引言
欧盟法规 (EU) 2016/679《通用数据保护条例(GDPR)》于 2018 年 5 月 25 日起全面实施 (p. 1)。欧盟法规 (EU) 2023/2854《数据法案(Data Act)》大部分条款将于 2025 年 9 月 12 日起全面实施 (p. 1)。两者均是欧盟直接适用的条例,在全欧盟境内统一生效 (p. 1)。针对医疗器械行业从业者,这两部法规均强制适用于在欧盟上市、使用的全品类医疗器械,与 MDR/IVDR 法规形成了绑定的叠加合规义务 (p. 1)。了解其关键协同关系与合规逻辑,是产品准入欧盟、规避高额处罚的核心前提 (p. 2)。
⭐两大法规核心区别与联系
GDPR 是欧盟个人数据隐私保护的“基本法”,核心是限制数据滥用、保障自然人隐私权 (p. 1)。EU Data Act 则是欧盟数据经济的“市场规则法”,核心是打破数据垄断、规范全类型数据的访问与流通 (p. 1)。
⬇️针对医疗器械行业的合规要点
1. GDPR 核心合规义务
针对医疗器械从业者,处理设备采集、存储、处理的患者个人健康数据(GDPR 特殊类别个人数据),必须履行以下义务 (p. 3):
- 明确数据处理的合法性基础,完成 DPIA(数据保护影响评估)(p. 3)
- 保障患者(数据主体)的访问、更正、删除等核心权利 (p. 3)。
- 落实数据加密、访问控制、泄露应急等安全措施 (p. 3)。
2. EU Data Act 核心合规义务
针对医疗器械从业者,对于智能/联网医疗器械(如电子内窥镜图像处理器、远程监护设备),必须履行以下义务 (p. 3):
- 产品设计阶段须开放标准化数据接口,保障用户(医院、医疗机构)能免费、便捷获取设备生成的全量数据 (p. 3)。
- 不得通过技术或合同条款,限制用户将数据共享给第三方(如维修机构、科研平台) (p. 3)。
- 配套的云服务、软件平台必须满足数据自由切换要求,消除厂商锁定 (p. 3)。
- 在公共卫生危机场景下,需按要求向欧盟公共部门共享相关非个人数据 (p. 4)。
✅GDPR 为设备制造商处理医疗数据的方式和目的划定了红线,而 Data Act 则要求制造商为谁能访问和使用这些数据(特别是用户及其指定的第三方)打开大门 (p. 4)。
✅制造商的合规工作,必须在这两种逻辑中找到平衡,构建协调一致的风险管理框架 (p. 4)。
✅Everbiz 公司愿意为出口欧盟的设备制造商提供针对性解读和专业知识分享。
世也认证服务(上海)有限公司(EVERBIZ)是一家专业基于医疗产品检测、认证、咨询、培训的合规专业服务平台,致力于帮助海内外领先的医疗研发型企业提升合规技能和竞争力的公司。公司在中国上海、香港、德国慕尼黑、奥地利萨尔斯堡、泰国设有办公室和分支机构。涉及的合规产品类别有近25个行业(如医疗器械、 新能源、家电、照明、工具、实验室仪器、机械、体外诊断、无线产品、试剂等)。
上海:上海市宝山区陆翔路111弄6号楼705室德国:Landsberger Str.155 80687 München, Germany奥地利:Innsbrucker Bundesstraße 136/3 5020 Salzburg, Austria香港:Room A1,11/F Winner Building,36 Man Yue Street,Hung Hom,Kowloon,Hong Kong泰国:No.850 Soi Lat Krabang 30/5,Lat Krabang Subdistrict,Bangkok 10520
