国家网信办新规，要求处理超过100万人个人信息的机构必须申报个人信息保护负责人，连锁药店因会员、处方等数据积累极易触发门槛。

违规者可能面临最高5000万元或年营业额5%的罚款，已有药店因数据泄露被重罚110万元。

01.新规落地，百万用户信息处理者需强制申报

最近，国家互联网信息办公室发布了《关于开展个人信息保护负责人信息报送工作的公告》，明确要求处理超过100万人个人信息的机构，需向所在地市级网信部门报送个人信息保护负责人信息。

该规定依据《个人信息保护法》和《个人信息保护合规审计管理办法》，将连锁药店纳入重点监管范围。

根据公告，即日起处理量达到100万人的机构，需在30个工作日内完成报送；此前已达标者需在2025年8月29日前完成。信息变更需在30日内更新。报送通过“个人信息保护业务系统”线上办理。

值得注意的是，《个人信息保护法》规定，首次违法最高罚款100万元，直接责任人罚1万-10万元；导致数据泄露的，最高处5000万元或上年度营业额5%的罚款。

《数据安全法》亦规定，造成严重数据泄露的最高罚款200万元，危害国家安全的可罚1000万元。

02.案例警示，隐私泄露引发连锁危机

近日，广东阳江一男子因购买避孕药被妻子发现出轨的事件引发广泛关注。

据该男子在社交媒体上的自述，他因个人原因前往药店购买避孕药，然而妻子在不知情的情况下，无意中得知了这一信息，并怀疑其出轨。男子随后公开指控，药店店员在未征得其同意的情况下，将购药信息泄露给其妻子，成为家庭矛盾爆发的导火索。

事件曝光后，涉事药店迅速成为舆论焦点。许多人认为，药店在逃避责任，没有真正调查信息泄露的源头。更有法律人士指出，若店员确实未经顾客同意泄露购药信息，药店作为雇主应承担管理责任，甚至可能面临法律诉讼。

从法律角度看，药店作为信息服务提供者，顾客的购药记录属于个人隐私，未经同意不得向第三方透露。若店员确实泄露信息，男子可通过法律途径要求药店停止侵害并赔礼道歉，甚至索赔。但难点在于，男子需证明药店泄露信息与婚姻破裂之间存在直接因果关系，这在现实中往往难以举证。

此次事件不仅是一起简单的隐私泄露纠纷，更折射出个人信息保护的脆弱性。

无独有偶，2023年11月，浙江温州公安网安部门查处了一起某大药房“内鬼”侵犯公民个人信息案。“内鬼”得到应有的法律处罚外，该药房也因未履行数据保护义务造成数据泄露的违法行为被公安机关罚款110万元。

据悉，温州网安部门在日常工作中发现有人在暗网上售卖温州某药房销售数据。通过侦查发现，该药房数据分析师利用工作便利将大量交易数据导出并售卖。

最终，该药房数据分析师因违反《中华人民共和国刑法》第二百五十三条之一之规定，涉嫌侵犯公民个人信息罪被温州公安机关依法刑事拘留，现案件还在进一步办理中。

同时，温州公安机关依据《中华人民共和国数据安全法》第二十七条、第四十五条之规定，对该公司处罚款110万元，对该药房直接负责的主管人员处罚款10万元。

03.影响深远，中小药店承压

新规意味着药店合规成本大幅上升。连锁企业需任命专职负责人，建立数据分类分级制度，部署加密和审计技术，实现数据全链条合规改造。

2023年11月，浙江某大药房因“内鬼”泄露数据被罚110万元。类比之下，头部药店尚可凭借资金技术应对，但中小连锁可能因成本过高退出市场。行业建议，推动《药店个人信息保护操作指南》等标准，规范数据使用流程。

业内认为，药店应限制会员营销、电话回访等粗放数据利用方式，转向用户授权下的创新服务。主动公开隐私政策、明确数据用途，反而可增强消费者信任。

新规将药店推向个人信息保护的前沿阵地。合规不再是可选项，而是生存线。在数据驱动与隐私保护之间，药店行业亟需找到平衡点。

此外，药店应加强隐私管理，严格规范员工行为，确保顾客购药信息不被泄露，必要时可匿名处理敏感药品购买记录。

而消费者也需提高隐私意识，若购药涉及隐私，可要求药店保密或选择线上购药，减少信息暴露风险。