ICS35.030 CCS L70 YD 中华人民共和国通信行业标准 2021 0284T-YD 互联网医疗健康移动应用软件(APP)个人 信息保护技术要求 TechnicalRequirements forPersonal InformationProtection of Internet Health Care App (点击此处添加与国际标准一致性程度的标识) (报批稿) 信 在提交意见时,请将您知道的相关专利连同支持性文件一并附上.
服务平台 2023-XX-XX发布 2023-XX-XX实施 中华人民共和国工业和信息化部 发布
2021 0284T-YD 目次 前言 11 1范围 2规范性引用文件 3术语和定义 3.1 3.2 3.3 3.4 3. 5 4概述 4.1基本原则.. 2 4.2互联网医疗健康App个人信息分类 4.2.1个人属性信息 4.2.2个人健康状况信息 4.2.3个人医疗应用信息 4.2.4个人遗传信息. 5互联网医疗健康App个人信息保护要求 5.1互联网医疗健康App网络安全管理 5.1.1互联网医疗健康App安全保护管理 5.1.2互联网医疗健康App应急处置管理 5.1.3互联网医疗健康App网络运营管理 5.2互联网医疗健康App个人信息处理活动保护要求 3 5.2.1互联网医疗健康App个人信息收集 5.2.2互联网医疗健康App个人信息存储 5.2.3互联网医疗健康App个人信息使用 5.2.4互联网医疗健康App个人信息删除 5.2.5互联网医疗健康App个人信息向第三方共享、转让、委托处理、公开披露 附录A(资料性)互联网医疗健康App个人信息安全风险, 参考文献,
20210284T-YD 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草.
请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别这些专利的责任.
本文件由中国通信标准化协会提出并归口.
本文件起草单位中国信息通信研究院,工业互联网创新中心(上海)有限公司,北京智游网安科 技有限公司,北京京东尚科信息技术有限公司,北京百度网讯科技有限公司,北京纵横无双科技有限公 司,北京三星通信技术研究有限公司,郑州信大捷安信息技术股份有限公司 本文件主要起草人闵栋、何友斌、金越、彭浩、罗达、章向明、武国平、董嘉强、金亦然、刘为 华、李真真、魏嵩磊、李月、张斯琴、翁祖昊、曹远品、韩云、曹倩、康亮 行业标准信息服务平台 I1
2021 0284T-YD 互联网医疗健康移动应用软件(APP)个人信息保护技术要求 1范围 本文件规定了互联网医疗健康App网络安全管理、互联网医疗健康App个人信息处理活动等方面的技 术保护要求.
本文件适用于指导第三方评估机构对互联网医疗健康App个人信息保护能力进行评估,协助主管监 管部门对互联网医疗健康App个人信息保护工作进行监督管理,也可以作为技术参考指导互联网医疗健 康App提供者开展互联网医疗健康App个人信息保护能力自评.
2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.
其中,注日期的引用文件, 仅该日期对应的版本适用于本文件:不注日期的引用文件,其最新版本(包括的修改单)适用于本 文件.
GB/T25069信息安全技术术语 GB/T35273信息安全技术个人信息安全规范 3术语和定义 GB/T25069、GB/T35273界定的以及下列术语和定义适用于本文件.
3. 1 个人信息personalinformation 以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人身份或者反映特定自然 人活动情况的各种信息.
[GB/T35273,术语和定义3.1] 3. 2 个人信息主体personalinformationsubject 个人信息所标识或者关联的自然人.
[GB/T35273,术语和定义3.3] 3.3 互联网医疗健康AppInternethealth care applicetion 运行在移动智能终端上的具有医疗健康属性的应用程序及应用程序内的第三方服务.
注:包括移动智能终端预置、下载安装的应用程序和小程序,简称App:以及依托于应用程序的第 三方服务,例如.
3. 4 互联网医疗健康App个人信息Personalinformation of Internet health andmedical application 能够通过互联网医疗健康App进行处理,涉及个人过去、现在或将来的身体或精神健康状况、接受 人或者反映特定自然人生理或心理健康相关信息.
2021 0284T-YD 3.5 互联网医疗健康App提供者Internet health care application provider 提供互联网医疗健康App并有能力决定互联网医疗健康App个人信息处理目的、方式等的组织或个人.
4概述 4.1基本原则 互联网医疗健康App提供者开展互联网医疗健康App个人信息保护应遵循合法、正当、必要的原则, 具体包括: a)权责一致原则一一采取技术和其他必要的措施保障互联网医疗健康App个人信息的安全,对 其个人信息处理活动对个人信息主体合法权益造成的损害承担责任; b)目的明确原则一一具有明确、清晰、具体的互联网医疗健康App个人信息处理目的; c)授权同意原则一一向互联网医疗健康App个人信息主体明确信息处理目的、方式、范围等规 则,征求其授权同意; d)最小必要原则一-只处理满足互联网医疗健康App个人信息主体授权同意的目的所需的最少 个人信息类型和数量.
目的达成后,应及时删除互联网医疗健康App个人信息; 应当保证个人在服务端中身份标识的唯一性,基本信息项的一致性,便于信息共享和利用, 避免重复采集、多头采集,即“一数一源”.
不得超范围采集信息,只采集满足服务和管理 工作所需要的最少且够用的相关信息: 公开透明一一以明确、易懂和合理的方式公开处理互联网医疗健康App个人信息的范围、目 的、规则等,并接受外部监督: g)确保安全一一具备与所面临的安全风险相匹配的安全能力,并采取足够的管理措施和技术手 段,保护互联网医疗健康App个人信息的保密性、完整性、可用性; h)主体参与一一向互联网医疗健康App个人信息主体提供能够查询、更正、删除其信息,以及 撤回授权同意、注销账户、等方法.
4.2互联网医疗健康App个人信息分类 4.2.1个人属性信息 互联网健康App个人信息包括个人属性信息、健康状况信息、医疗应用数据和个人遗传信息.
个人属性信息主要包括: a)人口统计信息,包括姓名、年龄、性别、民族、国籍、职业、住址、工作单位、家庭成员信 息等: b)个人身份信息,包括姓名、身份证、工作证、居住证、社保卡、可识别个人的影像图像等: c)个人通讯信息,包括个人电话号码、邮箱、账号及关联信息等: d)个人生物识别信息,包括基因、指纹、声纹、掌纹、耳序、虹膜、面部特征等; e)个人信用记录信息,包括个人信用档案、个人信用评分、个人信用报告等.
4.2.2个人健康状况信息 互联网医疗健康App个人健康状况信息包括: 既往病史(包含传染病史)、社会史、家族史、过敏史、症状、健康体检信息、可穿戴设备采集的 健康相关信息、生活方式等.
4.2.3个人医疗应用信息 互联网医疗健康App个人医疗应用信息包括: 2
