浙杭视点||医美合规:顾客信息遭员工泄露!医美机构如何保护客户的个人信息?

浙杭案例/2024/02/22

    医疗美容行业作为消费医疗,客源是每一个医美机构的生命线。然而对于医美机构来说,不仅获客比较难,而且客户获取和维护成本也很高。为何客户信息如此重要?原因是客户信息可以为医美机构带来经济利益。客户信息一般只有医美机构的员工才能获取,但是医美机构人员流动性强,客户信息可能随着人员流动而流失。那么,如果员工或者离职员工泄露客户信息,医美机构该如何维权?同时,医美机构在日常运营过程中,该如何保护客户的个人信息,防范因自身行为而侵害客户个人信息?

一、医美机构泄露客户信息的典型案例

    (一)侵害商业秘密案

    原告HHQZ美容医院系一家从事医疗美容服务的医疗机构,其一直非常重视商业秘密的保护,对此原告所属的HH整形集团专门开发了客户关系管理系统(CRM系统)用于保护客户信息。被告WYF系原告前员工,于2015年8月18日入职,其在任职期间掌握了原告4505条客户信息。崔某于2015年成为原告客户,2019年2月,崔某向原告反映,其于2019年1月30日被WYF欺骗并被带到被告MZ公司进行整形手术,且术后出现了鼻尖过高、鼻孔变形、通气不畅、鼻音加重等情况。原告认为,被告WYF非法使用原告的客户信息,并将客户带到被告MZ公司处进行整形美容的行为,侵犯了原告的经营秘密,请求两被告停止侵权,并承担连带赔偿责任300万元。两被告辩称,未侵害原告的商业秘密,不构成侵权;同时,该客户信息不构成商业秘密。

    后江苏省南京市中级人民法院经审理认为,原告南京HHQZ美容医院主张的单个客户信息构成商业秘密,前员工被告WYF利用客户信息,构成对前雇主的侵权。

    (二)侵犯公民个人信息罪案

    2020年4月起,被告人辛某为牟利,利用其在S医疗美容公司担任网络客服、为顾客提供咨询服务等便利条件,获取了电话、整容意向等在内的顾客信息,并私自将上述信息提供给Y文化传播公司运行的网络平台(以下简称Y平台),由Y平台将信息派发给与其合作的其他医美机构来招揽顾客。顾客在Y平台成功消费后,辛某获取消费额一定比例的佣金返利。

    经查,辛某在Y平台以代理身份共发布顾客信息6000余条,其中达成消费项目的共计55条,辛某非法获利共计37.9万余元。2021年3月,被告人辛某被民警抓获。法院审理期间,辛某自愿认罪认罚,并在亲属帮助下退出违法所得15万元。

    上海市杨浦区人民法院经审理认为,被告人辛某违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息提供给他人,情节特别严重,其行为已构成侵犯公民个人信息罪,并从重处罚。辛某到案后如实供述自己的罪行,退出部分违法所得,且自愿认罪认罚,依法可以从轻处罚。

二、客户信息构成商业秘密的法律分析

(一)客户信息属于商业秘密

    商业秘密是不为公众所知悉、具有商业价值并经权利人采取相应保密措施的技术信息、经营信息等商业信息。商业秘密同时具有秘密性、价值性和保密性。秘密性是指商业信息不为所属领域的相关人员普遍知悉和容易获得的;价值性是指商业信息具备不为公众所知悉而具有现实的或者潜在的商业价值;保密性是指权利人为防止商业秘密泄露,在被诉侵权行为发生以前采取了合理的保密措施。

    根据法律法规规定,客户信息属于商业秘密的客体,即客户的名称、地址、联系方式以及交易习惯、意向、内容等信息。需要注意的是,当事人仅以与特定客户保持长期稳定交易关系为由,主张该特定客户属于商业秘密的,人民法院不予支持。客户基于对员工个人的信赖而与该员工所在单位进行交易,该员工离职后,能够证明客户自愿选择与该员工或者该员工所在的新单位进行交易的,人民法院应当认定该员工没有采用不正当手段获取权利人的商业秘密。

(二)泄露客户信息被认定为构成侵犯商业秘密的审判标准

    1.关于秘密性

    客户信息包括名称、联系方式、就诊信息、咨询内容、消费金额、消费意愿等,系医疗机构与客户保持长期稳定的服务关系中积累形成,不为所属领域相关人员普遍知悉和容易获得,尤其是美容医疗行业中,客户的就诊情况、偏好倾向、消费意愿等信息本就具备相当的隐私性,无法从公共渠道获取,故其具有秘密性。    

    2.关于价值性

    医美机构为客户提供服务,其过往就诊信息及消费记录,能够反映出该客户对美容医疗服务的相关需求和价格承受能力,掌握这些信息就能够快速准确地对接客户进而达成交易,从而为相关主体带来经济利益,故上述信息具有价值性。

    3.关于保密性

    医美机构为防止信息泄露,往往会采取与其员工签订劳动合同、竞业禁止协议、保密协议等保密措施。

三、医美机构如何保护客户的个人信息

    (一)建立客户信息保密制度

    首先,医美机构应当建立客户信息保护制度,并且进行公示。其次,对员工做好相应的入职以及在职管理。再次,对企业的客户信息载体采取保密措施,比如对涉密计算机进行锁定、对涉密载体进行编码管理等。

(二)加强信息存储系统的运维安全

    运维安全是指系统在日常运行维护过程中的安全,包括权限控制、操作审计等。由于大多数医美机构在信息化方面并非专业出身,信息化方面的能力相对较弱,因此特别需要一支可信的、成熟的信息化团队来帮助医美机构维护信息系统的日常运行。系统通常情况下怎样才最容易被攻破?要么是内部出了问题,要不就是运维商出了问题。如何避免运维过程出现问题。从外部角度,应积极构建安全防护体系,以保证数据信息安全;从内部角度,应加强审计,做到权责分明,责任到人,操作有痕迹,事事可追溯,从而降低内部被攻破的可能性。

(三)对接触客户个人信息的员工采取保密措施

    大部分情况下是医美机构员工泄露客户信息,因此应对员工在医美机构的各个方面采取保密措施进行管理。首先,员工的入职过程中应当进行背景调查,尤其针对高级管理人员,调查的内容包括但不限于与原单位之间是否存在竞业限制、保密义务的情况。其次,企业和员工签署劳动合同过程中应同时签署相应的保密协议以及竞业限制条款,释明保密义务的内容、范围、期限以及责任等,并告知员工关于医美机构的保密制度,让员工书面确认和遵守机构的规章制度,医美机构做好签约记录,保存留档。最后,在员工的离职或退休时应当做好专门的材料交接工作,明示员工不得复制、毁损资料,不得披露、使用或者允许他人使用知悉的客户信息,对知悉的客户信息负有保密的义务,在必要时对员工设定脱密期并采取脱密措施。

附:医疗健康领域中关于个人信息保护的相关法律规定

近年来,随着对公民个人信息安全的重视,我国颁布了专门的《个人信息保护法》,同时,《民法典》中也对个人信息保护作出了相应的规定。医疗健康领域中关于个人信息的相关法律规定主要有:

1.《民法典》单列第四编第六章,对隐私权和个人信息保护予以规范。

l 第1032条:自然人享有隐私权。任何组织或者个人不得以刺探、侵扰、泄露、公开等方式侵害他人隐私权。

l 第1034条:自然人的个人信息受法律保护。个人信息是以电子或者其他方式记录的能够单独或者与其他信息结合识别特定自然人的各种信息,包括自然人的姓名、出生日期、身份证件号码、生物识别信息、住址、电话号码、电子邮箱、健康信息、行踪信息等。

个人信息中的私密信息,适用有关隐私权的规定;没有规定的,适用有关个人信息保护的规定。

l 第1038条:信息处理者不得泄露或者篡改其收集、存储的个人信息;未经自然人同意,不得向他人非法提供其个人信息,但是经过加工无法识别特定个人且不能复原的除外。

l 第1226条:医疗机构及其医务人员应当对患者的隐私和个人信息保密。泄露患者的隐私和个人信息,或者未经患者同意公开其病历资料的,应当承担侵权责任。

2.《公民个人信息保护法》第二节规定了敏感个人信息的处理规则,医疗健康和生物识别信息则属于敏感个人信息。

l 第28条:敏感个人信息是一旦泄露或者非法使用,容易导致自然人的人格尊严受到侵害或者人身、财产安全受到危害的个人信息,包括生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等信息,以及不满十四周岁未成年人的个人信息。

只有在具有特定的目的和充分的必要性,并采取严格保护措施的情形下,个人信息处理者方可处理敏感个人信息。

l 第29条:处理敏感个人信息应当取得个人的单独同意;法律、行政法规规定处理敏感个人信息应当取得书面同意的,从其规定。

l 第30条:个人信息处理者处理敏感个人信息的,除本法第十七条第一款规定的事项外,还应当向个人告知处理敏感个人信息的必要性以及对个人权益的影响;依照本法规定可以不向个人告知的除外。

3.《刑法》规定了对侵犯个人信息的违法行为处以刑罚。

l 第253条之一:违反国家有关规定,向他人出售或者提供公民个人信息,情节严重的,处三年以下有期徒刑或者拘役,并处或者单处罚金;情节特别严重的,处三年以上七年以下有期徒刑,并处罚金。

违反国家有关规定,将在履行职责或者提供服务过程中获得的公民个人信息,出售或者提供给他人的,依照前款的规定从重处罚。

窃取或者以其他方法非法获取公民个人信息的,依照第一款的规定处罚。

单位犯前三款罪的,对单位判处罚金,并对其直接负责的主管人员和其他直接责任人员,依照各该款的规定处罚。

4.《基本医疗卫生与健康促进法》第八章监督管理部分规定了保护公民个人健康信息。

l  第92条:国家保护公民个人健康信息,确保公民个人健康信息安全。任何组织或者个人不得非法收集、使用、加工、传输公民个人健康信息,不得非法买卖、提供或者公开公民个人健康信息。

l 第101条:违反本法规定,医疗卫生机构等的医疗信息安全制度、保障措施不健全,导致医疗信息泄露,或者医疗质量管理和医疗技术管理制度、安全措施不健全的,由县级以上人民政府卫生健康等主管部门责令改正,给予警告,并处一万元以上五万元以下的罚款;情节严重的,可以责令停止相应执业活动,对直接负责的主管人员和其他直接责任人员依法追究法律责任。

除了上述法律规定,医疗健康领域中关于个人信息保护还体现在有些行政法规、部门规章和规范性文件中。就部门规章而言,医美机构应重点关注2014年1月1日施行的《医疗机构病历管理规定》、2014年5月5日施行的《人口健康信息管理办法(试行)》以及2018年7月12日施行的《国家健康医疗大数据标准、安全和服务管理办法(试行)》等文件,进一步规范健康信息和医疗数据的管理。就规范性文件而言,其在整个医疗行业健康数据和个人信息保护领域的法律实践中会对相关主体的权利和义务产生重大影响。医美机构应重点关注患者数据管理角度的病历管理方面,目前在施行的有2011年1月1日施行的《电子病历系统功能规范(试行)》和2017年4月1日施行的《电子病历应用管理规范(试行)》。

文/浙杭所企业法律风险管理业务部医美合规小组

贝赛 陈钰烨 金琳