企业个人信息处理合规实务系列（三）顾问、患者等个人信息处理

近期，我们刚为客户提供个人信息合规及出境相关的配套法律服务。《中华人民共和国个人信息保护法》（“《个保法》”）等相关法规对个人信息处理活动提出了明确的要求。2023年5月23日发布的推荐性国家标准GB/T 42574-2023《信息安全技术 个人信息处理中告知和同意的实施指南》将于2023年12月1日起实施。

日常经营中，企业因业务联系会涉及处理客户/供应商等合作伙伴联系人的姓名、电话等个人信息。当外部人员访问接入企业网络时，企业可能会处理网络访问者的网络身份识别等个人信息，也可能会涉及使用Cookies处理企业网站访问者的个人信息。

对于药械企业而言，很可能会涉及处理医生等外部专家、顾问的个人信息。例如，企业邀请医生等专家参加企业或第三方举办的学术会议、讲座等，以及聘请专家提供服务等。企业通常可能涉及处理其姓名、任职医疗结构、职位等个人基本信息，以及身份证、银行账户等敏感个人信息。药械企业为注册药械产品，往往需要开展相关临床试验，此时会涉及处理研究者和临床试验机构工作人员的个人信息。

药械企业还会涉及处理患者的个人信息。例如，为开展患者教育，药械企业可能会收集患者提供的治疗反馈，形式包括全程录制视频并记录文字，所处理的患者个人信息可能包括个人基本资料、与生病医治相关的敏感个人信息、肖像、声音等，企业还可能在公开平台发表患者反馈的视频或文字。开展临床试验，药械企业也会涉及处理患者的个人信息。根据《中华人民共和国药品管理法》¹和《药物警戒质量管理规范》，药品上市许可持有人可能还会因处理药物警戒活动涉及处理患者医疗健康相关的个人信息。

前述所有的场景都不可避免会涉及收集个人信息，企业还可能涉及向他人提供（包括向境外）、公开个人信息等不同的个人信息处理活动，除存在法律规定的例外情形外，通常而言，企业需要履行事前告知义务，相应的告知事项总结如下。

就处理企业的客户/供应商联系人个人信息的场景，因仅涉及处理联系人的姓名电话等基础个人信息，通常不涉及联系人的敏感个人信息；处理企业网络访问者个人信息的场景，如果不涉及收集网页浏览记录（敏感个人信息），则无需告知其中有关敏感个人信息的事项。企业网站涉及Cookies等同类技术收集个人信息的, 则需简要说明进行告知。

企业处理个人信息，可能因其使用的信息系统部署于境外或者企业集团内部信息系统的跨境管理或其他原因，涉及将该个人信息向境外提供，因此需要就向境外提供这一处理活动向个人履行告知义务。

企业处理患者个人信息时，为患者教育目的，企业还可能在公开平台发表视频或文字，涉及公开患者的个人信息。

根据《个保法》第13条，企业是否可以处理个人信息，有如下七类合法基础，“取得个人同意”是其中之一，当存在其它合法基础时，处理个人信息无需取得同意：（一）取得个人同意；（二）为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需；（三）为履行法定职责或者法定义务所必需；（四）为应对突发公共卫生事件，或者紧急情况下为保护自然人的生命健康和财产安全所必需；（五）为公共利益实施新闻报道、舆论监督等行为，在合理的范围内处理个人信息；（六）依照本法规定在合理的范围内处理个人自行公开或者其他已经合法公开的个人信息；（七）法律、行政法规规定的其他情形。

在基于个人同意作为处理个人信息的合法基础时，对企业向他人提供个人信息（包括向境外提供）、公开个人信息、在公共场所收集个人信息用于维护公共安全之外的目的、处理敏感个人信息以及向境外提供个人信息这五类情形，法律法规要求取得单独同意。¹⁰

就本文介绍的不同实务场景是否需要及如何取得个人的同意，以及其他注意事项，下文将分情形进行说明。

联系人个人信息可能属于公开的个人信息，例如该联系人出于业务联络，自行将其联系方式等个人信息公开，或者客户/供应商基于个人同意或其他合法基础将其业务联系人的电话等联系方式通过网站等途径向不特定的人公开。此时，企业基于业务联系目的处理该联系人的个人信息，可以“（六）在合理范围内处理个人自行公开或者其他已经合法公开的个人信息”作为合法基础，无需取得个人同意。如果企业因其使用的信息系统是由于境外母公司部署于境外而涉及向境外母公司提供联系人的公开的个人信息，向个人告知后个人没有明确拒绝向境外提供，企业评估后也合理认为其是出于业务联系的目的而存储个人信息，且不会对个人权益造成重大影响的，企业无需取得个人同意。¹¹

如果联系人的信息并非公开的个人信息，且不存在其他合法基础，那么企业收集联系人的个人信息，需要取得个人同意。基于“个人同意”处理的联系人个人信息，企业若向境外提供，需要在向个人告知境外接收方的身份、联系方式、处理目的、处理方式，个人信息的种类、保存时间、保存区域（至少具体到国家或地区）以及个人向境外接收方行使相关权利的方式等内容后，取得个人的单独同意。¹²

如果企业处理访问网络的外部人员的相关个人信息，如 IP 地址、访问时间等相关网络日志信息，是为了履行法律规定的网络运营管理和网络安全保护等义务所需，则属于“（三）履行法定职责或者法定义务所必需”¹³，无需取得个人同意。但如收集处理的个人信息超出“所必需”的，仍需取得个人同意。如果企业因其使用的信息系统是由于境外母公司部署于境外而涉及向境外母公司提供网络访问者的个人信息，我们倾向于认为向境外提供个人信息这一处理活动，并非是为了“履行法定职责或义务所必需”，因此建议在履行告知义务后取得个人的单独同意。

对于企业网站使用Cookies处理个人信息的情形，除企业提供产品或者服务所必需的个人信息外，个人有权拒绝向企业提供其他非必需个人信息；但个人若拒绝同意提供必需的个人信息的，企业也有权据此拒绝提供相应的产品和服务。因此在实务中，建议区分提供网站正常访问所必需使用的Cookies和其他具有额外功能（如用于营销分析等）的Cookies，为个人提供不同的同意选项，并合理使用弹窗提示的方式，在个人访问网站前向其履行告知义务，取得个人的同意。¹⁴

企业聘请顾问专家，一般双方会签署相关合同。企业收集顾问专家的任职及身份信息，是为确认其是否具备提供服务的专业资质和能力，收集其银行账户信息，则是用于向其支付报酬，故企业处理以上信息通常可以被认为存在 “（二）为订立、履行个人作为一方当事人的合同所必需”的合法基础，无需取得个人同意。¹⁵尽管无需个人同意，还是建议企业在与顾问专家签订的合同条款中或以合同附件的形式，明确列出相应的告知事项，以及说明无需取得同意的情况。如果企业需将个人信息提供给集团境内外的关联公司，仍需取得个人同意，因为向他人提供个人信息的处理活动并非“履行合同所必需”，因此建议企业直接在合同中或以合同附件的形式告知对方，以便在签署合同时一并取得个人同意。

在临床试验场景下，药械企业作为申办方与临床试验机构、研究者签订临床试验协议¹⁶，试验中也会涉及处理研究者及临床机构其他人员的个人信息。由于研究者属于合同的签署方，此时企业可以“（二）为订立、履行个人作为一方当事人的合同所必需”作为处理研究者的个人信息的合法基础。而临床试验机构参与研究的其他人员，由于企业与之没有直接的合同关系，建议考虑在临床试验协议中要求临床试验机构承诺其向企业提供个人信息的行为存在合法基础。

在临床试验开展过程中，药械企业作为申办方可能会委托CRO、SMO等第三方服务机构提供服务，该等第三方服务机构可能会涉及处理研究者和临床机构工作人员的个人信息。实践中，往往都是由申办方出资聘用CRO和SMO。SMO虽然由申办方出资和聘用，但是SMO主要是与临床机构进行沟通，按照临床试验机构的指示处理相关数据，SMO在临床试验过程中涉及个人信息处理时，被视为是临床试验机构的受托方。CRO主要是按照申办方的指示去开展相应的工作，因此一般来说，申办方与CRO是属于委托方和受托方的关系。CRO在临床试验过程中涉及个人信息处理时，申办方仍然是个人信息处理活动的最终责任方，申办方需注意在与CRO的合同中明确约定委托处理的目的、期限、处理方式、个人信息的种类、保护措施以及双方的权利和义务等，对受托人CRO的个人信息处理活动进行监督；受托人应当按照约定处理个人信息，不得超出约定的处理目的、处理方式等处理个人信息；未经委托人同意，受托人不得转委托。我们在往期文章《企业个人信息处理合规实务系列（二）员工等相关人员个人信息处理》第三部分“其他主要合规要点”中，对委托处理也有全面解读。

为开展患者教育，药械企业收集患者提供的治疗反馈，可能涉及处理患者的个人基本信息、与生病医治相关的敏感个人信息、肖像、声音等，并在公开平台发表患者反馈的视频或文字。在该场景下，企业可以将向患者履行告知义务和取得个人同意/单独同意一并完成。本场景涉及多个需要单独同意的情形，其中包括处理敏感个人信息、公开个人信息，企业可向患者提供分项选择同意（如勾选、点亮等），各项选择各自独立、互不影响。¹⁷

企业处理患者的敏感个人信息时，应向患者增强告知处理目的、方式、范围、必要性以及对个人权益的影响等关键内容后，并设置勾选，取得患者的单独同意。¹⁸本场景下的敏感个人信息是药械企业为实现患者教育这一特定目的而处理，基于同一处理目的，企业可以合并列举涉及的多类敏感个人信息，一并取得个人的单独同意。¹⁹

企业公开个人信息前，应向个人告知公开的目的、方式、范围（如向特定的群体予以披露或者向公众予以公开）以及可能对个人产生的不利影响以及个人的权利，就公开个人信息设置勾选，取得个人的单独同意。此外，公开患者疾病治疗相关的健康生理敏感个人信息，可能会对个人生理、心理产生较严重的影响²⁰，应当充分确保患者对公开其个人信息的相关处理规则和公开可能产生的影响完全知情²¹。还需注意，除法律法规另有规定外，患者如已撤回其自行或同意向社会公众公开的信息，与公开渠道相关的个人信息处理者也需通过断开链接、删除信息发布记录等措施配合其删除已公开的个人信息；对于其他个人信息处理者获取的此前已公开的个人信息的，患者亦有权要求其进行删除。²²

关于肖像的处理，法律规定“未经同意，不得使用、公开个人肖像”，而对声音的处理同样适用前述对肖像权的保护规定。²³因此，企业需为患者肖像、声音的处理提供公开和特殊处理（如马赛克等）的不同可选项，若个人不同意将其肖像、声音公开，可以选择该特殊处理选项。如果企业主动对患者的声音和肖像采取特殊处理，并且经特殊处理后无法识别出患者个人的，则不再涉及公开个人的肖像、声音。

根据《药物临床试验质量管理规范》²⁴和《医疗器械临床试验质量管理规范》²⁵，药械企业开展药品、医疗器械的临床试验，研究者应当使用经伦理委员会同意的最新版本知情同意书，取得受试者签署的知情同意书。知情同意是指向受试者告知临床试验的各方面情况后，受试者确认自愿参加该项临床试验的过程，由受试者书面签署姓名和日期。²⁶知情同意书侧重于将临床试验的相关风险向受试者做原则性的告知，其告知内容包括临床试验的概况、目的、方法、内容以及受试者的义务等。²⁷

个人信息处理告知同意书则主要是确保在进行个人信息的各项处理活动前取得所必需的个人同意，以保护个人的隐私安全。就个人信息的处理而言，实践中临床试验机构和研究者对于患者个人信息的处理具有较大的自主权，并非完全按照申办方企业的指示，因此通常认为，临床试验机构及研究者与作为申办方的企业均属于相对独立的个人信息处理者。

如果在受试者知情同意书中增加个人信息的保护约定，可以满足《个保法》的相关要求，则无需另行签署个人信息处理同意书。但对于那些需要获得单独同意的场景，则需对知情同意书做出一定的调整，如设计单独的勾选选项等取得个人的单独同意，以满足《个保法》的要求。考虑到个人信息处理可能涉及单独同意的场景，可以考虑单独签署关于个人信息处理的同意书，从而避免对知情同意书做较多的变动调整，也便于在后续处理活动变更时重新履行告知并取得同意的义务。此外，药械企业也可以在临床研究协议中明确要求，由临床研究机构取得符合《个保法》要求的个人信息处理告知同意书。

法律规定的药物警戒制度也涉及处理患者的个人信息。药物警戒制度是指对药品不良反应及其他与用药有关的有害反应进行监测、识别、评估和控制。²⁸根据《药物警戒质量管理规范》第四十条第一款的规定，药品上市许可持有人（“持有人”）在首次获知疑似药品不良反应信息时，应当尽可能全面收集患者、报告者、怀疑药品以及不良反应发生等情况。收集过程与内容应当要有记录，原始记录应当真实、准确、客观。因此，药企会涉及处理患者与特定药品使用相关的诊疗记录、用药记录等不良反应相关的个人信息以及个人报告者的相关个人信息。持有人可能是从患者处直接获取不良反应信息²⁹，也可能是通过医疗机构、药品经销商或者其他主体收集患者对此类药品的不良反应³⁰；同时，患者的个人信息也会在持有人向药监部门提交个例药品不良反应报告时提供给药品监督管理部门³¹。

根据上述规定，药物警戒活动属于持有人应当履行的法定义务，持有人在处理上述相关个人信息时可以“（三）为履行法定职责或者法定义务所必需”作为合法基础，无需取得个人同意。企业应注意仅将个人信息用于药物警戒活动之目的，不可用于商业目的等任何其他目的，否则将超出前述合法基础的范围，涉及违规处理个人信息。持有人若就该药物警戒活动涉及委托其他方的，需注意与其在合同中明确约定委托处理的各项事项，因为持有人仍为个人信息处理活动的最终责任方。

如果药品持有人为境外实体，根据《中华人民共和国药品管理法》³²的规定，持有人需指定境内企业法人代其履行持有人的义务，该境内企业将与持有人承担连带责任。而若境内企业或其他受托方因此将含有患者个人信息的不良反应信息提供给境外持有人时，所基于的仍是“（三）为履行法定职责或者法定义务所必需”的，则无需个人同意，但应注意满足个人信息出境的条件，个人信息出境和委托处理的内容，具体可参见我们往期文章《企业个人信息处理合规实务系列（二）员工等相关人员个人信息处理》第三部分“其他主要合规要点”。

本篇我们结合具体场景，对企业处理外部人员的个人信息场景，包括企业的客户/供应商联系人、企业网站访问者、外部访客、外部顾问专家以及患者可能涉及的个人信息处理告知-同意等相关合规要求进行分情形介绍，为个人信息处理提供了更为生动的现实场景，希望能为企业提供一定启发。除上文所提及的履行告知同意等要求外，处理活动发生变更时的告知内容、取得个人同意和单独同意的注意要点，以及企业在相关场景下的个人信息出境合规、委托其他方处理个人信息以及开展个人信息保护影响评估等其他合规要求，可参见我们的往期文章《企业个人信息处理合规实务系列（二）员工等相关人员个人信息处理》。