欧盟网络安全局发布《欧盟数据空间中的个人数据保护》报告

文|王金钧 中国信息通信研究院互联网法律研究中心助理研究员

欧洲共同数据空间（European Common Data Space）是“欧洲数据战略”的核心举措，简单来说，数据空间创造了一个相对安全、稳定的环境，使得参与方可以更容易地获取和利用数据，既包括个人数据，也包括非个人数据、商业数据。欧盟《数字治理法》（DGA）对数据空间的治理结构作出了进一步规定，在符合欧盟现有法律框架的前提下，数据空间成为欧盟促进技术创新和数字化转型的重要举措。欧盟网络安全局（ENISA）发布《欧盟数据空间中的个人数据保护》报告，试图进一步阐述数据空间中的个人数据保护设计原则。

一、数据空间中的数据保护设计

输入和输出环节的隐私保护。输入和输出环节都是数据空间中数据保护的关键环节，应确保数据从收集到共享环境全链条的安全性。在输入和输出环节中设置相应的数据保护模块，确保共享数据无法恢复到原始数据，即不能够根据数据识别出具体个体。

数据保护工程。数据保护工程不仅仅是GDPR的合规工具，通过采取合理且必要的技术措施，数据保护工程能够在最小化数据滥用风险的情况下实现数据共享，平衡数据保护和数据共享利用。

数据中介的数据保护措施。数据空间主要包含数据持有者、数据中介、数据用户三方参与者。在数据共享场景中，数据中介在数据保护方面扮演了重要角色。数据中介应主动采取隐私增强措施（PETs），尽管数据中介可以将未假名化的数据共享给其他数据处理者，由接收数据的处理者对数据作假名化处理，但这无疑会增加相应的隐私风险。

数据保护影响评估（DPIA）。因为风险也可能来自多方构成的合作组织，DPIA所需要的不仅仅是数据控制者和处理者的风险清单，应根据数据处理过程中的实际情况进行调整。例如，加密数据存储在一个数据处理者，而密钥则由另一数据处理者持有，在这种情形下，单个数据处理者的DPIA就无法识别此种存储方式存在的风险。因此，应当充分考虑DPIA的完整性。

主要责任模块。根据DGA的相关规定，数据控制者通过展示九个模块的内容，以实现在数据保护方面的可归责性。包括：明确数据持有者和使用者的责任义务、个人数据共享的有效内部管理、个人数据共享的外部合作治理、数据共享计划的实施、有针对性的数据共享问责工具、数据安全和数据质量之间的平衡、数据共享伦理评估、数据持有者和使用者之间的透明信息共享、以合同形式确定数据共享做法、对信息主体透明义务。

二、医药领域数据空间案例

公共卫生机构为确保市场上医药产品的供应，既要考虑当前的需求，也要考虑未来可能的需求，如特定区域病例的突然增加。该报告展示了医药数据空间在解决药品供应、未来需求等问题方面的可能性，其中初始数据可从处方数据、制药公司、医疗服务提供者、研究机构和相关监管机构获得。

医药数据空间需要解决的问题。一是药品在市场上的供应情况，根据过去几年的处方数据、制药公司的供应情况以及研究机构相关指标，分析特定地理区域特定疾病病例增加的可能性，以及由此带来的药品需求。二是药品效用，主要根据具体的诊疗数据进行分析。

药品供应案例。三类数据的共享被认为是必须的：国家电子处方系统数据（包括社保账号、出生日期、性别、处方药、用量、症状等数据）、制药公司数据（包括药物信息、药品说明及可用数量等数据）、医疗服务提供者数据（包括医学状况、不良反映等数据）。在数据保护工程方面，应确保数据中介能够及时响应公共卫生机构的请求，同时保证数据无法识别出特定个人，例如，用年龄范围替代具体年龄，用年份+月份替代具体日期。此外，报告还强调，应建立机制确保数据持有者采用统一的加密措施，应防止出现一持有者使用“40-50岁”概括字段而另一持有者使用“45-50岁”字段的情形。

药品效用案例。除国家电子处方系统数据、医疗服务提供者数据外，还应提供特定的诊疗数据（包括社保账号、诊断结果、实验室数据和处方药物等数据）。除上述保密措施外，数据中介应使用多态加密和假名化技术对数据集进行处理。由于不同的数据持有者使用不同的密钥对同一字段进行假名化处理，因此数据中介无法将从不同数据持有者收到的数据关联到同一社保账号。在这一案例中，数据持有者已在共享数据前对数据进行了处理，数据中介则对数据采取额外的保密手段。

三、总结

报告在DGA相关规定的基础上，创设了数据空间应包含的基本制度模块，同时构想了药品领域中的数据空间的具体应用。同时，报告还分析了不同情形中数据中介被赋予的不同的个人数据保护义务，及其如何实际部署特定的技术保护措施。总的来说，数据空间在数据共享方面的潜力巨大，但如何确保个人数据及隐私安全，仍应针对不同行业和具体场景而定。

报告原文：

1.https://www.enisa.europa.eu/publications/engineering-personal-data-protection-in-eu-data-spaces/@@download/fullReport

声明：本文来自CAICT互联网法律研究中心，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。