要闻资讯

从GDPR的视角来看，GDPR第5条1(c)项明确写道，“个人数据应当充分、相关且仅限于为实现处理目的所必需（数据最小化）。”在医疗场景下，如果一家医院要开展远程会诊，只能调取与当前病症有关的必要病历资料，不能将患者所有历史就诊信息“一股脑”分享给第三方。否则，就构成对患者隐私的不必要侵害，亦可能触发数据监管机构的调查。GDPR对医疗数据作为“特殊类别数据”有更严格审查，一旦发现过度收集，将可能面临高额行政罚款。

从个保法的视角来看，中国《个人信息保护法》第6条强调“处理个人信息应当有明确、合理的目的，并限于为实现处理目的所最少且必要的范围，不得过度收集和使用个人信息。”对于医疗数据等敏感信息，法律更要求“特定目的、充分必要”，并辅以“单独同意”或其他合法性基础。假设某健康管理App在提供简单心率监测功能时，却要求用户上传整份病历、基因检测报告，明显超出必要范围，属于“过度收集”，可能被相关部门责令整改乃至罚款。

判断最小化常见的做法是执行数据保护影响评估（DPIA / PIPI），在评估环节审查如下要点：

a. 目标：本次处理想要达成什么医疗或商业目的？

b. 数据范围：为达成目标，是否有更少的字段或更轻量的收集方式？

c. 可替代方案：是否存在用匿名化或假名化结果替代原始数据的方法？

d. 风险与收益：多收集的这些额外健康信息，是否能显著提高诊断或研究质量，还是仅是“以防万一”？

在很多情况下，数据分析人员希望“多多益善”。但从合规角度看，如果无法证明额外字段对业务目标有直接显著作用，就应删减或匿名化处理。

匿名化与去标识化常被视为落实“最小化”最有效的技术手段。二者虽常混用，但并不完全相同：

a. 匿名化（Anonymization）：将个人信息进行不可逆处理，无法再识别到具体个人，因而不再受GDPR或个保法的约束。但要确保“真正不可逆”，否则若能通过外部数据集比对还原身份，则属于去标识化不彻底。

b. 假名化（Pseudonymization）：将姓名、身份证号等直接标识符替换为代码或编号（假名），从而降低数据主体被直接识别的风险。但只要有“解码”手段或数据对照表，就仍具可逆性，故仍受法律管辖。

对医疗机构而言，应用去标识化的典型案例包括：在医学影像AI训练中，将病人的姓名、住院号、身份证号等替换成无关编号；或在临床科研时将患者个人识别信息移除，只保留与课题相关的检查指标与诊断结论，保证研究人员无法“逆向锁定”具体个人。这样既能满足学术研究需求，又能大幅降低对患者隐私的冲击。

在数据处理，尤其是涉及个人敏感信息（如基因数据、健康记录等）的实践场景中，往往会遭遇一系列复杂且关键的挑战，以下便是常见的几类：

a. 完全匿名难度高

对于基因数据或高度细化的健康记录，可能仅凭一些特征（如极罕见病、少数民族基因型）就能推断到个人身份。如何评估真正的“不可识别”往往是复杂的技术与管理问题，需要专业算法与标准。

b. 业务需求与最小化冲突

企业开发者可能担心“去标识化后无法回溯或精细分析”，想保留更多信息以应对未来潜在需求。此时必须在合法合规与潜在收益之间寻找平衡，切忌无止境地“收集再说”。

c. 内部合规流程不完善

若医院或平台缺乏DPIA制度或专家团队，对数据最小化的原则只是“写在制度上”而无实际落地，也易出现“内部人员各行其是，大量超范围收集”。一旦发生安全事件将面临监管严惩。

为切实保障数据安全，笔者建议可采取以下一系列可落地的建议：

a. 强化制度化评估：在每个新项目上线前，要求项目团队提交“必要性与最小化说明”，由法律/合规部门审核。

b. 分级分类管理：对于敏感医疗数据，设置更严格的存储和访问权限，仅授权有诊疗或研究需要的专业人员获取。

c. 尽早去标识化：能在系统数据流转之前就进行假名化或匿名化，尽量别将可识别信息大范围复制或挪用。

d. 定期清理与销毁：项目结束或数据使用完毕后，应及时删除或彻底匿名化，避免长期囤积。