Health data secondary use, from legislation to implementation: Building trust through de-identification in the European Health Data Space (EHDS2)

《从立法到实施的健康数据二次利用：通过脱敏在欧洲健康数据空间（EHDS2）中建立信任》 克里斯·范·布隆科尔斯特高级IT和数字健康专业人士，欧盟机构，IQVIA乔纳森·格林, 导演，IQVIA的隐私分析LUK ARBUCKLE全球AI实践领袖兼首席方法论专家，IQVIA的隐私分析 目录 1246简介第一部分 — 执行摘要第二部分 —— 立法和去标识化第三部分 — 实现有效去标识化的实施挑战第四章 —— 隐私分析提出的解决方案：集中式匿名化功能以建立信任9 13隐私分析，艾昆纬公司 简介 《EHDS2法规》标志着欧盟健康数据安全重用的重要里程碑，以信任和隐私为核心。本文强调了在国家健康数据接入体（HDAB）监管下的集中脱敏功能的重要性。这种做法促进了一致性、透明度和互操作性，同时防止了碎片化以及重新识别的风险。这是对欧洲健康数据政策合法性和可扩展性的战略投资。 本文明确分为六个部分，共同架起了EHDS2中立法与实施之间的桥梁。每一部分都针对构建一个可信赖且有效的欧洲健康数据空间的关键方面。下方的指南帮助您快速浏览内容。 1.执行摘要总结核心信息并推荐集中式脱敏功能。 2.The legislation and de-identification立法和去识别化解释通过匿名化进行隐私保护的法律框架及其作用。 3.实施挑战概述实际障碍，例如能力差距、责任不明确和碎片化。 4.建议的解决方案——为所有相关方提供集中化的脱敏服务。 5.关键益处描述集中式方法的五个优点：一致性、透明度、情境适应性、集成性和可扩展性。 6.获得并维持信任— 展示了集中式模型如何支持持续公众信任和成功的EHDS2实施。 关键实施障碍包括HDABs和HDHs之间的能力及专业差距，尤其是像全科医生、药店和精神健康服务等较小的提供者；在去标识化过程中的角色和责任不明确；以及可能导致隐私保护和数据互操作性受损的碎片化国家实践风险。如果没有一个连贯的运营模式，成员国将面临隐私保障不一致和数据效用降低的双重风险。 第一部分 — 执行摘要 本论文面向健康数据访问实体（HDABs）、卫生部以及负责实施欧洲健康数据共享框架（EHDS2）的组织实施。它旨在支持政策、架构和管理决策，关于如何在国家或区域层面上操作去标识化。论文撰写于成员国从法律转译到系统设计、采购和早期运营交付的阶段，此时基础设计选择将对互操作性、可扩展性、有效性和公众信任产生长期影响。 为应对这些风险，本文提出在国家级或区域级建立集中脱敏功能，该功能在HDAB的授权和监管下运行。而不是将复杂且高风险的去标识化任务分配给成百上千个独立的高级数据处理单元（HDH），该功能将作为一个共享的、专业的技能，代表HDH和HDAB执行去标识化操作，作为EHDS2访问工作流程的一部分。. 欧洲健康数据空间（EHDS2）法规（欧盟）2025/327标志着向实现欧盟范围内健康数据安全可靠二次利用的转型性步骤。随着成员国从立法转化转向系统设计、采购和运营交付，一个核心挑战浮现出来；如何以合法坚实、技术有效且能够大规模维护公众信任的方式实施匿名化操作. 一个集中的脱敏功能带来五大核心优势： 一致性、数据连接性和互操作性——随着时间的推移和数据来源的扩展，实施统一的脱敏规则可以 减少数据碎片化，在国内外实现合法的数据链接，并支持跨境互操作性，这是欧洲健康数据空间有效运行的必要前提。 EHDS2的核心原则是信任。公民愿意将他们的健康数据用于研究、创新和政策制定，取决于通过透明、一致和负责任的数据治理保护隐私的可靠保证。去标识化，通过匿名化或假名化，是法规提供这种保证的主要技术机制。 ii. Ⅱ透明度和问责制集中执行可实现所有脱敏活动的全面、可审计的记录，支持监管监督、公共报告以及公民了解其数据如何得到保护的权利。 EHDS2建立了一种层叠的法律方法。当匿名化数据足以满足需求时，应默认使用。当请求使用化名化数据时，根据第68条（1）（c）款，要求HDABs评估这种使用是否得到充分的正当性。这种方法与GDPR的设计数据保护原则（第25条GDPR）密切相关。然而，将这一法律意图转换为在高度多样化的健康数据持有人（HDHs）和多种健康数据类别中运用的操作实践，面临着重大挑战。 iii. Ⅲ针对特定用例的去识别化通过制定一项脱敏操作手册，明确变换规则和控制措施，并与《第五十一条》规定的数据类别以及预期使用目的相一致，中央功能支持定制化方法，既反映每个数据资产的敏感性，也满足用例的分析需求。 通过将匿名化嵌入到一个符合高标准的统一性、透明度、情境适应和技术整合的中心职能中，成员国可以实现从法律合规到运营可信的过渡。这种方法不仅是一种技术优化，更是对EHDS2生态系统长期合法性、互操作性和公众可信度的战略性投资。 iv. 与安全处理的集成 环境（SPE）脱敏操作在SPE内部进行，或作为其不可或缺的组成部分，或通过支持它的专用隐私增强技术能力进行，确保可识别数据永远不会离开受控环境，降低重新识别的风险。 动词效率和可扩展性汇集专业知识、技术和流程可以减少重复，缩短处理时间，并在许可过程中允许进行早期可行性评估，使隐私保护与实际研究期望相一致。 因此，本文建议成员国将去标识化作为中央职能实施，在HDAB的授权和监管下运作，而不是将责任分散到各个健康数据持有者。 HDAB，或称为授权健康数据持有者（THDH）——指被正式认可的HDH，其在治理、安全、和性能能力上有额外认证。但在所有情况下，这些都必须在全国法律中有明确规定。此举确保了公民有权明确拒绝其健康数据再次使用的要求得到法律保障实施。 第二部分 —— 立法和去标识化 信任通过数据隐私 EHDS基于一个原则，即公众信任是健康数据二次使用的前提。该法规的核心隐私保护措施是在任何二次处理之前对个人健康数据进行严格的去标识化（匿名化或假名化）。从法律上讲，这意味着只有无法直接识别的数据才能用于研究、政策、创新和其他允许的目的。EHDS2的第66条规定，HDABs必须将数据以“匿名化形式——或如果用户证明研究目的需要，以假名化形式”提供。默认情况下，完全匿名化数据（在所有可能使用的“合理可能”手段下，均无法识别个体）是首选。只有在必要时且在严格控制下，才能提供假名化数据（将识别细节替换为单独持有的代码）。这种分级方法反映了基于GDPR的法规精神：通过设计最大化隐私，只有在成比例且必要时才允许可识别元素。 在获得数据许可批准后，HDAB协调相关HDH的数据流。HDAB是每个成员国（第五十五条）设立或指定的中央管理机构，负责监督二次使用请求。它们是EHDS2系统中数据隐私和安全的首要保障者。根据第五十七条，HDAB必须确保仅共享必要的数据，并应用所有要求的去标识化措施。法律明确规定，这种去标识化应在数据提供链“尽可能早地进行”（序言72）。从实际意义上讲，序言72建议，在可行的情况下，去匿名化最好发生在数据离开其系统的源头，例如在GP实践或药房（在数据离开其系统之前）。然而，鉴于并非所有HDH都有能力正确执行此操作，该法规允许HDH或HDAB进行必要的匿名化或伪匿名化。因此，HDAB对确保去标识化负有最终责任，即使这项任务由他人执行。值得注意的是，问责制不能外包：如果HDH或专业第三方进行去标识化，HDAB必须核实并对其有效性负责。 责任与流程——从源头到安全环境 EHDS2法律框架明确了数据供应链中的角色，同时期望成员国详细说明操作细节。根据第2条第1款（t）款广义地定义HDHs，包括控制电子健康数据的任何实体，范围从大型医院和国家登记处到初级保健实践、药店和社区心理健康诊所。这些HDHs有法定义务向HDAB提供请求的数据集，以供批准的二级使用（第51条）。他们必须在国家目录中登记其数据集的描述以促进发现（第60条第3款）。关键的是，在共享数据之前，HDHs应尊重患者的选择，排除那些已经行使了放弃二级使用权利的个人（第71条）。该法规允许每个国家决定执行退出责任是否属于HDH。 数据脱敏后，HDAB通过安全处理环境（SPE）（第73条）提供对其的访问。SPE是一个受控的非公开数据沙盒，符合高标准的安全和隐私要求（通过数据治理法定义，并由EHDS2实施条例进一步详细说明）。健康数据用户（HDU，例如研究人员）可以在SPE内访问和分析允许的数据集——他们不能下载或删除原始数据文件。只有通过披露控制程序审查后的汇总结果或输出才能从SPE导出。这一机制旨在确保即使是匿名化数据 许多国家预计将维持已批准项目的公共在线登记册。市民可以查阅这些登记册以了解健康状况数据是如何用于研究或政策目的。此外，根据请求，应向个人通报他们自己的数据是否包含在任何发布的dataset中，这是透明的逻辑延伸，可能是通过国家或区域性的数字健康门户来实施。这些举措与英国国家数据守护者基于care.data经验提出的建议相呼应：让数据使用变得可见，并让人们有所选择，以建立公众信心。 不离开SPE。根据第57条和第73条，HDAB必须监控HDU在SPE中的活动，并审核是否符合许可条件（例如，确保HDU不尝试重新识别或超出允许目的使用数据）。值得注意的是，法律将HDAB（或指定的THDH运营其自己的SPE）视为数据准备和去识别步骤的共同控制者，尽管它同时被视为向HDU提供技术平台时的“处理器”。这种复杂的法律定性凸显了HDAB在促进数据使用和执行数据保护之间的核心作用。 公民权利与透明度 总的来说，EHDS2立法建立了一个全面的政策框架，其中脱敏是数据治理的组成部分。HDABs负责实施这一框架：他们必须协调脱敏和保障访问，与包括全科医生、社区药房和精神健康服务等小型提供者在内的广泛HDH合作。法律文本提供了指导原则（例如，尽早匿名化、仅分享所需信息、记录所有行动）并分配责任，但将实施细节留给成员国自行决定。这种结合了约束性规则和灵活执行的组合旨在确保强大的隐私保护，同时适应欧洲多样化的卫生系统结构。 除了技术措施外，EHDS2通过个人权利和透明度义务来加强信任。欧盟的每个人都有权选择退出其健康数据的二次使用（第71条），直接回应公众对非自愿数据共享的担忧。这种退出机制必须易于行使，例如通过国家数字门户或在与医疗服务提供者的互动中。关键的是，一旦注册退出，它适用于该成员国的个人，而不是特定的提供者或护理环境，并且对该司法管辖区内的所有HDH和HDAB具有约束力。 数据使用透明度通过强制性公开披露得到强化。第五十八条要求数据管理局公布其签发的所有数据许可证的相关信息，包括使用目的、涉及的数据类别以及申请结果等。 下一节将探讨在将这些法律要求转化为地面实际有效运作过程中所面临的挑战。 例子是“究竟谁具体执行去标识化，以及在何时执行”的问题。法律将HDAB确立为负责确保去标识化工作得以进行的机构，但如前所述，它允许HDH或HDAB执行实际工作。这种灵活性承认了各国基础设施的差异，但同时也产生了潜在的不确定性。如果没有明确的指南，一个国家的医疗数据可能由诊所和药店在源头一致性地进行匿名化处理，而另一个国家可能会将可识别数据传输到一个中心枢纽进行匿名化。这些差异如果在两国使用不同的标准或在不同阶段进行去标识化，可能会使跨境数据共享复杂化。需要对“尽可能早期进行去标识化”进行一致的解释。国家法律或指南将必须规定，例如，普通医生应该如何向HDAB传输数据（例如，通过安全平台）以及在何时删除识别信息。任何程序上的不明确都可能导致实施缓慢和责任削弱，因为在处理敏感患者数据时，没有利益相关者愿意超越其职责范围。 第三部分 — 实现有效去标识化的实施挑战 实施EHDS2的去标识化要求将非常复杂。尽管法规提出了高层次的目标，但仍需解决几个挑战，以弥合法律与实际操作之间的差距。 挑战 能力与专业限制 一个重大挑战是许多健康数据持有者（HDH）甚至健康数据访问者（HDAB）缺乏专门的专业知识。对健康数据进行去识别化——尤其是自由文本临床记录、详细病历或基因组数据集——是