当前，人工智能正加速向医疗健康领域渗透，从药物研发到临床试验，从AI辅助诊断到健康数据的二次利用，健康数据日益成为全球AI竞争中的核心资产。然而，围绕健康数据的治理规则，全球主要经济体之间正在形成深刻的制度分化。美国倾向于开放式的全球数据池模式，而欧盟则正朝着以基本权利保护为导向的数据本地化方向演进。这一分化不仅影响制药企业的研发管线，也将深刻塑造全球AI治理的未来格局。报告选自美国大西洋理事会网络治国方略计划于2026年4月发布的政策简报《探索欧盟人工智能与健康数据框架》，它将欧盟GDPR、人工智能法案与欧洲健康数据空间条例三套法律体系纳入统一的分析框架，而非将其作为彼此独立的法律工具分别讨论。对于关注欧盟AI治理路径的研究者与业界从业者而言，这篇报告提供了一个理解欧盟监管逻辑的综合性框架。

报告聚焦欧盟在人工智能与健康数据领域不断演进的监管框架，重点分析《通用数据保护条例》（GDPR）、《人工智能法案》（AI Act）与《欧洲健康数据空间条例》（EHDS）三者如何共同重塑企业获取和使用健康数据用于AI开发的规则体系。报告指出，欧盟的监管逻辑建立在将个人数据保护视为基本权利的原则之上，要求第三国在获取欧盟数据时提供“实质等效”的保护水平。在此基础上，人工智能法案将健康领域的AI应用定义为“高风险”活动，而欧洲健康数据空间条例则进一步将数据的二次使用纳入公共或受监督的基础设施之中。

报告着重揭示了欧盟以权利为本、数据本地化的监管路径与美国主导的开放全球池化数据集模式之间日益加剧的张力，指出将欧洲数据传输至欧盟外部已构成法律责任风险，欧盟正转向联邦式数据基础设施模式，要求高风险健康数据与非欧盟数据分离存储或在本地安全环境中处理。这一变革将在未来五年内深刻重塑制药研发管线与跨大西洋数据流动格局。报告还为在欧盟运营的企业提出了三项政策建议：采纳“监管内嵌设计”原则、转向联邦式数据访问架构以及将监管合规重新定位为战略性资产。

图片来源：报告原文

欧盟当前正处于数据使用、数字监管与AI驱动型经济增长之间的关键转折点。推动这一变化的有两大主要力量。一方面，冯德莱恩（Ursula von der Leyen）2024年连任欧委会主席，其所属的中右翼欧洲人民党在数字与经济政策中取得主导地位，强调精简监管、促进产业发展。另一方面，意大利前总理德拉吉（Mario Draghi）在于2024年底发布的欧盟竞争力报告指出，过于复杂和繁重的监管实践是欧盟经济竞争力下滑的重要原因之一。这两股政策力量共同推动了欧盟产业战略的根本性重新评估，也为寻求获取欧盟数据的产业同时带来了机遇与摩擦。

然而，这种产业导向的政策转向并未动摇欧盟既有的数字监管体系。以GDPR、人工智能法案和欧洲健康数据空间条例为支柱的立法框架依然将健康领域的AI应用定义为高风险、具有系统性重要性的活动，要求对数据保护、透明度和问责机制提供强制性保障。与此同时，欧盟高层领导人也在鼓励产业更好地利用欧洲丰富的个人与非个人数据促进AI相关的经济增长。欧委会于2025年底发布了《数字综合监管提案》（Digital Omnibus Regulation Proposal），旨在降低欧盟数据保护与AI立法的监管负担以促进经济发展，但该提案仍须经欧洲议会和欧盟理事会审议通过，谈判可能延续至2026年夏末。

地缘政治紧张局势进一步加剧了上述复杂性，尤其是跨大西洋关系的不确定性。对欧美数据流动可持续性的疑虑，以及数字主权在欧盟政策议程中的上升，使得围绕人工智能与健康数据的规则协调变得更加困难。美欧在这些议题上的方法存在根本差异，短期内能否找到弥合分歧的路径，仍不明朗。

图片来源：AM System.com

欧盟的跨境数据政策建立在一个不可撼动的法理共识之上：《欧盟基本权利宪章》明确将个人数据保护界定为基本人权。当评估第三方司法管辖区是否有权访问欧洲数据（尤其是医疗健康等特殊类别数据）时，欧盟的唯一通行标准是“实质等效”保护原则。在实践中，这意味着第三国必须保证欧盟公民的数据在其管辖范围内获得与《欧盟基本权利宪章》及其保护规则实质相同的保护水平。

《通用数据保护条例》（GDPR）是欧盟数据隐私体制的基石，对数据的处理和国际传输施加了严格条件，已使欧盟数据保护规则成为全球在线隐私规则的事实标准。该条例第九条明确对基因、生物识别及健康数据等敏感信息施加了最高级别的安全壁垒。欧盟认为此类数据天然带有极高的系统性风险，必须引入额外的监管以防范潜在伤害。

《欧盟人工智能法案》将这种防御性逻辑平移到了算法系统。根据该法案第六条，几乎所有涉及医疗和制药的 AI 应用均被划入“高风险”象限。这意味着，几乎所有与健康和制药相关的AI应用都将落入高风险类别，不仅AI输出本身需要监管，训练数据的质量、来源、代表性以及偏差缓解和文档要求都需纳入监管范围。

《欧洲健康数据空间条例》（EHDS）最终完成了这一监管闭环。它从根本上颠覆了传统的商业模式，将高风险数据的“跨境转移”强制扭转为在欧盟受控基础设施内的“本地安全访问”。研究人员不再获得原始全球数据集，而是通过安全处理环境访问数据，外部AI系统必须先证明其符合GDPR和AI法案的要求，然后才能获取特殊类别数据的访问权。

图片来源：欧洲公共卫生协会（EUPHA）

GDPR、AI法案和EHDS的三重监管格局，植根于欧盟的历史与监管传统，尤其是基本权利保护与成员国市场一体化之间的张力。在数据保护政策空间，欧盟法院已多次表现出推翻与第三国之间跨境数据流动协议的显著意愿。最具标志性的案例是“Schrems I”和“Schrems II”案，奥地利隐私活动家成功推翻了跨大西洋数据流动协议，欧盟最高法院的法官认定美国未能向欧盟公民提供“实质等效”的数据保护保障。为回应这些裁决，美国向欧盟公民提供了新的救济机制，形成了《欧美数据隐私框架》，但该框架目前正在欧盟法院接受新一轮平等保护主张的测试。

与美国行业监管机构在执法中拥有较大自由裁量权不同，欧盟监管机构主要在司法可执行的义务下运作，如果无法确保充分保护，监管机构有法律义务暂停跨境数据传输。这种内嵌于法律中的义务导致了一种预防性的、事前式的执法路径，监管机构在实施具体立法时往往采取保守立场，尤其是在处理健康领域等特殊类别数据时。这种监管体制与欧盟对基本权利保护的重视相结合，为健康和制药领域的AI应用构建了一套严格的政府监督体系

尽管拥有庞大的消费市场和经济活力，欧盟在科技产业方面与全球第一梯队国家相比仍有明显差距。欧洲缺乏硅谷式的科技巨头，这一现实使得欧盟经济政策制定者长期以来将技术重点放在产业应用以及健康和能源等受监管行业上。欧盟单一数字市场运行不畅是其缺乏消费类科技企业的主要原因；而持续存在的监管瓶颈，包括各国独立的劳动力市场和内向型资本市场，则进一步加剧了欧盟与行业巨头的差距。

欧盟消费类科技产业的缺失产生了两个重要的政策后果。其一，大型国际企业在遵守欧盟数字监管方面比较小的欧洲竞争对手更具优势，这导致许多非欧盟企业凭借合规能力维护了其在欧盟的市场地位。其二，欧盟数字监管政策转向了使技术与欧洲优势行业的现有监管体系兼容。人工智能法案的基于风险的监管方法、事前控制以及明确的责任和问责要求，更类似于现有的制药和医疗器械监管，而非软件行业监管。

图片来源：世界经济论坛（weforum.org）

欧盟政策制定者试图围绕人工智能建立符合现有社会与政治规范的治理结构。值得注意的是，欧盟是第一个通过综合性AI立法的民主体，希望借“布鲁塞尔效应”塑造全球新兴政策。总体而言，欧盟官员将AI系统视为潜在的风险放大器而非纯粹的中性工具，其风险不仅涉及对欧盟基本权利的削弱，还包括规模偏差、错误以及通过不透明模型产生的歧视。

在数据层面，欧盟同样担心，如果涵盖全人群的敏感信息流向未能提供等效隐私保护的境外辖区，则欧盟的底层价值体系将被彻底击穿。在实践中，欧盟的AI治理基于这样一种理念：任何潜在风险都必须在部署前得到解决，尤其是对于涉及健康数据的高风险应用场景。与其他国家将AI政策作为独立新兴领域对待的司法管辖区不同，欧盟的方法是将AI深度内化嵌入现有的政策领域和监管体制，如数据保护、产品安全和市场竞争。

健康数据日益成为一种极具战略价值的地缘政治和经济资产。在此背景下，美欧双方采取了截然不同的模式。美国推行相对开放的数据使用策略，依赖跨境数据流动驱动AI增长；欧盟则正向数据本地化实践和欧洲内部AI开发转型，在封闭基础设施内测试和使用训练算法。美国青睐健康数据的全球池化，以获得显著的成本效率和更快的创新迭代；欧盟则偏好更有针对性的方法，采用联邦式、本地化的基础设施。这种战略分歧，导致民主世界最大的两个经济体在医疗人工智能应用上出现了严重的法律割裂。而鉴于美国国内监控法律存在巨大的不确定性，欧盟对跨大西洋数据流动的持续焦虑进一步撕裂了这道鸿沟。

图片来源：Springer Nature Link

欧盟更广泛的健康数据监管机制与人工智能合规体系，与当前基础模型高度依赖的“全球数据池”模式存在根本冲突。将欧盟与非欧盟的健康数据混合使用，必然会触碰GDPR、《人工智能法案》或EHDS中至少一项法律红线。

这种治理机制与全球主流数据模式的脱节，将显著推高企业的运营成本与合规复杂度。与全球数据池相比，将数据保留在本地安全环境中的联邦学习模式，其运行速度相对滞缓且资源消耗更大。对于大多数跨国企业而言，同时开发和维护相互平行的美欧双轨制研发管线，在财务上往往难以承受。

在企业内部管理层面，欧盟的监管框架同样要求进行深刻的流程改造。例如，欧盟目前强制要求的“数据版本控制”（即对数据集随时间变化的系统性追踪与管理），要求习惯于快速迭代的研发团队投入大量资源进行能力建设。此外，《人工智能法案》确立了严格的审计机制，使用高风险数据集的开发者必须披露其开发过程、去偏见方法并证明数据的代表性。这对众多中小型企业和研究机构构成了一项重大挑战。

欧盟将继续推行地理隔离的人工智能发展路线，特别是在涉及高风险和敏感数据集的领域。这包括建立欧盟专属的训练环境、限制数据集的跨境流通，以及推行将模型训练与实际部署相分离的模块化创新管线。

随着 EHDS 框架的逐步完善，联邦化及隐私增强基础设施的广度与技术成熟度将进一步提升。长远来看，这有望在欧盟内部释放海量健康数据，促进区域内的跨国合作。

然而，欧盟的监管体系并非孤立运行，其与美国等更为宽松的司法管辖区形成了鲜明对比。如果不进行重大的底层架构投资，基于美国标准开发的医药人工智能模型及相关健康技术，将难以满足欧盟的合规要求，进而面临失去欧洲市场的实质性风险。

图片来源：人民网

欧盟《人工智能法案》目前仍在逐步落地之中。尽管针对受监管产品中高风险人工智能的合规大限已被宽延至2027年8月，但该法案下的多数其他强制性义务将于2026年8月正式生效。为引导产业界提前进行监管布局，欧盟委员会已于2025年发布了自愿性质的《通用人工智能行为准则》。这要求企业必须在监管截止日期前，搭建起完备的内部治理架构。人工智能模型在正式部署前，将被强制要求提供更详尽的文档、实现全链条可追溯并接受更严格的监管审查。具体到医疗健康领域，欧洲药品管理局（EMA）与美国食品药品监督管理局（FDA）于2026年1月联合发布的指南，进一步为“药物研发中的良好人工智能实践”确立了具体的实操原则。

在跨境数据传输方面，现行机制依然高度依赖欧盟委员会对具体第三方国家做出的充分性认定，包括现行《欧美数据隐私框架》，但其合法性尚未在欧盟法院得到充分解决。这种国别判定机制并未完全封死数据出境的通道，企业依然可以利用标准合同条款和约束性企业规则来进行跨国数据共享。然而，针对健康数据，《欧洲健康数据空间条例》（EHDS）在《通用数据保护条例》（GDPR）之上叠加了一层更为严苛的“许可机制”，要求所有健康数据出口必须经过明确授权、用途受到严格限制，且只能在高度安全的处理环境中进行分析。

因此，当前欧盟健康数据向美国传输虽然仍被允许，但已转向一种风险管控流动模式，包括将欧盟数据与非欧盟数据分离存储，以及增加安全协议以符合欧盟规定。

《人工智能法案》的一项核心长期诉求，是彻底将高风险人工智能模型纳入常态化监管体系，使其运行标准与传统的医药和医疗器械行业完全接轨。届时，全流程的文档审计、可证明的部署前风险和危害缓解，以及严格对标欧盟标准的结构化合规管理，将成为常态。

欧盟现行的“充分性认定”体系在长期的可持续性上面临严峻挑战。目前仅有少数西方国家被认定具备等效的数据保护标准。尽管非欧洲国家正日益倾向于采用多利益攸关方主导、基于互信担保的数据跨境协议机制，但这些协议尚未得到欧盟的支持。全球数据集的获取将继续存在，但合法分离欧盟与非欧盟数据集的压力将不断增大。在数据集孤岛化的世界中，互操作性可能只能通过在特定的安全环境中部署模型来维系。这标志着欧洲市场将彻底偏离当前产业界高度依赖的“全球混合数据池”主流模式。

EHDS的最终成效也存在不确定性。目前该法规更多表现为一种预期标准，而非实际建成的基础设施，各成员国在落地规划上也存在显著落差。欧盟官员期望这一基础设施以及向合规企业授予健康数据二次访问权的机制，能够驱动欧洲内部的制药创新。但这一新体制需要三到五年才能全面运行，其预期效果尚未实现。

图片来源：Lydian.com

企业不应在技术和工作流程成型后再进行合规性修补，而必须在启动之初就将人工智能系统设计为符合欧盟监管要求的架构。这些尚未经过充分检验的治理模型必须被视为产品设计的核心要素，而非事后的法律义务。

在欧盟《人工智能法案》框架下，健康数据被明确界定为高风险范畴，其模型训练、数据治理及部署后管理均需接受极度严苛的监管。事后合规不仅会导致数据来源缺乏保障，使得人工智能模型无法接受全面审计，最终将导致合规失败。通过基于现有或未来欧盟要求重新设计生产工作流，企业可以更好地满足标准并减少潜在的监管障碍。

大规模使用全球混合数据池的模式已不再符合欧盟监管要求。为确保能够持续访问欧洲健康数据，企业必须转而投资符合GDPR与EHDS要求的联邦化及特定管辖区专属的数据基础设施。

在实际操作中，这要求对欧盟数据采用分布式分析与本地化存储，以确保欧洲对敏感及高风险健康数据保有绝对的法律控制权。这意味着AI模型被运入安全环境内部处理，而非将欧盟数据外部传输纳入全球池化数据集。这一路径具有三重战略收益：首先，企业得以合法且规模化地访问欧盟健康数据；其次，大幅降低了与持续跨境数据流动相关的监管风险；最后，它能确保企业的创新管线与未来EHDS体系下的联邦式基础设施保持长效协同。

鉴于欧盟针对人工智能的监管模式与医药及医疗器械行业现有的治理架构高度相似，企业应将自身定位为欧盟人工智能治理的推动者，而不是与决策者缺乏互动的被动规则接受者。

欧盟近期重燃对人工智能驱动经济增长的热情，这为那些能够驾驭未来监管架构并战略性获取欧盟健康数据的企业及研究人员敞开了机会窗口。

值得注意的是，许多具体监管规则的细节尚未尘埃落定。相较于仅将合规视为沉没成本的竞争对手，主动与监管机构进行前置沟通的企业将确立显著的先发优势。通过与欧洲药品管理局、各成员国数据保护机构以及EHDS健康数据访问平台建立深度的合作关系，医药产业能够顺势成为创新友好型政策框架的建设者。这种政策参与将使企业在完成监管要求的同时，也支持监管机构和政策制定者形成务实、灵活的监管与治理。

图片来源：european-health-data-space.com

https://www.atlanticcouncil.org/in-depth-research-reports/issue-brief/navigating-the-european-unions-ai-and-health-data-framework/