智能穿戴设备的数据合规要点
媒介
一、天分问题
纵看整个智能穿戴设备行业,包罗上游的软硬件开发商,中游的设备厂商以及下流的末端利用,智能穿戴设备的相关企业在运营过程中,不只涉及硬件的消费,还包罗各类软件的开发,以及可能延展到医药等行业的相关营业,同时也涉及与此相关的信息平安和收集平安等问题。因而,在营业开展的差别阶段,可能涉及多种天分,如增值电信营业运营答应证、医疗器械消费运营答应/存案、互联网药品信息办事资格证书、医疗机构执业答应证、信息系统平安品级庇护存案证明等。
1、增值电信营业运营答应证
根据《互联网信息办事治理办法》的规定,互联网信息办事分为运营性和非运营性两类。运营性互联网信息办事,是指通过互联网向上彀用户有偿供给信息或者网页造造等办事活动。非运营性互联网信息办事,是指通过互联网向上彀用户无偿供给具有公开性、共享性信息的办事活动。处置运营性互联网信息办事,则需要依法获得增值电信营业运营答应证,即ICP证。
智能穿戴设备企业假设通过官方网站对本身的产物停止鼓吹介绍,则可能涉及通过互联网向用户无偿供给具有公开性、共享性信息,属于为上彀用户供给非运营性互联网信息办事,应通过“工业和信息化部政务办事平台-处事指南-非运营性互联网信息办事核准”申请停止网站的ICP存案工做。因而,智能穿戴设备企业能够对本身营业开展的范畴停止阐发,揣度能否需要获得相关证书或者停止存案。
2、医疗器械消费运营答应
3、互联网药品信息办事资格证书
互联网药品信息办事是指通过互联网向上彀用户供给药品(含医疗器械)信息的办事活动。根据《互联网药品信息办事治理办法(2017年批改)》第3条的规定,互联网药品信息办事分为运营性和非运营性两类,是指通过互联网向上彀用户有偿供给药品信息等办事或无偿供给公开的、共享性药品信息等办事的活动。根据该办法第6条²规定,处置互联网药品销售的平台应获得的关键证照,为《互联网药品信息办事资格证书》。拟供给互联网药品信息办事的网站应向该网站主办单元所在地省、自治区、曲辖市食物药品监视治理部分提出申请,经审核附和后获得供给互联网药品信息办事的资格。同时,该办法的第8条还规定了平台应当在其网站主页显著位置标注《互联网药品信息办事资格证书》的证书编号。
4、医疗机构执业答应证
根据《医疗机构治理条例(2022修订)》第23条的规定,任何单元或者小我,未获得《医疗机构执业答应证》或者未经存案,不得开展诊疗活动。第26条 医疗机构必需根据核准注销或者存案的诊疗科目开展诊疗活动。
根据《互联网诊疗治理办法(试行)》的规定,关于开展互联网诊疗活动的机构,应当获得《医疗机构执业答应证》;新申请设置的医疗机构拟开展互联网诊疗活动,应当在设置申请书说明,并在设置可行性研究陈述中写明开展互联网诊疗活动的有关情状。卫生安康行政部分受理申请后,将在规按时间内做出版面回答,批准设置并附和其开展互联网诊疗的,在《设置医疗机构批准书》中说明附和其开展互联网诊疗活动。
5、信息系统平安品级庇护
展开全文
二、小我信息庇护的合规要点
1、搜集哪些小我信息?
次要搜集小我信息的场景和小我信息类型如下:
假设智能穿戴设备目前搜集的信息内容较为单一,好比仅搜集用户的轨迹信息或位置信息,在没有联系关系其他数据的情状下,无法间接识别到小我,能否认定为其搜集小我信息?
根据《小我信息庇护法释义》一书中认为,小我信息的界定现实上有两条途径,一为“识别(identify)”;二为“联系关系(link)”:识别途径是从信息到小我,即如前所述,由信息自己的特殊性间接回溯到特定小我。联系关系途径是从小我到信息,即已知既定小我,晓得“关于”该小我的进一步新动静;可以联系关系到特定小我的信息其实不以特殊性为前提,其感化是丰富给定小我既有的人格图像(profile),使别人晓得更多关于该小我的情状。关于智能穿戴设备企业而言,需要全面对待其所搜集的小我信息类型,不克不及仅以公司不搜集用户姓名和身份证号码为由就认为所搜集的小我信息无法识别小我,从而不需要履行小我信息处置者的合规义务。
但是,关于小我信息的庇护,也需要连系现实营业场景来辨认,在余某某诉查博士隐私权、小我信息庇护纠纷案³中,法院认为,从内容上看,案涉汗青车况陈述重点信息包罗了车架号、车辆根本行驶数据,维保数据、碰碰数据、评分项目及详细评分等,未呈现天然人身份信息、行迹信息、通信联络体例等能间接识别特定天然人的信息,从而断定案涉汗青车况信息无法零丁识别特定天然人。
在智能穿戴设备中,假设企业所开发的APP只是做为硬件的配套办事,无须用户登录,不搜集用户的身份信息,而且该硬件功用较为单一,好比硬件只搜集小我运动轨迹等单一类型的信息,那么在此场景下,虽然小我的运动轨迹信息存在与第三方信息连系可能识别特定天然人,但一般理性人在实现上述目标时会综合考虑行为成本,好比手艺门槛、第三方数据来源、经济成本、复原时间等,综合上述因素再连系识别,成本较高,因而在那种情状下,被认定为小我信息的可能性较小。
2、小我信息庇护的一般要求
第一,造定内部治理轨制和操做规程,从轨制到流程停止全面的管控;
第二,对小我信息实行分类治理,定见企业成立小我信息的分类分级清单;
第三,摘取加密和往标识化等平安手艺办法,在理论中我们碰着良多企业出于成本考虑,一起头其实不重视加密和往标识化的工做,后续一旦涉及到企业上市或发作合规风险事务等情状,就必需停止合规整改,此时的整改工做可能涉及对底层手艺逻辑的修改,整改所需的时间和工做的难度会大大进步;
第四,加强权限治理,明白岗位权限,并对拜候和操做行为停止笔录;
第五,处置小我信息到达国度网信部分规定命量的小我信息处置者应当指定小我信息庇护负责人。理论中良多企业为从形式上称心法令合规的要求,聘用公司某手艺人员担任小我信息庇护负责人,但该小我信息庇护负责人可能其实不明白本身的职责和工做范畴。在此需强调,小我信息庇护负责人肩负对公司小我信息处置活动行为停止合规监视的义务,能够强化企业自我监管,同时也是用户与企业沟通的渠道,具有毗连政府和企业的重要功用,因而,人员的聘用以及其任职资格至关重要,别的,公司也应从轨制上为小我信息庇护负责人的工做开展供给有力保障,保障小我信息庇护负责人的知情权、保障其独立性以及供给需要资本等。
第六,按期合规审计。虽然《个保法》规定了“按期”审计,但并未规定“按期”是多久,企业应当连系本身情状确定。目前小我信息的合规审计工做次要根据的是《关于推进小我信息庇护合规审计的若干定见》,企业可连系本身情状,确定审计的规则、原则和审计内容。
第七,开展小我信息平安影响评估。良多智能穿戴设备涉及搜集小我安康医疗数据,而小我安康医疗数据属于灵敏小我信息,应根据《个保法》的要求开展小我信息平安影响评估工做,详细可参考《信息平安手艺 小我信息平安影响评估指南》(GB/T 39335-2020)开展评估工做。
3、小我安康传感数据的合规要求
安康医疗数据指南中关于安康传感数据的次要合规要求如下:
三、存眷有关工业数据的合规治理要求
根据《工业和信息化范畴数据平安治理办法(试行)》(以下简称“《数据治理办法》”)的规定,工业和信息化范畴数据包罗工业数据、电信数据和无线电数据等。工业数据是指工业各行业各范畴在研发设想、消费造造、运营治理、运行庇护、平台运营等过程中产生和搜集的数据。
《数据治理办法》中关于“工业数据”的定义较为广泛,根据国度统计局发布的《国民经济行业分类(GB/T4754-2017)》,智能穿戴行业可回属于“C39计算机、通信和其他电子设备造造业”行业中的“C3961可穿戴智能设备造造”细分行业,也属于工业行业。因而,广义上看,那类企业在研发设想、消费造造、运营治理、运行庇护、平台运营等过程中产生和搜集的数据可能被认定为属于工业数据。
目前,智能穿戴行业的开展敏捷,良多智能穿戴设备企业所研发和消费的产物已经不单单只是为了监测小我的安康情况。例如HUAWEI WATCH B5在其官网⁴的介绍中,就提到“多场景赋能”,连系强大的数据开放才能,借力HUAWEI WATCH B5 专业的安康监测及通信手艺,赋能更多利用场景:利用于能源行业,能够实时治理功课人员的活动形态和安康数据,预判危机情状并联系关系救急;利用于保险行业,可基于穿戴设备丈量数据成立安康模子,优化保险计划,引导用户安康生活,降低理赔率等。
由此可见,当智能穿戴设备利用于多个营业场景时,该设备将在工业范畴数字化转型过程中起到十分重要的感化,所搜集和处置的数据将不只限于用户的小我信息,通过小小的一个穿戴设备,能够链接起各个行业的数据,构成反映行业特征的工业大数据,该设备的合规义务也将从传统的庇护小我信息改变到对工业数据的庇护。在鞭策新一代信息手艺与造造业合成开展以及工业互联网开展的战术摆设之下,工业数据资本的开放共享是趋向,而企业的数据资产庇护及合规治理则是开放共享的根底。
1、成立和完美工业数据分级分类轨制
《工业数据分类分级指南(试行)》第六条、第七条从工业企业、互联网平台企业的主体和工业数据产生环节相连系的角度,提出了工业数据更为详尽的分类维度,即工业企业工业数据分类维度包罗但不限于研发数据域(研发设想数据、开发测试数据等)、消费数据域(掌握信息、工况形态、工艺参数、系统日记等)、运维数据域(物流数据、产物售后办事数据等)、治理数据域(系统设备资产信息、客户与产物信息、产物赐与链数据、营业统计数据等)、外部数据域(与其他主体共享的数据等);平台企业工业数据分类维度包罗但不限于平台运营数据域(物联摘集数据、常识库模子库数据、研发数据等)和企业治理数据域(客户数据、营业协做数据、人事财政数据等)。
关于数据的分级而言,《数据治理办法》规定,根据数据遭到窜改、毁坏、泄露或者不法获取、不法操纵,对国度平安、公共利益或者小我、组织合法权益等形成的危害水平,工业和信息化范畴数据分为一般数据、重要数据和核心数据三级。
在此前的《数据治理办法》收罗定见稿中,还提到了工业数据处置者应当对峙“先分类后分级”的体例,按期梳理,对数据停止分类和标识,构成数据分类清单。虽然正式发文中删除了有关“先分类再分级”的表述,但仍然要求数据处置者应按期梳理数据,根据相关原则标准识别重要数据和核心数据并构成本单元的详细目次。
2、重要数据和核心数据的合规庇护义务
第一,开展数据识别存案,将本单元重要数据和核心数据目次向当地区行业监管部分存案,存案的内容包罗但不限于数据来源、类别、级别、规模、载体、处置目标和体例、利用范畴、责任主体、对外共享、跨境传输、平安庇护办法等根本情状,存案次要针对的是数据处置者对数据处置的根本情状、分级分类的根本情状以及摘取的数据平安保障办法的情状,不包罗数据内容自己;
第二,加强内部治理,成立数据平安工做系统,明白数据平安负责人和治理机构,加强数据处置关键岗位治理,构建重要数据和核心数据处置活动注销审批机造,加强拜候掌握,强化数据全生命周期平安庇护办法;
第三,摘取愈加严厉的手艺手段,保障传输、利用、加工重要数据和核心数据的平安;
第四,组织常态化监测预警与应急处置,涉及重要数据和核心数据平安事务的应第一时间停止上报;
第五,按期施行风险评估,重要数据和核心数据处置者应当自行或拜托第三方评估机构,每年对其数据处置活动至少开展一次风险评估,及时整改风险问题,并向当地区行业监管部分报送风险评估陈述。
四、人工智能手艺的利用
基于智能穿戴设备能够搜集用户大量的安康数据和其他小我信息,良多设备厂商在此根底上,也逐步开发人工智能穿戴安康算法。通过对设备搜集的数据停止监测,监测小我安康情况,以至揣测安康趋向,避免不测恶性事务,赐与医疗机构诊断、开方以及院外治理的相关数据撑持。
我国出台了《新一代人工智能开展规划》《国务院办公厅关于促进“互联网医疗安康”开展的定见》等文件,撑持人工智能信息手艺在财产、产物中的利用。但人工智能信息手艺的利用还应存眷合规风险,为此我国也出台了《关于加强科技伦理治理的定见》《新一代人工智能治理原则》《新一代人工智能伦理标准》以及《科技伦理审查办法(试行)》收罗定见稿等顶层设想和轨制计划。《数据平安法》也规定,开展数据处置活动,应当遵守法令、律例,尊重社会公德和伦理。
1、成立人工智能科技伦理审查机造
2、成立愈加完美的小我信息庇护轨制
3、主动化决策
4、算法存案及算法平安
在操练算法的过程中,企业也应重视机器进修算法平安问题,可参考2021年8月4日信安标委发布的《信息平安手艺 机器进修算法平安评估标准(收罗定见稿)》完美平安保障办法。《机器进修算法平安评估标准》规定了机器进修算法在设想开发、验证测试、摆设运行、庇护晋级、退役下线等阶段的平安要乞降证明办法,以及机器进修算法的平安评估施行。
附注
1.第一百零三条 本条例下列用语的含义:
医疗器械,是指间接或者间接用于人体的仪器、设备、器具、体外诊断试剂及校准物、素材以及其他类似或者相关的物品,包罗所需要的计算机软件;其效用次要通过物理等体例获得,不是通过药理学、免疫学或者代谢的体例获得,或者固然有那些体例参与但是只起辅助感化;其目标是:
(一)疾病的诊断、预防、监护、治疗或者缓解;
(二)损伤的诊断、监护、治疗、缓解或者功用抵偿;
(三)心理构造或者心理过程的查验、替代、调剂或者撑持;
(四)生命的撑持或者庇护;
(五)妊娠掌握;
(六)通过对来自人体的样本停止查抄,为医疗或者诊断目标供给信息。
2.第六条 各省、自治区、曲辖市食物药品监视治理部分对本辖区内申请供给互联网药品信息办事的互联网站停止审核,契合前提的核发《互联网药品信息办事资格证书》。
3.案号:(2021)粤0192民初928号
4.来源:
做者介绍
樊思琪律师系京师深圳律所数字经济法令事务中心副主任、京师深圳律所金融科技法令事务部副主任、深圳市大数据财产协会、深圳市大数据研究与利用协会专家参谋、数据合规研究院高级研究员。
樊律师先后就职于第一创业股份有限公司、安信证券股份有限公司、广发银行股份有限公司深圳分行,持久处置资产治理、投融资并购、资产证券化营业,具有法令和金融复合布景常识。
营业范畴:企业合规、数据合规、投融资并购。
教导布景:中南财经政法大学法学院武汉大学法学院经济法系
专业天分:证券从业资格证、基金从业资格证、CFA-LEVEL3 CANDITATE、德国TUV莱茵学院数据合规官DPO
文章声明
本公家号所颁发的文章仅代表做者本人看点,不代表京师深圳律所的法令定见或定见。我们声明,不合错误任何根据此文章的任何内容而摘取或不摘取动作所招致的后果承担责任。如需转载或引用此文章的任何内容,请通过公家号与我们联络,转发时需说明出处。
