欧盟健康数据空间新进展:“GDPR+”与产业推动
Background
近年来,欧洲一直致力于挖掘数据价值,释放数据经济活力。2020年2月19日,欧洲委员会发布《欧洲数据战略》,宣布要在工业、农业、能源等9个领域打造欧洲共同数据空间(common data space)[1],建立欧洲健康数据空间(European Health Data Space, 以下简称“EHDS”)正是其中的重要布局之一。
2022年2月23日,欧盟委员会发布《关于欧洲共同数据空间的工作人员工作文件》(点此阅读中译本),以期促进对欧洲共同数据空间的了解。2022年5月3日,欧洲委员会发布《关于欧洲健康数据空间条例》的提案[2](以下简称“《健康数据空间条例提案》”)(点此阅读中译本),为欧洲健康数据空间的落地实施保驾护航。
据EURACTIV 2022年9月13日报道[3],欧洲议会委员会主席会议(Conference of Committee Chairs,以下简称“CCC”)近日指定公民自由委员会(Committee on Civil Liberties, Justice and Home Affairs,以下简称“LIBE”)和健康委员会(Committee on the Environment, Public Health and Food Safety,以下简称“ENVI”)共同领导搭建欧洲健康数据空间,此举受到了相关利益实体的一致欢迎。
★
1
建立欧洲健康数据空间
1.1. 建立欧洲健康数据空间的目的
目前,在欧洲范围内,自然人利用电子健康数据主要面临的挑战在于,如何实现电子健康数据的境内和跨成员国传输。由于欧盟各国对《通用数据保护条例》(以下简称“GDPR”)的理解和实施的不均衡性[4],电子健康数据的跨成员国流动遇到具体问题时不能得到一致的解释,自然人无法有效控制和自由访问个人健康数据,科研创新者和政策制定者在工作中受到了二次阻碍,数字医疗产品和服务在成员国之间的流通面临着额外收费的问题。
当前,欧盟各国已经达成一致,认为健康数据是医疗保健系统的重要“血液”[5],尤其在新冠疫情全球范围内大流行之际,健康数据的充分知情是采取积极有效的公共卫生措施的必要前提。因此,根据《健康数据空间条例提案》的相关内容,建立EHDS的主要目的是面对欧洲范围内电子健康数据访问和共享方面存在的挑战,搭建一个自然人能够有效控制个人数据,且科研创新人员和政策制定者能够安全访问的健康数据共同空间,通过促进电子健康记录、基因组学数据、病人登记册等电子健康数据的获取和交换,最终促使各欧盟成员国协调规则,建设欧洲范围内数字医疗产品和服务的单一市场,从而提高医疗系统的整体效率。[6]
1.2. EHDS建设中创新:
以“GDPR+”为核心的“安全保护层”
EHDS在健康数据保护领域需要把握住两个重点抓手,其一是确保个人健康数据访问中的数据安全,其二是要加快健康数据在各科研机构、政策制定者等组织机构中的二次利用。
由于EHDS涉及到患者健康数据这一“特殊类别的数据”,因此需要额外的“安全保护层”,以便公民“确信他们的个人健康数据将得到最谨慎的处理,并且将得到非常强大的数据保护和数据安全”[7],这是获得公民信任、得到公民“同意”授权的前提保障。因此,EHDS不仅需要完全遵守GDPR、《欧盟医疗器械条例》(Medical Devices, Amending Directive)、《数据治理法》(Regulation on European data governance)和《数据法》(The Data Act)等法律法规框架,而且需要发展出一套适应健康数据自由流动、有效控制、便捷访问的“GDPR+”体系[8]。
一位欧盟官员接受采访称,“GDPR+系统”的一个方向是“稍微远离同意系统,转向一个如果公民同意使用该数据并表示他们想要能够控制处理他们的数据,那么他们就不需要给予具体的同意。”[9]
电子健康数据的二次使用,包括电子健康数据在研究、创新、政策制定、个性化医疗、官方统计或监管活动等方面的再应用。面对多元主体的需求,EHDS基于《数据治理法》和《数据法》的横向框架,积极与各领域的法律法规相对接。例如,通过与《医疗器械条例》、拟议的《人工智能法》、待通过的《网络弹性法》等法规法条保持内在一致性,对医疗设备、人工智能系统、医疗健康技术中立等问题做出回应。
2
建设数据空间新进展
——LIBE和ENVI联合领导
此前,在2022年5月提交委员会提案时,CCC审查了相关法律基础,决定将EHDS的搭建单独分配给负责处理个人数据透明度和做好个人保护的LIBE委员会。此举受到了ENVI的反对,后者主要负责欧洲议会中与公共卫生相关的一切事物。对此,LIBE相关负责人表示,“EHDS不是关于健康的措施,而是关于健康数据的措施。……EHDS的主要工作是根据通用的标准保护数据和支持数字服务,这通常在LIBE的职权范围内。”[10]
但是卫生界利益相关实体坚持认为,应该确保卫生界在《健康数据空间条例提案》中具有足够的发言权。他们认为,EHDS应该是一个跨领域提案,它不仅与公共卫生有关,而且与欧盟的单一市场和基本人权与数据保护原则的执行有关,要确保EHDS“以患者为中心”并“考虑医疗保健专业人员和(建立)更广泛的健康社区”。[11]欧洲罕见病组织EURORDIS的患者数据主管称,EHDS包含健康数据的二次使用,可能会涉及到医疗卫生专业人员、境内外医疗保健提供者、研究人员、监管机构和政策制定者及其他卫生行业相关组织机构。LIBE能够从数据保护、患者基本权利等角度为提案建设做出贡献,而ENVI则能够补充公共卫生方面的专业知识,二者的互补能力和专业知识能够促进EHDS获得更好的发展。[12]
在各方的共同努力下,2022年9月,CCC根据欧洲议会议事规则第58条“联合委员会程序”条款,指定LIBE和ENVI共同领导EHDS的具体落地,此举获得了相关利益实体的一致赞成。
3
小结
如何构建欧盟数据单一市场,最大化发挥数据要素价值,是欧盟数年来数据立法的重点关切之一。欧盟指定LIBE和ENVI共同领导EHDS的落地,并考虑以“GDPR+”为核心的“安全保护层”,考虑了医疗健康产业数字化发展需求,也体现了其对GDPR严格个人数据保护框架下的实施调整。
参考文献
[1] A European Strategy for Data, COM(2020) 66 final, Feb.19, 2020.
[2] Proposal for a regulation - The European Health Data Space, COM(2022) 197/2, 3 May 2022.
[3] Amalie Holmgaard Mersh, Health committee will co-lead health data space dossier in the European Parliament, euractiv, Sept.13, 2022, https://www.euractiv.com/section/health-consumers/news/health-committee-will-co-lead-health-data-space-dossier-in-the-european-parliament/.
[4] Proposal for a regulation - The European Health Data Space, COM(2022) 197/2, 3 May 2022: para 2.
[5] Gerardo Fortuna, Commission wants GDPR+ protection to facilitate health data revolution, May. 4, 2022, https://www.euractiv.com/section/health-consumers/news/commission-wants-gdpr-protection-to-facilitate-health-data-revolution/.
[6] Proposal for a regulation - The European Health Data Space, COM(2022) 197/2, 3 May 2022: para 4, 8.
[7] Gerardo Fortuna, Commission wants GDPR+ protection to facilitate health data revolution,
May. 4, 2022, https://www.euractiv.com/section/health-consumers/news/commission-wants-gdpr-protection-to-facilitate-health-data-revolution/.
[8] Gerardo Fortuna, Commission wants GDPR+ protection to facilitate health data revolution, May. 4, 2022, https://www.euractiv.com/section/health-consumers/news/commission-wants-gdpr-protection-to-facilitate-health-data-revolution/.
[9] 同上。
[10] Amalie Holmgaard Mersh, Health committee will co-lead health data space dossier in the European Parliament, euractiv, Sept.13, 2022, https://www.euractiv.com/section/health-consumers/news/health-committee-will-co-lead-health-data-space-dossier-in-the-european-parliament/.
[11] [12] 同上。
(完)
往期文章:
1、国际数据空间
【域外执法】欧盟EDPB:发布“欧洲健康数据空间”联合意见——必须确保对电子健康数据的有力保护(附意见原文)
全文首发|EDPB和EDPS就《欧洲健康数据空间条例》提案发布联合意见(中译本)
全文首发|欧盟委员会《关于欧洲共同数据空间》工作文件(中译本)
合作发布|国际数据空间IDS China Research Lab正式启动
数据跨境流动 | 俄罗斯更新充分性保护国家名单,中国被列入其中
G7国家数据跨境流动政策演进
英国“数据 新方向”咨询结果|促进贸易和减少数据跨境传输壁垒(第三章)
欧盟GDPR vs. APEC CBPR:数据跨境传输机制比较分析(下)
欧盟GDPR vs. APEC CBPR:数据跨境传输机制比较分析(上)
数据跨境流动的规则监管与多元治理
3、我国数据跨境流动治理
香港个人资料私隐专员公署就《数据出境安全评估办法》生效发布提醒
《个人信息出境标准合同规定(征求意见稿)》适用要点解读
4、全球数据治理观察
5、欧盟数据治理模式
全文首发|欧盟委员会《关于欧洲共同数据空间》工作文件(中译本)
对数据的监管如何培育数字经济创新和竞争 ——GDPR提供的共同监管工具
EDPB《关于行为守则作为数据跨境传输工具的04/2021号指南》简评(附征求意见前后对比中译本全文)
EDBP《关于对处理者具有约束力的公司规则的工作文件》中译本全文
EDBP《关于对控制者具有约束力的公司规则的工作文件》中译本全文
6、数据权属与数据治理之争
7、产业数据治理