英国卡迪夫做医疗数据处理，合法吗？一问就心慌

Hi，我是JingJing，在律咖网做跨境信息编辑已经快十年了。最近有位在卡迪夫（Cardiff）筹备远程健康咨询平台的朋友发来消息：“我们想让英国本地护士帮中国用户做初步问诊记录——这些聊天记录、血压值、用药史，算不算‘医疗数据’？存到英国服务器，会不会违法？”
她没写“急”，但标点全用感叹号，我能感觉到那种悬在合规边缘的微颤。

今天我们就一起把这个问题拆开：不讲法条堆砌，只说卡迪夫街头真实发生的、小团队能摸得着的逻辑。

🌐 卡迪夫不是“宽松试验区”：医疗数据=高敏感级

先划重点：在英国，医疗数据（health data）属于“特殊类别个人数据（special category personal data）” ——这是《英国数据保护法2018》（UK Data Protection Act 2018）和《通用数据保护条例》（GDPR）里明确定义的最高风险等级之一。
不是“最好加密”，而是“必须证明合法性基础 + 额外保障措施 + 独立数据保护影响评估（DPIA）”。

举个卡迪夫本地真实场景：
去年，一家位于Caerphilly（紧邻卡迪夫）的数字理疗初创公司，因将患者视频评估片段上传至未通过UK GDPR认证的第三方云盘，被英国信息专员办公室（ICO）约谈。他们本意是“方便团队回看动作细节”，但没完成DPIA，也没签数据处理协议（DPA）。结果不是罚款，而是被要求暂停所有患者数据采集3个月，重新搭建流程。

所以回到你那个问题——“是否合法”？答案从来不是“是/否”，而是：
✅ 你有没有明确的法律依据（比如患者明确书面同意，或为履行诊疗合同必需）？
✅ 你的数据流路径是否全程可追溯、可撤回、可删除（right to erasure）？
✅ 你选的云服务商（哪怕在卡迪夫本地机房）是否签署了UK GDPR版数据处理协议（DPA）？

这三点缺一不可。少一个，就是“技术上运行着，法律上悬着”。

🔍 卡迪夫创业者常忽略的3个实操盲区

我翻过近一年卡迪夫创业加速器（如Innovate Cardiff）的匿名咨询记录，发现高频困惑其实很具体：

① “患者同意书”不是模板复制粘贴就行

很多团队直接用中文版翻译后让英国患者签字。但UK ICO明确指出：同意必须是自由给予、具体、知情且明确的积极行为（如勾选+签名+日期）。更关键的是——不能把“同意数据用于AI训练”和“同意诊疗服务”绑在一起。
👉 建议路径：

• 使用Cardiff University Health Informatics Centre提供的免费英文模板框架；
• 对每类用途（诊疗/科研/营销）单独设置勾选项；
• 每6个月主动发送一次“同意复核邮件”，保留打开+点击记录。

② “本地存储”≠自动合规

有朋友以为：“我把服务器放在卡迪夫数据中心，数据不出英国，就安全了。”但2025年ICO一份执法简报里特别提醒：物理位置不是决定性因素，控制权才是。如果你用的是美国母公司旗下的AWS UK London区域（虽然机房在伦敦），而管理后台权限在加州，那仍需满足EU-US Data Privacy Framework（DPF）额外条款——否则，就是跨境传输漏洞。
👉 自查要点清单：

• 登录云平台后台，查“账户所属司法管辖区”；
• 找出所有拥有root权限的员工国籍与办公地；
• 要求服务商提供UK ICO认可的《Transfer Impact Assessment》（TIA）报告。

③ “兼职护士”身份可能改变数据控制者责任

如果合作的是NHS Wales注册护士，但以个人名义接单（非通过NHS渠道），那么：

• 她本人可能成为独立的数据控制者（data controller）；
• 你平台则变成联合控制者（joint controller）；
• 双方必须签联合控制者协议（Joint Controller Agreement），明确谁负责响应患者删除请求、谁承担泄露责任。
  这不是“多此一举”，而是2024年威尔士卫生委员会（Welsh Government Health Directorate）在一次闭门培训中反复强调的实操红线。

❓ FAQ｜卡迪夫医疗数据处理，你最常问的3个问题

Q1：我在卡迪夫注册的公司，能否接收中国患者上传的体检报告PDF？

步骤：

1. 先确认该PDF是否含可识别身份的字段（姓名、身份证号、手机号、医院LOGO）；
2. 若含，则必须在中国端做匿名化预处理（如用ISO/IEC 20889标准脱敏），再传至UK服务器；
3. 在卡迪夫后台系统中，对每个文件打上“跨境流入”标签，并启用ICO推荐的加密审计日志（记录谁、何时、为何访问）。
   官方路径：UK ICO官网 → “Transfers outside the UK”板块 → 下载《International data transfer agreement (IDTA)》模板。
   要点清单：

• ✅ 不接收原始扫描件（带手写签名/公章）；
• ✅ 不在邮件正文中直接发送患者数据；
• ✅ 每季度向ICO提交一次数据流动图谱（Data Flow Map）备案。

Q2：用Zoom做远程问诊，录音存档是否合法？

步骤：

1. Zoom本身不自动满足UK GDPR，需开通Zoom for Healthcare UK版（含HIPAA+UK DPA双认证）；
2. 问诊前弹窗必须显示双语提示：“本次通话将录音存档，仅用于医疗质量复核。您有权随时要求删除。”并设置3秒倒计时强制阅读；
3. 录音文件命名规则禁用患者真名，改用“CF-20260602-001”（CF=Cardiff Facility缩写）+哈希值。
   官方路径：NHS Digital官网 → “Digital Technology Assessment Criteria (DTAC)” → 查“Video consultation tools”白名单。
   要点清单：

• ✅ 禁用Zoom默认云存储，改用本地加密NAS（如Synology DS923+）；
• ✅ 每段录音保留期≤30天，超期自动覆写；
• ✅ 护士端设备须开启BitLocker全盘加密。

Q3：和卡迪夫大学医学院合作试点，数据共享协议该怎么签？

步骤：

1. 绝对避免使用校方通用NDA——医疗数据必须签Data Sharing Agreement（DSA）；
2. 协议中必须写明：数据用途限定于“教学案例分析”，禁止用于算法训练；
3. 设定“数据返还触发条款”：合作终止后72小时内，双方同步删除所有副本并出具公证销毁证明。
   官方路径：Cardiff University Research Office官网 → “Research Data Management” → 下载《DSA Checklist for Health Data》。
   要点清单：

• ✅ 明确标注哪类数据可共享（例：“仅脱敏后的诊断编码ICD-10，不含影像原图”）；
• ✅ 要求校方提供其DPO（Data Protection Officer）直联邮箱；
• ✅ 每次数据移交前，双方DPO须邮件确认当次范围无变更。

✅ 结论｜3条可立即行动的建议

1. 今天就登录ICO官网，用他们的免费工具做一次“Data Protection Self-Assessment”——15分钟生成定制化风险报告，卡迪夫小团队普遍卡在“数据目录（Record of Processing Activities）”这一项，填完就能导出合规底稿。
2. 下周约一次Cardiff Law Centre的公益法律门诊（每月第三周周三下午，地址：The Hayes, Cardiff CF10 1AH），带上你的数据流草图，现场律师会帮你圈出最关键的2个补救点——不收费，但要提前在their website预约。
3. 把“医疗数据”从项目术语里摘出来，替换成“受控健康信息（Controlled Health Information, CHI）”——这个词在UK NHS和ICO文件中高频出现，当你和本地合作伙伴沟通时，对方立刻知道你在谈什么层级的风险，而不是陷入“是不是HIPAA”的无效对比。

💬 和JingJing保持联系，别一个人硬扛合规压力

我知道，读完这些，你可能更清醒，但也更累了。在卡迪夫注册公司、对接NHS、找合规云服务……每一步都像在解多层密码锁。我不是律师，但过去八年，我和上百位在英国创业的朋友一起，把政策文件一页页拆成能落地的动作清单。

如果你正卡在某个环节——比如“患者同意书要不要找威尔士语翻译？”、“AWS UK区域怎么开Audit Manager？”、“卡迪夫哪家会计师事务所熟悉ICO申报流程？”——欢迎加我微信 lvga2015，备注“Cardiff+医疗数据”，我会拉你进我们的英伦创业小群。群里没有成功学，只有真实踩过的坑、刚更新的模板、以及愿意分享经验的同行。

我们不承诺“帮你搞定”，但保证：诚实告诉你哪里不确定，耐心陪你查官网原文，透明分享我们整理过的所有链接和截图。

🔸 延伸阅读

🔸 Hasan Piker和Cenk Uygur被英国禁止入境
🗞️ 来源: Mediaite – 📅 2026-05-31
🔗 阅读原文

📌 免责声明

请知悉：律咖网（Lvga.com）是跨境创业公开信息与内容分享平台，不提供法律、税务、会计或合规服务。
本文内容基于公开资料，并由人工编辑与 AI 工具协助整理，仅供信息参考之用，不构成任何法律、投资、移民或商业决策建议。
政策可能随时间变化，请以官方渠道与当地持牌专业人士意见为准。
如内容有需要修订之处，欢迎随时与我联系。