Personal Health Data Anonymization in China: The Legal Framework and Its Refinements

Personal Health Data Anonymization in China: The Legal Framework and Its Refinements

최근 중국정부는 개인에 대한 의료 및 건강 데이터의 익명화 방안에 대하여 다양한 방안을 내놓고 있다. 그럼에도 불구하고, 다양한 법률문제가 발생함에 따라 개인의료데이터의 수집부터 새로운 논의가 필요하다는 목소리가 높다. 중국은 개인의료데이터의 ‘수집-저장-이용-이동’ 등의 과정에 있어 데이터의 익명화를 위한 표준도 아직 부족한 상태이다. 더구나 데이터 익명화를 위한 ‘식별불가’ 및 ‘가역불가’의 기준이 너무 높아 의료데이터를 활용하는 기술분야에서는 어려움을 겪고 있는 것이 사실이다. 즉, 의료데이터의 효과적 사용과 개인정보보호가 서로 충돌하고 있어 입법을 통한 적절한 규제가 필요하다. 유럽의 경우는 의료데이터의 ‘위험관리’ 접근방식을 채택하고, 미국은 ‘비식별화’ 방식을 운영하고 있는데, 이는 현재 중국이 안고 있는 의료데이터 익명화 표준에 있어 좋은 시사점을 제공할 것이라 사료된다. 즉, ‘위험관리’ 접근 방식과 ‘비식별화’ 운영 방식을 최적화할 경우 익명화를 통한 개인정보보호를 개선하면서 규제의 불확실성을 줄일 수 있을 것이라 본다. 본 연구는 상기의 문제의식에 기초하여 기술 변화와 다양한 정보활용의 요구를 충족시키기 위해 중국의 의료데이터 익명화 표준에 대한 구체적 의견을 제시하였다. 이를 통해 개인정보를 보호함은 물론, 데이터 활용을 촉진할 수 있을 것이라 본다.

China has adopted a dual approach to managing the anonymization of personal health data. In the context of the increasing collection of personal health information, china's current legal standards and practices of data anonymization are inadequate for data protection and utilization. In particular, the requirements of “unidentifiable” and “irreversible” for anonymized data are too high to achieve, and cannot properly address the challenges posed by technological progress. There are also inherent conflicts between the standards of “unidentifiable” and “irreversible” with the guidelines of “de-identification”. These issues affect the effective use of health data and the protection of individual privacy in China. Through a comparative analysis of the EU's “risk management” approach and the US's “de-identification” method in data anonymization, this paper explores the possibility of optimizing the “risk management” approach and the “de-identification” operation to reduce the regulatory uncertainty while enhancing data anonymization protection. The paper proposes suggestions for revising and improving the requirements for personal health data anonymization in China. To better adapt to technological changes and the diverse needs for information use, this paper argues for the establishment of a dynamic legal framework that protects privacy and promotes data utilization, as well as draws on international practices to provide more flexible and adaptable legal responses.