国家互联网信息办公室要求,百万以上会员企业须申报信息保护负责人,11月1日起,10万以上会员药店个人信息保护负责人需由企业高管担任,并需具备专业背景和工作经历,造成严重后果者最高罚5000万!
01
百万会员药店
须申报个人信息保护负责人手续
个人信息保护日渐完善,药店会员信息迎来严监管。
近期,国家互联网信息办公室发布《关于开展个人信息保护负责人信息报送工作的公告》(下称《公告》),公告表明,根据《个人信息保护法》第五十二条、《个人信息保护合规审计管理办法》第十二条规定,处理100万人以上个人信息的个人信息处理者,应当向所在地设区的市级网信部门履行个人信息保护负责人信息报送手续。
《公告》指出,自7月18日(本公告发布当日)起,个人信息处理者所处理的个人信息数量达到100万的,需从数量达标之日起30个工作日内完成信息报送。而在本公告发布前,处理个人信息数量已达到100万的个人信息处理者,则要在2025年8月29日之前完成信息报送。当报送信息出现实质性变更时,应于变更之日起30个工作日内办理信息变更手续。
根据《中华人民共和国个人信息保护法》规定,个人信息处理者须建立全方位合规体系,包括制定内部管理制度与操作规程,实施个人信息分类管理,采用加密、去标识化等技术手段保障安全;通过权限管控与定期培训强化人员意识,制定应急预案应对安全事件,并落实法律、行政法规规定的其他必要措施,确保个人信息处理全流程合法合规,有效防范泄露、篡改、丢失等风险。
药店会员涉及的购药、健康档案等健康信息属于敏感个人信息范畴,而国家对敏感个人信息的保护有着更为严格的要求。今年11月1日即将施行的国家标准《数据安全技术敏感个人信息处理安全要求》要求,处理10万人以上敏感个人信息的个人信息处理者,个人信息保护负责人应当具备个人信息保护专业知识和相关管理工作经历,由处理者管理层成员担任。
这也就是说,规模型连锁药店,只要通过会员系统、处方记录、健康档案等渠道,累计收集的用户个人信息突破100万,连锁总部包括连锁门店在内,就需履行相关申报义务;而会员超过10万人以上的药店,还需由具备个人信息保护专业知识和相关管理工作经历的企业高管负责。
个人信息保护负责人信息报送工作实行线上办理,可通过“个人信息保护业务系统”提交备好的相关材料并完成信息报送手续,也能从中国网信网的“全国网信政务办事大厅”—“个人信息保护业务系统”进行操作;而相关未履行申报义务的企业将会面临处罚。
02
最高罚款5000万
已有药店及主管被罚110万
根据《中华人民共和国个人信息保护法》第六十六条规定,连锁药店企业若未履行个人信息保护义务,将面临阶梯式处罚。
首次违规由网信部门责令改正并警告,没收违法所得;拒不改正的,处100万元以下罚款,并对直接责任人员处1万至10万元罚款。若违规行为构成违反治安管理或犯罪的,将依法追究治安管理处罚或刑事责任。
尤为严重的是,若因处理个人信息未履行保护义务导致数据泄露等严重后果,企业将面临最高5000万元罚款或上一年度营业额5%的行政处罚(二者取高值)。
此外,《中华人民共和国数据安全法》也有相关规定,未履行数据安全保护义务,最高可处200万元罚款;若危害国家核心数据安全,最高罚1000万元,构成犯罪同样追究刑责。
对会员信息的法律保护并非空文,现实中已有不少连锁药店及相关从业者因触碰红线付出了沉重代价。
2022年5月,江苏启东市检察院破获的一起特大电信诈骗案便与此相关。该案中,诈骗团伙通过北京某药店工作人员,以14万元购得5708条购买过男性疾病药物的客户信息,三年内诈骗全国6000余名被害人,涉案金额达3300万元。依据《刑法》第二百五十三条,该药店员工向诈骗团伙出售公民个人信息的行为,已涉嫌侵犯公民个人信息罪,且情节特别严重,依法可处三年以上七年以下有期徒刑并处罚金。
2023年温州的案例更具警示意义。当地网安部门发现,某药房数据分析师利用职务之便,导出并售卖大量含顾客姓名、电话等信息的交易数据。公安机关迅速行动,对该分析师采取刑事强制措施,同时启动“一案双查”。经查,该药房既未建立全流程数据安全制度,也未开展员工培训,更未采取加密等技术防护措施,才导致敏感数据泄露。最终,公安机关依法对该药房罚款110万元,对直接主管罚款10万元。
03
会员信息保护
这些药店更需注意
在当今数字化时代,连锁药店及互联网医药平台积累了海量会员信息。一心堂截至2024年末拥有有效会员5800万,老百姓会员总数达9965万(其中年活跃会员3034万),健之佳有效会员超2600万人,益丰药房会员数量为1.04亿,京东健康年度活跃用户数量超1.83亿。如此庞大的用户数据,在为药店开展业务提供便利的同时,也带来了严峻的个人信息保护挑战。
在慢病管理过程中,药店为客户建立健康档案,其中涵盖诸多敏感信息,如疾病诊断、用药记录等。依据《中华人民共和国个人信息保护法》,处理个人信息需遵循合法、正当、必要原则。药店在收集这些信息时,务必向客户明确告知用途、方式和范围,并征得同意。同时,应采取加密、去标识化等安全技术措施,防止信息泄露。内部需制定严格管理制度,合理限定员工对客户信息的访问权限,定期开展员工安全教育与培训,提升信息保护意识。
现实中,药店已有不少因个人信息保护不当而受到重罚的案例。药店必须引以为戒,在会员及慢病管理等业务中,切实保护好客户个人信息,避免因违规付出高昂代价。
尤其在资本市场备受关注的上市连锁,一举一动都影响着投资者信心与股市表现。一旦个人信息保护出现问题,面临罚款只是一方面,更会引发公众对企业的信任危机。负面舆论将迅速传播,导致消费者流失,股价可能大幅波动,进而影响企业市值与融资能力,破坏长期积累的品牌形象。因此,头部上市连锁更应严守个人信息保护红线,保障会员信息安全。
