x

【欧盟数据保护】欧盟GDPR数据分类

cioctocdo
13 August 2023
SEO Title
EU GDPR Data Classification

文章分类

介绍

所涉数据类型的性质至关重要,因为它将决定适用的法律规范。如果数据不被视为个人数据,就不会有任何特定的数据保护问题需要处理,因为欧盟适用的主要约束性法律文本《通用数据保护条例》(GDPR)仅适用于个人数据。个人数据的概念在《通用数据保护条例》中发挥着关键作用,体现了其物质范围的特点。GDPR中的规定仅涉及个人数据,不包括以下数据:

  • 不涉及人类(例如关于自然现象的数据),
  • 尽管涉及人类,但并不涉及特定个人的数据,因为它们是匿名数据,即与特定个人失去联系的数据(尽管匿名技术的有效成功仍有待证明)。

在个人数据领域,有一类特殊的数据,《通用数据保护条例》第9条称之为“敏感数据”,其中特别包括基因数据和健康数据。这些数据需要额外的保护,因为它们可以触及人类的核心,因此未经授权的披露可能会导致各种形式的歧视和侵犯基本权利。敏感数据的特殊性质可以追溯到数据处理的要求:根据GDPR第6(1)条的规定,任何类型的个人数据都需要允许其处理的法律依据;然而,当涉及到敏感数据时,需要在GDPR第9(2)条中找到额外的法律依据。

2022年5月3日,欧盟委员会发布了《欧洲健康数据空间条例提案》,旨在成为欧洲卫生联盟的核心部分。考虑到健康数据如今的价值,以及《通用数据保护条例》对其在欧盟(EU)内的使用施加的严格困难,本法律文本的目的是促进个人和非个人电子健康数据的使用、重复使用和共享。

EHDS条例将对涉及“电子健康数据”的每一件事进行规定,这一概念的范围非常广泛,因为它涵盖了健身和生活方式数据。该法规对数据可重复使用(即二次使用)的目标提出了全面的概念:显然,医疗保健,但也包括人工智能系统的研究、开发、测试和卫生政策的起草。请注意,任何形式的商业、营利目的都不包括在内。

在涉及个人数据的部分,未来的EHDS法规必须与GDPR一起阅读,以避免两项法规之间的冲突,但到目前为止,这两项法规的关系尚不确定。

通过基因和细胞治疗的发展,所有这些不同类型的数据都可以使用:非个人数据、个人数据,以及更具体的敏感数据,如遗传或健康数据,以及电子健康数据。

利益相关者

根据GDPR,主要利益相关者是数据控制者、数据处理者和数据主体。

数据控制者是决定处理哪些数据、出于何种目的和使用何种手段的自然人(人类)或法人(非人类)。(GDPR第4(7)条)

数据处理者是代表控制者处理个人数据的自然人或法人。数据处理器并不总是存在的,因为控制器本身可能负责所有这些任务。(GDPR第4(8)条)

数据主体是指个人数据所指的自然人(因此,仅为人类,而非公司或任何其他法人)。

数据控制者和数据处理者的数据处理活动由国家和地区数据保护机构监控,这些机构有权处以GDPR规定的巨额罚款。

《EHDS条例》引入了一类新的相关利益相关者:数据接收者、数据持有者、数据用户和健康数据访问机构。

数据接收方是在主要使用电子健康数据的情况下从另一个控制方接收数据的自然人或法人。(EHDS条例第2(2)(k)条)

数据持有者是在医疗保健领域运营的自然人或法人(作为医疗保健提供者、研究人员、人工智能医疗工具的开发人员、负责监控另一参与者活动的实体或机构),其控制着电子健康数据,并将其传输给数据接收者,用于这些数据的主要用途,或参考数据的数据用户。(EHDS条例第2(2)(y)条)

数据用户是指能够合法访问电子健康数据进行二次使用的自然人或法人。(EHDS条例第2(2)(z)条)

健康数据访问机构是成员国将设立的行政机构,负责执行《EHDS条例》第27条所列任务,即颁发数据许可证,允许数据用户以透明、简化和安全的方式访问电子健康数据,用于次要目的。当这种情况发生时,健康数据访问机构和数据用户都将是数据控制器(联合控制器)。

定义

  • 个人数据:与已识别或可识别的自然人(数据主体)有关的任何信息。个人数据类别定义了GDPR的范围,因为其严格规则仅适用于个人数据。(GDPR第4(1)条)
  • 可识别人:目前不为人所知的自然人,但可以通过某些可识别数据(如姓名、国家身份证号码、在线身份证等)为人所知悉。(GDPR第4(1)条)
  • 数据处理。是对个人数据进行的操作或一组操作,无论是否通过自动化手段。(GDPR第4(2)条)
  • 假名数据。是指不能再归属于特定自然人的数据,除非与其他信息一起保存,这些信息与这些数据分开保存。GDPR没有提供这一概念的法律定义,但它在第4(5)条中定义了“假名”。
  • 匿名数据。是指与《通用数据保护条例》第4(1)条相反的含义,即不允许识别其所指对象的数据(例如,汇总数据)。要使数据匿名化,必须进行匿名化过程。有人说,基因数据从来都不是真正的匿名数据。根据2019年发表在《自然》杂志上的一篇论文的作者,“即使是大量采样的匿名数据集[作者指的是基因数据集,也不太可能满足GDPR制定的匿名化现代标准,并严重挑战去身份发布和遗忘模型的技术和法律充分性”。[1]
  • 遗传数据。是“与自然人遗传或获得的遗传特征有关的个人数据,这些特征提供了有关该自然人生理或健康的独特信息,特别是来自对有关自然人生物样本的分析”。(GDPR第4(13)条)
  • 健康数据。是“与自然人的身体或心理健康有关的个人数据,包括提供医疗保健服务,这些数据揭示了他或她的健康状况”。(或者,正如《通用数据保护条例》第4(15)条所称,“有关健康的数据”)
  • 敏感数据。根据《通用数据保护条例》第9条第(1)款,敏感数据。涉及揭示“种族或族裔出身、政治观点、宗教或哲学信仰或工会成员身份的数据,以及基因数据、生物特征数据的处理,以唯一识别自然人,与健康有关的数据或与自然人的性生活或性取向有关的数据”。敏感数据是一类特殊的个人数据,由于这些数据与人之间的密切联系,其法律保护更加严格。如果涉及这些数据的不当处理和/或数据泄露,这一功能可能会对数据主体的基本权利造成严重威胁。因此,除非在特定情况下符合《通用数据保护条例》第9(2)条规定的条件之一,否则《通用数据管理条例》第九条第(1)款通常禁止处理此类数据。
  • “个人电子健康数据。”是EHDS提出的一个概念,指第2016/679号法规中定义的健康和遗传数据,以及涉及健康决定因素的数据,或以电子形式处理的与提供医疗服务有关的数据。(EHDS第2(2)(a)条)

[1] Rocher,L.、Hendrickx,J.M.和de Montjoye,YA。使用生成模型估计在不完整数据集中重新识别的成功率。Nat Commun 103069(2019)。https://doi.org/10.1038/s41467-019-10933-3.

挑战

GDPR管理个人数据的处理。在健康和人类基因数据处理方面,确定数据何时为个人数据至关重要,同时也是一项挑战。

正如“主要原则”分项所述,人类基因数据的内在性质和特征不仅对数据分类提出了复杂的挑战,而且对数据保护原则和规则的整体解释和应用也提出了复杂挑战。

关于在临床、健康和制药生态系统中处理人类基因数据,包括用于研究目的,当基因组数据被视为个人数据时,越来越难以支撑。随着技术和科学的发展,对人类遗传数据的分析变得越来越专业和复杂,这可能导致对人类遗传信息的分割,从而阻碍将其归类为遗传信息、健康信息和个人或非个人数据的任务。

此外,人类基因数据通常被假名化或通过自动化手段进行处理,这些手段试图去除这些数据中的个人或可识别元素。通常情况下,考虑到与此类数据所涉及的数据主体存在联系(尽管是间接的),这些措施并不能确保个人数据的不可逆转的匿名化。

与此同时,基因组数据可能被视为固有的识别个人数据(即使在与数据主体没有进一步联系或影响的情况下),因为这些数据本身就是不可分割地整合一个人身份的元素。

此外,另一个挑战是对法律中定义的人类基因数据概念的解释。与这类特定数据相关的科学和法律模糊性,以及目前法律碎片化的趋势和缺乏同质化的方法,都危及有形的定义。这就产生了与现有数据保护原则和要求有关的风险和威胁,并破坏了整个欧盟在处理人类基因数据方面制定具体法规、指导方针或最佳做法的可能性。

尽管遗传数据和健康数据的概念可能重叠,但遗传数据可以提供对数据主体未来健康状况的深入了解。此外,基因数据可能揭示有关个体群体(如家庭)的信息。这也带来了数据保护原则和条款应用的复杂性,因为大多数法律框架对数据保护权利采取了个人主义的方法。

任何对个人数据的处理都必须遵守GDPR,GDPR被认为是世界上最严格的数据保护法律。当涉及的数据是敏感数据,如健康和基因数据时,这一过程变得更加复杂,首先是因为必须满足两个累积的法律依据才能保证数据处理的合法性:GDPR第6(1)条规定的每种个人数据处理的一般法律依据,以及特定的法律依据,仅适用于GDPR第9(2)条规定的敏感数据。

不遵守《通用数据保护条例》的规范可能涉及巨额行政罚款。GDPR第83条规定了两级罚款:较轻的罚款最高可达1000万欧元,或公司上一财政年度全球年收入的2%,以较高者为准(GDPR第八十三条第(4)款);而最严重的侵权行为可能导致高达2000万欧元的罚款,或公司上一财政年度全球年收入的4%,以较高者为准(GDPR第83(5)条)。此外,根据《通用数据保护条例》第82条,因违反《通用数据管理条例》而对自然人造成物质或非物质损害的数据控制者和/或数据处理者可能会被要求支付损害赔偿金。

《通用数据保护条例》并不排除成员国国家法律规定的对其违法行为的刑事处罚。

避免被GDPR统治,从而避免其严厉制裁的一种方法是使用匿名数据。然而,完全匿名是极其困难的,因为即使是最微小的细节也可以揭示自然人的身份。[2] 匿名化带来的挑战在健康数据和遗传数据方面尤为严峻。有人说,匿名是不可能实现的,因为总是有可能逆转过程并识别数据主体。基因数据尤其如此,这些数据与人类的核心识别特征有关。

GDPR第34条将遗传数据的定义扩展到一个通用概念,不仅包括染色体、DNA或RNA分析,还包括能够获得等效信息的所有其他类型的分析。因此,尽管可以认为(i)并非所有的遗传信息都是遗传数据;(ii)并非所有基因资料均为个人资料;(iii)基因样本在能够通过分析和数据生成得出结论之前,不是个人数据;以及(iv)遗传数据分析产生的数据可能仅在遗传数据与可识别人员相关的范围内构成个人数据;GDPR中包含的个人数据的定义范围很广,包括通过参考个人基因身份特定因素进行的任何识别,独立于相关分析手段。

因此,这种解释的实际效果使我们得出结论,对人类遗传数据(包括与一个人唯一相关的核心遗传标记)的处理,以及这种处理产生的结果,很可能构成个人数据。此外,《通用数据保护条例》第9条规定了一类特殊的个人数据。

此外,与特定生物样本相关的基因数据分析产生的所有结果通常都是个人数据,即使结果本身并非个人独有,因为样本本质上是个人特有的,并提供了与他/她的特定基因身份的联系。

然而,应当指出,在某些情况下,基因数据可能不构成个人数据。例如,假设匿名信息(例如基因检测结果)在任何情况下都可能不再与特定的人相关,前提是没有进一步的基因身份记录或任何其他标识符。然而,从实际情况来看,这种情况并不常见。

在2021年的一份文件中,欧洲数据保护委员会承认了基因数据匿名技术的错误性,并建议数据控制者始终将这些数据视为个人数据,即使被称为匿名:“EDPB指出,匿名遗传数据的可能性仍然是一个悬而未决的问题。到目前为止,是否可以有效地采用任何技术和组织手段的组合来将遗传信息从GDPR的物质范围中删除,还有待证明(…)强烈建议将此类基因数据视为个人数据,并在实施适当的技术和组织措施的情况下对其进行处理,以确保符合《条例》[3]

[2] Finck, M., & Pallas, F. They who must not be identified—distinguishing personal from non-personal data under the GDPR. International Data Privacy Law10(1), 11-36, 2020.

[3] European data Protection Board, EDPB Documenton response to the request from the European Commission for clarifications on the consistent application of the GDPR, focusing on health research, 2 February, 2021, https://edpb.europa.eu/sites/default/files/files/file1/edpb_replyec_que…

机会和激励

欧盟委员会已经注意到,有大量数据没有在欧盟使用(最终是由于GDPR的限制和对违反其要求的担忧),这导致了巨大的财政损失,并破坏了我们的技术发展。EHDS条例旨在满足这些需求,创建一个更灵活的制度来使用电子健康数据。与GDPR(强烈限制个人数据的使用、重复使用和共享)相反,EHDS条例旨在促进所有这些活动。其中一个有希望的规范是第34条,该条规定了数据用户根据卫生数据访问机构颁发的数据许可证(针对多个数据持有人的数据访问请求)[4]或数据持有人本身颁发的数据访问许可证(向一个成员国的一个数据持有人提出的数据访问申请)二次使用这些数据的要求。[5]

在不受GDPR规定的苛刻标准约束的情况下进行数据处理的另一种可能方式是使用合成数据,即人工智能产生的数据。[6] 一些专家声称,合成数据不是个人数据,因此不受GDPR的管辖。[7] 然而,这一评估仍有待讨论。在欧洲数据保护监督机构的一份新闻稿中,[8]据称,合成数据可以识别用于创建此类合成数据的数据所指的个人。如果证明这是正确的,合成数据仍然必须被视为个人数据。

[4] Article 49 EHDS Draft Regulation.

[5] Article 45-46 EHDS Draft Regulation.

[6] https://hyperight.com/synthetic-data-what-is-it-and-what-you-need-to-kn…

[7] https://wirewheel.io/blog/privacy-synthetic-data/

[8] European Data Protection Supervisor, Synthetic Data, https://edps.europa.eu/press-publications/publications/techsonar/synthe…

与监管机构的互动

任何个人数据处理都要受到国家(在一些国家也是地区)数据保护机构的控制和最终的事先评估,根据GDPR,这些机构被称为“监管机构”。反过来,这些机构与欧洲数据保护委员会密切合作,后者负责监督GDPR在欧盟内的统一应用。

EHDS条例将引入两个新的监管机构:国家卫生数据访问机构和欧洲卫生数据空间委员会。

实际步骤

在启动任何涉及个人数据的数据处理之前,数据控制者必须保证其组织在设计和默认情况下遵守数据保护原则(GDPR第25条)。之前的评估可能会阻止未来因未能为正在处理的个人数据提供充分保护而提起的诉讼。在要采取的技术保障措施中,请注意自动对个人数据进行分类的程序、数据的假名和加密形式以及网络安全技术措施。

始终建议任命数据保护官(DPO),以确保数据处理符合GDPR。然而,在某些情况下,这是强制性的:每当组织大规模处理敏感数据时;或者,对于所有其他类型的个人数据,只要处理涉及对个人的大规模、定期和系统监控(GDPR第37条)。

根据《通用数据保护条例》第5条第(1)款第(a)项的要求,每项数据处理活动都需要适当的法律依据才能被视为合法。数据控制者必须根据具体情况分析第6条第(1)款所列的哪种情况更合适。

同意可能是更直观的选择(《通用数据保护条例》第6(1)(a)条),但事实上,要满足同意作为法律依据的苛刻条件是极其困难的:同意必须是知情的、自愿的、具体的,并通过明确的平权行动来表达。因此,不能仅仅通过行为来推定同意,例如接受以前的票箱(必须是“选择加入”而不是“选择退出”)。

当个人数据也是敏感数据时,需要在GDPR第9(2)条中找到额外的法律依据。GDPR第6条和第9条规定的法律依据并不完全一致,这使得寻找双重法律依据成为一项复杂的任务。

每当数据控制者使用新技术时,必须进行数据保护影响评估(DPIA),因为新技术的特性使其适合对自然人的权利和自由进行负面干扰(GDPR第35(1)条)。当数据处理涉及自动化处理,包括分析时,情况尤其如此;大量处理敏感数据(如GDPR第9(1)条所列);或对公众可访问区域进行系统和可扩展的监控(《通用数据保护条例》第35(3)条)。

生物技术公司直接向消费者提供基因检测,以评估和预测健康风险,或者类似地,医疗保健提供者或医院通过医院信息系统处理患者的基因和健康数据。

在其他触发因素中,人类基因数据的处理通常涉及敏感数据或高度个人化的数据,以及涉及弱势数据主体的数据和/或大规模处理的数据。利益相关者应该记住,只要这些因素适用,就应该进行DPIA。

在某些情况下,数据控制者将被要求保存处理活动的记录(GDPR第30条):

  • 当公司拥有250多个雇主时;
  • 当处理可能涉及对数据主体的权利和自由的风险时;
  • 当数据处理不是偶然的(“不是偶然的”与“系统的”不同);或
  • 当处理涉及敏感数据(根据《通用数据保护条例》第9(1)条的规定)和/或有关刑事定罪和刑事犯罪的数据(根据该条例第10条)时。


欧盟立法

《欧洲联盟基本权利宪章》,2012年10月26日,OJ C 326,26.10.2012,第391-407页,CELEX编号:12012P/TXT

  • Original text (available in the 24 official languages of the EU)

欧洲议会和理事会2016年4月27日关于在个人数据处理和此类数据自由流动方面保护自然人的条例(EU)2016/679,并废除第95/46/EC号指令(通用数据保护条例)(与欧洲经济区相关的文本),OJ L 119,4.5.2016,第1-88页,CELEX编号:32016R0679

欧洲议会和理事会2016年4月27日关于保护自然人的指令(欧盟)2016/680,涉及主管当局为预防、调查、侦查或起诉刑事犯罪或执行刑事处罚而处理个人数据,以及此类数据的自由流动,以及废除理事会框架决定2008/977/JHA,OJ L 1192016年4月5日,第89-131页,CELEX编号:32016L0680

《欧洲议会和理事会关于欧洲数据治理的条例提案》(《数据治理法》),2020年11月25日,COM/202/767最终版本,CELEX编号:52020PC0767

  • Original text (available in the 24 official languages of the EU)

《欧洲议会和理事会关于欧洲健康数据空间的条例提案》,2022年5月3日,COM/202/197最终版本,CELEX编号:52022PC0197

  • Original text (available in the 24 official languages of the EU)


欧盟指南

欧洲数据保护委员会:

 

相关文献

  1. They who must not be identified - distinguishing personal from non-personal data under the GDPR
  2. The EU General Data Protection Regulation (GDPR): A Commentary
  3. The EU’s General Data Protection Regulation (GDPR) in a Research Context
  4. Big Data in medical research and EU data protection law: challenges to the consent or anonymise approach
  5. Estimating the success of re-identifications in incomplete datasets using generative models
  6. Good Privacy Protection Practice in Clinical Research: Principles of Pseudonymization and Anonymization
  7. GDPR and Biobanking
  8. The Patient, Data Protection and Changing Healthcare Models: The Impact of e-Health on Informed Consent, Anonymisation and Purpose Limitation
文章链接
https://cpo.work/eu-gdpr-data-classification

标签