欧盟发布《医疗数据空间条例》，为重点行业数据共享提供经验

文|王金钧 中国信通院互联网法律研究中心助理研究员

2022年5月3日，欧盟委员会发布了《医疗数据空间条例》草案，以期进一步提升医疗数据共享水平。数据空间作为一类数据共享机制，能够极大地提升数据共享的效率，进一步释放数据价值。欧盟医疗数据空间（EHDS）是欧盟《欧洲数据战略》中提出的“九大数据空间”其中之一，还包括工业（制造业）数据空间、金融数据空间、农业数据空间等。^[1]新冠疫情显示了数字医疗的重要性，通过数字技术，人们得以实现远程诊疗，政府借助医疗大数据对疫情发展做出正确的研判，医疗数据成为政府制定公共卫生政策和应对危机的关键。

一、欧盟医疗数据空间概述

EHDS将建立一个包含了共同的数据规则、技术标准及基础设施的数据治理框架。在这个框架之内，一是普通患者能够更加充分地行使他们有关自身医疗数据的权利，在GDPR所实施保护的基础上，人们能够更容易地访问和分享自己的医疗数据；二是医护人员的工作将更加高效，医护人员将能够访问跨境医患的病史，增加更多的诊疗依据，同时也避免了重复性的医疗测试；三是研究人员将以一种更加直接的方式获取其所需要的医疗数据，数据访问机构将保证这种活动的安全性，研究人员通过向该机构提出申请，能够以更加高效和便宜的方式获取大量的高质量数据；四是监管机构及政策制定者也更易获得医疗数据，来为自身的政策制定及医疗系统的运行提供支撑；五是医疗行业也将受益于覆盖整个欧盟范围的、具有相同技术标准及规格的数字医疗市场，医疗数据的可用性，也将进一步地推动创新技术的研发，从而为患者提供更好的、更加个性化的医疗服务。^[2]

欧盟医疗数据空间使得各方能够以更加便捷的方式访问和使用医疗数据，一方面是通过初次使用（primary use）提升医疗卫生服务水平，另一方面则是通过二次使用（secondary use）推动医疗研究和辅助政策制定。EHDS的构建需要满足三项基本条件：（1）合理有效的数据治理系统和数据共享规则，（2）满足相应质量要求的数据，（3）互操作性和基础设施相关要求。^[3]在规则层面，《欧盟医疗数据空间条例》（草案）“确立了一系列规则，包含了基础设施和数据治理的框架，在确保数据保护和网络安全的前提下，推动医疗数据的初次和二次使用”^[4]。

二、《医疗数据空间条例》基本内容

欧盟在其2020年发布的《欧洲数据战略》中明确了四个方向的目标，分别是建立数据获取和使用的跨行业治理框架、加强信息基础设施建设、赋能个人及中小企业、构筑数据空间。^[5]应当注意的是，这四项目标并非彼此孤立，数据空间的构建实际以数据治理框架、基础设施建设的完善为基本条件，而数据空间本身代表着一种新的数据共享形式，其内在的价值指引，都是在尊重个人权利的前提下，尽可能地挖掘数据价值。在这个意义上，欧盟所提出的数据治理框架、数据立法体系都与数据空间的构筑密切相关。《欧盟数据战略》明确指出，未来将进一步完善数据空间的赋能法律框架，促进数据的跨境使用，优先考虑行业内和跨行业的互操作性需求及标准，并在此基础上，考虑影响数据敏捷型经济中不同部门间关系的立法的必要性，激励跨行业的横向数据共享。^[6]

（一）立法背景

欧盟GDPR旨在保护个人相关的基本权利与自由，其中也涉及对个人医疗数据的保护。GDPR的序言部分第（35）项对“医疗相关的个人数据（Personal data concerning health）”进行了定义：“所有与数据主体的健康有关的数据，显示了与数据主体过去、现在或将来的身体或精神健康状况有关的信息”。个人医疗数据作为一类特殊的个人数据，受到GDPR第9条的限制，“对于那些显示种族或民族背景、政治观念、宗教或哲学信仰或工会成员的个人数据、基因数据、为了特定识别自然人的生物性识别数据、以及和自然人健康、个人性生活或性取向相关的数据，应当禁止处理”。同时，此条也明确了个人医疗数据合法使用的法律基础，例如出于科研目的和面临严重跨境健康威胁的情形。^[7]

《跨境医护指令》（Cross-border Healthcare Directive）规范欧盟范围内的医疗数据流通，适用于在所属成员国之外享受医疗服务的患者。为推动成员国在医疗方面的合作和信息交换，《跨境医护指令》提出建立一个自愿性质的、与各成员国医管当局合作的网络eHealth，^[8]通过创设具备互操作性的应用程序，提高跨境医疗数据交换的安全性，为患者提供具备连续性的、高水平的医疗服务。

欧盟于2022年通过的《数据治理法》（DGA）建立了一个具备共同治理机制及规则、跨行业的横向规制框架，进一步推动了数据的再利用水平。DGA提出建立欧洲数据创新委员会（European Data Innovation Board），帮助欧盟实现公共机构中受保护数据的再利用，推动实现数据利他主义（data altruism），委员会下设三个小组，其中与数据空间相关的小组将为医疗数据空间的建设提供具体指引。

欧盟在网络安全方面的立法对保障数字医疗服务的连续性及网络安全具有重要意义。为了提升应对网络风险的整体能力，欧盟在《NIS指令》的基础上制定了《NIS2指令》，引入更加严格的风险管理措施和报告要求，提升欧盟范围内统一执法水平，并将医疗、金融、能源等视为其重点保护的领域。^[9]

除此之外，公共卫生倡议也是建立EHDS的一个重要的推动因素，例如欧盟提出的健康联盟一揽子计划^[10]，在该计划中，健康数据的跨境互操作性将成为欧洲药品管理局和欧洲疾病预防和控制中心完成其工作任务的关键；类似还有“欧洲社会权利支柱行动”^[11]，该计划明确将EHDS作为其具体行动之一，确保其对欧洲健康联盟做出重要贡献。

（二）需要解决的问题

欧盟针对《欧盟医疗数据空间条例》的通讯文件指出了人们缺乏获取和访问自身医疗数据的权利，并认为问题症结在于不同成员国规则的复杂性，“成员国内部及成员国之间规则的复杂性和差异性，使得人们很难轻易地获取和分享自身的健康数据”，^[12]即在《欧盟医疗数据空间条例》之前，在整个欧盟范围内并不存在统一的医疗数据共享规则。

此外，由于技术规格和标准上的差异性，使得数字医疗设备在不同成员国的设计部署受到了阻碍。医疗卫生系统的互操作性至少包含了四个方面：（1）相同的法律规则，（2）相似的政策及护理流程（care process）,（3）相似的编码方式及（4）不同应用程序及信息基础设施的互操作性。^[13]2019年欧盟通过了《有关欧洲电子健康记录交换格式（EHRxF）的建议》，要求成员国向患者及医护专业人员提供获取和访问其电子健康记录的途径，同时确保对健康数据的高水平保护。但欧盟医疗卫生系统的互操作性仍面临很大的挑战，2021年一项有关EHDS的调查中指出，约39%的受访者认为他们的国家没有互操作性相关立法及规则制定，甚至未发布相关的政策和行业指南。^[14]

在二次使用方面，从欧盟发布的有关EHDS的影响评估报告来看，尽管部分成员国已经建立了相应实体，但eHealth网络在应对医疗数据的二次使用方面仍缺乏效率。不同成员国之间对于GDPR的不同解释方案，导致其规则差异性较大，事实上对医疗数据的二次使用产生了阻碍。

（三）如何解决

针对患者对自身医疗数据的控制权问题，根据《欧洲医疗数据空间条例》（草案）第3条的规定，个人有权免费访问其个人医疗数据，同时，根据成员国的内部规定，此条同样可以适用于条例生效以前未被电子化的医疗数据。个人访问权的具体内容包括——免费获得其自身数据的电子副本、授权将其自身数据导入电子健康记录（EHR）、将数据免费传输至卫生或保障部门等内容。当个人的电子医疗注册行为发生在其所属国以外的成员国时，将会使用其所属国的个人识别数据以确保两国医疗系统的互操作性。此外，除了个人的自由访问权外，草案还规定了医护专业人员（health professionals）的特别访问权，他们能够访问其正在诊疗的患者的相关个人数据，而无需考虑患者所属成员国或者诊疗所在地成员国的管辖权。

草案还对医疗数据初次使用的具体治理机制进行了规定。草案第10条规定每个成员国都应当确立一个数字卫生机构，以确保第3条中相关个人权利的实施。第12条规定每个成员国应该建立一个国家联络点（national contact point），实现与其他成员国及MyHealth@EU^[15]之间的联系。草案第2章的规定将确保支持医疗数据使用的信息基础设施的有效运转，例如第6条规定了健康数据集及其定义结构、要使用的编码系统及数据交换的技术标准，相关成员国应在其管辖范围内建立电子医疗数据服务（第3条），且应当符合第6条中所提到的技术标准。

在二次使用方面，草案规定了供数据持有者二次使用的最低限度的医疗数据集（第33条），包括15种类型的数据，如病原体基因组数据、与医疗相关的行政数据（报销数据）等。二次使用的合法性与GDPR第6条及第9条（2）项保持了一致，并衍生出8个合法使用的领域，除了教育、科学研究及公共利益之外，创新目的也被认可，如算法的训练、测试、评估以及人工智能开发相关的工作。草案第35条列举了6类被禁止的医疗数据使用，例如在保险合同中为了将某人排除在外而进行的任何数据处理工作。值得注意的，在1月份欧盟召开的立法会议中，部分成员国代表提议禁止以国家公共安全为目的的二次使用，同时，新的法案妥协文本第46条为健康数据访问机构在批准相应申请时设立了6项新的标准，包括对数据持有者权益的充分保护、对数据处理的道德评估等内容。^[16]

值得注意的是，医疗数据的二次使用需要经过授权，并受到一个补偿框架（compensation scheme）的限制。医疗数据潜在的二次使用者需要提出获取数据的申请，且具体方式取决于其所需要的数据格式，并需要经过相关医疗数据访问机构的评估。根据第42条的规定，数据持有人或者相应的数据访问机构可以就医疗数据的二次使用进行收费，但该数额的规定必须在透明的条件下进行，且不能对竞争造成限制。

与初次使用的相关规定类似，草案也规定了与二次使用相关的治理机制。即成员国应当建立一个医疗数据访问机构，确保医疗数据共享工作的正常运转。具体任务包括，对数据访问的请求做出决定、确保所提出的请求及相关决定的可追溯性、跨境数据合作及数据利他主义的相关工作。

基础设施方面，草案第50条明确了所有的医疗数据都应当通过安全的数据处理环境提供给数据使用者，同时第52条要求将HealthData@EU作为数据跨境共享的网络平台，它应当连接成员国指定的国家联系点、欧盟相关的医疗卫生机构及基础设施等参与者。此外，欧盟以外的第三国或者国际组织可以成为HealthData@EU的授权参与者，只要他们遵守草案中关于二次使用的相关规则，同时他们必须以对等的条件保证欧盟用户的医疗数据访问权。

三、“数据空间”的定位

在建立数据治理框架、加强信息基础设施建设、赋能个人及中小企业三项目标的基础上，欧盟提出了构筑“九大数据空间”的目标。《欧洲数据战略》中提到，为完善横向框架以及前三项目标下对私主体的赋能及资助，委员会将推动经济和公共部门内数据空间的发展。为了实现这一目标，需要构建行业和领域的数据池，实现数据汇集，同时也需要技术工具、基础设施和治理框架的支撑，以此实现必要的数据使用和交换。有关数据访问、使用及互操作性的立法将完善这一横向框架。数据空间需要有促进数据使用及刺激数据服务需求的政策支撑，也需要分布于数据价值链上的行业相关措施的支持。^[17]

如何理解“数据空间”在《欧洲数据战略》中的定位？四项战略目标都服务于构建创新及公平的单一数字市场，数据空间的构建是其他三项目标落地的具体体现，而数据空间本身也依赖于其他三项目标的完成。一是在立法上，《数据法案》《数据治理法案》《数字服务法案》等一系列法案的落地将进一步打破不同部门和领域间的数据流通壁垒（具体可能表现为对大型平台提出更多限制，赋能中小企业），在确保GDPR中个人数据权利得到保护的前提下，最大程度地开放及共享数据，同时提升不同系统间数据可操作性，制定统一的技术标准体系。二是在基础设施方面，文件中提到将加强对于数据托管、处理及互操作性的基础设施的投资，投资时间跨度将从2021年到2027年，投资金额将达到40亿~60亿欧元，除了在立法上消除数据开放及共享的壁垒之外，欧盟将加大对于相关技术基础设施的投入，如前所述，这涉及数据空间几个关键点，包括汇集数据池、数据交换及共享的相关技术等。三是在赋能个体及中小企业的方面，鉴于欧洲的数字市场环境，大多数数据资源为少数巨型互联网平台掌控，这意味着与数字经济相关的中小企业难以获得必要的发展资源，大型平台缺乏对外分享数据的意愿，欧盟将对大型互联网平台提出更多限制，以支持其本土中小企业的发展；另一方面，欧盟还将提升公民的数字素养及相关能力，培养更多的数字专家，为数字经济发展提供更强大的人才储备。

为了创造更具活力和公平的单一数字市场，欧盟认为应当在确保个人数据权利的前提下最大程度地推动数据在不同企业、部门和领域之间的共享，而构建九大数据空间是实现这一目标所应达到的步骤。因此，我们不仅可以从“技术层面”理解数据空间，即可实现数据高效流通共享、以必要数字技术为支撑的虚拟空间，同时我们也可以从“理论层面”理解欧盟所提出的数据空间，数据空间是数据共享发展到一定阶段所呈现出的流通形式。数据不能掌握在少数企业手中，而应该流向更多的主体，中小企业、个人都是数据流通和共享的受益者。在这个意义上，欧盟医疗数据空间在当前成为了最为成熟的数据空间形态，即通过立法安排来解决数据共享中可能会遇到的数据权属、流通机制等问题，《医疗数据空间条例》是欧盟在数据共享方面所做出的一次特定化的尝试，但这并非是最终的目的。

注释：

[1] A European strategy for data，p.21-23, at https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A52020DC0066

[2] See Questions and answers - EU Health: European Health Data Space (EHDS), at https://ec.europa.eu/commission/presscorner/detail/en/QANDA_22_2712

[3] European Health Data Space Explained，at https://cifs.health/backgrounds/european-health-data-space-explained/#:~:text=The%20European%20Health%20Data%20Space%20%28EHDS%29%20aims%20to,policy%20making%20purposes%20%28secondary%20use%20of%20health%20data%29.

[4] European health data space，at https://health.ec.europa.eu/publications/proposal-regulation-european-health-data-space_en

[5] A European strategy for data，supra note 1, 11-21.

[6] Id., 21-23

[7] GDPR第9条（i）（j）项。

[8] DIRECTIVE 2011/24/EU，第14条。

[9] The NIS2 Directive: A high common level of cybersecurity in the EU，at https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2021)689333

[10] Building up resilience to cross-border health threats: Moving towards a European health union，at https://www.europarl.europa.eu/thinktank/en/document/EPRS_BRI(2021)690565

[11] The European Pillar of Social Rights Action Plan，at https://commission.europa.eu/strategy-and-policy/priorities-2019-2024/economy-works-people/jobs-growth-and-investment/european-pillar-social-rights/european-pillar-social-rights-action-plan_en

[12] A European Health Data Space: harnessing the power of health data for people, patients and innovation，at https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=COM:2022:196:FIN

[13] European health data space，supra note 4, p3-4.

[14] Study on eHealth, Interoperability of Health Data and Artificial Intelligence for Health and Care in the European Union, at https://www.digitalhealthnews.eu/images/stories/pdf/artificial_intelligence_in_healthcare-final_country_factsheets.pdf

[15] 一个支持和促进成员国之间电子医疗记录交换的中央平台。

[16] Council hashes out secondary use of data in EU health data space，at https://www.euractiv.com/section/health-consumers/news/council-hashes-out-secondary-use-of-data-in-eu-health-data-space/

[17] A European strategy for data，supra note 1, 21.

声明：本文来自CAICT互联网法律研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。