Власти Шанхая представили новые рекомендации для медицинских интернет-компаний, усиливающие требования к кибербезопасности и защите персональных данных.
Шанхайские регуляторы в сфере интернета, здравоохранения и контроля за рынком опубликовали совместные рекомендации, которые распространяются на компании, разрабатывающие или поддерживающие медицинское ПО, обучающие медперсонал и предоставляющие цифровые медуслуги. Их сервисы включают запись на прием, онлайн-консультации, выдачу медицинских рекомендаций, электронные рецепты, аналитическую поддержку для больниц, врачей и пациентов и т. д.
Такие компании обрабатывают персональные и медицинские данные — от демографической информации и истории болезней до платежных сведений и общих данных о работе системы здравоохранения. Хотя рекомендации не являются обязательными, они могут повысить стандарты комплаенса и призваны снизить риски злоупотребления персональными данными.
Документ подчеркивает принципы законности, легитимности и добросовестности, обязывая компании собирать данные только для четко определенных целей, получать согласие пользователей и ограничивать сбор строго необходимым объемом данных. При обработке медицинской информации пользователи должны быть уведомлены “в явной форме” и давать “отдельное согласие” — то же требование распространяется на передачу данных партнерам, аутсорсинг или их совместную обработку.
Шестая статья документа требует получать отдельное согласие перед рассылкой информации или запуском коммерческого маркетинга, а также предоставлять пользователям возможность отказаться от таргетированного контента или упростить процедуру отказа. При этом Закон о защите персональных данных тоже требует согласия при работе с чувствительной информацией, однако это не всегда подразумевает получение согласия для каждого действия с медицинскими данными пользователей.
Спор об "отдельном согласии"
Именно шестая статья вызвала критику со стороны отрасли, так как переводит маркетинг в режим opt-in, требуя явного согласия получателя для действий с его данными и отправки рекламы, что противоречит привычному механизму opt-out (механизм, при котором человек автоматически участвует в сервисе или программе, пока не откажется от этого самостоятельно) и увеличивает издержки для компаний. По статье 43 Закона о рекламе КНР электронная реклама возможна только с согласия или запроса получателя, при этом отправитель должен раскрывать свою личность и предоставлять простой способ отказа от рекламы. Эксперты отмечают, что закон не уточняет форму согласия, а стандартные маркетинговые сообщения обычно не используют профилирование, что усложняет создание альтернативных механизмов с неавтоматизированным запросом на согласие. Всплывающие окна с требованием согласия, по словам компаний, могут ухудшить пользовательский опыт и помешать рутинной работе.
На практике многие китайские компании уже используют смешанную модель ограниченного opt-in и opt-out: общее согласие на получение маркетинговых сообщений или использование данных включается в политику конфиденциальности или пользовательское соглашение, что позволяет отправлять SMS или показывать таргетированную рекламу. Одновременно пользователям предоставляются ссылки для мгновенной отписки и настройки отключения персонализированных рекомендаций в приложениях.
Отраслевые аналитики отмечают, что китайский подход к opt-in менее строгий, чем на Западе: обычно достаточно включить пункт о согласии в политику конфиденциальности, а не требовать отдельного активного переключателя.
Дополнительные требования
Рекомендации также ограничивают незаконный веб-краулинг*, вводят поуровневое управление медицинскими данными и требуют использования защищенных технологий для передачи и хранения информации. Компании обязаны фиксировать сетевые операции, внедрять системы мониторинга, раннего предупреждения и реагирования, а также обеспечивать пациентам доступ к данным и контроль над их использованием.
Компании, обрабатывающие данные более чем миллиона человек, должны представить сведения о сотрудниках, отвечающих за защиту данных, интернет-регулятору Шанхая. Те, кто работает с данными свыше 10 миллионов пользователей, обязаны раз в два года проходить аудит на соответствие нормативным требованиям Организации, применяющие ИИ или блокчейн для обработки медицинских данных, должны проводить оценку безопасности, защищать права пользователей и выполнять регистрационные требования КНР.
*(от англ. web crawling) – процесс систематического обхода веб-страниц, выполняемого специализированными программами.
Источник: MLex
