健康医疗大数据规范化应用分析报告.pptx

2018 年 10 月,健康医疗大数据规范化应用分析报告,目 录,2018 年 10月 第 10 期,13444488141919232327272830,内容摘要前 言一、健康医疗数据开放与隐私安全概述（一） 健康医疗数据开放与隐私安全的关系（二） 健康医疗数据隐私安全基础框架（三） 不同数据开放场景下的隐私安全分析二、国外开放数据的隐私安全现状（一） 国外隐私安全法律法规要求（二） 美国数据开放平台隐私安全实践三、 国内开放数据的隐私安全现状（一） 中国隐私安全法律法规要求（二） 中国数据开放平台隐私安全实践（三） 数据开放与隐私安全国内外现状比较四、 促进健康医疗大数据规范化应用建议（一） 政府管理层面（二） 行业实践层面参考文献,促进健康医疗大数据规范化应用 开放数据的隐私安全保护,Promoting Big Data Privacy and Security in Healthcare Applications,健康医疗大数据的应用发展，标准是前提，安全是保障，服务是目的。数据开放与隐私安全是一组矛盾，利益平衡的关键在于从法制层面出发，制定一系列医疗健康数据隐私安全保护规范和数据流通规则，建立包含身份认证、权限控制、数据加密等在内的技术保障体系，促进数据在多种场景下的开放应用。,本期导读,内容摘要,随着医疗信息化的发展，大数据分析等技术的崛起，健康医疗大数据的价值愈发显现。探索数据开放共享的模式，同时保护数据的安全和隐私，是促进健康医疗大数据规范化应用的关键。本期分析国内外数据开放和隐私安全的现状，旨在为我国健康医疗,健康医疗大数据开放与隐私安全概述数据开放和隐私安全是健康医疗大数据规范化应用的关键，数据的开放程度加深必然会带来越大的隐私安全问题，权衡好二者之间的关系显得尤为关键。不同场景的数据开放所导致的隐私安全问题不同，因此建立适应于多场景下的隐私安全管理制度与技术保障,体系至关重要。促进健康医疗大数据规范化应用,大数据的规范化应用提供建议。国内目前关于个人隐私和数据安全的法律不多，不论是法律体系和法律条款都与国外有,较大差距，目前相对比较完整的规定仅在国家推荐标准信息安全技术 个人信息安全规范中体现。在实践层面上，国内数据开放的场景明显少于国外，主要集中与区域健康医疗服务平台的数据共享交换上，虽然隐私安全的技术保障体系与过国外差距不大，但在数据应用流程中对隐私安全的保护更多依赖于系统层面的信息安全，缺乏对个体隐私安全保护的独立考量。,的建议政府管理层面上，需加强立法和完善个人健康医疗信息制度，建议设立信息安全管理机构，推进医疗机构资源的开放和整合，培育公众对健康医疗数据应用意识与隐私安全的认知，持续推动国家统一身份标识体系和基于统一身份标识的共性基础服务平台；在行业实践层上，提高企业对个人隐私安全的保护意识，加强用户参与与理解，建立数据处理规则，慎重处理个人隐私数据，建立数据加密存储传输的普遍共识，关注数据二次使用的边界，推动区块链在隐私安全领域中的应用实践。,数据开放与隐私安全国外现状为了保障数据的安全和隐私，美国和欧盟都出台了相当严格的法律，如 HIPAA 和GDPR。HIPAA 和 GDPR 都明确定义了约束主体和受保护的信息类型，在充分考量数据所有人权益的前提下，规定了受保护主体的权利和受约束主体的义务。与此同时，在遵从法律规范下，国外不同健康医疗数据应用场景中隐私安全的关键要点侧重不同。以数据交换场景为主的互操作平台中，通过制定参与主体间的共同协议实现管理规范；通过系统测评，前置身份认证、患者识别模型等技术保障了隐私安全。以个人健康医疗数据应用为主的 PHR 管理平台1,中，患者对数据的全部控制权是管理的要点，在技术保障体系上建立了面向用户的权限控制系统是其核心特征。数据开放与隐私安全国内现状,促进健康医疗大数据规范化应用,研究简介,(一)研究背景健康医疗大数据的应用日趋火热，而由于医疗自身特殊的属性，大量数据开放共享困难，数据隐私安全保护水平低等一系列问题也逐渐凸显，如何促进健康医疗大数据规范化使用成为亟待解决的问题。(二)研究目标在此背景下，我们希望通过对比研究国内外目前关于健康医疗大数据开放共享和隐私安全的现状，重点关注以“个体为中心”的健康医疗服务场景下的隐私安全，结合我国国情，总结出能促进我国健康医疗大数据规范化应用的建议。(三)研究方法,本文通过对相关文献和资料进行检索和研究2,归纳，同时选取国内有代表性的医疗信息化与隐私安全领域的意见领袖进行深度访谈，准确把握促进健康医疗大数据规范化应用的方向。(四) 基金会浙江省讴本开放医疗与健康基金会（OpenMedical and Healthcare Foundation， 简 称 基金会）是一家致力于个人健康医疗数据的开放运动，解决健康医疗领域数据分享难题，促进个人健康数据信息有意义使用，为公共健康领域提供公益产品和服务的基金会。基金会的使命是提升公众意识和改善个人健康档案使用环境。 基金会是由医疗领域意见领袖和行业专家发起和运营的公益组织。2016 年 3月，经浙江省民政厅批准注册成立。,2018 年10月,第10期,促进健康医疗大数据规范化应用,成新的经济增长点” 。,康医疗大数据的规范化应用,。健康医疗大,第10期,党中央、国务院高度重视健康医疗大数据的创新发展。习近平总书记指出：“要运用大数据促进保障和改善民生，推进互联网 +医疗等，让百姓少跑腿、数据多跑路，不断提升公共服务均等化、普惠化、便捷化水平”。李克强总理强调：“发展和应用好健康医疗大数据，是一项重大民生工程，既可以满足群众需求，也能促进培育新业态、形1在此背景下，2018 年 9 月国家卫健委发布了国家健康医疗大数据标准、安全和服务管理办法（试行），旨在在保障公民知情权、使用权和个人隐私的基础上，根据国家战略安全和人民群众生命安全需要，从标准管理、安全管理和服务管理三大方面促进健2数据的应用发展，标准是前提，安全是保障，服务是目的。,目前而言，健康医疗大数据规范化应用中仍然存在众多的问题（见表 1）：我们认为激活数据流动是健康医疗大数据在健康医疗服务中应用的关键。在往期白皮书中我们已经探讨了一些关键问题的解决方案，包括关于信息标准化建设的要点第 2期 统一的力量：临床医学术语标准化的展望、国内外法律隐私保护制度的现状第3 期 如何保护个人健康医疗信息、患者生产型数据的采集与利用途径第 4 期 从数据的采集到利用：PGHD 的“有意义使用”以及国外信息互操作经验启示第 7 期 创新时代下的健康医疗信息互操作性变革等。随着“互联网 + 医疗健康”的高速发展，数据应用中的隐私安全问题成为一个绕不开的话题，因此，以“个体为中心”的健康医疗服务中数据开放与隐私安全的平衡是本期研究主题。,2018 年10月前言,表 1 健康医疗大数据规范化应用问题3,促进健康医疗大数据规范化应用,一、健康医疗数据开放与隐私安全概述,(一)健康医疗数据开放与隐私安全的关系1. 数据开放获益同时增加了隐私泄露的风险信息的共享有助于提高医疗质量，降低成本，并防止医疗差错。但电子健康医疗记录和区域健康医疗信息交换的趋势增加了诸多不适当地获取可识别健康医疗信息的风险，如来自系统的，来自网络的，来自管理的。,2. 隐私保护可增强患者的信任和信息完整性为了获得数字健康信息，以实现更好的健康结果、更明智的支出，数据提供者和个人都必须相信个人的健康信息是隐私和安全的。如果患者对电子健康记录（Electronic HealthRecord，EHR）和健康信息交流缺乏信任，感觉他们的电子健康信息的机密性和准确性处于危险之中，他们可能会不想透露健康信,息，但隐瞒他们的健康信息可能会导致危及生命的后果。只有当病人充分信任使用健康,信息技术来分享他们的健康信息时，医疗服务提供者才能更全面地了解病人的整体健康状况，一起做出更明智的决定。分析数据开放与隐私安全的关系，我们可以意识到隐私安全的核心目的不是完全隔离机密数据，老百姓的利益必须与这些风险相平衡。(二)健康医疗数据隐私安全基础框架,1.,健康医疗数据隐私安全法律框架,法律层面上对健康医疗数据的隐私安全主要从以下四个方面进行界定和规范： 约束主体：法律所约束的主体，可以包括政府机关、医疗机构、相关企业等； 受保护信息：法律条款内定义的受保护健康医疗信息范围； 信息主体的权利：法律赋予信息主体的权利，大多可以纳入个人隐私权层面的范畴；,受约束主体的义务：法律约束主体所应,履行的义务，大数据存储和使用层面安全的要求。法律法规通过确认健康医疗数据使用主体，不同主体的数据使用边界，不同主体在数据使用过程中的隐私安全的权利与责任，为健康医疗大数据构建一个最基本的隐私安全保护框架，是健康医疗数据应用中制定隐私安全保护管理策略的重要依据。,2.,健康医疗数据隐私安全技术框架,健康医疗数据应用过程可简化为三大步骤 :存储、访问和传输。为了确保健康医疗信息的真实性、完整性和不可否认性，应遵守以下原则：所有电子化的健康医疗信息，应根据所有者属性加密存储传输；医疗信息的访问和共享过程应该通过签名和认证 3。具体的隐安全保护技术框架见图 14：(三)不同数据开放场景下的隐私安全分析1. 健康医疗数据开放所致的隐私安全问题,健康医疗服务领域的大数据应用所致的隐私4,2018 年10月,第10期,促进健康医疗大数据规范化应用,安全问题可分为以下三类，不同的问题在解决方式的选择上有所侧重 5：1.1 数据披露（disclosure）指信息控制者有意或无意向不可信的第三方透露或丢失数据，该类隐私风险通常需要利用匿名化、隐私分级、加密、访问控制等技术来避免。1.2 跟踪监视（tracking and surveillance）指通过非法的手段跟踪、收集个人的敏感信息，如网站利用 cookie 技术跟踪用户的搜索记录、浏览记录等，这类隐私风险通常利用问责系统或者法律手段来保护。1.3 歧视倾向（discrimination）由于大数据处理技术的关联性和不透明性，数据在使用过程中有意或无意中的泄露了个人隐私，导致个体受到职业、保险、治疗等方面的歧视。如保险公司和雇主在未经同意的情况下获得人们的健康数据，则可能形成对就职者或投保者的歧视行为 6。该类隐私风险通常利用法律法规手段来保护。,2. 健康医疗大数据的应用分类我们根据数据分析使用层次将健康医疗大数据的应用划分为以下两类：以“群体为中心”的科学研究与管理决策和以“个体为中心”的健康医疗服务，本期重点研究后者。2.1 以“群体为中心”的科学研究与管理决策以“群体为中心”的健康医疗大数据应用对数据的需求关键在于“汇聚”，通过对更广泛的群体、更多元化的数据内容的汇聚进行大数据挖掘，得到分散状态下难以发现的数据特征以推动科学研究与管理决策。这类数据应用更强调“类”（一类人，一个地区，一类疾病，一项制度）的特征发现，对于个人隐私保护的关键在于如何在数据应用分析过程中明确个人隐私数据的使用边界，确保个人信息的匿名化或去标识化，实现数据的脱敏使用等。此类应用非本期研究重点，仅作简单阐述。2.2 以“个体为中心”的健康医疗服务,以“个体为中心”的健康医疗大数据应用对5,2018 年10月,第10期,促进健康医疗大数据规范化应用图 1 健康医疗大数据应用隐私安全技术框架,数据的需求关键在于“流动”，在数据汇聚的前提下让个人数据在服务网络中流动起,来，个人健康医疗数据能随个人流动，数据,的访问不受时间空间的限制，从而在医疗服务中提高个体急诊诊疗效率、提升个体疾病治疗质量，降低个体重复检查检验次数，改善个体的医疗服务连续性，形成便捷、高效、规范、共享、互信的诊疗流程。这类数据应用中个人隐私安全的关键在于如何确保个人对数据使用的控制权，数据在流动过程中的,信息安全，数据使用流程的规范性等。此类,应用是本期探讨的重点，我们参考了美国协调卫生信息安全与隐私的合作组织（HealthInformation Security & Privacy Collaboration，HISPC7）项目工具包中数据交换场景与隐私,安全问题讨论框架 8，重点分析了健康医疗,数据在“以个体为中心”的健康医疗服务领域的应用场景（见表 2），具体的隐私安全要求和实践在后续章节中深入阐述。,3.,以“个体为中心”的健康医疗服务场景,下隐私安全要点,以“个体为中心”的健康医疗数据使用的隐私安全解决方案要点主要有以下两大方面：,患者授权管理：保证健康医疗信息交换,隐私安全的基础是知情同意，即数据所属者,对数据使用的知情与授权。,患者医疗健康信息分级管理：当患者在,保密部门（例如，心理健康或物质滥用）治疗，则属于 HIPPA 治疗规定（在治疗场景下，不强制征得患者同意）的例外情况，这类数据的交换必须获得患者同意。这提示我们健康医疗信息的敏感性并不一致，应当对不同敏感程度的信息建立分级管理制度。,最小必要数据原则：例如紧急治疗情况,下可查看的数据有哪些内容，通过基于场景的必要数据集设计，减少患者信息泄露风险。3.2 隐私安全的技术保障体系,身份识别与认证：身份识别和身份验证,是访问控制的关键组件。用来解决“你是谁”和“我为什么要相信你”。,访问权限的控制：在身份认证后，通过,访问权限的控制可以用来解决 :“现在我知,道你是谁了，这就是你能接触到的东西”。,数据加密：在数据交换过程实现隐私保,护需要解决的首要问题是通讯的安全性，数据加密使在通信网络中的数据处于密文状,态，降低因网络原因造成的信息泄露风险。3.1 隐私安全的管理策略,跟踪审计：通过跟踪审计记录数据使用,行为，确保信息未被他用。,6,2018 年10月,第10期,促进健康医疗大数据规范化应用,表 2 健康医疗服务领域数据开放场景隐私安全分析7,2018 年10月,第10期,促进健康医疗大数据规范化应用,二、国外开放数据的隐私安全现状,(一)国外隐私安全法律法规要求,全有着更加高的关注度，不论是美国的健,康保险携带与责任法（Health InsurancePortability and Accountability Act，HIPAA）还是欧盟的通用数据保护条例（GeneralData Protection Regulation，GDPR）， 都 是从个人信息的隐私和安全角度出发，对于存储和使用数据的企业提出要求，来保证数据主体的权利。,1.,美国健康医疗数据隐私安全法规,美国关于隐私安全的立法较早，1974 年即通过隐私权法（The Privacy Act），该法就政府机构对公民个人信息的采集、使用、公开和保密等问题作出了详细规定，规范政府处理个人信息的行为，平衡公共利益和个人隐私权之间的矛盾。1996 年，美国通过健康保险携带与责任法（HealthInsurance Portability and Accountability Act，HIPAA）， 2003年HIPAA中的隐私规则（PrivacyRule）和安全规则（Security Rule）生效 , 在随后的几年时间中，HIPAA 相关的补充法案的进一步发布，使得美国形成了一整套针对,个人健康医疗信息的隐私安全法律保护体,系。,1.1 约束主体HIPAA 法案的隐私规则中对于法案的适用主体（Covered Entity，CE）作出了明确的规定，包括了医疗健康服务提供方、保险提供方和数据清洗公司。2013 年 HITECH Omnibusrule 生效后，将商业伙伴（Business Associ-ate，BA）加入了约束主体当中，要求 BA 与CE 遵守相同的法律准则。法律条文中对 BA提供的服务进行了举例，其中包括 :, 职能服务：健康数据分析、处理和管理；保险申诉处理和管理；质量管理；医保报销,等；国外在大数据安全方面对于私人的隐私和安,其他服务：法务；审计；会计；咨询；,数据采集；行政管理；认证和投资等。1.2 受保护的信息HIPAA 提出“受保护的健康信息”（ProtectedHealth Information，PHI），其定义为由适用主体或其商业伙伴持有或传输的以口头、书面和电子等形式或媒体存在的可识别的个人健康信息。可识别的个人健康信息（In-,dividually Identiable Health Information）是健康信息的一个子集，指的是个人过去，目,前和未来的生理和心理健康状况、医疗护理状况及与医疗护理相关的支付信息，并且这些信息包含了法律规定的能够识别出个人的18 项身份识别信息中的至少一项。1.3 信息主体权利 9HIPAA 赋予数据主体的权利大多集中在隐私规则（Privacy Rule）中，主要包括个人信息权，第一次服务前告知、使用前需要得到患者同意的情况、使用前无需得到患者同意的情况以及一些特殊的规定。,个人信息权,HIPAA 中关于个人信息权利的定义主要包括以下几点：,-,限制使用权：个人可以对自己的个人信息的使用权限作出限制；申请获取权：个人可以申请获取 CE 所储存的所有个人信息，包括现场查阅和复制；修改权：个人可以要求 CE 修改其错误的 PHI；个人信息使用记录知情权：个人可以要求 CE 提供六年内自身 PHI 的使用记录。8,2018 年10月,第10期,促进健康医疗大数据规范化应用,18 项身份识别信息如下：- 姓名；- 小于省级的地址，包括街道，城市，地区和三位以后的邮编；- 除年份以外与个人相关的日期，包括（生 日、进院日、出院日、死亡日期、超过 89 岁的年龄）；- 电话号码；- 车辆登记号码、车牌号码；- 医疗器械标识号和序列号；,- 传真号码；- 电子邮件；,- 统一资源定位符（Uniform ResourceLocator，URL）；- 社保号码；- IP 地址；- 病历编号；- 指纹等生物标记信息；- 医疗保险号码；- 正面全脸照片；- 银行账户号码；- 证件号码（身份证、驾照等）；- 任何其他可用于识别的编码或特征。,第一次服务前告知,此条款规定了在首次使用 PHI 之前，必须告知患者本人，告知内容包括使用和披露 PHI的方式，患者的权利以及 CE 的法律责任等。同时也规定了告知用语必须通俗易懂，电子形式告知的要求等。,使用前需患者授权同意的情况,此条款例举了两种情况，包括需要患者一般,授权同意和特殊授权同意。当 CE 为了制作内部的病历索引或者告知患者家人病情时，只需要患者一般授权同意，一般授权同意口头形式告知；而当 CE 使用患者的心理诊断记录或者利用患者 PHI 获取经济利益时，则需要患者进行特殊授权，且授权形式必须是书面通俗语言，对于具体内容如使用机构名称、使用目的、结束日期、患者有撤回同意权等。,使用前无需患者授权同意的情况,为患者治疗、支付和健康照顾相关的目的使用患者的 PHI 无需患者授权同意，即无需每次在治疗前都需要经过患者的授权同意，这也包括了患者转诊后，转诊后的医院可以不需要经过患者同意就获得患者的个人信息。此条款还例举了很多无需患者同意授权的情况，包括特定法律规定、政府特殊需要、劳工保险、健康监督和公共健康活动等。同时关于个人健康数据在科研领域的使用也可以在未经患者授权同意的条件下进行，,但前提是 CE 必须得到机构审查委员会（In-stitutional Review Board）等相关隐私委员会（privacy board）的同意。,特殊规定最小必要原则：CE 在向外提供 PHI 时，必 须 遵 循 最 小 必 要 原 则（MinimumNecessary），即能不披露尽量不披露，当然以治疗为目的的披露，向患者本,-,有限数据集（limited data sets）：有限数据集和避风港原则类似，是指删除了特定信息的 PHI，相较于避风港原则其要求更加宽松，可以允许保留生日，,地址中的市、州和邮政编码和其他相关的识别特征。1.4 受约束主体的义务 10HIPAA 中对其所约束的主体的具体要求主要,-9,-,脱敏数据：CE 可以将脱敏后的数据,（De-Identied Information）提供给第三方，脱敏必须符合专家决定原则或者避风港原则。专家决定原则是指由行业内的相关专家决定哪些信息必须去除并且提供书面分析结果；避风港原则则是指 18 项能够识别出个人的关,键信息必须要去除。,2018 年10月,第10期,促进健康医疗大数据规范化应用人的披露和依据患者意愿的披露例外。,集中在安全规则（Security Rule）中，安全,规则是针对以电子形式存储和传输的 PHI，HIPAA 将其定义为“受保护的电子健康信息”（Electronic Protected Health Information，ePHI）。HIPAA 的安全规则分为必选规则和,推荐规则，其中必选规则是 CE 和 BA 必须遵循的安全规则，共 13 条；推荐规则则是CE 和 BA 可以根据自身的情况决定是否采,纳，其中不采纳的规则需要说明理由和采取其他的保障措施。安全保护措施具体可以分为管理保护（Administrative Safeguards）、物理保护（Physical Safeguards）、技术保护（Technical Safeguards）三个方面。,-,管理保护（Administrative Safeguards）CE 必须遵循信息安全管理程序（Se-curity Management Process ，SMP），安全管理程序具体包括风险分析（riskanalysis）、 风 险 管 理（risk manage-,ment）、惩罚政策（sanction policy）,和信息系统日志审查（information sys-,tem activity review）（必选规则）；,-,CE 需在员工中指定一人担任信息安全官（security ocial）（必选规则）；,-,单位内部信息安全原则，包括对于可能接触到ePHI的员工进行授权和监督，内部全体员工接触 ePHI 资质审核，离职终止授权等（推荐规则）；信息接触管理原则，包括建立独立的健康照顾统计清算中心以防止部门内部的信息泄漏（必选规则），建立接触信息的不同权限管理和权限修改程序（推荐规则）；内部员工信息安全意识的培养和训练（推荐规则）；建立出现信息安全事件的管理程序（必选规则）；紧急事件应变计划，包括资料备份、灾害后信息复原、紧急模式下的信息安全运作（必选规则）和应变计划的定期回顾修改（推荐规则）；定期和环境变化后的信息安全的重新,评估（推荐规则）；,-,CE 和 BA 之间信息往来的协议要求（推荐规则）。物理保护（Physical Safeguards）,物理保护是对电子系统、设备和资料，设置保护机制，使其不受环境风险和未授权人的访问和攻击，主要包括以下：,-,场地的接触管制，具体分为场地信息安全计划、进出场地控制程序、维护修改记录和紧急事件下应变运作机制等（推荐规则）；可接触到 ePHI 的电脑设备的使用和信息安全管理程序（推荐规则）；,-,对于存有 ePHI 的电子设备处置和移动的要求，包括处置规范程序、重复利用前删除原有资料（必选规则）和设备的移动记录、移动前备份（推荐规则）。,技术保护（Technical Safeguards）,技术保护是指用软件等技术手段来保护,ePHI，包括身份认证程序、传输加密等，具体可以分为以下几个方面：,10,-,接触管制：根据信息接触管理相关政策决定不同人的权限后，以软件程序的方式执行每个人的权限，具体分为四个方面：- 个人账号（必要性）：应要求每人登入其姓名号编号，以确认并追踪其使用。- 紧急接触程序（必要性）：在紧急情况下，建立相关程序，开放可接触必要的受保护信息。- 自动注销（建议性）：超过预计的时间或一段期间没有动作后，让其自动注销。- 加密和解密（建议性）：对受保护信息执行加密和解密。监视控制：CE 应设计硬件、软件或程序机制，记录信息系统中使用受保护,2018 年10月,第10期,促进健康医疗大数据规范化应用,信息的活动；,-,完整性：建议以电子机制，来确认受保护信息没有被以未授权的方法修改或销毁。个人和机构认证：应有相关程序，以确认接触信息的个人和机构确实为本人；传输安全：CE 应采取相关安全措施，以避免未经授权的人，透过电子传输网络，而接触电子受保护健康信息。此条包括两条建议，包括采取相关措施确认传输时未被修改和必要时传输时采取加密机制。,欧盟尚未针对健康医疗信息的安全保护有专门的法律法规，相关条例都集中在针对一般个人数据保护的相关法律中。2016 年，欧盟通过了一般数据保护条例（GeneralData Protection Regulation，GDPR）， 该 条例于 2018 年 5 月 25 日生效，从个人数据和网络信息安全的角度，重塑了欧盟的组织机构处理隐私和数据保护的方式。,GDPR 对条例的适用地域范围做出了明确的规定，即设立于欧盟的数据处理机构和设立于欧盟外但处理欧盟数据所有人的数据的机构都收到该条例的约束。同时 GDPR 对于不同的适用主体分别作出了明确的定义，具体如下：,“控制者”（controller）是能单独或联合决定个人数据的处理目的和方式的自然人、法人、公共机构、行政机关或其他非法人组织。其中个人数据处理的目的和方式，以及控制者或控制者资格的具体标准由欧盟或其成员国的法律予以规定。“处理者”（processor）是指为控制者处理个人数据的自然人、法人、公,共机构、行政机关或其他非法人组织。,-,（,“接收者”（recipient）是指接收到被传递的个人数据的，无论其是否是第三方的自然人、法人、公共机构、行政机关或其他非法人组织。但是，政府因在欧盟或其成员国法律框架内特定调查接收到个人数据的，不得被视为“接收者”；政府处理这些数据应当根据数据处理的目的，遵循可适用的数据保护规则。“第三方” third party）是指数据主体、控制者、处理者以及在控制者或处理者直接授权处理个人数据者以外的自,然人、法人、公共机构、行政机关或其他非法人组织。2. 欧盟个人数据隐私安全法规2.2 受保护的数据,GDPR 中 定 义 的“ 个 人 数 据”（personaldata）是指任何指向一个已识别或可识别的自然人（数据主体，data subject）的信息。该可识别的自然人能够被直接或间接地识别，尤其是通过参照诸如姓名、身份证号码、定位数据、在线身份识别这类标识，或者是通过参照针对该自然人一个或多个如物理、生理、遗传、心理、经济、文化或社会身份,的要素。2.1 约束主体,同时，在 GDPR 的第九条中，对于特殊种类的 个 人 数 据（special categories of personaldata）的使用作出了单独的要求，特殊种类的个人数据包括“揭示种族或民族出身，政治观点、宗教或哲学信仰，工会成员的个人数据，以及以唯一识别自然人为目的的基因,数据、生物特征数据，健康、自然人的性生活或性取向的数据”。2.3 数据主体权利在数据主体权利中，GDPR 首先对数据主体行使自身权利的透明度、交流和模式作出了基础性的规定；其次，GDPR 规定了控制者获取个人数据时（包括从数据主体处获得、非从数据主体处获得）应当向数据主体提供,-11,2018 年10月,第10期,促进健康医疗大数据规范化应用,的信息，包括控制者身份和联系方式，个人信息处理的目的和法律基础，个人信息的种类等。,访问权（Right of access by the data sub-,ject）数据主体有权访问自己的个人数据，以及个人数据的当前处理状态、处理目的、处理时,间和正在处理的数据类型等。,数据主体有权要求控制者更正有关其自身的,不准确个人数据，且控制者不得无故拖延。,删除权 / 被遗忘权（Right to erasure/,right to be forgotten）,-,当用户依法撤回同意或数据控制者不,再有合法理由继续处理数据时，用户有权要求删除数据；,-,如果数据控制者在前述情况中将所涉个人数据进行了公开传播，则应该采取所有合理的方式通知处理此数据的其他数据控制者删除关于数据主体要求删除的个人数据的链接、复制。,但应注意，若所涉数据的处理为行使言论自由权、履行有关公共利益的法律义务、特定情况下的公共利益以及起诉或答辩所必需，则删除权的行使将受限制。,限制处理权（Right to restriction of pro-,cessing）,-,在数据主体对个人数据的准确性提出异议时，在数据控制者验证数据准确性期间有权限制该数据的处理 ;数据被非法处理的情形下，数据主体主动要求限制数据的使用而非删除该, 可携带权（Right to data portability）数据主体可以无障碍地将其个人数据从一个信息服务提供商转移至另一个信息服务提供,商，该信息的形式应有序、常用且可机读。 反对权（Right to object）,-,数据主体有权拒绝数据控制者基于公,共利益或数据控制者或第三方的合法,利益处理个人数据，除非存在强制性法律基础比数据主体的利益、权利和自由更重要；,-,数据主体有权拒绝为直接市场营销之目,的对其个人数据的处理。 更正权（Right to rectication）,自动化的个人自决权（Automated indi-,vidual decision-making，including proling）当数据主体的个人数据在自动化处理后对数,据主体产生了法律后果或类似重大影响时，,数据主体可以免于承担这种后果。,2.4 受约束主体的义务 个人数据处理基本原则,GDPR 首先规定了数据处理者对个人数据进行处理的原则，包括合法性、公平性和 透 明 性 原 则（lawfulness, fairness andtransparency）； 目 的 限 制 原 则（purposelimitation）；数据最小化原则（data minimi-zation）；准确性原则（accuracy）；限期储,存原则（storage limitation）；完整性和保密性原则（integrity and condentiality）。 控制者义务GDPR 对数据控制者的义务提出了要求，控,制者应该有适当的技术和措施，保障数据处,理时可能给数据主体带来的风险。规定一些,默认的保护措施，如数据需匿名化、最小化保存和默认设置为不可访问等。当数据出现共同控制者时，共同控制者相互之间应当明确各自的责任。同时，如需要代理，数据控制者和处理者要以书面的形式制定代理人。,数据时，控制者应限制该数据的处理。当数据进行处理之后，控制者应当保留数据,的处理记录，处理记录应至少包括以下几点：控制者以及相关人员的姓名及联系信息；处理的目的；数据主体的类别和个人数据的分12,