2019年GDPR解读与国内医疗数据安全管理借鉴.pdf

1、GDPR解读及国内医疗数据安全管理借鉴CHIMA 2019GDPR基本情况欧盟通用数据保护条例（General Data Protection Regulation，简称GDPR）最初于2012年提出，于2015年12月通过欧盟理事会审议，并于2018年5月25日正式生效。GDPR作为统一的数据保护法，其前身是1995年的数据保护指令95/46/EC。为应对数字技术带来的各项挑战，全面提升了对个人数据的保护力度，GDPR对1995年的欧盟数据保护指令进行了大刀阔斧的改革，旨在将个人数据保护深度嵌入组织运营。GDPR共有99个条文，全文共263页。GDPR的保护对象是个人数据处理和流通过程中所涉

2、及到的自然人的基本权利与自由，并强化个人对其相关个人数据的自决权。同时，GDPR的立法者也希望通过欧盟统一立法，促进个人数据在欧盟境内（28个成员国）的自由流通，达到保护与促进的价值平衡。主旨和目标条例旨在实现在个人数据处理方面对个人的保护，以及保障个人数据的自由流动。在欧盟境内，个人数据的自由流动，不应因为个人数据保护方面的原因，而受到限制和禁止。CHIMA 2019GDPR以风险为基础保护框架Risk-based approach:the GDPR avoids a burdensome,one-size-fits-all obligation and instead tailors ob

3、ligations to the respective risks.CHIMA 2019GDPR中的基本概念个人数据：与已识别出（identified）或可被识别（identifiable）的自然人相关的任何信息；可被识别的自然人指，借助标识符，例如姓名、识别号码、位置数据、网上标识符，或借助与该个人生理、心理、基因、精神、经济、文化或社会身份特定相关的一个或多个因素，可被直接或间接识别出的个人。手机号码属于典型的personal identifiable information 单纯的PII几乎无商业价值，没有太多值得分析的价值，只是一个连接到个人的路径。Link Path乘车记录，如乘车的

4、路径、品牌、时间等属于personal information，或个人活动信息单条乘车记录或一个路径并不能够关联到个人，但多条信息可以将该信息所关联的个人从人群中独立出来，至于这个人是谁并不是最重要的。个人活动信息体现了更多的商业价值（如晚上经常打车就是加班族、打车档次高属于高级白领等）More business opportunityPIIPICHIMA 2019GDPR中的基本概念处理processing：任何对个人数据的操作，无论是否用自动化的方式，具体包括收集、记录、组织、结构化处理、存储、调整或变更、取回、咨询、使用、传输公开、散发或以其他方式提供、对齐或合并、限定、清除或销毁。数字

5、画像profiling：任何形式的自动化个人数据处理，以评估与自然人相关的个人方面的属性，特别是对自然人在工作、经济、健康、个人偏好、兴趣、可靠程度、行为、位置或行动方面的分析或预测。CHIMA 2019GDPR中的基本概念数据控制者controller：能决定个人数据处理的目的和方式的自然人或法人、公权力部门、机构或其他组织。数据处理者processor：代表数据控制者处理个人数据的自然人或法人、公权力部门、机构或其他组织。接收者：获得个人数据的自然人或法人、公权力部门、机构或其他组织，无论其是否为第三方。第三方：除数据主体、数据控制者、数据处理者之外的自然人或法人、公权力部门、机构或其他组

6、织。CHIMA 2019Article5-个人数据处理的原则个人数据处理必须遵守合法、公平、透明原则。（合法、公平、透明原则）仅仅处理目的所必需的足够（adequate）、相关的（relevant）的个人数据。避免处理额外的数据。（数据最小化原则）个人数据收集必须符合明确、明示、正当的目的，处理个人数据时应与这些目的相匹配；出于公共利益、科学或历史研究目的、统计目的而对个人数据做后续处理时，在满足第89条第一款的前提下，可不受“目的限制原则”的约束。（目的限制原则）123确保个人数据的准确，在有必要的情况下，确保数据时时更新；采取所有可能的、合理的措施，确保就目的来说不准确的个人数据，能够及时