《个人信息保护法》正式施行以来,各行各业都在探讨个人信息处理的合法合规性问题。医药企业在多个业务场景下都会处理个人信息,包括处理医疗健康信息在内的敏感个人信息。医药企业在每种业务场景下处理个人信息是否都有适当的合法性基础,以及应当依据何种合法性基础进行个人信息的处理,对于医药企业的合规经营殊为重要。
一、个人信息处理的合法性基础
根据《个人信息保护法》第13条,仅在符合下列情形之一的前提下,个人信息处理者方可处理个人信息:
(一)取得个人的同意;
(二)为订立、履行个人作为一方当事人的合同所必需,或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需;
(三)为履行法定职责或者法定义务所必需;
(四)为应对突发公共卫生事件,或者紧急情况下为保护自然人的生命健康和财产安全所必需;
(五)为公共利益实施新闻报道、舆论监督等行为,在合理的范围内处理个人信息;
(六)依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息;
(七)法律、行政法规规定的其他情形。
取得个人的同意是处理个人信息的最重要的合法性基础,但并不是唯一的合法性基础。《个人信息保护法》第13条同时规定,有上述第(二)项至第(七)项规定情形的,不需取得个人同意。
在欧洲数据保护委员会(European Data Protection Board,“EDPB”)于2021年2月2日发布的“EDPB DOCUMENTS ON RESPONSE TO A REQUEST BY THE EUROPEAN COMMISSION FOR CLARIFICATION ON THE CONSISTENT APPLICATION OF THE GDPR, FOCUSSING ON HEALTH RESEARCH”中,EDPB也阐述并不是只有数据主体的明示同意可以作为处理健康数据的合法性基础,GDPR中包含的其他法律基础及豁免,也可以作为处理健康数据的依据。
因此,对于医药企业在不同业务场景下处理个人信息的合法性基础需要深入探讨,特别应当关注并非以个人同意作为处理依据的情况。
二、药物警戒活动中的个人信息处理
药物警戒活动是指对药品不良反应及其他与用药有关的有害反应进行监测、识别、评估和控制的活动。[1]药物警戒活动中不可避免的会涉及对个人信息的处理。
《药物警戒质量管理规范》要求药品上市许可持有人(下称“持有人”)在首次获知疑似药品不良反应信息时,应当尽可能全面收集患者、报告者、怀疑药品以及不良反应发生情况等。收集过程与内容应当有记录,原始记录应当真实、准确、客观。[2]
一份有效的个例药品不良反应报告应包括四个元素:可识别的患者、可识别的报告者、怀疑药品、不良反应。当患者的下列一项或几项可获得时,即认为患者可识别:姓名或姓名缩写、性别、年龄(或年龄组,如青少年、成年、老年)、出生日期、患者的其他识别代码。提供病例资料的初始报告人或为获得病例资料而联系的相关人员应当是可识别的。对于来自互联网的病例报告,报告者的可识别性取决于是否能够核实患者和报告者的存在,如提供有效的电子邮箱或者其他联系方式。[3]而个例不良反应报告中的用药情况和不良反应情况将涉及患者的医疗健康信息。因此在收集个例药品不良反应时,持有人将直接从事个人信息的收集、储存和使用。
持有人可以通过受托方、医疗机构、药品经销商收集药品不良反应,在此过程中将会涉及患者和报告者个人信息的委托处理或从前述主体向持有人的提供。同时,持有人向药监部门提交个例药品不良反应报告,患者的个人信息也将随之提供给药监部门。
如果收集个例药品不良反应报告的持有人是境外实体,可能会涉及个人信息向境外提供。
《药物警戒质量管理规范》要求药物警戒记录和数据至少保存至药品注册证书注销后十年,并应当采取有效措施防止记录和数据在保存期间损毁、丢失。[4]因此,患者和报告者的个人信息在此期间将由持有人储存。
如果持有人转让药品上市许可的,应当同时移交药物警戒的所有相关记录和数据,确保移交过程中记录和数据不被遗失。[5]因此,在发生药品上市许可转让的情况下,患者和报告者的个人信息也将随之转移给新的持有人。
三、药物警戒活动中个人信息处理的法律依据
药物警戒活动对于降低药品安全风险,保护和促进公众健康是一项必须的举措。根据《药品管理法》,持有人应当开展药品上市后不良反应监测,主动收集、跟踪分析疑似药品不良反应信息。[6]持有人、药品生产企业、药品经营企业和医疗机构发现疑似不良反应的,应当及时向药品监督管理部门和卫生健康主管部门报告。[7]如果持有人未按照规定开展药品不良反应监测或者报告疑似药品不良反应的,或者药品经营企业、医疗机构未按照规定报告疑似药品不良反应的,都将面临行政处罚的严重后果。[8]
由上文可以看出,开展药物警戒,收集和报告药物不良反应是持有人的一项法定义务。因此,在药物警戒活动中持有人对个人信息的处理可以依赖《个人信息保护法》第13条第1款第(三)项所述的“为履行法定职责或者法定义务所必需”作为其合法性基础。
所谓法定义务,是指信息处理者依据法律法规的规定而负有的义务。法定义务的主体包括普通的民事主体,即自然人、法人和非法人组织。[9]中国法律中规定了很多与个人信息处理相关的法定义务,如金融机构在《反洗钱法》项下为履行反洗钱义务而收集、核对用户的个人信息。
我们认为持有人开展药物警戒活动,在药品不良反应的收集和报告过程中处理患者个人信息属于履行其在《药品管理法》《药品不良反应报告和监测管理办法》《药物警戒质量管理规范》等法律法规项下的法定义务,并不需要患者的同意。
同时,患者作为个人信息主体在《个人信息保护法》下的其他权利也可能受到药物警戒的法定义务的限制。例如,在药物警戒数据保存期届满之前,患者并不能要求持有人删除个人信息。
四、个人信息处理中的注意事项
尽管持有人在药物警戒活动中对个人信息的处理可以将“为履行法定职责或者法定义务所必需”作为其合法性基础,但是并不意味着持有人可以不受限制地任意处理患者的个人信息。
第一、持有人不能将药物警戒活动中收集的患者个人信息用于法律法规规定的药物警戒活动之外的目的,例如用于药物警戒以外的其他研究目的或商业目的。
值得注意的一点是,虽然《药物警戒质量管理规范》规定境外发生的严重不良反应,持有人应当按照个例药品不良反应报告的要求向中国药监部门提交报告。但是相反,并没有规定持有人可以将中国发生的严重不良反应信息报告给外国政府部门。一般认为《个人信息保护法》中提及的“法定职责/义务”是指中国法律法规项下的职责和义务,而不涵盖外国法律项下的职责和义务。因此,持有人是否可以把含有患者个人信息的不良反应报告提交给外国政府部门,是存在很大疑问的,有待未来主管部门加以澄清。
此外,含有患者个人信息的不良反应报告仅能由持有人用于药物警戒活动,并不能提供给持有人以外的对药物警戒没有法定义务的第三方,如药物知识产权许可方、持有人的合作方等。
第二、持有人应遵守《个人信息保护法》中个人同意之外的与药物警戒活动不相冲突的规则。
例如,持有人委托他人开展药物警戒工作时,相关协议中除了规定药物警戒相关法规项下的职责分工外,还应符合《个人信息保护法》第21条的规定,要求受托方按照约定处理个人信息,不得超出约定的处理目的、处理方式等处理个人信息。
相关主体(如药物警戒受托方或药品经销商)将含有患者个人信息的不良反应报告提供给境外的持有人时,虽然不需要个人同意,但应当遵守《个人信息保护法》第38条规定的条件之一,即通过安全评估、经个人信息保护认证或订立标准合同。
此外,持有人也应当遵守《个人信息保护法》第五章的义务,如采取相应的安全措施、指定个人信息保护负责人、进行合规审计、进行个人信息保护影响评估等。
五、结语
《个人信息保护法》的正式实施尚不满一年,其在医药企业的各种业务场景中如何具体适用,还有很多值得探讨和明确的地方。就持有人在药物警戒活动中对个人信息的处理,我们认为其合法性基础是“履行法定职责或者法定义务”,而不是患者的个人同意。但是持有人不能超出药物警戒的法定义务而处理收集到的个人信息,同时应当遵守《个人信息保护法》项下个人同意之外的与药物警戒义务不相冲突的法律规则。今后我们还将持续探讨医药企业在其他业务场景下处理个人信息的合法性基础。
《药物警戒质量管理规范》第2条。
《药物警戒质量管理规范》第40条。
《个例药品不良反应收集和报告指导原则》第3.1条。
《药物警戒质量管理规范》第113条。
《药物警戒质量管理规范》第115条。
《药品管理法》第80条。
《药品管理法》第81条。
《药品管理法》第134条。
江必新、郭锋主编:《<中华人民共和国个人信息保护法>条文理解与适用》,人民法院出版社,2021年11月第1版,第127页。
