导语:在当今数字化时代,互联网移动应用程序(App)得到广泛应用,在促进经济社会发展、服务民生等方面发挥了不可替代的作用。
在当今数字化时代,互联网移动应用程序(App)得到广泛应用,在促进经济社会发展、服务民生等方面发挥了不可替代的作用。同时,App强制授权、过度索权、超范围收集个人信息的现象大量存在,违法违规使用个人信息的问题十分突出。行业主管部门高度重视用户个人信息保护工作,持续开展APP侵害用户权益专项整治行动,为此中国信通院云大所结合卫生健康行业特点,联合爱加密等企业牵头开展互联网医疗健康移动应用软件(App)个人信息保护相关标准研究工作。
2023年12月29日,工业和信息化部发布公告(2023年第38号),批准发布了YD/T 4538-2023《互联网医疗健康移动应用软件(APP)个人信息保护技术要求》行业标准。该关于个人信息保护的行业标准由中国信通院云大所牵头,爱加密等单位联合研制。该行业标准规定了互联网医疗健康App网络安全管理、个人信息处理活动等方面的技术保护要求。适用于指导第三方评估机构对互联网医疗健康App个人信息保护能力进行评估,协助主管监管部门对互联网医疗健康App个人信息保护工作进行监督管理,也可以作为技术参考指导互联网医疗健康App提供者开展个人信息保护能力自评。
处理原则
本标准提出了4大原则:
1.权责一致原则——采取技术和其他必要的措施保障互联网医疗健康 App 个人信息的安全,对 其个人信息处理活动对个人信息主体合法权益造成的损害承担责任;
2.目的明确原则——具有明确、清晰、具体的互联网医疗健康 App 个人信息处理目的;
3.授权同意原则—— 向互联网医疗健康 App 个人信息主体明确信息处理目的、方式、范围等规 则,征求其授权同意;
4.最小必要原则——只处理满足互联网医疗健康 App 个人信息主体授权同意的目的所需的最少 个人信息类型和数量。目的达成后, 应及时删除互联网医疗健康 App 个人信息;
5. 一数一源、最少够用原则——“一数一源、最少够用”原则。互联网医疗健康 App 提供者应 当保证个人在服务端中身份标识的唯一性,基本信息项的一致性, 便于信息共享和利用,避免 重复采集、多头采集,即“一数一源”。不得超范围采集信息,只采集满足服务和管理工作所 需要的最少且够用的相关信息。
信息类别
标准将互联网医疗健康 App 个人信息分为4大类:个人属性信息、健康状况信息、医疗应用数据和个人遗传信息。
1.个人属性信息,主要包括人口统计信息、个人身份信息、个人通讯信息、个人生物识别信息、个人信用记录信息。
2.健康状况信息,包括:既往病史(包含传染病史)、社会史、家族史、过敏史、症状、健康体检信息、可穿戴设备采集的 健康相关信息、生活方式等。
3.个人医疗应用信息,指个人在接受医疗健康过程中使用医疗健康App所收集和产生的个人医嘱单、检验报告、诊断结果、 用药信息、病程记录、诊治记录、用药记录、手术记录、护理记录、住院记录、医疗效果等信息。
4.个人遗传信息,指利用个人遗传资源材料(含有人体基因组、基因等遗传物质的器官、组织、细胞等遗传材料)产生的信息。互联网医疗健康 App 个人信息保护要求主要分为网络安全管理、个人信息处理活动保护要求。网络安全管理强调了安全保护管理、应急处置管理、网络运营管理。
个人信息处理活动保护要求分别从收集、存储、使用、删除及向第三方共享、转让、委托处理、公开披露提出了要求。针对移动应用个人信息安全问题,爱加密可提供专业的移动应用个人信息安全检测、移动应用个人信息安全合规评估服务。可帮助应用开发企业在应用发布前评估个人信息的安全性和合规性,从源头上降低被监管机构通报的风险。爱加密可出具专业的个人信息测评报告,助力企业提升个人信息安全合规能力。
作为国内知名的移动信息安全综合服务提供商,爱加密时刻关注我国的个人信息安全发展状况,致力于通过优质的核心技术,帮助企业、监管机构、测评机构等实现移动应用的合法合规,保护用户信息安全。从行业实践角度着手大力推动我国移动应用个人信息安全保护生态的良好发展。
如若转载,请注明原文地址