GDPR解读与国内医疗数据安全管理借鉴.pdfVIP

GDPR解读 及国内医疗数据安全管理借鉴 GDPR基本情况 欧盟通用数据保护条例（General Data Protection Regulation，简称GDPR）最初于2012年提出，于2015 主旨和目标 年12月通过欧盟理事会审议，并于2018年5月25日正式 生效。 《条例》旨在实现在 GDPR作为统一的数据保护法，其前身是1995年的 个人数据处理方面对个人 《数据保护指令》95/46/EC。为应对数字技术带来的各 的保护，以及保障个人数 项挑战，全面提升了对个人数据的保护力度，GDPR对 据的自由流动。 1995年的《欧盟数据保护指令》进行了大刀阔斧的改革， 旨在将个人数据保护深度嵌入组织运营。 在欧盟境内，个人数 GDPR共有99个条文，全文共263页。GDPR的保护 据的自由流动，不应因为 对象是个人数据处理和流通过程中所涉及到的自然人的 个人数据保护方面的原因， 基本权利与自由，并强化个人对其相关个人数据的自决 而受到限制和禁止。 权。同时，GDPR的立法者也希望通过欧盟统一立法， 促进个人数据在欧盟境内（28个成员国）的自由流通， 达到保护与促进的价值平衡。 GDPR——以风险为基础保护框架 Risk-based approach: the GDPR avoids a burdensome, one-size-fits-all obligation and instead tailors obligations to the respective risks. GDPR中的基本概念 个人数据：与已识别出（identified）或可被识别（identifiable）的自然人相关的任何信息；可被识别的自然人指， 借助标识符，例如姓名、识别号码、位置数据、网上标识符，或借助与该个人生理、心理、基因、精神、经济、文化或社 会身份特定相关的一个或多个因素，可被直接或间接识别出的个人。 乘车记录，如乘车的路径、 品牌、时间等属于 手机号码属于典型的 PII personal information personal identifiable ，或个人活动信息 information • 单条乘车记录或一个路径并不能 够关联到个人，但多条信息可以 • 单纯的PII几乎无商业价 将该信息所关联的个人从人群中 值，没有太多值得分析 独立出来，至于这个人是谁并不 的价值，只是一个连接 是最重要的。 到个人的路径。 PI • 个人活动信息体现了更多的商业 • Link