斯里兰卡数据保护法及其对数字健康的影响

斯里兰卡的数据保护法是一项备受期待的及时行动，以实现斯里兰卡的数据保护。该法案于2022年3月9日在议会获得通过^[1]。尽管其他国家也有类似的法案来保护个人数据，如自1996年以来的HIPAA(健康保险可携带性和责任法)和自2016年以来的GDPR(健康保险可携带性和责任法)。

斯里兰卡的数据保护历史

斯里兰卡1978年的宪法不认为隐私是一项基本人权。然而，自1978年以来，已经实施了几项法案来保护斯里兰卡公民的个人信息，^[2]

• 《1988年银行法》
• 1991年《电信法》
• 2003年《知识产权法》
• 2006年《电子交易法》
• 2007年《计算机犯罪法》
• 2016年《信息权法案》
• 2018年斯里兰卡卫生研究行为守则
• 2018年全国卫生绩效框架

即将提交议会的关于隐私的最新法案是2021年个人数据保护(PDP法案)，该法案自2018年以来由数字基础设施和信息化部起草。

《个人数据保护法》对保护健康数据的重要性

如今，大量的个人数据正通过电子病历和数字健康提供者被收集。在未来的几年里，收集的数据量只会增加。

有关患者的健康数据是私密的，具有很高的个人价值，是网络犯罪分子和数据经纪人的潜在目标。由于斯里兰卡没有个人数据保护法，这些收集健康数据的组织不会对他们侵犯用户隐私的行为负责。

组织在保护健康数据方面有更多的责任和责任

2021年NMRA数据库的删除是斯里兰卡最近对卫生数据处理不当的一个例子。^[3]

数据保护法规定组织在处理健康数据和保护用户隐私方面负有责任，该组织在处理这些数据方面将更加负责。

数据保护机构的设立

2021年的个人数据保护法设立了一个权力机构，管理组织应该如何处理个人信息。

根据该法案，发生数据泄露的医院或EMR提供商等组织必须向数据保护当局通报此类违规行为。

确立数据保护官的角色

PDP法案将确保每个处理健康数据的组织都有一名数据保护官员，并将他们的联系信息传达给数据保护当局。

该人员的职责包括：

• 向组织和员工提供有关个人数据保护的建议
• 确保组织遵守PDP法案
• 员工保护个人资料的能力建设
• 公司并遵守PDP当局发布的所有指令。

这意味着电子病历提供者、医院和其他健康数据处理者未来将有一名PDP官员，这是一项基本要求，将有助于保护患者的个人数据。

PDP法案规定了不遵守PDP法案的处罚

与前面提到的部分处理个人数据的法案不同，PDP法案明确规定了不遵守该法案的处罚。

对健康数据处理不当的处罚将由PDP法案制定的指导方针决定。

这是在保护个人健康数据方面向前迈出的一大步，并防止了使用这些健康数据的组织对数据的不当处理和数据泄露。

PDP法案为健康数据处理者提供了对患者的约束权

PDP法案第二节规定了对处理健康数据的组织具有重要约束力的权利，其中包括^[4]

• 访问
• 客体
• 细化。
• 删除
• 避免进一步加工。
• 审查自动决策制定
• 向掌上电脑提出上诉

这些是患者获得数据控制权的非常重要的约束性权利，而不是由PDP法案提供的。

健康数据被认为是一种特殊的数据类别。

健康数据、遗传数据、生物统计数据、与性生活和性取向有关的数据是PDP法案视为特殊类别数据的一部分。

PDP法案的附表一和附表二概述了应如何收集和处理这些特殊类别的数据/健康数据。

其中包括：

• 主题应该为处理器提供同意书收集和处理他们的健康数据
• 个人数据对于处理器提供它们强迫客户提供的功能是必要的
• 当个人资料被要求根据救生程序或紧急情况等
• 当需要收集和处理个人数据时科学研究等

PDP法案是有益的，因为目前斯里兰卡没有关于如何处理和处理健康数据的同意要求和指导方针。

PDP法案的局限性。

PDP可以减少医疗数据的访问和可移植性

PDP法案可用于机构和电子病历提供者可以在PDP法案的掩护下扣留患者数据的情况。

同时，组织可以通过限制健康数据的互操作性和可移植性来利用PDP的企业优势。

没有向公众发出有关资料外泄的通知

即使机构有责任向个人资料主管当局报告，他们或主管当局也没有义务向公众或受影响的个人披露这些违规行为。

这使得患者很难知道他们的数据是否被黑客攻破，也很难为这种被攻破的数据带来的后果做好准备。

具有约束力的权利部分完成。

尽管当前的法案具有上述约束性权利，但当前的法案缺乏几项重要的约束性权利，这些权利对患者管理自己的健康数据非常重要。

这些限制包括以下权利：

• 可移植性
• 解释
• 代表易受伤害的个人，如老年人和被第三方残疾的人

由于这些都是重要的权利，特别是对于健康数据，如果包括修正案来改进当前的法案会更好。

个人资料保障管理局并非一个完全独立的组织。

个人数据保护组织并不是一个完全独立的组织，它隶属于一位对其拥有权力的部长。

根据法律专家的说法，部长和DPA在个人数据方面拥有太多的规则制定权，这种权力应该受到限制，或者DPA应该成为一个独立的组织。

参考文献

1. 斯里兰卡议会在隐私问题上通过了数据保护法-https://economynext.com/sri-lanka-parliament-passes-data-protection-act-amid-privacy-concerns-91476/
2. 2021年个人数据保护法案-https://lt.techopen.info/data/images/2023-04-01/edfe8d43d178ba9ef49beb04e5fc1253.jpg
3. 删除NMRA的计算机数据库可能是毒品黑手党的行为：AG-最新新闻-https://lt.techopen.info/data/images/2023-04-01/d7197769989b1013f2a11b8ef6341673.jpg
4. 斯里兰卡数据保护法案-政策简报_2022年2月-https://lt.techopen.info/data/images/2023-04-01/c1d3171d8cf1a6c133a3501aed545682.jpg