目录
根据2026年5月26日的SAN-2026-008号决定,CNIL对IQVIA OPERATIONS FRANCE处以500万欧元的罚款,该决定于2026年5月28日公开(限制委员会于2026年3月26日举行了会议)。该程序针对美国IQVIA集团的子公司运营的两个健康数据仓库:LRX,于2018年获批,由约14,000家法国药房提供数据;以及EMR,于2021年获批,由数千名医生提供数据。根据裁决,处理的数据涉及数千万人的信息——出生年份、性别、处方、诊断、症状、过敏、社会职业元素和唯一的护理路径标识符。根据CNIL的官方声明,监管机构同时命令在六个月内进行合规整改,否则将每天罚款10,000欧元。该公司保留上诉的权利。罚款仍低于GDPR第83条规定的全球合并年收入的4%上限。
超越IQVIA的影响:102个运营商共享相同的架构
截至2025年9月1日,esante.gouv.fr门户网站列出了由CNIL授权的125个健康数据仓库,由102个不同的实体管理——包括制药出版商、公共研究机构、保险平台、协议医院结构。所有这些都基于相同的技术模块:即在开放到二次使用前对患者数据进行假名化。CNIL对IQVIA的裁决——对于持有密钥的实体,假名化不等于匿名化——针对的是一种架构特性,而不是案件的特殊性。通过其专门的项目招标,CNIL 已经将健康数据作为其理论的明确重点。2026年5月26日的裁决将这一理论基础扩展到法律资格本身,结构性地将其他101个运营商暴露在同样的审查下,作为持有重新识别密钥的初始控制者——前提是每个设备的技术架构,涉及制药产业、保险或公共研究。
假名化:被初始控制者资格追赶的架构模块
对于运营一个数据仓库的DSI而言,假名化是一个技术层:一边是加密映射表,另一边是派生数据集。IQVIA的辩护基于这种分离,并依靠2025年9月4日的CJUE C-413/23 P EDPS对SRB判决——EDPS是欧洲数据保护监督机构,而SRB是单一解决方案委员会,即银行监管机构,其参考制度(2018/1725号条例,适用于欧盟机构的GDPR的制度对应)在此被相同地应用。卢森堡法院在此判定,假名化是相对于观察者的状态:只要实体保留重新识别的密钥,数据就仍然具有个人性质——CNIL通过GDPR第4(1)和第4(5)条的平行定义将此资格转化为GDPR。“假名化措施仅仅降低了关联风险……但未能消除这些风险”,限制委员会指出。对于数据仓库的实施者而言,架构后果是明确的:只要映射表在其操作范围内,个人数据的制度适用于整个系统,而不仅仅是仍然包含直接标识符的区域。除了这一资格基础外,还增加了五个技术和程序上的缺陷:对有关人员的信息不足,实际上无效的反对权,EMR数据仓库上缺乏多因素认证,连接日志未定期分析,不准确的信息通知——此外还发现没有一家受控药房通知其客户数据传输。SRB判决明确指出的架构细微差别,CNIL的决定并未解决:如果接收者没有合理的手段将数据与可识别个人联系起来,那么对于他们来说,假名化数据不构成个人数据。换句话说,同一链条的两个组件可能根据其是否访问密钥而适用于不同的制度。处罚针对IQVIA作为初始控制者;它并不预先判断对没有重新识别表访问权限的第三方提取的制度。
两个监管前景定义了技术团队的准备窗口
对于今天运营一个数据仓库的DSI或CTO而言,第三方接收者的状态仍悬而未决,需等待两个期限,这两个期限界定了操作准备窗口。2025年2月11日的EU 2025/327号条例设立了欧洲健康数据空间,规定其二次使用部分于2029年3月生效,该部分将具体组织第三方对假名化数据的技术访问条件——学术研究、制药工业、公共当局。ActuIA在文本谈判阶段详细介绍了未来欧洲健康数据空间的五个经典用例。在此部分适用之前,每个外流——提取、第三方API、项目共享——的制度仍需在GDPR基础上结合SRB判决逐案裁定。另一个前景是理论上的:欧洲数据保护委员会(EDPB)于2025年12月12日组织了一个利益相关方活动,附带一份讨论文件,旨在将SRB的贡献整合到其关于假名化的01/2025指导方针中。SAN-2026-008号裁决确定了对持有密钥的处理责任方适用的制度;对于不访问密钥的第三方的流动,EDPB 01/2025指导方针——其公众咨询于2025年底结束——将提供答案,其最终化过程遵循12至18个月的常规时间表,即最早在2027年。