国际健康数据法规与治理
国际健康数据法规与治理涉及保护健康信息的国家和地区法律的拼凑,以及使这些信息能够跨国界负责任地使用的制度安排。随着健康数据越来越多地用于跨司法管辖区的医疗、研究和分析,各组织必须协调不同的法律制度,特别是欧盟通用数据保护条例和美国的部门框架,并建立治理结构来管理权利、风险和问责制。
Definition
国际健康数据法规与治理是指管理跨不同司法管辖区健康信息的收集、使用、共享和跨境传输的法律、原则和制度安排,以及确保此类处理合法、透明和可信的问责结构。
Scope
本条目概述了主要的监管模式及其差异(综合性方法与部门性方法)、健康数据作为敏感类别通常受到的特殊待遇、跨境传输的法律依据和限制,以及将这些规则付诸实施的治理机制(监督机构、问责制、透明度),包括人工智能等新兴用途。它是关于现状和概念的参考和教育材料,而非针对任何特定司法管辖区或传输的法律建议或合规性判定。
Core questions
- 数据保护的综合性方法和部门性方法有何不同?
- 为什么健康数据通常被视为一个特殊的、受更多保护的类别?
- 哪些法律依据和保障措施规范着健康数据的跨境传输?
- 哪些治理结构支持健康数据的负责任使用?
- 治理框架如何适应人工智能等数据密集型用途?
Key concepts
- 综合性与部门性监管
- 特殊类别(敏感)数据
- 处理和同意的合法依据
- 数据主体权利
- 跨境传输机制和充分性
- 数据最小化和目的限制
- 问责制和设计上的数据保护
- 数据治理和监督
Mechanisms
各司法管辖区通过对比鲜明的策略来规范健康数据。欧盟通用数据保护条例等综合性制度将合法性、目的限制、数据最小化和问责制等一般数据保护原则应用于所有个人数据,并赋予个人可执行的权利,同时将健康数据视为受更高条件约束的特殊类别(Cornock,2018)。美国的部门性制度则规范特定领域,其中HIPAA涵盖某些医疗行为者,其他规则涵盖其他部门(Nass et al., 2009)。当数据跨境传输时,传输机制(例如充分性决定或合同保障)决定了数据是否以及如何移动。除了法规之外,治理结构、监督机构、透明度义务和问责要求将原则付诸实践;这些机制正日益扩展到人工智能等数据密集型应用,其中拟议的治理模型强调公平性、透明度和监督(Reddy et al., 2020)。
Clinical relevance
国家制度之间的差异影响着医疗系统和研究人员能否以及如何为护理协调、多中心研究和分析而国际共享数据,而治理安排则塑造了此类共享所依赖的信任。本条目描述了监管环境和治理概念,以供参考和教育;它不是法律建议,也不对任何特定组织、传输或司法管辖区的合规性作出判定。
Evidence & guidelines
主要依据在于监管工具本身,特别是欧盟法规2016/679(GDPR),以及在美国的HIPAA和相关部门规则。评论解释了它们对研究和实践的影响(Cornock,2018;Nass et al., 2009),新兴的治理模型解决了人工智能等新应用(Reddy et al., 2020)。由于各司法管辖区的制度各不相同且会定期修订,因此任何具体判定都需要当前的官方法律来源和合格的法律顾问。
History
现代数据保护法源于20世纪70年代和80年代阐明的原则,包括经合组织隐私指南,这些指南影响了后来的法规。欧洲在1995年的数据保护指令中编纂了综合性方法,该指令于2018年被通用数据保护条例取代,后者加强了个人权利和域外管辖权(Cornock,2018)。美国则发展了部门性框架,其中HIPAA专门处理健康信息(Nass et al., 2009)。随着数据流全球化和分析技术进步,治理辩论扩大到涵盖跨境传输和人工智能的负责任使用(Reddy et al., 2020)。
Debates
- 健康数据的综合性与部门性监管
- 综合性制度对所有个人数据适用统一原则,并将健康数据视为受保护的特殊类别,而部门性制度则规范特定领域;观察家们对于哪种方法能更好地平衡强有力保护、清晰度和数据用于医疗和研究的能力存在分歧。
Related topics
Seminal works
- cornock-2018
- nass-2009
Frequently asked questions
- GDPR如何处理健康数据?
- GDPR将健康相关数据归类为特殊类别,除了合法性、目的限制、数据最小化和问责制等一般原则外,还需满足额外的合法处理条件,并赋予个人对其数据的可执行权利。
- 为什么跨境共享健康数据很复杂?
- 各司法管辖区对健康数据的保护方式不同,并对个人数据向境外传输施加各自的条件。因此,跨境共享取决于充分性决定或合同保障等机制,各组织必须协调多种法律制度,这由现行法律而非一般性概述决定。