随着我国近年来对网售处方药有条件地放开，网售处方药交易场景下的数据处理亦需遵循《网络安全法》《数据安全法》《个人信息保护法》等相关法律规定。2021年11月14日，国家网信办发布《网络数据安全管理条例（征求意见稿）》（以下简称《条例（征求意见稿）》），旨在进一步为规范网络数据处理活动提供法律依据。

一、《条例（征求意见稿）》的规制范围包括网售处方药

网售处方药交易本质上就是数据通过网络进行处理的过程，包含处方信息和个人信息的收集、使用及核验。依据《条例（征求意见稿）》第二条、第五条、第六条等条款规定，网络售药经营者也属于数据处理者，需对数据安全履行相关责任。除了《条例（征求意见稿）》外，网络售药经营者还需遵循药品管理和医疗健康等领域的相关法律规范，包括《药品管理法》《药品网络销售监督管理办法》（待出台）《处方管理办法》《长期处方管理规范（试行）》等。

二、数据安全等级分类及匿名化

《条例（征求意见稿）》再次强调了不同级别数据（一般数据、重要数据、核心数据）应采取不同的保护措施；其中，重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求，而处理核心数据的系统则应从严保护。由于数据在不同领域的应用场景不同，其级别分类亦有待进一步的明确。为此，网络售药交易下的数据级别尚未有明确的法定范围和目录。此外在个人信息处理方面，根据《条例（征求意见稿）》第二十二条规定，交易目的实现后的十五个工作日内，数据处理者应删除个人信息或者进行匿名化处理，旨在规制信息的后续使用者在不借助额外信息的情况下，无法识别特定自然人的完整数据。

三、数据主体的实质同意

《条例（征求意见稿）》第二十一条第一款第（一）项值得数据处理者高度关注，即数据处理者应清晰、充分、有效地获得数据主体的同意，方可进行个人信息收集与利用。该条款的设置类似欧盟的《通用数据保护条例》（GDPR）的相关规定，但是相关处罚力度更为缓和。同时，《条例（征求意见稿）》第二十一条第三款对于争议纠纷的举证责任进行了规定，即当数据主体与数据处理者对个人同意行为有效性存在争议时，数据处理者一方负有举证责任。

综上，我国境内的网售处方药数据处理将涉及多重法律体系的交叉适用，建议相关经营主体尽早对此形成清晰的认识与理解。相关议题另可参阅《网售处方药交易下信息数据处理规则的思考》。

本文作者：张旭晟，上海骥路律师事务所 中国毒理学会毒理学家 (DCST)

声明：

本文由上海骥路律师事务所律师原创，仅代表作者本人观点，不得视为骥路律师事务所或其律出具的正式法律意见或建议。如需转载或引用本文的任何内容，请注明出处。