日期:
来源:中国信息安全收集编辑:耿旭洋
邮发代号 2-786
征订热线:010-82341063
在构建欧洲“单一数据市场”理念的指导下,为推动健康数据的自由流动和确保欧盟公民对其电子健康数据的控制权利,欧盟委员会提议建立欧洲健康数据空间并发布了《欧洲健康数据空间条例》。该条例不仅使自然人能够享受更好的医疗保障,亦能促进欧盟各国间的数据共享和二次使用,进一步激发健康数据所隐藏的巨大潜力,在促进医疗创新研究和提高医疗保健系统效率方面发挥重要作用,从而形成对欧洲健康联盟的有力支撑。
随着医疗部门的数字化和健康数据的商业化程度不断提升,健康数据的访问与共享成为医疗保健领域的重要议题。在此背景下,2022年5月3日,欧盟委员会针对欧盟范围内健康数据的跨境访问和共享,提议建立欧洲健康数据空间,并发布了《欧洲健康数据空间条例》(以下简称《健康数据条例》),致力于促使欧洲健康数据空间“在预防、检测和治疗疾病方面取得进展”“作出知情的、以证据为基础的决定”“提高医疗系统的可及性、有效性和可持续性”。欧洲健康数据空间将创建一个公共空间,自然人可以轻松控制其电子健康数据,还将使研究人员和政策制定者能够以可信和安全的方式使用这些电子健康数据,从而保护隐私。
尽管欧盟《通用数据保护条例》(2016年欧盟议会通过)保护了自然人对其数据(包括健康数据)的权利,但根据《通用数据保护条例》评估欧盟成员国健康数据规则的研究表明,成员国对《通用数据保护条例》的执行和解释的不统一,造成了相当大的法律不确定性,从而阻碍了电子健康数据的二次使用,使得自然人无法从创新治疗中受益,决策者无法对健康危机作出有效反应。此外,由于不同的标准和有限的互操作性,在一个成员国运营的数字医疗产品制造商和数字医疗服务提供商,在进入另一成员国时,面临诸多障碍和额外成本。欧盟委员会已认识到建立欧洲健康数据空间的紧迫性,故发布了《健康数据条例》,该条例作为欧盟委员会数据战略中第一个部门立法措施,其总体目标是确保欧盟的自然人在实践中加强对其电子健康数据的控制,构建一个由欧盟及成员国治理机制和安全的处理环境组成的法律框架,不仅使自然人能够享受更好的诊断与治疗以保障个人福祉,同时确保了健康数据的自由流动,通过共享和二次使用,充分发挥健康数据在医疗保健、更好的医疗研究与创新以及政策制定方面的重要作用,例如进驻欧洲健康数据空间的公司,可以访问大量高质量的健康数据,以开发挽救生命的治疗方法、疫苗或者医疗设备。该条例还旨在通过协调规则,使得欧盟各国之间能够充分且安全地交换健康数据,进一步激发健康数据背后所隐藏的巨大潜力,从而促进数字医疗产品和服务的单一数据市场,提高医疗保健系统的效率。
1.技术基础
实际上,在提议建立健康数据空间之前,欧盟为促进区域内医疗互联互通已经采取了多项举措,包括跨境医疗指令、欧洲医疗专家参考网络、临床患者管理系统、电子医疗网络、电子医疗数字服务基础设施等。其中跨境医疗指令旨在保障个人在欧盟成员国获得医疗服务的权利,并规定了欧盟患者在其本国获得医疗费用补偿的条件,在此指令下,欧盟展开了健康数据电子跨境交换服务,并衍生出了“电子医疗网络”,由成员国负责电子医疗的主管部门自愿组成,患者可利用此平台,获得跨境医疗的行政程序、权益等相关信息。欧洲医疗专家参考网络则旨在搭建虚拟平台,共享医疗知识以及促进医疗专业人员的远程协作,从而帮助罕见病患者进行跨国界的快速诊断和治疗。《健康数据条例》基于《欧洲联盟条约》第16条和第114条的双重法律基础。首先,《欧洲联盟运作条约》第114条旨在改善内部市场的运作以及货物和服务的自由流动,明确要求在实现内部规制协调的过程中,应确保对人类健康的高度保护。因此,在涉及公共卫生保护领域的行动中,这一法律基础也是适当的。这亦完全符合条约第168条的规定,即在所有欧盟政策中都要实现高度的人身保护,同时尊重成员国对其卫生政策的定义以及卫生服务和医疗保健的组织。该条例的第二个法律依据是《欧洲联盟条约》第16条,它规定了欧盟在数据保护相关事项上的权限,并在第二段中提到了在欧盟层面采用数据保护规则的普通立法程序。虽然《通用数据保护条例》为自然人的健康数据权利提供了重要保障,然而由于互操作性的原因以及在国家和欧盟层面实施的要求和技术标准的协调性有限,这些权利无法在实践中实施。《健康数据条例》则对《通用数据保护条例》进行了进一步的补充,包括医疗诊断、提供保健或治疗或管理保健系统和服务,允许为公共卫生领域的公共利益使用电子健康数据,在一定程度上增强了《欧洲联盟条约》第16条的执行力。
1.健康数据的主要用途
患者将通过成员国设立的跨境数字基础设施,免费访问其电子健康数据,并允许患者与他们选择的医疗保健提供者共享其健康数据,针对错误数据,患者可直接在线请求更改,且为了让残疾人能够充分享受他们的权利,访问通道亦必须符合《欧洲无障碍法案》的要求。当患者在前往另一家医院时,可与其他医疗专业人员以电子形式共享他们的数据,而不受先前医疗保健提供者或制造商的阻碍。不过,在涉及重大利益的情况下,例如公民的生命受到威胁,则此类数据可能会受到额外限制。成员国将被要求以通用的欧洲电子健康记录交换格式提供优先类别的数据,例如患者摘要、电子处方、电子药房、医学图像和图像报告、实验室结果和出院报告。此外,条例还规定卫生专业人员将能够访问电子健康记录,并应及时更新他们治疗的患者的电子健康数据。为了支持医疗保健提供者之间共享数据,将引入互操作性、安全性、安全和隐私的强制性要求,以及涵盖互操作性和安全性的电子健康记录的强制性自我认证。条例还要求所有成员国加入跨境数字基础设施,以交换医疗保健服务的健康数据,并且成员国必须建立数字健康管理局,以确保个人的额外权利得到适当落实。首先,可用于二次使用的电子健康数据类别应足够广泛和灵活,以满足数据用户不断变化的需求,同时仍限于与健康相关或已知影响健康的数据,可以包括来自健康系统的相关数据(例如电子健康记录、索赔数据、疾病登记、基因组数据等)、对健康有影响的数据(例如不同物质的消费、无家可归、健康保险、最低收入、职业地位)以及环境因素(例如污染、辐射、某些化学物质)的使用,还可以包括个人生成的数据,例如来自医疗设备、健康应用程序或其他可穿戴设备和数字健康应用程序的数据。 欧洲健康数据空间将创建一个新的欧盟基础设施,用于监管数据的二次使用,该基础设施连接着所有成员国设立的卫生数据查询机构。需要二次使用健康数据的人,需要向健康数据访问机构申请许可证,许可证上规定了数据的使用方式和用途,例如数据只能在具有明确网络安全标准的健康数据访问机构提供的封闭安全环境中访问和处理,如果研究人员、公司或公共机构需要访问个人电子健康数据,他们只能以假名形式访问,即提供有关疾病、症状和药物的信息的数据,而不向用户透露个人身份。《健康数据条例》明确禁止用户尝试重新识别数据来源,亦禁止使用数据作出对个人不利的决定、增加保险费、向保健专业人员或患者推销保健产品或设计有害产品或服务。要求卫生数据访问机构必须确保透明度,必须公布有关数据访问应用程序的信息。数据用户必须公开其电子健康数据使用的结果,并将与个人健康相关的任何重大发现通知健康数据访问机构。对于较为简单的情况,在确保隐私和安全的保障前提下,用户可以直接向单个健康数据提供商请求数据。第三国的研究人员和创新者可以在与欧盟内部相同的条件和要求下获取数据以供二次使用。《健康数据条例》要求成员国建立一个或多个健康数据获取机构,以支持获取电子健康数据,包括关于可用数据集及其特征的信息,以便数据用户能够了解数据集的基本事实,并评估其可能与数据集的相关性。因此,每个数据集至少应包括有关数据来源、性质和数据可用条件的信息。倘若成员国设立了多个健康数据获取机构,则应指定其中一个健康数据获取机构作为协调机构及单一联络点,并制定相应的国家层面的规则,确保这些数据获取机构协调参与欧洲健康数据空间委员会,进行快速顺畅的合作。尽管各成员国的健康数据获取机构的组织和规模可能有所不同,例如有成员国已具备专门的成熟组织,而其他成员国仅在现有组织中设置了健康数据获取部门,但这些组织、部门等机构应具有相同的职能、职责和能力。健康数据获取机构其财政支出或司法审查受监管机制的制约,每个健康数据获取机构都应该有一个单独的公共年度预算,由各成员国提供有效执行其任务所需的财政和人力资源和基础设施,包括与欧盟其他健康数据获取部门合作的任务。健康数据获取机构之间应相互合作,并与欧洲健康数据空间委员会乃至利益相关者合作,而无需成员国之间就提供互助或此类合作达成任何协议。此外,鉴于健康数据是敏感数据,出于忠诚合作的义务,健康数据获取机构应向数据保护机构通报与二次使用数据处理相关的任何问题。除了确保有效二次使用健康数据所需的任务外,健康数据获取机构还应努力扩大额外的健康数据集的可用性,支持健康领域人工智能的发展,并促进共同标准的制定,应采用已经测试的技术,确保电子健康数据的处理方式,能够保护允许二次使用的数据中所含信息的隐私,包括个人数据的假名化、匿名化、通用化和随机化技术。(来源:人民法院报)