微博
微信
4千萬法國人被悄無聲息地追蹤
2021-12-02 10:55:00 來源:法治日報·法治周末
智道
欄目主持人:於興中
“健康數據中心”是法國一家醫療數據平臺,匯集了眾多法國人的健康醫療數據。雖然平臺的負責人曾在采訪中表示“在提供健康數據的信息工具中,我們達到了少有的安全水平”,但是自2019年12月建立以降,該平臺所引發的爭論便不絕于耳
羅瀏虎 吳俁彤
“4千萬法國人正在被悄無聲息地追蹤。”不久前,法國電視二臺在一檔名為《資金調查:個人數據貴如金》的節目中如是說。電視臺記者暗訪了200家藥店,但沒有一家藥店的工作人員提醒顧客,他們的數據會被傳輸給大洋彼岸的一家美國制藥公司,并被儲存在國外的健康數據倉中。
一石激起千層浪。該節目讓健康數據倉重新陷入輿論漩渦。更讓監管機構法國國家信息與自由委員會(CNIL)難堪的是,正是它許可私營企業建立健康數據倉。在法國,健康數據倉是指那些以研究、學習或者評估為目的而在健康領域建立的數據庫。但因為所收集的是敏感的個人數據,故而時常引起爭議。
5個多月后,灰頭土臉的CNIL頒布了《健康數據倉參考標準》,以為相關從業者提供指導性的實踐框架。那么,這一標準能否讓CNIL從風波中“脫身”呢?這先得從CNIL所經歷的風波開始講起。
失控的昆泰公司數據倉
實際上,篇首所揭示的輿情事件并不罕見。這一次,風波的主角是美國昆泰公司。昆泰公司是一家美國生物制藥開發和商業外包服務提供商,與法國的14000家藥店都有合作關系,主營業務為I-IV期臨床試驗以及醫療行業咨詢服務。
2018年7月,CNIL批準昆泰公司建立“LRX健康數據倉”,允許其從藥店獲得假名化數據。但這些數據只能用于開展以“評估藥物在現實中的正確使用情況,統計分析藥效持久性以及禁忌癥”為目標的“非干預性研究”。
CNIL對昆泰公司課以極其嚴格甚至苛刻的要求。例如,禁止昆泰公司將數據用于健康產品的商業性優化,要求藥店人員提醒那些涉及到數據處理行為的顧客(比如在藥店里張貼海報、告示或通過網站提醒),并且還要為客戶行使查詢權、修改權和拒絕權提供途徑。如果有人反對處理數據,那么藥店就不能把個人數據提供給數據倉,也應刪除此前搜集到的數據。
在“LRX健康數據倉”中,個人社保號(NIR)就像一把萬能鑰匙,可以獲取個體在不同藥店的消費記錄,因而CNIL也禁止昆泰公司通過數據互通來識別個體的身份或健康狀況。除了昆泰公司及其分包商,只有科學研究伙伴可以拿到數據倉中的數據,昆泰的客戶不能以任何形式拿到數據。
除此之外,昆泰公司也采取了認證、加密、行為跟蹤等多重手段來保證數據安全。公司每年都需要發布年度報告,總結過去一年里的數據分析情況。
出乎CNIL意料的是,昆泰公司和合作藥店并未將數據收集行為告訴客戶,亦未征求其同意,更遑論給予其各項數據權利。于是乎,便出現了本文開頭的一幕。
這期節目本應于今年5月20日在電視上放送,但電視臺允許觀眾提前通過網絡平臺收看節目。聽聞此訊,CNIL火速表態稱“將會對昆泰公司展開一系列的審查”。但同時,CNIL也表示截止到當時并未收到過關于昆泰公司數據倉的投訴,并且表示自己也積極履行了監管義務。
在這場輿情中,CNIL絕對被嚇出了一身冷汗。
“健康數據中心”采集范圍之爭
“健康數據中心”是法國一家醫療數據平臺,匯集了眾多法國人的健康醫療數據。雖然平臺的負責人曾在采訪中表示“在提供健康數據的信息工具中,我們達到了少有的安全水平”,但是自2019年12月建立以降,該平臺所引發的爭論便不絕于耳。
通常,該平臺收集的數據包括:與病患有關的姓名、出生年月日等基本信息;病患身高、體重、病例、體檢結果、生物樣本分析結果、醫學圖片、既往病史等敏感數據;醫療從業者的姓名、職務、頭銜、服務、電話等信息。
在新冠肺炎肆虐法國的背景下,法國最高行政法院在2020年6月19日發布了一則法令,允許該平臺采集更多類型的醫療數據。如此一來,法國衛生部就能通過這一平臺開展研究項目并獲得來自急診室的數據。
不過,這項基于公共利益出發頒布的法令,卻遭到14家行業協會、眾多專家以及醫生的強烈反對。他們指責該平臺意圖匯聚體量龐大的敏感數據,尤其是這些數據還會被寄存在美國微軟公司手上。
法國最高行政法院駁回了所有異議,并表示“法令并不會對個人隱私權以及個人數據權利造成嚴重以及非法的顯著損害”。不過,最高行政法院也要求“健康數據中心”向CNIL仔細說明對數據進行“假名化”的手段,并要求其在官網上為法國公眾發布更多有關數據使用情況的信息。
CNIL數據倉標準的創新與不足
為了平息關于健康數據倉的種種非議,CNIL在今年10月24日頒布《健康數據倉參考標準》。該參考標準由十三個部分組成:參考標準的起草背景、參考標準的適用范圍、數據處理的目的、數據處理的合法依據、數據倉可以存儲的個人數據、所采集信息的去處、數據保存期限、對個人的告知要求、關于個人可以行使的權利、數據安全性及其要求、關于數據處理者的要求、關于歐盟境外的數據傳輸、數據保護影響評估。
總體而言,CNIL一方面試圖加強對患者等數據主體的權利的保護,一方面想通過該標準簡化健康數據倉的審批程序。按照參考標準,健康倉所牽涉到的數據主體(病患或醫療行業從業者)可以履行查詢權、修改權、刪除權、限制處理權與拒絕權。
就程序的簡化而言,自從2018年歐盟《通用信息保護條例》(GDPR)生效之后,CNIL很多原有的手續都因此取消了,唯有在健康領域還保留有某些手續與要求。按CNIL的要求,數據倉控制者只要能提供資料證明其合乎參考標準,就不再需要經過CNIL審批,可以直接發表“合規聲明”。
此外,在建設數據倉的過程中,控制者需要成立“管理委員會”,并開展第一遍審查,以決定數據倉的大致戰略方針。在第二遍審查中,控制者還要成立“科學與倫理委員會”,以對某些需要進行數據再利用的項目發表意見。
只有通過科學與倫理委員會審查,才能利用數據倉中的健康數據。該委員會中至少包括一位健康倫理方面的獨立專家,還要包括數位健康行業的從業者與研究者。筆者認為,這些機制有其可圈可點之處。
此外值得一提的是,CNIL在個人知情同意方面也下了不少功夫。一方面,開展預防、診斷或護理業務的機構或中心應該告知患者“其個人數據已經被健康數據倉采集”這一事實。在數據倉創建時以及后續每一次以研究、學習或評估為目的開展的數據處理活動中,相關機構都應履行告知個人的義務。
無論個人數據的來源是原始醫療文件還是衍生研究報告,無論對象是新的病患或者仍然被跟蹤記錄的病患,收集者不僅要告知其個人數據會被重復利用,并且要告知其行使查詢權與拒絕權的方法。
對于那些不再被跟蹤記錄的患者,如果數據控制者可以證明對這些患者履行告知義務需要付出“不成比例的努力”,則可被豁免告知個人,但關于豁免的適用條件非常嚴格。數據控制者還可以通過公開數據倉的相關信息,免去“點對點”式地告知個人。比如,在其官網上以一種顯眼且易于了解的方式進行告知,或是在其社交媒體上發布相關信息,抑或發表一份新聞公告。
另一方面,對健康行業從業者而言,如果其個人數據被健康數據倉收集,那么數據倉運營者也需要對其進行單獨的書面告知。如果運營者是醫療人員的雇主,那么雇主可以通過發郵件,或是在休息室張貼海報來進行告知。
稍顯遺憾的是,CNIL未在數據倉的隱私保護增強技術方面進行著墨。目前而言,數據倉中的數據都會經過假名化處理。所謂假名化,是指用生成的新字符(即假名)取代原來的直接標識符,以使在不借助額外信息的情況下無法識別出數據主體。
假名化在一定程度上減輕了數據主體的隱私保護風險,并幫助數據控制者履行數據保護義務。但假名化后的信息仍然是個人信息,這與“匿名化處理”的信息仍有區別。對于經由匿名化處理后的信息而言,即使結合其他額外信息,通常也無法識別到特定數據主體的身份。
京公網安備 11010502038778號