案例引入：2022年1月，日照市公安局东港分局发布一则情况通报，通报显示公安局接群众举报一医生疑似在网上直播妇科手术片段。该事件后续以涉事医生厉某某被刑事拘留，区政府、区卫健局、涉事医院相关人员被严肃追责问责，直接责任人员免职画上句号。

前述事件引起了社会及法律界的广泛讨论，手术直播的法律合规边界在哪里，如何做到患者个人信息保护，医生与医院在手术直播过程中的角色定位是什么，这些都是亟待思考的问题。

1. 患者端：隐私权、个人信息保护与知情同意原则 

（1）隐私权与个人信息保护

首先，应当对患者的隐私权与个人信息权益进行区分，二者在制度框架、适用前提、权利性质均存在不同。隐私权为人格权，为实体权利，隐私权的保护采取侵权法框架；个人信息权益则主要调整信息处理关系，为程序性权利，包含查询、复制、更正、删除、撤回等权利。

从个人隐私权保护角度，隐私权的客体强调“隐”属性，表现为个人不愿意公开的私密性，且单个私密信息并不必然指向权利主体的身份。因此，即使患者的身体部位（例如妇科手术中的私密部位）无法直接识别至个人，但是对患者隐私造成了侵害的，仍有可能构成隐私权的侵权。

从个人信息权益保护角度，患者作为被直播的对象，如被直播的身体部位能够识别到特定患者个人的，满足《个保法》对个人信息的定义，此时直播产生的视频资料属于个人信息，受《个保法》保护。但是，如被直播的身体部位无法识别到特定患者个人，例如腔镜手术，此时的直播视频是否应被认定为个人信息，我们认为存在一定解释空间。

（2）知情同意原则

《个保法》第13条确立了以“告知-同意”为核心的个人信息处理规则。为完善手术直播的合规链条，建议将手术直播的开展事项向患者进行告知，签署《知情同意书》。

《知情同意书》应当包括的内容有，处理者的名称和联系方式、处理目的和处理方式、个人信息的种类以及个人信息的保存期限。需要注意的是，建议完整列明可能涉及的个人信息处理者（平台、摄制方、存储方、医疗机构等），涉及敏感个人信息的，还应当充分说明手术直播的目的与必要性，涉及数据传输、出境的，应列明接收方的名称、联系方式、处理目的等内容。

2. 医生端：职业限制与职务行为

手术直播数据合规中需要分清医生与医疗机构的角色，确认《知情同意书》的接收主体。原则上患者在手术过程中，接受了医院医生的诊疗行为，与医院之间存在医疗合同。因此，由医院作为《知情同意书》的接收方具有对应的合同基础。然而，实践中直播平台较难获取由医院出具的相应文件。

如将医生作为《知情同意书》的接收主体，则在三个不同层面存在合规风险问题（1）医生的职业性质要求医生保护患者隐私及个人信息。由于医生在手术过程中从事的为职务行为，根据《中华人民共和国医师法》（以下简称“《医师法》”）第56条规定，医师泄露患者隐私或者个人信息的可能受到警告、没收违法所得、罚款乃至吊销医师执业证的处罚。（2）医生不是个人信息处理者，医生作为《知情同意书》的接收方不具有合法性基础。医师本身并不能决定个人信息的处理目的与方式，其本身并不是个人信息的处理者。（3）如果医生在手术直播过程中存在收款行为，医生违背医师义务获取患者个人信息的，相关款项存在被认定为不当支付的可能性。

3. 收看端：广告审查与相关声明

手术直播用于广告宣传目的的，需要符合医疗广告、互联网广告相关的监管规定。如果手术直播面向的群体为普罗大众，此时最先面临的问题为医疗机构广告的广告合规问题。根据《医疗广告管理办法（2006修订）》（以下简称“《医疗广告管理办法》”），医疗广告，是指利用各种媒介或者形式直接或间接介绍医疗机构或医疗服务的广告。医疗机构发布医疗广告，应当在发布前申请医疗广告审查。然而，根据现行的《医疗广告管理办法》，医疗广告的发布内容存在诸多限制，手术直播取得《医疗广告审查证明》的可能性较低。同理，在医疗器械销售商作为赞助方的手术直播中，医疗器械相关广告的发布同样面临广告审查的问题。

手术直播用于专业分享和学术研究的目的时，则应当对手术直播的观看受众进行限制。此时，直播平台应当发布相关声明，最好是能够以弹窗的形式进行提醒，如有必要的还需做观看主体的真实身份验证与职业信息认证。但是，即便是在面向专业人员以专业研讨为目的的手术直播，直播过程中应当避免对特定医疗器械品牌名称特别是具体的产品型号的提及，减少医疗器械品牌标识的露出。

4. 其他

（1）网络端：真实身份验证与职业信息认证

《网络主播行为规范》（广电发〔2022〕36号）第十三条要求“对于需要较高专业水平（如医疗卫生、财经金融、法律、教育）的直播内容，主播应取得相应执业资质，并向直播平台进行执业资质报备，直播平台应对主播进行资质审核及备案。”

（2）品牌端：直播与录播的区别

手术直播的优势在于贴近现实，能够看到医师对于突发情况的处置。手术录播的优势在于能够更好地控制播出内容，能够在后期进行剪辑或打码等技术处理。

（3）合同控制：角色厘清、免责条款、格式条款、数据出境

杨律师提醒到，如果选择采用直播形式，在直播合同中应当明确约定直播的方式、具体直播内容和禁止性行为，从而通过合同控制加强对手术直播数据合规的规制。

（一）标准合同是什么

根据《个保法》第三十八条，个人信息处理者向中华人民共和国境外提供个人信息的应当满足数据安全评估、个人信息保护认证、标准合同或其他法律、行政法规或者国家网信部门规定的其他条件中的任一一项条件。

2023年2月24日，国家互联网信息办公室发布了《个人信息出境标准合同办法》，并附带了对应的标准合同文本。2023年5月23日，《个人信息出境标准合同备案指南（第一版）》出台，对标准合同的备案管理进行了规定。

1. 标准合同的适用条件

根据《个人信息出境标准合同办法》第四条，个人信息处理者通过订立标准合同的方式向境外提供个人信息的，应当同时符合下列情形：（1）非关键信息基础设施运营者；（2）处理个人信息不满100万人的；（3）自上年1月1日起累计向境外提供个人信息不满10万人的；（4）自上年1月1日起累计向境外提供敏感个人信息不满1万人的。

根据《个人信息出境标准合同备案指南（第一版）》第一条，个人信息处理者不得采取数量拆分等手段，将依法应当通过出境安全评估的个人信息通过订立标准合同的方式向境外提供。

2. 个人信息出境行为的定义

根据《个人信息出境标准合同备案指南（第一版）》第一条，以下情形属于个人信息出境行为：（1）个人信息处理者将在境内运营中收集和产生的个人信息传输、存储至境外；（2）个人信息处理者收集和产生的个人信息存储在境内，境外的机构、组织或者个人可以查询、调取、下载、导出；（3）国家网信办规定的其他个人信息出境行为。

因此，可以看出个人信息出境行为并不局限于境内信息向境外传输。回到手术直播数据合规的场景下，如手术直播的内容中涉及到患者、医师等的个人信息，并满足（1）直播平台的个人账户能够在境外的其他国家进行登录，并能够从境外访问相关直播记录，或（2）直播平台使用了境外服务器进行存储，则前述手术直播已事实上构成了数据出境。

（二）标准合同的应用难点

1.已进行的备案处理

2023年9月28日，国家互联网信息办公室发布了《规范和促进数据跨境流动规定（征求意见稿）》（以下简称“《规范和促进数据跨境流动规定》”），该稿件提出了多个有利于规范和促进数据跨境流动的方案和机制。在符合《规范和促进数据跨境流动规定》所规定条件的前提下，个人信息处理者可以不需要申报数据出境安全评估、订立个人信息出境标准合同、通过个人信息保护认证。 

截至目前，《规范和促进数据跨境流动规定》暂未正式出台，但获得了众多有数据出境需求企业的关注。由于现行个人信息出境的相关规则较为严格，无形中增加了企业的合规成本，因此实践中大部分企业正处在观察的过程中，待相关法规完善后再作进一步布局。以上，是目前个人信息出境规则在实践中的大环境。

2.境外法律分析的目的地

根据标准合同第四条相关要求，标准合同的制定双方应当结合接收方所在国家或者地区现行的个人信息保护法律法规及普遍适用的标准进行评估。由此衍生出一个实际的问题：当云服务商、数据中心供应商、软件供应商、接收方注册地、接收方实际经营地均处在不同地方，在此情况下个人信息保护影响评估（PIA）应该如何评估境外法律风险？

就此，杨律师分享了其实践中遇到的一个案例。客户企业员工个人信息存在出境的场景，员工将登录企业系统平台对个人基本情况进行填报（填报项包含必选项和可选项），然而前述系统平台的服务器位于境外，实际个人信息的接收方也位于境外。就已知信息无法具体定位到服务器的具体地址，且实际个人信息的接收方存在注册地与实际经营所在地不一致的情况。此时，如何判断目的地的法律对个人信息保护的状况成为困扰个人信息保护影响评估的实际问题。

就前述案例，律师曾电话咨询国家网信办，但是未得到确切答复。杨律师介绍到，实践中，前述情况落脚到数据最后的存储地进行分析较为妥当，无论数据本身经过了多少个地区和主体，最后数据接收方实际存储对应的服务器地址作为目的地为相对合理的结论。

3.异地公司合并备案

根据《个人信息出境标准合同备案指南（第一版）》第二条，个人信息处理者应当在标准合同生效之日起10个工作日内，通过送达书面材料并附带材料电子版的方式，向所在地省级网信办备案。对于异地公司的标准合同备案，根据前期对北京网信办的相关咨询，如果存在集团公司横跨多省市的情况，可以通过合并备案的方式进行。

然而，对于母公司位于境外，并在境内存在多个异地经营的兄弟公司而言，由于缺乏境内的集团公司，境外母公司对合并备案的可能性也较低（境外主体没有对应的省级网信办），因此异地合并备案存在一定困难。就前述情况，杨律师提出了对应处理思路以供参考。由于异地公司分开备案将产生大量的时间和金钱成本，可以考虑将异地经营的多个兄弟公司中，确认其中一家公司为个人信息处理者，并将其作为备案申报主体。其余存在个人信息处理的兄弟公司，通过法律关系的调整与确认，考虑是否可以建立委托处理的关系。

杨律师同时提出，前述做法仅是为客户利益出发的一种启发，在实践中律师应该详细梳理对应法律关系与事实依据，从而作出独立判断。

4.劳动政策缺乏流程合法性如何处理

根据《个保法》第十三条第（二）款，在符合为订立、履行个人作为一方当事人的合同所必需，或者按照依法制定的劳动规章制度和依法签订的集体合同实施人力资源管理所必需的情形下，个人信息处理者可以在未取得个人同意的前提下进行个人信息处理。

然而，在企业缺乏劳动规章制度，且未签订集体合同的情况下，此时处理员工个人信息是否只能获取员工的单独同意，存在一定争议。前述争议集中于，一对一的劳动合同是否可被认定为《个保法》第十三条第（一）款中，以“合同”形式获取劳动者单独同意的情形？

杨律师提到，就此问题其曾电话咨询有关主管部门，得到了可以适用的回复。然而，法律意见的出具不能完全依赖电话咨询的内容。对此，杨律师认为，在不存在对应劳动政策、集团合同的情况下，适用《个保法》第十三条第（一）款的解释来规避第（二）款的限制，存在对法律进行循环解释的误区，原则上并不合适。

5.注意被忽略的获取单独同意的情形

根据《个保法》第二十三、二十五、二十六、二十九、三十九条规定，在存在向第三方提供个人信息、对外公开个人信息、安装摄像头或其他人脸识别设备、处理敏感个人信息以及数据出境等情况下，应当特别注意需取得个人的单独同意。

回到此前提到客户企业员工个人信息出境的场景，由于存储数据的服务器在境外或者境外主体可以通过系统对境内员工个人信息进行访问，此时，如员工自主填报的信息内存在涉及敏感信息等需要取得个人单独同意的内容，则应当对员工进行独立的告知，例如设置相关弹窗等。

6. 安全备份的服务器评估必要性

数据中心有一些位于不同地区的备份数据中心，以防灾祸的发生。此时，应当如何进行境外法律风险评估？实践中，为了保障数据安全，企业存在多个备份数据中心的情况较为常见。是否需要不同备份数据中心所在地相关法律进行分别评估，目前还存在一定的模糊性。

在实践处理中，由于数据备份通常是由于标准化要求所致，通常备份数据中心并不会被实际使用。因此，部分观点认为，可以将其作为数据安全的优势进行披露，而非作为数据安全评估的对象进行申报。

沈越

邦信阳律师事务所-上海办公室 专职律师

   shenyue@boss-young.com

沈越律师专注于服务国有企业和政府部门，并以个人信息保护与数据安全相关服务、商业秘密保护、竞争法律和政策为特色，为政府部门提供商业秘密保护示范创建、公平竞争审查等领域的第三方服务。

沈越律师获得欧盟国际隐私信息保护专家(CIPP/E)、注册信息隐私经理 (CIPM) 认证，同时是英国皇家特许仲裁委员会中级会员（CIArb Membership）。