欧盟立法者在 5 月提出的一项提案,旨在建立一个法律框架,以便更容易地共享电子健康记录和其他医疗数据——跨境和护理机构以及与创新健康产品的研究人员和开发人员——应进行修订,以确保公民的健康数据存储在欧洲经济区 (EEA) 的本地,以避免非法访问的风险,欧盟两个主要数据保护监督机构的联合意见建议。
鉴于欧盟最高法院自2015 年以来作出重大隐私裁决,导致个人数据出口到第三国的法律不确定性持续存在,这看起来是个明智的委员会。
“[由于]将要处理的大量电子健康数据、它们的高度敏感性、非法访问的风险以及充分确保独立数据保护机构有效监督的必要性,[我们]呼吁欧洲议会和理事会在提案中增加了将电子健康数据存储在 EEA 中的要求,”两位主管在他们对委员会的欧洲健康数据空间 (EHDS) 提案的联合意见摘要中写道。
欧洲数据保护委员会 (EDPB) 和欧洲数据保护监督员 (EDPS) 这两个欧盟机构就法律的解释和应用提供建议, 昨天通过了他们关于 EHDS 的长达 32 页的联合意见。
他们在其中提出了一系列其他建议,以收紧法规草案并澄清与现有数据保护法的相互作用,并警告说,委员会的第一次通过在许多领域都未能在这方面取得成功。
欧洲已经对健康数据进行了广泛的监管,无论是在国家层面还是在欧盟层面(在用户同意的情况下处理此类敏感数据需要根据目的明确询问)。因此,简化共享这种敏感的“特殊类别”数据的过程是 EHDS 的关键驱动力——立法者们讨论了如果可以消除碎片化,并且公民的健康数据更容易汇集、处理和重用于目的,那么非洲大陆的潜力例如疾病研究和药物发现,或创新健康技术(如人工智能诊断)。
本土的欧洲健康科技初创公司,如远程医疗平台Kry ,也对欧盟的计划发表了一些支持性言论。
但是,如果立法没有严格制定,则针对数据共享和重用的新法律框架的引入可能会对隐私和数据访问等个人权利产生负面影响。
EDPB 和 EDPS 的意见强调了两个机构认为 EHDS 可能造成法律不一致的一些领域;给数据主体造成混淆;甚至破坏现有法规——例如《通用数据保护条例》(GDPR)和《电子隐私指令》——警告,例如,目前尚不清楚个人权利(如 GDPR 纠正个人的权利)将如何受到框架的影响(因为 EHDS 设想的不是一个数据控制者,而是多个个人数据的来源和接收者,在国家、欧盟甚至国际层面)。
他们还对建议限制数据主体的信息权而不是对其健康数据的所谓“二次”使用的提议感到不满——立法草案设想健康数据访问机构通过数据许可系统进行监管。
“EDPB 和 EDPS 强调,知情权和反对权是密不可分的。通过限制 GDPR 下的信息权,EDPB 和 EDPS 认为该提案可能无法实现该提案第 1(2)(a) 条规定的目标。事实上,设想的方法似乎损害了自然人的隐私权和保护个人数据的权利,特别是考虑到二次使用的非常宽泛的定义和提案引入的二次使用电子数据的最低类别,这不仅限于科学研究,还包括其他目的,例如创新,”他们在意见中警告说。
“鉴于提案中就访问、使用和共享特殊类别的个人数据(如健康数据)规定的广泛权利和义务,一般参考 GDPR 和 EUDPR [数据保护条例] 可能不够。在这方面,EDPB 和 EDPS 认为可能存在误解与数据保护相关的关键条款的风险,这反过来可能导致降低现有欧盟数据保护下当前授予数据主体的保护水平法律框架(GDPR、EUDPR 和电子隐私指令)。因此,EDPB 和 EDPS 认为有必要进一步规范,”他们补充道。
在随附的声明中,EDPB 主席 Andrea Jelinek 也警告说:“欧盟健康数据空间将涉及处理大量高度敏感的数据。因此,本提案绝不会损害 EEA 个人的权利,这一点至关重要。提案中对权利的描述与 GDPR 不一致,对于可能无法区分这两种权利的个人而言,存在很大的法律不确定性风险。我们强烈敦促委员会澄清提案和 GDPR 之间不同权利的相互作用。”
“量化自我”数据的风险
两位数据主管还建议对提议的欧洲健康数据空间进行修订,以缩小范围内的信息类型——只包括真正的健康数据——主张删除同样会从健康数据中提取数据的参考以及其他消费者健康/健身应用程序(例如行为/生活方式数据),这些应用程序已上传到个人的电子健康记录 (EHR)。
两人认为,包含此类数据将对个人构成重大隐私风险,因为此类高维生活方式/行为数据可用于对与其健康相关的数据主体做出敏感推断。
他们还提出了进一步的担忧——警告消费级技术不会产生与专业医疗服务和医疗设备相同质量的数据。因此,将其与强大的健康数据捆绑在一起可能会导致其他有问题的和潜在的歧视性联系。
“EDPB 和 EDPS 意识到 COVID-19 大流行极大地加速了医疗设备、健康应用或可穿戴设备在普通人群中的使用。然而,这种技术会产生大量数据,通常是特殊类别的个人数据,并且具有高度侵入性。除了追踪人类的行为和决定之外,现在还可以追踪人类的身体、思想和情绪,达到甚至人类自己也无法做到的水平。这些数据随后可用于预测人们的行为并操纵他们的行为,即使是在群体层面,”他们在意见中写道。
“必须根据移动和可穿戴技术的快速技术发展以及‘量化自我’应用程序和设备的日益普及来评估医疗设备、健康应用程序或其他数字健康应用程序生成的电子健康数据的强制性可用性,这些数据允许人们可以记录有关他们的个性、思想、身体、行为模式和行踪的各种方面,”他们还建议。 “显然,这些类型的数据处理值得高度关注,因为相关数据主体不容易将其识别为对健康数据的处理。然而,与此同时,这带来了真正的隐私风险,尤其是在此类数据被处理用于其他目的和/或与其他数据结合或传输给第三方的情况下。
“这些类型的数据处理可能会产生特定的风险,包括基于一个人假设或实际健康状况的数据(例如通过剖析得出的关于他/她的私人生活的非常私密的细节)的不平等或不公平待遇的风险,无论这些关于他/她的健康状况的结论是否准确。事实上,这些风险也可能与医疗设备、健康应用程序或其他数字健康应用程序生成的数据的可靠性和准确性有关。在此背景下,EDPB 和 EDPS 承认,第 33 条第 3 款试图界定医疗设备、健康应用程序或其他数字健康应用程序生成的哪些数据可用于二次使用。但是,EDPB 和 EDPS 强调,目前尚不清楚哪种数据属于此类,或者一旦个人根据第 3 条第 6 款将其插入自己的 EHR 中,谁将评估其有效性和质量。”
如果欧盟立法者决定在共享框架范围内维护此类数据,两人建议对该提案进行修改,以确保个人仍然可以自由决定“是否以及哪些由健康应用程序和其他数字应用程序生成的个人数据……应共享与其他接收者并进一步处理以供二次使用”。
他们强调,任何进一步的处理还必须明确遵守数据保护立法,并且还必须建立“适当的机制”以确保尊重数据主体的选择。 (这可能是对复制广告技术风格“同意”系统的任何举动的警告,这肯定会导致人们的数据移动,但被发现违反了 GDPR ……)
“健康应用程序和其他数字健康应用程序生成的健康数据与医疗设备生成的数据质量不同。此外,这些应用程序会生成大量数据,具有高度侵入性,并且可能会泄露特别敏感的信息,例如宗教取向。因此,应将健康应用程序和其他数字健康应用程序排除在二次使用之外,”EDPS 主管 Wojciech Wiewiórowski 在另一份支持声明中说。
两位数据监管者继续警告说,EHDS 的“成功”将取决于他们总结为“根据欧盟数据保护法进行处理的强大法律基础、建立强大的数据治理机制和有效保障完全符合 GDPR 的自然人的权利和利益”——他们强调必须伴随“以欧盟价值观为基础的合法、负责任、道德管理的充分保证,包括尊重基本权利”。
“在这方面,EDPB 和 EDPS 认为 EHDS 应作为透明度、有效问责制以及在个人数据主体的利益与整个社会的共同利益之间适当平衡的一个例子,”他们补充道。
已联系委员会对这些建议作出回应。在撰写本文时,它尚未发送回复。
数据策略
欧盟立法过程通常在欧洲议会和理事会中循环,作为共同立法者,他们对委员会的提案进行投票并可以修改委员会的提案——因此,如果就框架需要达成共识,则有一条既定的途径可以解决两个数据监管机构的担忧加强保护基本权利。
EHDS 符合欧盟立法者于 2020 年制定的总体战略,旨在促进数据重用以获得经济和社会收益。
从那时起,欧盟的行政部门一直忙于制定关键的监管计划,例如《数据治理法》 (于 2021 年底出台,今年由联合立法者通过并于 6 月 23 日生效);和数据法案(2022 年 2 月提议)。
内部市场专员蒂埃里·布雷顿 (Thierry Breton) 表示,数据战略将帮助欧洲摆脱美国主导的大型科技公司——通过制定有利的规则和基础设施,使该地区成为“世界上数据授权最强大的大陆” ,正如他所说。
然而,将欧盟相对缺乏本土科技巨头归咎于其对高维度监管的偏好的批评者不太可能被(但)更多规则的“药物”所吸引,从而提供成功的创新公式。
时间会证明哪一方是正确的——但与此同时,委员会正在加紧努力。
EHDS 是它希望成为一系列定制的通用“数据空间”中的第一个,以促进工业数据共享和重用,并鼓励公民为“利他”事业(如健康研究或应对气候变化)捐赠个人数据。
它启动这些空间的计划包括为特定部门或基于主题的信息共享中心(如 EHDS)制定专门的规则和要求,以便通过专用的可信基础设施为“安全和保护隐私的访问和互操作性”创造条件和流程——从而为研究和创新的数据共享管道加油。并且为了经济利益——立法者将改善数据访问作为促进欧洲人工智能生态系统发展的战略,投入了大量资金。
委员会提出的其他数据空间包括一个用于该地区制造业的数据空间,另一个用于移动性的数据空间和一个用于欧盟绿色协议的数据空间,以支持欧盟的脱碳和减排目标。
《数据治理法案》的迅速通过表明,欧盟立法者对数据重用战略有广泛的支持。尽管某些部门/主题数据空间规则(例如健康)可能会引发更多辩论/争议,因为商业需求与个人权利相交。
健康无疑是鼓励数据共享的最敏感领域之一,因此委员会优先考虑第一个公共数据空间似乎是一个奇怪的选择。然而,COVID-19 大流行已将立法者的注意力集中在建立更顺畅的机制上,以使健康数据为下一次紧急情况做好准备。
由于每个数据空间都将伴随着自己的一套定制规则,因此对于那些想要利用的人来说,这将不可避免地增加合规性的复杂性,但这个想法是好处将超过管理负担。
但是,正如 EDPB 和 EDPS 所警告的那样,欧盟增加数字监管的蔓延会增加其法律框架中引入不一致的风险,随着更多规则重叠和/或融合在一起,这可能会损害数据保护等领域的个人权利。
如果监管要求不符合要求,也可能给企业带来新的法律不确定性。
曾在欧洲从事健康技术政策研究的安全和隐私研究员Lukasz Olejnik同意这是一个日益严重的风险。 “过去五年和未来五年,科技政策不断涌现。它们的汇合和融合可能会产生额外的风险:合规性,甚至更少的保护,”他告诉 TechCrunch。
“我不否认健康数据的数字化可能有助于降低成本,甚至可能有助于改善医疗保健甚至挽救生命。但它也有风险。滥用、泄漏、盗窃。这种集中的“空间”可能成为网络攻击的诱人点,”他补充道。
原文: https://techcrunch.com/2022/07/15/european-health-data-space-edpb-edps-opinion/