【域外执法】欧盟EDPB：发布“欧洲健康数据空间”联合意见——必须确保对电子健康数据的有力保护（附意见原文）

点击蓝字 关注我们

全文共计约2000字，细读时间约4分钟

编 者 按

为了建立欧洲“数字单一市场”，欧盟于2020年发布《欧洲数字战略》，提出在工业、医疗卫生、农业、能源、技能等9个领域建设共同数据空间（common data space）（数治君翻译了欧盟委员会《关于欧洲共同数据空间》工作文件）。2022年7月14日，欧洲数据保护委员会（EDPB）和欧洲数据保护监督员（EDPS）通过了他们对欧盟委员会关于“欧洲健康数据空间（EHDS）”提案的联合意见（该意见原文可在文末扫二维码获取全文，数治君翻译了中译本，点此阅读）。该EHDS提案旨在促进欧洲健康联盟的建立，并使欧盟能够充分利用安全和可靠的健康数据交换、使用和再利用所提供的潜力，该提案本身已于该提案指2022年5月由欧盟委员会提出的建立欧洲健康数据空间（ European Health Data Space，EHDS）的提案（数治君翻译了中译本，点此阅读），旨在建立一个特定于医疗健康的数据共享框架，为患者使用电子健康数据以及为研究、创新、政策制定、患者安全、统计或监管等用途建立明确的规则、通用标准和实践、基础设施和治理框架。主要目的在于：1. 赋予个人权利，通过对个人健康数据更好的数字访问；支持自由流动，通过确保健康数据跟随个体；2. 通过培育真正的数字健康服务和产品的AI市场，来释放数据经济;3. 为研究、创新、政策制定和监管活动使用个人不可识别的健康数据制定严格的规则。有关EHDS框架的内容与介绍，本公众号也会在之后跟进编译相关内容及评价，敬请持续关注。

EDPB和EDPS欢迎个人信息所有者对其个人健康数据加强控制的想法。然而，他们提请共同立法者注意一些首要的问题，并敦促他们采取果断的行动。特别是，EDPB和EDPS承认，提案的第四章旨在促进电子健康数据的二次使用，可能会对公共利益产生好处。同时，EDPB和EPDS认为，这些进一步的处理活动对个人的权利和自由并非没有风险。

EHDS即《EDPB-EDPS关于欧洲健康数据空间法规提案的联合意见03/2022》（EDPB-EDPS Joint Opinion 03/2022 on the Proposal for a Regulation on the European Health Data Space）。EDPB和EDPS注意到，该提案旨在支持个人控制自己的健康数据，支持使用健康数据以更好地提供医疗服务，更好地研究、创新和制定政策，并使欧盟能够充分利用安全和可靠的健康数据交换、使用和再利用所提供的潜力。事实上，“促进电子健康数据的使用”，包括电子健康数据的初级和次级使用，可以极大地促进公共利益，以及个人数据主体/患者的利益。考虑到2018年10月23日第2018/1725号条例第42(2)条关于在欧盟机构、机关、办事处和机构处理个人数据方面保护自然人以及此类数据的自由流动，并废除了第(EC)45/2001号条例和第1247/2002/EC号决定，且考虑到《欧洲经济区协定》，特别是经欧洲经济区联合委员会2018年7月6日第154/2018号决定修订的附件XI和议定书37，通过了该联合意见。

虽然加强数据主体对其个人健康数据的控制和权利的努力受到欢迎，但应该强调的是，该建议主要是对GDPR中已经规定的一些数据主体的权利提供一些 "附加"。事实上，该建议甚至可能会削弱对隐私权和数据保护权的保护，特别是考虑到个人数据的类别和与数据的二次使用有关的目的。EDPB和EDPS指出，该提案中的规定将为已经复杂的（多层次的）关于健康数据处理（在医疗部门）的规定集合（在欧盟和成员国的法律中都可以找到）增加另一个层次。这些不同的法律之间的相互作用，这些不同的立法之间的相互作用需要（非常清楚）。

关于提案的范围，EDPB和EDPS建议从提案的第33(1)(f)条中分别排除健康应用和其他数字应用，以及与健康有关的健康和行为数据。如果这些数据被保留，为二次使用来自健康应用程序和其他数字应用程序的个人数据而进行的处理应事先征得在GDPR意义上的同意。此外，EDPB和EDPS回顾说，这种处理可能属于第2002/58/EC号指令（“电子隐私指令”）的范围。

EDPB主席Andrea Jeline表示：“欧盟健康数据空间将涉及处理大量具有高度敏感性质的数据。因此，最重要的是，欧洲经济区（EEA）个人的权利绝不能被该提案所削弱。提案中对权利的描述与GDPR不一致，对于可能无法区分这两种权利的个人来说，存在着很大的法律不确定性风险。我们强烈要求委员会澄清提案和GDPR之间不同权利的相互作用。”

EDPS主管Wojciech Wiewiórowski表示：“健康应用程序和其他数字健康应用程序产生的健康数据与医疗设备产生的数据质量不一样。此外，这些应用程序产生了大量的数据，可能具有高度的侵入性，并可能揭示特别敏感的信息，如宗教信仰。因此，健康应用程序和其他数字健康应用程序应被排除在二次使用范围之外。”

虽然EDPB和EDPS承认委员会在涉及个人数据时努力使提案与GDPR的规定保持一致，但他们指出，该提案将为已经复杂的健康数据处理规定的集合再增加一层。因此，他们强调有必要澄清本提案中的规定、GDPR中的规定和成员国的法律以及正在进行的欧洲倡议之间的关系。

此外，EDPB和EDPS承认，本EHDS提案中所预见的电子健康数据交换的基础设施旨在促进健康数据的交换。然而，由于将被处理的大量电子健康数据、其高度敏感性、非法访问的风险以及充分确保独立数据保护机构有效监督的必要性，EDPB和EDPS呼吁欧洲议会和理事会在提案中增加一项要求，即在欧洲经济区存储电子健康数据，同时不影响按照GDPR第五章的规定进一步转移。

关于健康数据二次使用的目的，EDPB和EDPS认为，该提案没有对电子健康数据可能被进一步处理的目的进行适当的划分。为了实现一种平衡，充分考虑到建议所追求的目标和保护受处理影响的个人数据，共同立法者应进一步划分这些目的，并在与公共卫生和/或社会安全有充分联系时加以限定。

最后，关于提案引入的治理模式，新的公共机构的任务和权限需要仔细调整，特别是考虑到国家监督机构、EDPB和EDPS的任务和权限，当涉及到健康数据的处理。EDPB和EDPS强调，数据保护机构是负责数据保护问题的唯一主管机构，并应继续作为个人在这些问题上的唯一联络点。应避免权限的重叠，应明确规定合作的领域和要求。

    该联合意见原文，

    请扫二维码下载。

1

END

1

编译｜裴   轶

排版｜强心语

审核｜裴   轶

（完）