▍來源：賽柏藍藥店 作者：酒淺

連鎖藥店企業(yè)，處理顧客信息達到100萬人的，必須完成“個人信息保護負責人信息”報送手續(xù)；導致嚴重后果的，最高可處5000萬元罰款；“用戶數(shù)據(jù)保護”合規(guī)壓力之下，行業(yè)“洗牌”進程再次提速。

這類連鎖藥店，必須完成“個人信息保護負責人”申報

日前，國家互聯(lián)網(wǎng)信息辦公室發(fā)布《關(guān)于開展個人信息保護負責人信息報送工作的公告》（以下簡稱《公告》）稱，根據(jù)《個人信息保護法》第五十二條、《個人信息保護合規(guī)審計管理辦法》第十二條規(guī)定，處理100萬人以上個人信息的個人信息處理者，應當向所在地設區(qū)的市級網(wǎng)信部門履行個人信息保護負責人信息報送手續(xù)。

這意味著，規(guī)模型連鎖藥店企業(yè)凡通過會員系統(tǒng)、處方記錄、健康檔案等渠道累計收集超過100萬用戶個人信息，均需履行相關(guān)申報義務（包括連鎖總部、連鎖門店）。

《公告》提到， 自本公告發(fā)布之日（7月18日）起，個人信息處理者處理個人信息達到100萬人的，應當自數(shù)量達到之日起30個工作日內(nèi)完成信息報送。

本公告發(fā)布前，個人信息處理者處理個人信息數(shù)量已經(jīng)達到100萬人的，應當在2025年8月29日前完成信息報送。

報送信息發(fā)生實質(zhì)性變更的，應當在變更之日起30個工作日內(nèi)辦理信息變更手續(xù)。

另外，個人信息保護負責人信息報送工作采用線上方式，通過“個人信息保護業(yè)務系統(tǒng)”，提交準備的相關(guān)材料并履行信息報送手續(xù)；也可從中國網(wǎng)信網(wǎng)“全國網(wǎng)信政務辦事大廳”—“個人信息保護業(yè)務系統(tǒng)”辦理。

《公告》強調(diào)，未按照《個人信息保護法》《個人信息保護合規(guī)審計管理辦法》等法律法規(guī)規(guī)章的規(guī)定履行信息報送手續(xù)的，依照有關(guān)法律法規(guī)規(guī)章的規(guī)定處理。

企業(yè)違規(guī)致嚴重后果，最高罰5000萬

根據(jù)2023年9月發(fā)布的《中華人民共和國個人信息保護法》第六十六條規(guī)定，如果藥店未履行個人信息保護義務，將面臨嚴重的法律后果，值得連鎖藥店企業(yè)注意和警醒。

1.企業(yè)首次違規(guī)，由網(wǎng)信部門責令改正，給予警告，沒收違法所得；拒不改正的，處100萬元以下罰款，并對直接責任人員處1萬—10萬元罰款。

2.構(gòu)成違反治安管理行為的，依法給予治安管理處罰；構(gòu)成犯罪的，依法追究刑事責任。

3.企業(yè)若因處理個人信息未履行個人信息保護義務的，導致數(shù)據(jù)泄露，可能被認定為 “處理個人信息未履行保護義務”，導致嚴重后果的，最高可處5000萬元罰款或上一年度營業(yè)額5%的罰款。

此外，根據(jù)2021年6月發(fā)布的《中華人民共和國數(shù)據(jù)安全法》第四十五條規(guī)定，開展數(shù)據(jù)處理活動的組織、個人不履行本法第二十七條、第二十九條、第三十條規(guī)定的數(shù)據(jù)安全保護義務的，由有關(guān)主管部門責令改正，給予警告，可以并處5萬元以上50萬元以下罰款，對直接負責的主管人員和其他直接責任人員可以處1萬元以上10萬元以下罰款；

拒不改正或者造成大量數(shù)據(jù)泄露等嚴重后果的，處50萬元以上200萬元以下罰款，并可以責令暫停相關(guān)業(yè)務、停業(yè)整頓、吊銷相關(guān)業(yè)務許可證或者吊銷營業(yè)執(zhí)照，對直接負責的主管人員和其他直接責任人員處5萬元以上20萬元以下罰款。

違反國家核心數(shù)據(jù)管理制度，危害國家主權(quán)、安全和發(fā)展利益的，由有關(guān)主管部門處200萬元以上1000萬元以下罰款，并根據(jù)情況責令暫停相關(guān)業(yè)務、停業(yè)整頓、吊銷相關(guān)業(yè)務許可證或者吊銷營業(yè)執(zhí)照；構(gòu)成犯罪的，依法追究刑事責任。

“用戶數(shù)據(jù)”合規(guī)壓力，加速行業(yè)“洗牌”

有業(yè)內(nèi)觀點表示，國家互聯(lián)網(wǎng)信息辦公室發(fā)布的《關(guān)于開展個人信息保護負責人信息報送工作的公告》，本質(zhì)上是《個人信息保護法》和《個人信息保護合規(guī)審計管理辦法》的落地細則。該政策的出臺，既是國家數(shù)據(jù)安全治理體系建設的關(guān)鍵一環(huán)，也是對近年來頻發(fā)的個人信息泄露事件的直接回應。

對于藥店行業(yè)而言，藥店通過會員系統(tǒng)、處方記錄、健康檔案等渠道收集的個人信息，往往包含疾病史、用藥習慣等敏感數(shù)據(jù)，這意味著每筆購藥記錄都關(guān)聯(lián)用戶實名信息。這些信息一旦泄露，極有可能被用于精準詐騙或醫(yī)療數(shù)據(jù)倒賣。

2023年11月，公安部網(wǎng)安局發(fā)文，浙江溫州公安網(wǎng)安部門查處了一起某大藥房“內(nèi)鬼”侵犯公民個人信息案。該大藥房也因未履行數(shù)據(jù)保護義務造成數(shù)據(jù)泄露的違法行為被公安機關(guān)罰款110萬元。

以此案例類推，對于年收入可觀的連鎖藥店來說，最高5000萬或年營業(yè)額5%的罰款將是毀滅性的打擊，遠超過去任何一次違規(guī)的成本，直接關(guān)系到企業(yè)的生死存亡。

需要關(guān)注的是，許多大型連鎖藥店企業(yè)憑借多市縣、多省份的門店網(wǎng)絡，累計用戶數(shù)據(jù)量極易突破100萬人門檻。上述政策通過 “100萬” 量化指標，將這些藥店企業(yè)納入“個人信息保護”重點監(jiān)管范圍。

但是，上述政策的實施，讓藥店合規(guī)成本再次上升，連鎖藥店企業(yè)承壓顯著。其中，連鎖總部及門店需任命專職個人信息保護負責人，建立數(shù)據(jù)分類分級制度，部署加密、審計等技術(shù)措施。不僅如此，企業(yè)從數(shù)據(jù)收集到存儲再到銷毀（如過期數(shù)據(jù)刪除），需全鏈條合規(guī)改造。

不過，上市連鎖藥店憑借資金和技術(shù)實力，完成“個人信息保護”合規(guī)改造難度相對較小，而不少中小連鎖可能因合規(guī)成本過高退出市場。

有觀點建議，頭部連鎖藥店可聯(lián)合行業(yè)協(xié)會，推動《藥店個人信息保護操作指南》等團體標準出臺。例如，在會員數(shù)據(jù)使用場景中，可明確 “用戶授權(quán)→數(shù)據(jù)脫敏→標簽化分析” 的標準化流程。

針對會員精準營銷、電話回訪、健康管理推銷等模式，藥店企業(yè)盡量嚴格限制，并且主動去改變“粗放式”的數(shù)據(jù)利用方式。與之相反的是，藥店企業(yè)在獲取用戶明確、自愿的授權(quán)前提下，應該探索更合法、更創(chuàng)新的增值服務模式。

同時，藥店企業(yè)可主動向用戶公開隱私政策，清晰地告知數(shù)據(jù)用途，這樣反而能增強消費者好感度和信任度。

點擊下方名片，關(guān)注賽柏藍藥店

溝通交流：13810145265（微信）