
- 对受托处理方(如CRO)进行合规能力评估,并在合同中明确其处理范围、责任,建立常态化监督审计机制。
- 开展自动化决策前进行个人信息保护影响评估(PIIA),并为HCP提供拒绝个性化推荐的便捷选项。
- 定期审查数据供应商的合规资质和数据获取方式,确保所获取HCP数据的合法性。
风险提示
- 将日常拜访或非合同必要信息收集,错误地以“履行合同必要”作为法律基础,可能面临合规风险。
- 将单独同意要求(如跨境传输、敏感信息处理)混同于一般知情同意,导致同意无效。
- 在多方合作中,未明确各方角色和责任,一旦发生数据泄露或违规,难以界定责任。
- 忽视对受托方(如CRO)的监督管理,导致其违规处理HCP个人信息,最终责任仍可能由委托方承担。
- 未对自动化决策进行影响评估,或未提供拒绝个性化推荐的选项,可能触犯相关法规。
- 作为爬虫数据的接收方,误以为无需承担数据来源合规性审查责任,从而引入法律风险。