关键要点
- 医疗技术和数字医学领域的监管继续演变,欧盟的横向和特定行业法规构成了多层次的监管框架。
- 截至目前,爱尔兰政府尚未将《NIS2指令》转化为国内法,且尚未完成《人工智能法案》和《数据法案》相关立法的实施。
- 无论使用何种技术,遵守《通用数据保护条例》(GDPR)仍是处理个人数据技术的基本前提。
处理个人数据:新技术的合规挑战
各行业的组织普遍已熟悉《通用数据保护条例》(GDPR),并建立了基于爱尔兰和欧洲法院及监管机构大量判例和指导的合规框架。然而,随着人工智能(AI)、区块链(分布式账本技术)、机器人技术和互联设备等新兴快速变化技术的应用,GDPR的适用如今与其他技术使用的监管义务并存。特别是在生命科学领域,随着人工智能、医疗器械和其他数据、可穿戴设备的使用增加,这些技术必须在设计和操作上默认符合数据保护法律。欧洲数据保护委员会(EDPB)2024-2025年的计划包括发布关于新技术中数据保护合规性的指南,涵盖生成式人工智能的数据抓取、遥测和诊断数据以及区块链(已发布)。
导航《人工智能法案》
《人工智能法案》于2024年8月1日生效,其许多条款将在未来几年分阶段实施。该法案被誉为医疗保健领域的变革性法规,其在公共医疗领域的应用案例已在爱尔兰政府2025年5月发布的《公共服务中负责任使用人工智能指南》中列出。这些指南旨在赋权公务员在服务交付中使用人工智能,同时揭示了爱尔兰政府在公共服务中采用人工智能的战略。在欧盟层面,委员会需根据《人工智能法案》第96条制定实际实施指南。迄今为止,已发布了关于禁止的人工智能实践和人工智能系统定义的指南,更多内容可参阅我们的简报《欧盟委员会关于禁止AI实践的指南》。《通用人工智能行为准则》的最终版本预计将于2025年8月发布。对于高风险分类及其他立法领域的进一步指导仍在预期中。寻求AI系统造成损害的非合同民事责任规则法律确定性的组织正在密切关注拟议的《人工智能责任指令》的状态。在委员会的2025年工作计划中,委员会宣布有意撤回该提案,最终决定将明确是否提出新提案或采取替代方法。
数据监管——物联网(IoT)与健康数据
在个人数据处理的监管框架基础上,欧盟立法者继续关注更广泛的数据,例如互联设备数据、健康数据和金融数据,特别是如何从中提取社会价值。欧盟在《数据法案》中制定了数据访问、共享和使用的横向规则,并在《欧洲健康数据空间条例》(EHDS)中制定了健康部门的具体规则,以赋予个人对其健康数据的控制权,并促进健康数据在研究、创新、政策和监管活动中的再利用。有关《数据法案》的更多信息,请收听我们的播客。
与GDPR的交互
《EHDS》和《数据法案》均包含与GDPR互补的条款,包括《数据法案》中关于物联网对象数据的可携带权,以及《EHDS》中的访问、可携带、更正和退出权。数据保护委员会在这些法规的运作中发挥着作用,因为数据保护机构有权执行《EHDS》和《数据法案》中直接源自GDPR的义务。此外,监管机构可根据《GDPR》第83(5)条规定的金额范围,对违反《EHDS》第3、5至10条和第71条以及《数据法案》第二、三、五章义务的行为处以行政罚款。
数据法案
《数据法案》中的广泛措施中,涉及互联产品及相关服务的内容尤其与生命科学领域相关。互联产品是指能够通过电子通信服务、物理连接或设备访问收集、生成或传输与其使用或环境相关的数据的产品。互联产品的示例包括智能手表、医疗和健康设备以及任何带有传感器的设备。与GDPR类似,《数据法案》具有域外效力。它适用于在欧盟内外制造、提供和持有数据的制造商、提供商和数据持有人,只要他们在欧盟市场销售互联产品或相关服务。然而,互联产品及相关服务用户的权利仅适用于欧盟用户。
网络安全与韧性:聚焦医疗行业
鉴于医疗行业是网络攻击的主要目标,其在欧盟关键行业中遭遇的事件多于其他行业,欧盟委员会于2025年1月15日通过了《医院和医疗服务提供者网络安全行动计划》。该计划重点关注改善医疗行业的威胁检测、准备和危机响应能力,将为医院和医疗服务提供者提供量身定制的指导、工具、服务和培训。它建立在加强关键基础设施网络安全的更广泛的欧盟框架之上,是首个全面部署欧盟网络安全措施的行业特定计划。
受《欧盟网络安全高水平共同措施指令》(NIS2指令)和《关键实体韧性指令》(CER指令)约束的组织,包括医疗行业的组织,应确保其政策和程序更新以符合新的立法要求(见下文)。
NIS2指令
医疗行业被指定为NIS2指令下的高关键性行业,涵盖了中大型医疗服务提供者、实验室、研发机构和制造商。数字健康领域的云服务提供商也应考虑是否属于该指令的适用范围。我们在此播客中详细介绍了《网络与信息安全(NIS2)指令》。
截至目前,相关行业的组织应已确定其活动是否属于NIS2指令的适用范围。如果是,这些实体将根据NIS2指令中关于人员数量和营业额/资产负债表规模的参数,确定其属于“重要”实体还是“关键”实体,主要区别在于这些实体所受监管的程度。
利益相关方应密切关注爱尔兰实施该指令的《国家网络安全法案》的发布。截至目前,爱尔兰政府已发布了《2024年国家网络安全法案总纲》以转化NIS2指令,但尚未将其以《网络安全法案》的形式引入立法程序。该立法需指定某些行业监管机构为实施NIS2的主管当局;设立国家级违法行为和罚款(可能高达全球年度总营业额的1.4%或700万欧元,或2%或1000万欧元);建立受拟议立法约束的实体登记册;并为处罚(包括管理层的个人责任)奠定基础。
CER指令
基于国家风险评估,医疗行业内的关键实体(如分销、制造、医疗服务提供和医疗服务)将于2026年7月17日前由相关主管当局(HIQA、HPRA和卫生部长)识别。国防部将制定《关键实体韧性国家战略》,预计于2026年第一季度发布。这将涵盖治理框架、识别标准、具体义务和韧性增强措施。爱尔兰已在《2024年欧盟(关键实体韧性)条例》中转化了CER指令。
生命科学领域的某些制造商和开发者也在准备应对《网络韧性法案》,该法案大部分条款自2027年12月11日起适用,部分特定条款自2026年中期起适用。适用范围内的产品包括例如具有健康监测(如追踪)功能的个人可穿戴产品。值得注意的是,《网络韧性法案》明确排除了受欧盟医疗器械法规约束的产品的数字元素。
日期提示:
《网络韧性法案》大部分条款自2027年12月11日起适用。
下一步是什么?
机器人技术与医疗
2025年2月26日,欧洲经济和社会委员会通过了一项意见,讨论了机器人技术和元宇宙在医疗中的整合。其首要建议是为医疗中的机器人技术和元宇宙制定全面的监管框架,特别是解决故障责任问题。报告还强调了强大的数据隐私和网络安全保护的需求。随着技术的发展,我们预计该领域会有更多活动。
数据法案
该法规于2024年1月生效,并将从2025年9月12日起适用。从2026年9月12日起,受《数据法案》约束的医疗器械设计必须允许这些产品和服务的用户直接访问用户生成的数据。用户还将拥有在提供商之间共享和传输数据的权利,以提高欧盟内部的互操作性。
《数据法案》直接适用于欧盟成员国,尽管需要补充国内立法来识别相关监管机构/机构,确定处罚的类型和水平,并详细说明投诉机制的程序。利益相关方应关注《欧盟数据条例法案》的发布,这将表明政府打算如何实施这些方面。
人工智能
《人工智能监管法案》(一旦颁布)旨在使《人工智能法案》在爱尔兰完全生效。它将指定负责实施和执行法规的国家主管当局,并规定不合规的处罚。
2025年5月,欧洲药品管理局(EMA)和药品管理局负责人(HMA)发布了一份联合工作计划《2028年药品监管中的数据与人工智能》。它概述了欧洲药品监管网络计划如何利用大量监管和健康数据以及新工具,鼓励研究、创新,并支持监管决策,以更快地为患者提供更好的药物。值得注意的是,除了数据路线图外,它还提供了协调框架,以应对新的立法举措,包括药品立法、EHDS条例、《可互操作欧洲法案》和《人工智能法案》。
最后,欧盟人工智能委员会和医疗器械协调小组刚刚发布了联合指南(PDF,463 KB),明确了医疗器械立法与《人工智能法案》之间的交互关系。
本文包含一般性发展摘要,并非完整或权威的法律声明。如有需要,请获取具体的法律建议。
(全文结束)
