2025年3月26日生效之《歐洲健康資料空間規則》(European Health Data Space Regulation, EHDSR),旨在為歐洲個人電子健康資料之取用與控制建立一般性架構。歐洲健康資料空間(European Health Data Space, EHDS)不僅是歐洲衛生聯盟(European Health Union)之基石,亦是「歐洲數位策略」(European Data Strategy)底下首個歐洲共同資料空間(Common European Data Spaces)。
規範目標
歐盟(EU)《跨境醫療保健指令》(Cross-Border Healthcare Directive)第14條要求建立自願性之電子健康網路(eHealth network),旨在促進各成員國健康資料之互通性,藉此提高醫療保健服務之品質、安全及照護連續性。惟在實踐上,此類資料仍存在不少格式相異、欠缺完整性或尚未數位化之問題,故EU進一步推出EHDS,期望實現三大目標如下[1]:
- 使個人有權控制其健康資料並促進資料跨境交換,亦即健康資料之原始利用(primary use)。
- 提供一致且可靠之健康資料二次利用(secondary use)系統,以協助相關研究、創新、決策與監管。
- 催生電子健康記錄系統﹝electronic health record (EHR) systems﹞之單一市場。
架構設計
依據不同資料用途,並結合EHDSR之受益對象(或稱利害關係者),其規範可分為四大區塊[2]:
- 第二章「原始利用」:針對病患,賦予相關個人權利,並要求成員國建立方便醫療服務提供者連接之必要技術基礎設施。
- 第三章「EHR系統」:針對製造商及其他EHR系統供應業者,要求該系統具備互通性與記錄儲存(logging)能力,同時建立EHR系統市場監督機制。
- 第四章「二次利用」:針對健康資料持有者及使用者,明定持有者之提供資料義務以及資料利用方式,同時設立健康資料存取機構(Health Data Access Bodies, HDAB)與必要基礎設施。
- 其他章節:包括設立EHDS委員會(EHDS Board)等治理規定、國際間事務及其他相關議題。
整體而言,EHDSR期望建立利益各方之電子健康資料利用環境,大致如下圖所示:
以信賴與安全為核心價值
EHDSR係奠基於EU既有資料規範[3]之上,並依據健康資料之特殊性加以補充;其重點包括[4]:
原始利用之保障
病患得限制醫療專業人員存取其電子健康資料(Art.8)[5],並享有可逆(reversible)之退出選擇權(opt-out option)(Art.10);惟如為保護資料主體或GDPR第9(2)(c)條其他自然人之切身利益(vital interests),則例外允許存取。該退出權並不影響國家醫療照護系統數位化,國家仍得以數位方式儲存並處理此類資料。
由於健康資料必須及時提供,且通常是透過自助服務入口網站存取而毋須經人工搜尋、整理。因此,GDPR第12(4)條及第12(5)條「一個月回覆期限」、「拒絕處理明顯無理由或過度重複之請求」或「收取相關費用」等規定,在此並不適用。亦即,資料控制者或醫療服務提供者不得以請求頻繁為由,拒絕存取或收取費用。
二次利用之保障
電子健康資料之二次利用必須經國家指定之HDAB許可(Art.68),且限於允許用途(Art.53-54)。EHDSR雖列出17種資料類別,各成員國仍得自行增列其範圍(Art.51)。同樣地,病患亦享有可逆之退出權(Art.71),惟設有例外規定(例如基於重大公共利益)。
確保資料隱私與安全
鑑於健康資料之敏感性,資料使用者僅能在符合隱私及網路安全高標準之環境中處理資料,且禁止下載個人電子健康資料(Art.73),亦不得重新識別或嘗試重新識別資料主體(Art.61(3))。再者,唯有研究者、企業或公共機構證明匿名(anonymised)資料無法實現其目的時,方可存取假名(pseudonymised)資料(Art.66(3))。
EHDSR亦已落實GDPR處理合法性之要求,例如:HDAB基於GDPR第6(1)(e)條執行公益任務之必要,在安全環境中處理資料。又如,資料持有者基於GDPR第6(1)(c)條遵從資料控制者法律義務之必要,依據個別資料許可向HDAB提供資料。又例如,GDPR第9(2)(j)條基於公益而例外允許處理特殊個人資料時,所要求提供之適當具體保障措施,即體現在EHDSR第四章之允許用途、資料許可、安全處理程序等規定。
以高標準建立EHR系統
EHDSR針對EHR系統建立上市前及上市後之法規遵循架構,包括製造商(Art.30)、進口商(Art.32)與經銷商(Art.33)以及市場監督機構(Art.43)等主體義務,以確保其符合嚴格之安全性與互通性標準以及高品質資料要求。
實施時程
EHDSR並非自2025年3月26日起即全面適用,而是經過一定過渡期間後,才逐步落實各章節內容[6],以利各方利害關係者做足準備(Art.105)。其實施時程大致分為三階段:
- 第二章與第三章之主要規定係自2029年3月26日起適用於個人健康資料優先類別之第一組(指病歷摘要、電子處方與電子調劑記錄);並自2031年3月26日起適用於優先類別之第二組(指醫學影像、醫療檢驗結果與出院報告)。
- 第四章係自2029年3月26日起適用於第51條大部分資料類別(例如來自電子健康記錄之資料);並自2031年3月26日起適用於其餘類別(例如基因體資料)。
- EHDSR第75(5)條係自2035年3月26日起適用,允許第三國及國際組織申請參與HealthData@EU。
在此之前,執委會(European Commission, EC)尚須制定若干施行細則(implementing acts):其預計在生效日(2025年3月26日)後兩年內[7],擬定相關規範之詳細藍圖。爾後兩年[8]則用以建置、測試及部署已確定之技術細節 — 換言之,EC必須於2027年3月26日前通過此等規範。適用此一期限之施行細則共9項,主題包括:
- 原始利用下之資料品質要求(13(4))
- 歐洲電子健康記錄交換格式(European Electronic Health Record exchange Format, EEHRxF)之技術規格(15(1))
- 數位健康資料平台「MyHealth@EU」(23(4))
- EHR系統協調元件之共通規格(36(1))
- 資料存取申請、許可與請求之範本(70(1))
- 安全處理環境之要求(73(5))
- 二次利用之跨境資料平台「HealthData@EU」(75(12))
- 資料集描述之要求(77(4))
- 資料品質與效用標籤(utility label)(78(6))
綜合前述,EHDSR實施時程之各里程碑大致如下圖所示:
下表從利害關係者角度出發,更能清楚呈現EHDSR各實施階段具備何種實務意義:
結語
EHDSR影響廣泛且深遠,儘管立法架構與實施時程頗為繁複,但在可預期之未來,將能大幅提升歐洲電子健康資料之品質與利用安全性。至於EHDSR與其他資料規範、乃至於《人工智慧法》(Artificial Intelligence Act, AI Act)之關係,亦將是往後實踐上的重要問題,此點尚請讀者多加留意。
備註:
- [1] 資料來源:Digital health and care. EC.
- [2] 資料來源:European Commission, Frequently Asked Questions on the European Health Data Space , p6. Posted on 5 March 2025, EC.
- [3] 包括《一般資料保護規則》(General Data Protection Regulation, GDPR)、《資料治理法》(Data Governance Act)、《資料法》(Data Act)、《網路曁資訊系統指令》(Network and Information Systems Directive)等。
- [4] 資料來源:European Health Data Space Regulation (EHDS). EC.
- European Commission, Frequently Asked Questions on the European Health Data Space, p40. Posted on 5 March 2025, EC.
- [5] 以圓括號表示者係為EHDSR條號。
- [6] 資料來源:European Commission, Frequently Asked Questions on the European Health Data Space, p7-8. . Posted on 5 March 2025, EC.
- [7] 推估上大約為2025年3月26日至2027年3月26日,惟仍視EC實際執行情形而定。
- [8] 推估上大約為2027年3月26日至2029年3月26日,惟仍視EC實際執行情形而定。
責任編輯:盧頎
【本文僅反映專家作者意見,不代表本報立場。】
|
智權報390期文章列表
