壹、前言

2025年3月5日，歐盟官方公報（Official Journal）發布歐洲《健康資料空間規則》（Regulation on the European Health Data Space, EHDS），此規則已經在同年的3月25日正式生效。

EHDS的源頭可以追溯到歐洲資料戰略（The European Strategy for Data）。歐盟有感於現今的經濟環境中，資料是經濟成長、競爭力、創新、增加就業機會與社會持續進步的原料[1]，因此提出歐洲資料戰略（The European Strategy for Data），希冀建立規範促進資料在歐盟內部自由流動，同時確立明確且值得信賴的資料治理機制。

為了進一步落實這個願景，歐盟預計設置9個特定領域的共同資料空間[2]（Common European Data Spaces）。在這之中，EHDS被放置在最優先的地位[3]。

EHDS的驅動力之一是允許歐盟公民在各成員國之間自由的流通自己的電子病歷（Electronic Health Record, EHR）。由於這項新的規則，歐盟公民預期很快可以在整個歐盟境內跨成員國使用醫療健保服務，並可以讓醫師在需要時安全地近用他們的資料。

EHDS 的另一個重要趨力是更好地制定衛生系統政策、為未來潛在的流行疫病做好準備並推動科學突破與醫療創新，克服以往歐盟《一般資料保護規則》（General Data Protection Regulation , GDPR）框架下各國健康資料利用的立法與技術格式不一招致的碎片化障礙，因此擘劃了統一的二次利用的健康資料共享框架[4]（health-specific data sharing framework），建立明確規則、通用標準與實務、基礎設施與治理框架。

隨著EHDS的生效，代表歐盟成員國在近用、共享和二次利用健康資料方面邁出了重要一步。然而，這個資料的共享框架也對某些利害關係人帶來義務與負擔。

貳、獲取研究與創新所需健康資料的新途徑是什麼？

EHDS引進了一種中介類型資料近用框架。在這個近用框架中，3個核心角色分別是：資料持有者（Health Data Holder）、負責評估健康資料近用請求和申請的國家健康資料近用機構（Health Data Access Body, HDAB）以及健康資料申請者（Health Data Applicant）。

一、資料持有者的資料分享義務

EHDS近用框架下的電子健康資料由HDAB擔任資料的中介者。HDAB由成員國指定，可以是新成立的機構也可以由固有的公部門機構承擔此角色[5]，其核心功能是審核健康資料近用申請與維運一個安全的資料處理環境[6]，本身並不儲存健康資料，自然也不會共享自己的健康資料。

真正承擔資料共享的義務是資料持有者。當HDAB授予健康資料申請者資料近用的權限時，健康資料持有者必須應HDAB的資料共享要求，原則上須在三個月內向HDAB共享該資料[7]。

HDAB在收到資料後，以提供匿名統計格式（anonymized statistical format）的資料為原則[8]。僅在資料申請者特別說明必要性並經核准，才可能在安全處理環境中以假名格式（pseudonymized format）提供資料[9]。

EHDS要求健康資料持有者必須至少每年一次向其所在國家的 HDAB 告知其持有的資料集，並確保國家資料集目錄中的資料集描述準確且最新；而HDAB 將以標準化、機器可讀的「資料集目錄」形式公開其從資料持有者收到的資訊[10]。

資料持有者的概念非常廣泛，包括在醫療保健領域運作、開發健康產品或服務或進行健康相關研究的任何法人，以及公部門、機構和團體[11]。雖然EHDS原則豁免自然人與微型企業的資料共享義務[12]，不過，EHDS授權歐盟成員國可以將健康資料持有者的義務擴展至自然人和微型企業[13]。

二、取得健康資料並進行二次利用的可能性

(一) 兩種近用健康資料的途徑

得申請近用健康資料的申請者（Health Data Applicant），可以是歐盟（或滿足某些標準的第三國）的法人或自然人。HDAB將依據申請的預期用途、目的、防止資料濫用的保障措施以及如何遵守隱私相關法律的情況等[14]，並確認資料主體是否有例外選擇退出（Opt-Out）的情況[15]予以審核。

EHDS 提供2個不同的資料近用路徑，這兩個路徑在資料近用格式（匿名/假名格式）和審核時間方面有所不同。

1.    健康資料請求（Health Data Request）：

(1)    資料格式：匿名統計格式

(2)    審核時間：6個月

(3)    結果：HDAB給予匿名統計格式資料

2.    健康資料應用（Health Data Application）：

(1)    資料格式：以匿名或假名格式（僅在說明必要的情況下才允許後者）

(2)    審核時間：3至6個月

(3)    結果：HDAB 將頒發有效期最長為 10 年的資料許可證（可再延長 10 年），申請者（使用者）可於安全處理環境中處理資料

(二) 允許與受禁止的利用目的

EHDS 列出了允許二次使用健康資料的目的清單[16]。允許目的相當廣泛，既有政策性的，也有研究性的，涵蓋與健康相關的科學研究[17]。允許目的也包含產品和服務的開發和創新活動，以及訓練、測試和評估演算法、AI 系統和數位健康應用程式。

EHDS 也禁止某些二次使用，例如將資料用於行銷目的或做出對個人或族群有害的決定[18]。此外，在取得健康資料近用權限時，使用者被禁止試圖重新識別個人或向資料授權中未提及的第三方提供近用權限[19]。

參、結語：二次利用帶來的挑戰、際遇以及下一步

針對二次利用的持有者分享義務，EHDS有考量到對持有者的衝擊，因此分4~6年階段性實施。大部分的健康資料的分享義務（如電子病歷資料）將於2029年3月份實施；2031年3月份則進一步擴張到先前暫緩實施的資料類別（人類遺傳、分子或臨床試驗等資料）。

在廣泛的資料持有者概念下，醫療院所、生命科學、製藥與醫療器材等領域的公司、組織會成為健康資料持有者，這些領域的企業、組織會需要提前做好與同領域的競爭對手乃至於其他第三方的資料分享的應對策略。同時，企業、組織會需要堅實的資料治理制度與足夠的技術能力來回應HDAB的資料分享請求。

相對於持有者的分享義務面相，研究人員、醫療人員、政策制定者和產業作為申請者的視角觀察EHDS時，意味著有機會更好的釋放健康資料的潛力。EHDS二次利用框架允許近用各成員國甚至跨成員國的大規模健康資料，這些資料可以推動科學突破、醫療創新和應用研究。藉此，可以加速醫療創新、支援診斷或治療建議、精進疾病預防政策。

EHDS的實施必然會帶來一些為解決的問題跟疑惑，未來執委會將會進一步制定實施法規或指引。有關於本篇主軸的二次利用議題，相關指引預計於2025年秋季到2026年陸續發布並開放諮詢[20]，讀者們有興趣可以後續留意。