文|黄潇怡 中国信息通信研究院互联网法律研究中心研究员

2024年3月15日,欧盟理事会和欧洲议会已就欧洲健康数据空间(EHDS)拟议法规(Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on the European Health Data Space(COM/2022/197 final))达成临时协议,比利时副首相兼社会事务和公共卫生部长Frank Vandenbroucke表示,“新法律将允许患者在欧盟任何地方访问其健康数据,同时还为出于重要的公共利益原因而进行的科学研究提供丰富的安全数据,这将极有利于卫生政策的发展”。

一、相关背景

2022年5月3日,欧盟委员会发布了一项关于创建欧洲健康数据空间 (EHDS) 的法规提案。该提案是欧盟委员会在 2020年“欧洲数据战略”中提出的九个欧洲特定部门和领域数据空间中的第一个,欧盟委员会认为由于欧盟《通用数据保护条例》(GDPR)在健康数据领域给成员国留下了一些空间,从而导致缺乏协调一致性,因此需要在欧盟范围内立法。EHDS提供了一个特定于健康的数据环境,将有助于培育数字健康服务和产品的单一市场。EHDS的目标是让健康数据的跨境访问和交换变得更加容易,既支持医疗保健服务,又为以健康研究和政策制定为目的数据再利用提供信息,是欧洲健康联盟的重要组成部分,欧洲卫生政策的关键支柱。2022年6月12日,欧盟数据保护委员会(EDPB)和欧洲数据保护监管机构(EDPS)就法规提案发布联合意见。2023年1月,欧盟委员会对提案进行第一次修订,主要涉及健康数据的二次使用问题;2023年5月8日,欧洲理事会提出了第二份修正案,对全文的内容进行了较多修订,并于2023年12月6日谈判达成一致。欧盟理事会和欧洲议会于2024年3月15日就EHDS拟议法规达成临时协议。临时协议在得到理事会和议会的批准后,将被两个机构正式采用。该法规将于在欧盟官方公报上发布20天后生效。

二、法规提案的主要内容

(一)法规提案的主要内容

法规提案对用于患者医疗健康,以及研究创新、政策制定、患者安全、统计或监管等目的电子健康数据的运用,建立了相关规则、通用标准、基础设施与治理框架,并涵盖了广泛的实践领域,主要涉及三方面内容:

一是健康数据的使用,包括主要使用和二次使用/再利用等。根据法规提案,通过对健康数据的主要使用(Primary use)——个人和医疗专业人员对健康数据的访问和控制,以及二次使用(Secondary use)/再利用(reuse)——为研究创新和发展获得和处理数据等,个人将可以更快、更轻松地访问电子健康数据,无论他们是在自己的祖国还是在另一个成员国;个人还将更好地控制数据的使用方式;还将为研究人员和政策制定者提供特定类型的安全健康数据的访问权限,使他们能够利用欧盟健康数据提供的巨大潜力,为公共利益的科学研究提供信息;欧盟国家将被要求成立数字卫生机构来实施新规定。

二是数据的互操作性和安全性。目前,欧盟各个成员国的健康数据数字化水平各不相同,随着健康数据的类别的扩大,更加多样化和分散化,并以不同的格式和数据库收集,成员国间数据跨境共享变得更加困难。法规提案要求所有电子健康记录 (EHR)系统符合欧洲电子健康记录交换格式的规范,确保它们在欧盟层面具有互操作性。同时,明确要求提供电子健康记录的数据中介服务提供商承担数据与其他健康软件之间的互操作性。

三是数据跨境流动和共享治理。法规提案是欧盟数据领域立法的细化规定。欧盟拥有大量数字化健康数据,尽管GDPR、《数据治理法(DGA)》《数据法(DA)》等为数据共享提供了一个通用的横向框架,但由于成员国法律、互操作性和数据质量障碍等一系列问题,健康数据处理和科学研究的规则碎片化。法规提案为欧洲健康数据共享创建了一个法律框架,对成员国的零散立法进行了统筹,在健康数据领域构建更加完善、更加统一的欧盟立法体系;同时规定了实践中实施的具体操作和规范,包括建立欧洲健康数据空间委员会、促进健康数据初次使用的电子健康数据跨境基础设施(MyHealth@EU)和促进对电子健康数据进行二次使用的跨境基础设施(HealthData@EU)等强大的基础设施。

(二)对法规提案的主要争议

2022年5月法规提案发布后,EDPB和EDPS,以及欧盟非政府组织纷纷发表立场文件,立场文件中对法规提案的主要争议包括:

一是法规提案的规定与GDPR、DGA、DA,以及《数字服务法(DSA)》《数字市场法(DMA)》等现有欧盟法律的协调统一问题。例如,法规提案第2条第2款(a)项的对“个人电子健康数据”的定义超出了GDPR有关电子健康和遗传数据方面的范围,涉及到诸多隐私内容如消费、就业情况、健康保险、收入和职业。大数据价值联盟认为该定义超出GDPR中“有关健康数据”的定义范围并扩展到其他的数据类别,如社会数据(人口、收入等)。欧洲数字权利组织认为这样广泛的数据定义破坏了GDPR为公民提供的数据保护保障,和同意“任何法人和自然人均可访问健康数据”没有任何不同;还允许大型科技公司轻松规避DMA规定的防止利用大数据作为垄断新市场的义务,大型科技公司这样的数据密集型行业可以轻松地进入医疗市场,并侵入到个人的生活中,开发诸如“健康生活方式”的个性化推荐系统。再如,法规提案在第二条第2款第y项中引入了“数据持有人”的定义,该定义可能与DGA和DA中的数据持有人定义不一致,这将导致哪些实体属于这一定义的范围并不明确,而该定义构成了提案的核心内容,因为它将决定哪些实体有义务提供电子健康数据供二次利用。

二是法规提案中的部分规定增加了数据主体权利的不确定性,可能削弱对隐私权和数据保护权的保护。例如,法规提案第三十八条第2款涉及GDPR规定的“数据主体权利”的例外情形。EDPB和EDPS认为,提案中至少有一项对GDPR条款的明确减损,例外情形的规定确实免除了某些实体(健康数据访问机构)适用GDPR第十四条关于向数据主体提供信息的规定,削弱了而不是增加了数据主体对其个人数据进行有效控制的可能性。

三是关于促进健康应用程序与其他电子健康记录的连接。法规提案第三十三条第3款试图界定哪些由医疗设备、健康应用或其他数字健康应用产生的数据应可用于二次利用。然而,EDPB和EDPS认为,目前还不清楚什么样的数据属于这一类别,也不清楚一旦个人根据提案第三条第6款和第三十三条第1款第a项将上述数据计入自己的电子病历,或由数据持有人根据第三十三条第1款第f项和第n项直接提供,谁会评估其有效性和质量。EDPB和EDPS强调,健康应用程序和其他数字健康应用程序产生的健康数据与医疗设备产生的数据质量要求和特点不一样,后者受现有的特定标准和立法约束,而数字健康应用程序可能会收集超越健康数据的个人数据。例如,收集的关于饮食习惯和其他习惯的个人信息,可能会间接揭示特别敏感的信息,如宗教倾向。EDPB和EDPS建议从提案的第三十三条第1款第f项中排除健康应用程序和其他数字应用程序以及与健康有关的健康和行为数据。

四是新的公共机构的任务和权限需要仔细调整,以避免权限重叠。法规提案第六十四条设立了EHDS委员会,EHDS委员会将由所有成员国的数字卫生机构和卫生数据访问机构的代表组成,是一个协调机构,旨在促进成员国之间的合作和信息交流,但该机构的任务和权限有可能与其他机构重叠。例如,根据提案的第六十五条第1款第d项和第六十五条第2款第d项,EHDS委员会将能够分享与电子健康数据的初次使用和二次利用有关的风险和数据保护事件的信息,以及有关其处理的信息。EDPB和EDPS指出,该提案有可能导致EDPB和EDPS与EHDS委员会之间产生关于识别或处理数据泄露的分歧,因为EDHS委员会将能够分享关于如何处理数据保护事件的信息。EDPB和EDPS强调,数据保护机构是负责数据保护问题的唯一主管机构,并且应仍然是个人就这些问题的唯一联系点,应避免职权重叠,并应明确合作领域和要求。

(三)临时协议的主要修改

临时协议在一些关键领域修订了欧盟委员会的原始提案,包括:一是成员国可以允许患者选择退出使用他们的健康数据,无论是由医疗保健专业人员进行的访问的主要使用,还是始终在严格限制条件下的二次使用,但出于公共利益、政策制定、统计和公共利益的研究目的除外;二是允许患者设置受限信息,如果患者选择限制信息,医疗保健专业人员将只能在关键利益的情况下访问受限的健康数据;三是成员国可以制定更严格的措施管理出于研究目的获取的某些类型敏感数据,如基因数据;四是成员国可以建立可信数据持有者,安全地处理访问健康数据的请求,以减轻管理负担;五是具有临床意义的发现应告知患者或相关的治疗健康专业人员,如果研究人员在使用患者的健康数据进行科学研究的过程中,有可能影响患者健康的临床发现,研究人员应通知健康数据访问机构(HDABs),以便HDABs进一步通知可信数据持有者,可信数据持有者必须将这些发现告知患者或相关的治疗健康专业人员。

三、总结

欧洲健康数据空间提案补充了公共数据空间的横向框架,并为欧洲健康数据空间部署数据基础设施、⼯具和计算能⼒,加强欧盟成员国的医疗系统之间的联系,优化欧盟内部的医疗服务的供给、开发,以克服医疗健康数据访问和共享阻碍,确保对健康数据进行安全、高效地访问和交换,鼓励数据自由流动,促进健康数据利用,培育和建设真正的数字健康服务和产品市场,从而释放数据经济。

参考文献:

1.https://www.consilium.europa.eu/en/press/press-releases/2024/03/15/european-health-data-space-council-and-parliament-strike-provisional-deal/

2.https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX:52022PC0197

3.https://www.edpb.europa.eu/our-work-tools/our-documents/edpbedps-joint-opinion/edpb-edps-joint-opinion-032022-proposal_en

4.https://www.edpb.europa.eu/news/news/2022/european-health-data-space-must-ensure-strong-protection-electronic-health-data_en

5.https://mp.weixin.qq.com/s/z6Ox89UYVVTFKcDNVbYKQQ

6.https://mp.weixin.qq.com/s/gOJ7eq5c736T72oouUAvmw

7.https://mp.weixin.qq.com/s/ybjUCsFaur_BwD0bA3dkWw

8.https://mp.weixin.qq.com/s/bX6dESpfgCP9pSkmComPqg

声明:本文来自CAICT互联网法律研究中心,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。