《歐洲健康資料空間規則》立法架構與實施時程淺介

※如欲轉載本文，請與北美智權報聯絡

許慈真／北美智權報　專欄作家

2025年3月26日生效之《歐洲健康資料空間規則》（European Health Data Space Regulation, EHDSR），旨在為歐洲個人電子健康資料之取用與控制建立一般性架構。歐洲健康資料空間（European Health Data Space, EHDS）不僅是歐洲衛生聯盟（European Health Union）之基石，亦是「歐洲數位策略」（European Data Strategy）底下首個歐洲共同資料空間（Common European Data Spaces）。

規範目標

歐盟（EU）《跨境醫療保健指令》（Cross-Border Healthcare Directive）第14條要求建立自願性之電子健康網路（eHealth network），旨在促進各成員國健康資料之互通性，藉此提高醫療保健服務之品質、安全及照護連續性。惟在實踐上，此類資料仍存在不少格式相異、欠缺完整性或尚未數位化之問題，故EU進一步推出EHDS，期望實現三大目標如下[1]：

• 使個人有權控制其健康資料並促進資料跨境交換，亦即健康資料之原始利用（primary use）。
• 提供一致且可靠之健康資料二次利用（secondary use）系統，以協助相關研究、創新、決策與監管。
• 催生電子健康記錄系統﹝electronic health record （EHR） systems﹞之單一市場。

架構設計

依據不同資料用途，並結合EHDSR之受益對象（或稱利害關係者），其規範可分為四大區塊[2]：

• 第二章「原始利用」：針對病患，賦予相關個人權利，並要求成員國建立方便醫療服務提供者連接之必要技術基礎設施。
• 第三章「EHR系統」：針對製造商及其他EHR系統供應業者，要求該系統具備互通性與記錄儲存（logging）能力，同時建立EHR系統市場監督機制。
• 第四章「二次利用」：針對健康資料持有者及使用者，明定持有者之提供資料義務以及資料利用方式，同時設立健康資料存取機構（Health Data Access Bodies, HDAB）與必要基礎設施。
• 其他章節：包括設立EHDS委員會（EHDS Board）等治理規定、國際間事務及其他相關議題。

整體而言，EHDSR期望建立利益各方之電子健康資料利用環境，大致如下圖所示：

以信賴與安全為核心價值

EHDSR係奠基於EU既有資料規範[3]之上，並依據健康資料之特殊性加以補充；其重點包括[4]：

原始利用之保障

病患得限制醫療專業人員存取其電子健康資料（Art.8）[5]，並享有可逆（reversible）之退出選擇權（opt-out option）（Art.10）；惟如為保護資料主體或GDPR第9(2)(c)條其他自然人之切身利益（vital interests），則例外允許存取。該退出權並不影響國家醫療照護系統數位化，國家仍得以數位方式儲存並處理此類資料。

由於健康資料必須及時提供，且通常是透過自助服務入口網站存取而毋須經人工搜尋、整理。因此，GDPR第12(4)條及第12(5)條「一個月回覆期限」、「拒絕處理明顯無理由或過度重複之請求」或「收取相關費用」等規定，在此並不適用。亦即，資料控制者或醫療服務提供者不得以請求頻繁為由，拒絕存取或收取費用。

二次利用之保障

電子健康資料之二次利用必須經國家指定之HDAB許可（Art.68），且限於允許用途（Art.53-54）。EHDSR雖列出17種資料類別，各成員國仍得自行增列其範圍（Art.51）。同樣地，病患亦享有可逆之退出權（Art.71），惟設有例外規定（例如基於重大公共利益）。

確保資料隱私與安全

鑑於健康資料之敏感性，資料使用者僅能在符合隱私及網路安全高標準之環境中處理資料，且禁止下載個人電子健康資料（Art.73），亦不得重新識別或嘗試重新識別資料主體（Art.61(3)）。再者，唯有研究者、企業或公共機構證明匿名（anonymised）資料無法實現其目的時，方可存取假名（pseudonymised）資料（Art.66(3)）。

EHDSR亦已落實GDPR處理合法性之要求，例如：HDAB基於GDPR第6(1)(e)條執行公益任務之必要，在安全環境中處理資料。又如，資料持有者基於GDPR第6(1)(c)條遵從資料控制者法律義務之必要，依據個別資料許可向HDAB提供資料。又例如，GDPR第9(2)(j)條基於公益而例外允許處理特殊個人資料時，所要求提供之適當具體保障措施，即體現在EHDSR第四章之允許用途、資料許可、安全處理程序等規定。

以高標準建立EHR系統

EHDSR針對EHR系統建立上市前及上市後之法規遵循架構，包括製造商（Art.30）、進口商（Art.32）與經銷商（Art.33）以及市場監督機構（Art.43）等主體義務，以確保其符合嚴格之安全性與互通性標準以及高品質資料要求。

實施時程

EHDSR並非自2025年3月26日起即全面適用，而是經過一定過渡期間後，才逐步落實各章節內容[6]，以利各方利害關係者做足準備（Art.105）。其實施時程大致分為三階段：

• 第二章與第三章之主要規定係自2029年3月26日起適用於個人健康資料優先類別之第一組（指病歷摘要、電子處方與電子調劑記錄）；並自2031年3月26日起適用於優先類別之第二組（指醫學影像、醫療檢驗結果與出院報告）。

• 第四章係自2029年3月26日起適用於第51條大部分資料類別（例如來自電子健康記錄之資料）；並自2031年3月26日起適用於其餘類別（例如基因體資料）。
• EHDSR第75(5)條係自2035年3月26日起適用，允許第三國及國際組織申請參與HealthData@EU。

在此之前，執委會（European Commission, EC）尚須制定若干施行細則（implementing acts）：其預計在生效日（2025年3月26日）後兩年內[7]，擬定相關規範之詳細藍圖。爾後兩年[8]則用以建置、測試及部署已確定之技術細節 — 換言之，EC必須於2027年3月26日前通過此等規範。適用此一期限之施行細則共9項，主題包括：

• 原始利用下之資料品質要求（13(4)）
• 數位健康資料平台「MyHealth@EU」（23(4)）
• EHR系統協調元件之共通規格（36(1)）
• 資料存取申請、許可與請求之範本（70(1)）
• 安全處理環境之要求（73(5)）
• 二次利用之跨境資料平台「HealthData@EU」（75(12)）
• 資料集描述之要求（77(4)）
• 資料品質與效用標籤（utility label）（78(6)）

綜合前述，EHDSR實施時程之各里程碑大致如下圖所示：

下表從利害關係者角度出發，更能清楚呈現EHDSR各實施階段具備何種實務意義：

結語

EHDSR影響廣泛且深遠，儘管立法架構與實施時程頗為繁複，但在可預期之未來，將能大幅提升歐洲電子健康資料之品質與利用安全性。至於EHDSR與其他資料規範、乃至於《人工智慧法》（Artificial Intelligence Act, AI Act）之關係，亦將是往後實踐上的重要問題，此點尚請讀者多加留意。

備註：

1. [1] 資料來源：Digital health and care. EC.
2. [2] 資料來源：European Commission, Frequently Asked Questions on the European Health Data Space , p6. Posted on 5 March 2025, EC.
3. [3] 包括《一般資料保護規則》（General Data Protection Regulation, GDPR）、《資料治理法》（Data Governance Act）、《資料法》（Data Act）、《網路曁資訊系統指令》（Network and Information Systems Directive）等。
4. [4] 資料來源：European Health Data Space Regulation (EHDS). EC.
5. European Commission, Frequently Asked Questions on the European Health Data Space, p40. Posted on 5 March 2025, EC.
6. [5] 以圓括號表示者係為EHDSR條號。
7. [6] 資料來源：European Commission, Frequently Asked Questions on the European Health Data Space, p7-8. . Posted on 5 March 2025, EC.
8. [7] 推估上大約為2025年3月26日至2027年3月26日，惟仍視EC實際執行情形而定。
9. [8] 推估上大約為2027年3月26日至2029年3月26日，惟仍視EC實際執行情形而定。

責任編輯：盧頎

【本文僅反映專家作者意見，不代表本報立場。】

延伸閱讀&電子報訂閱連結：

【詳細內容請見《北美智權報》390期；歡迎加入NAIPNews網站會員成為我們的訂戶，以掌握最關鍵的專利商標智財消息！】