要闻资讯

GDPR第9条专门规定了“特殊类别个人数据”的禁止处理原则，其中包括“与健康有关的数据”。“与健康有关的数据”并不局限于医疗机构收集的病历等，而是只要能揭示个人健康状况的信息都可归入此类，如可穿戴设备监测到的生理指标、基因序列数据、心理咨询记录等。一旦识别为特殊类别个人数据，GDPR对其采取“一般禁止，例外允许”的态度，必须满足法条列出的明确例外条件方可处理。

常见例外之一便是“数据主体的明确同意”，但这在医疗场景中往往并非唯一基础。例如医院在为患者提供诊疗服务时，可以主张GDPR第9条2(h)项的例外，即“为提供医疗或预防医学服务而必需”，而无需反复获得书面同意（尽管如此，通过隐私声明等方式履行透明度告知义务仍然是必要的）。这体现出立法者对现实医疗需求的尊重——诊疗的连续性容不得频繁地打断患者以完成表面化授权。不过，如果医疗机构计划将患者信息另作科研分析或商业营销，则可能需要单独取得数据主体授权或者依据GDPR第9条2(j)科研例外，且加以去标识化等保护措施。

相比之下，中国个保法采用“敏感个人信息”的概念，将医疗健康、生物识别、基因、宗教、未成年人信息等纳入其范畴，并明确了需要额外严格保护的要求。个保法第28条指出，一旦泄露或非法使用这类信息，容易导致个人名誉、人身、财产安全等严重损害，因而必须谨慎对待。

针对医疗健康数据，个保法并未像GDPR那样列出“医疗服务必要性”“公共卫生”等具体豁免条款；在医疗健康数据处理中，“单独同意”是最为强调和常见的合法性基础之一，尽管个保法第13条也列举了其他无需取得同意的情形。至于公共紧急情况（如重大传染病报告），可以适用个保法第13条列出的“履行法定职责或义务”例外，从而不必经过患者逐一同意。由此可见，两法都提供了一定空间给公共卫生与临床需求，但GDPR显得例外种类更丰富、适用更灵活，中国法律则更多将数据使用聚焦在“取得授权”这一核心程序上。

当医疗机构或健康平台开始处理大量用户的病历、诊断信息、体检报告时，必须首先判断合法性基础来自何处：

a. 若依托患者知情同意，则需确保同意是“单独的、明示的、充分知情的”；

b. 若基于医疗目的（GDPR第9条2(h)）或公共卫生职责（个保法第13条）等特殊条款，则需留存相应法规依据或证明执行法定义务；

c. 若用于科学研究，既要注意符合法律授权，也需在可行范围内对数据进行去标识化或匿名化，提交伦理审批或完成DPIA（或PIPI）以降低隐私风险。

合规实践中，企业往往容易忽视的环节是将医疗数据用于二次应用，如将看似常规的就诊数据转移到另一部门进行商业分析或精准广告投放；抑或与保险公司分享用户健康信息做风控。这些动作若没有正当合法性基础，就会构成“超范围收集和使用”，违反GDPR或个保法的敏感数据保护规定，引发巨额处罚或诉讼风险。

a. 切勿因与医院或用户签署过基本服务协议而忽略了敏感信息二次使用的授权问题；

b. 对大规模患者数据的处理需进行审慎评估，若仅仅基于“用户点击了隐私政策”而尝试收集全面健康档案，极可能被认定过度收集；

c. 针对自动化决策（如AI评分、AI诊断），还需在征得用户同意或符合法规豁免时，明确提供人工干预渠道，并尽量确保算法不带有歧视性偏见。

综上，GDPR与个保法对健康数据皆持高度谨慎态度：前者采用特殊类别个人数据一般禁止、例外允许的规则；后者则将其纳入敏感个人信息，原则上要求单独同意或合法授权。两者虽模式不同，但都指向“高风险数据需高标准保护”这一共识。医疗AI时代的技术落地，必须充分尊重这些法律红线方能行稳致远。