药企HCP个人信息典型处理场景及其合规风险解析
药企HCP个人信息典型处理场景及其合规风险解析
随着《中华人民共和国个人信息保护法》(下称“《个保法》”)等法律法规的颁布出台和生效,生命健康行业的个人信息保护合规工作将产生影响深远的变化。生命健康行业是个人信息处理行为最为密集的行业之一, 也是个人信息保护的重点关注领域之一。药企、医疗器械公司和医疗服务提供者在业务经营过程中必然会接触到各类人群的个人信息,其中医疗卫生专业人士(Healthcare Professional,下称“HCP”)的个人信息是相关行业公司在日常经营中会收集处理的一类典型个人信息。不少药企等生命健康相关行业公司收集和储存的HCP个人信息的较大体量,以及新兴的互联网技术、数字化运营技术在生命健康行业的广泛应用, 决定了生命健康行业相关从业方密切关注和落实HCP个人信息保护义务的迫切需求。本文试对部分HCP个人信息典型处理场景及各自的合规风险点进行探讨。
一、典型场景一:对HCP进行日常拜访,或邀请HCP参加学术会议、讲课、教育活动等
日常拜访/沟通:医药公司的医药代表在其日常与HCP沟通交流的过程中,往往可能收集HCP的姓名、工作单位、科室、教育背景、联系方式等个人信息。这些HCP的个人信息,可能通过自己拜访获得,也可能自第三方(如学监会、行业协会)获取。亦有医药公司利用和开发数字化工具,如微信小程序、CRM客户关系管理系统等,通过学术内容推送等数字化手段,协助与HCP的日常沟通并记录其医药代表与HCP之间的沟通交流内容。HCP在这些程序和应用中进行的操作可能被记录,用于了解HCP的数字化渠道使用偏好和感兴趣的业务方向,从而有针对性地向HCP推送医学信息、学术交流机会等内容。
学术会议/教育活动:医药企业通过与学协会等第三方机构合办或自行举办的学术会议、医者教育活动等,通常会吸引相当数量的领域内专家参加会议或者作为讲者为会议或企业提供劳务。线上会议也是当下常见的数字化沟通的重要手段,药企往往会倾注很多资源在会议准备之上,会议前的预热、会议中的宣传以及会后的跟进都可能会生产内容和获取到相应的HCP个人信息。在参与线上及线下会议等提供劳务的过程中,医药企业或学协会等第三方机构可能会直接或间接收集HCP的个人信息并用于会议、教育等相关目的,包括医生姓名、工作单位、职务、联系方式、邮箱等,还包括一些敏感个人信息,如身份证号码、银行账号等。
合规风险点:
在收集HCP的个人信息之前,首先需要考虑HCP个人信息处理的法律基础。通常而言,处理HCP个人信息可以考虑适用《个保法》第十三条下提供的两条法律基础:(i)为订立、履行HCP作为一方当事人的合同所必需,或(ii)知情同意(包括单独同意)。
选择合同履行之必需作为处理HCP个人信息的法律基础,其适用性可能会受到较多限制。由于对HCP的日常拜访、沟通等行为并不必然触发与HCP签署合同的场景,因此针对一般的日常拜访活动中收集到的HCP个人信息,如何在收集前获取相应HCP的知情同意可能是实践中的难点之一。
在学术会议或教育活动中,如果药企是与学监会等第三方机构合作举办会议的,原则上应与第三方机构就知情同意的获取进行沟通,要求第三方履行其相应法律义务。在药企自第三方获取相关个人信息的情形下,建议与第三方在合同项下明确各自的权利义务和责任的分配。
如果药企自行举办学术会议或医者教育活动,要注意区分有签约需求的HCP和不涉及签署合同的HCP。
而针对涉及与HCP签署劳务等合同的学术会议/教育活动,可以考虑适用履行合同之必要作为处理个人信息的法律基础。需要注意的是,虽然这种情况下可能可以适用履行合同之必要作为法律基础,从而针对该部分个人信息的处理无需另行获取同意,但是,处理的范围应当严格限制在最小必要的限度内,即不符合最小必要范围的个人信息种类,或不具有必要性的处理行为,无法适用该法律基础。例如,与HCP签署学术演讲会议的劳务合同时,适用此法律基础的个人信息就应该是为履行该劳务合同具体内容所必需的个人信息。而诸如该演讲人家庭住址等与演讲这一劳务内容不直接相关的个人信息,则建议考虑通过确保满足其他法律基础的方式来确保合规。又如,如果就参加学术演讲活动与HCP签约的合同相对方是学协会等第三方机构,那么第三方机构将HCP的参会个人信息传输给合作举办会议的药企,药企后续将HCP的信息传输给自己的境内关联企业,甚至境外母公司等行为,是否都在约定的会议合作所必要范围内?如果药企基于这些基础信息,后续又通过拜访等行为获取了更多的HCP个人信息,则也不能再依赖于原先的履行合同之必要的法律基础。
在无合同或超过合同履行所必需的范围收集处理HCP个人信息时,则需要在开始收集前获取HCP的知情同意。考虑根据具体的业务场景,通过线下纸质或者线上的系统界面,在业务实践允许的情况下于参会前获得参加会议的HCP的知情同意。同意的范围也需要注意根据业务实践进行调整,应当做到尽可能详细和准确地描述处理的主体、目的、处理个人信息的范围和方式,尽量避免使用模糊或概括性的词语。
除了一般的告知同意,也要注意对于HCP个人信息是否会进行任何需要获取单独同意的处理动作,如将HCP的个人信息传输给药企的境外关联方时,对该等跨境传输行为的同意就不能杂糅在一般的知情同意告知文本中获取,而是需要向HCP明确告知境外个人信息接收方的名称、联系方式、处理目的、处理方式、个人信息的种类以及向境外接收方行使信息主体权利的方式和程序,并取得HCP对跨境行为的单独同意。涉及处理HCP的敏感个人信息、将HCP的个人信息提供给其他个人信息处理者和公开HCP的个人信息等情况的,同样需要获得单独同意。单独同意可以通过单独的告知页面获取,实践中也有采用单独同意另起一栏供阅读者勾选的方式进行获取。
此外,如果药企会采用自建或他建的软件、应用或小程序等对HCP的浏览喜好、使用频率和方式等进行分析,并通过自动化决策的方式向HCP进行个性化的信息推送,那么就要求药企注意《个保法》中有关自动化决策的规定,需要在推送个性化定制的信息的同时向HCP提供并没有根据其个人特征定制的选项,或者向HCP提供便捷的拒绝定制化信息的选项。对于自动化决策的行为需要进行事前的个人信息保护影响评估,并对处理情况进行记录,个人信息保护影响评估报告和处理情况记录应当至少保存三年。
二、典型场景二:产品研发/科研活动
在医药产品的研发和注册申请活动中,医药企业作为申办方,由临床试验机构和研究者开展相关各期临床试验。在临床试验的开展过程中,申办方、CRO、SMO、临床试验机构也会通过各种方式取得研究者和临床试验机构工作人员的个人信息。
在多角色的个人信息处理场景中,确定各主体在《个保法》下承担的角色是进行法律分析的首要步骤。作为申办方的药企,临床试验方案包含了申办方的意志,CRO和SMO在实践中往往都是由药企出资聘用,接受药企的指示。尤其是CRO是按照申办方的指示去开展相应的活动,故申办方对CRO有相应的管控和监督的权限,申办方与CRO一般来说属于比较典型的处理者和受委托方的关系。
而临床试验机构和研究者与申办方之间,就往往没有那么直接的指示和监督关系了。虽然临床试验机构和研究者开展临床试验要依据包含和体现了申办方意志的临床试验方案,但是,针对具体的临床试验数据,包括对于受试者信息的处理,实际上更多的是由研究者和临床试验机构根据实际研究的需要,来决定处理的范围、方式,通常很少接受申办方具体细致的处理数据的指示。因此,将临床试验机构和研究者作为与申办方各自相对独立的处理者,是比较妥当的。
对于SMO,虽然其聘用方往往是申办方,但是在整个临床试验的过程当中,SMO主要是跟临床试验机构进行沟通,SMO的数据处理指示通常是来源于临床试验机构的,因此将其视作为临床试验机构的受托方是更符合数据处理业务实践的。
合规风险点:
鉴于本文主要讨论的是HCP个人信息的保护,而临床试验中涉及的个人信息主体种类较多,因此下文合规要点的讨论集中在临床试验中的HCP个人信息上。
临床试验中涉及的HCP个人信息,主要是研究者和临床试验机构工作人员的个人信息。从前期对于研究者资质的核验,到开展临床研究过程当中与研究者的沟通,必然会涉及到对于相关HCP个人信息的收集。对于研究者,因为其也是作为临床试验协议的签署一方,一般可以考虑适用为了订立履行合同所必需的合法性基础去收集其个人信息。
对于其他的临床试验机构工作人员,除添加由临床试验机构确保其提供的工作人员相关信息已经获取数据主体同意的条款外,也可以考虑通过确认临床试验机构内部的人事管理规章制度中是否具有相应的个人信息条款来判断其是否具有处理的合法性基础。
申办方在签署涉及申办方、研究者和临床试验机构之间的数据条款时,应注意明确具体处理场景下的处理者和受托方分别是谁,尤其是涉及数据主体个人信息权利请求的响应以及数据安全事件的处理和责任分配的条款。
另一个实践中遇到的合规难点是境内药企可能遇到以临床试验的申办方角色提交并进行国际项目合作申报的情况。国际合作项目意味着必然需要与境外关联方或者合作的科研机构进行信息和数据的交互,这其中往往包含着项目中相关HCP的个人信息。但是,实践中CRO在接受申办方委托处理数据跨境的过程中可能会因缺乏合规意识或能力给药企带来风险。这就要求药企一方面在挑选CRO时,重视其数据合规意识和能力,了解相关人员是否接受过数据相关培训;另一方面,在临床试验合同或在单独的数据委托处理协议中对于CRO的义务进行明确并合理地分配责任,从而减少因CRO的行为导致作为处理者的药企承担非因自身原因而产生的合规风险。作为申报方的药企,可以根据自己临床项目的实际业务情况,约定CRO作为自己的委托处理方,充分发挥药企对CRO的较强管理权限,约束CRO仅能在药企授权和指示的范围内进行HCP个人信息的处理(包括跨境传输)。但是药企将CRO定义为受托方的缺点是,药企将要承担监督义务以及兜底责任。因此,药企需同时对CRO的个人信息传输行为设置必要的监督机制(如要求CRO配合药企定期的审计和不定时的抽查,要求CRO披露其传输信息的情况等等),并明确违约的责任后果,以尽可能减少因CRO方的行为带来的数据合规责任风险。
除了CRO之外,作为申办方的药企还可能会需要委托其他类型的第三方服务提供商处理HCP的个人信息,如提供HCP身份验证的服务等。类似的,药企应当与服务商签订协议以约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等,并且药企需要对服务商的个人信息处理活动进行有效的监督,确保服务商按照约定处理个人信息,没有超出约定的处理目的、处理方式等处理个人信息,如通过定期的汇报和不定期的配合抽查等方式,并且应监督第三方服务商在服务完成后尽快删除相关的HCP个人信息。委托服务商处理HCP个人信息,亦需要开展个人信息保护影响评估,并且对委托处理情况予以记录,保护影响评估报告和处理情况记录需要保存至少3年。
三、典型场景三:互联网医疗平台接收通过爬虫等技术手段获取的HCP个人信息
互联网医疗平台业务正值蓬勃发展之际,顺应促进“互联网+医疗健康”发展的政策趋势,在过去的几年中充分发挥了其不受空间约束的优势,显著提升了医疗卫生现代化管理水平和服务效率。为了扩展平台业务,打响知名度和提高市场占有率,很多互联网医疗平台希望招募知名专家为平台引流客户,同时也会招募大量的科室医生在平台入驻为线上用户提供健康咨询服务。在引流和招募的过程中,互联网医疗平台可能作为下游接收方,购买上游爬虫数据提供方的数据或者服务,以筛选其希望招募和展示在平台上的HCP。
合规风险点:
由于互联网医疗平台多作为下游接收企业,而非实际实施爬虫技术抓取数据的主体,因此往往并不会对爬虫技术使用的合规性予以过多的关注,这样的态度无疑会导致风险。作为爬虫数据的接收方,并不能想当然地高枕无忧,而是需要从上游供应商管理和自身使用范围两个方面去审视对于爬虫数据的使用是否合规。一方面,对于爬虫数据供应商应进行管理,通过协议要求供应商对于爬虫技术使用授权、爬虫软件使用时未违反被爬取网站设置的反爬虫声明或网站公开的相关政策、爬取数据及数据融合后提供的产品未超过原授权同意范围等内容提供陈述与保证,审核数据来源合法性,尽到勤勉调查的义务,并设置针对供应商以上承诺的违约责任。
另一方面,互联网医疗平台在获取使用爬虫数据的过程中,要严格审核自己数据使用的范围,确保是否获得了所有的必要授权。如任何在平台经营中的使用一旦超出原数据主体授权使用范围的,应该再次获得数据主体的授权同意,切不可认为在被爬取网站上公开的HCP个人信息就可以随意地在自己的互联网医疗平台上公开以供引流患者客户。
另外需要提醒的是,如互联网平台的爬虫数据是通过大量抓取自己的竞争对手的数据来获取,并且用于提供同质化的服务的,即便供应商获取数据的行为并未违反网站设置的反爬虫声明等,仍可能因“不劳而获”和“搭便车”、构成实质性替代等理由引起不正当竞争相关的争议涉诉[1],互联网平台应注意避免此类不合规的行为。
结语
在个人信息保护体系和机制日益完善的大环境下,生命健康行业因其行业属性而注定需要格外关注其对于个人信息保护的合规。虽然对于个人信息保护的讨论与日俱增,相关规则逐渐清晰,但在生命健康行业的探讨却仍处在初期。对于药企来说,如何将个人信息保护以合规且可操作的方式落到实处,既是当务之急,同时仍存在不少疑惑待解。但可以肯定的是,药企的个人信息保护实践不可能是对法条的生搬硬套,而需要融合行业实践去摸索。本文从HCP个人信息保护这一看似日常的角度出发,做一些抛砖引玉的探讨,同时我们也会持续关注相关行业政策的发展。
[注]