法国CNIL就医疗数据仓库管理违规对某医疗数据分析企业处以500万欧元罚款

　　【预警资讯】

　　2026年5月26日，法国国家信息与自由委员会（CNIL）限制委员会决定对某医疗健康数据分析企业旗下法国子公司处以500万欧元行政罚款，并签发整改令。本案核心违规事实：该公司经CNIL授权建立两个医疗健康数据仓库（汇集约1.4万家药房和数千名医生的患者数据），在调查中声称数据已完全匿名，无需适用《通用数据保护条例》（GDPR）。但CNIL认定，上述数据仅为“假名化处理”而非真正匿名——通过合理可用手段仍可重新识别当事人身份，因此必须完整适用GDPR数据保护义务。此外，该公司使用的药店端管理软件存在隐私设计缺陷：即便患者明确拒绝提供数据，软件仍自动将相关信息传输至该公司，违反GDPR第25条隐私设计义务。（资讯分类：境外，信息传输、软件和信息技术服务业，数据和隐私保护；资讯来源：法国国家信息与自由委员会官方网站）

　　【要点提示】

　　建议在欧洲市场提供数字医疗、健康管理等服务的相关企业关注如下要点：一是“假名化≠匿名”的监管红线已被CNIL执法明确确认——只要通过合理手段存在重新识别个人身份的可能，数据就是“个人数据”而非“匿名数据”，须完整适用GDPR义务。二是对于向欧洲药店、医院、诊所等医疗机构提供IT系统或数据服务的企业，须核查服务合同中的数据收集逻辑，确保患者数据的收集严格基于合法依据，并在产品设计阶段落实隐私设计原则，防止因产品功能缺陷被认定违反GDPR。三是处理欧盟境内医疗健康数据的企业，必须完成数据保护影响评估，并在业务合规文件中明确数据处理的特定法律依据，不得以“数据已假名化”为由跳过相关合规程序。

　　2026年6月17日  第162期