隨著我國近年來對網售處方藥有條件地放開，網售處方藥交易場景下的數據處理亦需遵循《網絡安全法》《數據安全法》《個人信息保護法》等相關法律規定。2021年11月14日，國家網信辦發布《網絡數據安全管理條例（征求意見稿）》（以下簡稱《條例（征求意見稿）》），旨在進一步為規范網絡數據處理活動提供法律依據。

一、《條例（征求意見稿）》的規制范圍包括網售處方藥

網售處方藥交易本質上就是數據通過網絡進行處理的過程，包含處方信息和個人信息的收集、使用及核驗。依據《條例（征求意見稿）》第二條、第五條、第六條等條款規定，網絡售藥經營者也屬于數據處理者，需對數據安全履行相關責任。除了《條例（征求意見稿）》外，網絡售藥經營者還需遵循藥品管理和醫療健康等領域的相關法律規范，包括《藥品管理法》《藥品網絡銷售監督管理辦法》（待出臺）《處方管理辦法》《長期處方管理規范（試行）》等。

二、數據安全等級分類及匿名化

《條例（征求意見稿）》再次強調了不同級別數據（一般數據、重要數據、核心數據）應采取不同的保護措施；其中，重要數據的系統原則上應當滿足三級以上網絡安全等級保護和關鍵信息基礎設施安全保護要求，而處理核心數據的系統則應從嚴保護。由于數據在不同領域的應用場景不同，其級別分類亦有待進一步的明確。為此，網絡售藥交易下的數據級別尚未有明確的法定范圍和目錄。此外在個人信息處理方面，根據《條例（征求意見稿）》第二十二條規定，交易目的實現后的十五個工作日內，數據處理者應刪除個人信息或者進行匿名化處理，旨在規制信息的后續使用者在不借助額外信息的情況下，無法識別特定自然人的完整數據。

三、數據主體的實質同意

《條例（征求意見稿）》第二十一條第一款第（一）項值得數據處理者高度關注，即數據處理者應清晰、充分、有效地獲得數據主體的同意，方可進行個人信息收集與利用。該條款的設置類似歐盟的《通用數據保護條例》（GDPR）的相關規定，但是相關處罰力度更為緩和。同時，《條例（征求意見稿）》第二十一條第三款對于爭議糾紛的舉證責任進行了規定，即當數據主體與數據處理者對個人同意行為有效性存在爭議時，數據處理者一方負有舉證責任。

綜上，我國境內的網售處方藥數據處理將涉及多重法律體系的交叉適用，建議相關經營主體盡早對此形成清晰的認識與理解。相關議題另可參閱《網售處方藥交易下信息數據處理規則的思考》。

本文作者：張旭晟，上海驥路律師事務所 中國毒理學會毒理學家 (DCST)

聲明：

本文由上海驥路律師事務所律師原創，僅代表作者本人觀點，不得視為驥路律師事務所或其律出具的正式法律意見或建議。如需轉載或引用本文的任何內容，請注明出處。