新藥研發(fā)能力作為醫(yī)藥公司的核心競爭力，需要醫(yī)院、監(jiān)管機構(gòu)、受試者多方配合協(xié)力完成。而在新藥研發(fā)過程中需要進行大量的藥物臨床實驗，在實驗過程中不免需要收集許多個人醫(yī)療健康數(shù)據(jù)，如何保證醫(yī)藥國際貿(mào)易中個人醫(yī)療健康數(shù)據(jù)的合規(guī)，需要從我國的《個人信息保護法》（以下簡稱“《個保法》”）、《藥物臨床試驗質(zhì)量管理規(guī)范》（以下簡稱“GCP”）以及國際數(shù)據(jù)保護的法律法規(guī)政策出發(fā)，探求國際醫(yī)藥貿(mào)易中藥物臨床實驗處理個人信息的合法性路徑。本文將對國際數(shù)據(jù)保護的相關(guān)政策進行梳理和總結(jié)，并結(jié)合我國GCP、《個保法》的相關(guān)規(guī)定就臨床試驗場景下的醫(yī)療健康信息處理的合法性基礎(chǔ)進行探討。

我國《個人信息保護法》明確地將醫(yī)療健康信息規(guī)定為敏感個人信息，并施加較一般個人信息更嚴格的保護 ^[1] 。由于醫(yī)療健康信息的敏感性，一旦被泄露或被非法使用，容易導致個人的人格尊嚴或人身、財產(chǎn)安全受到侵害，所以無論采用人工抄錄還是采取電子化方式采集處理個人醫(yī)療健康信息應當符合國際國內(nèi)目前的數(shù)據(jù)安全監(jiān)管政策、個人信息保護要及藥物臨床實驗的監(jiān)管要求。

無論是GCP，還是《個保法》都強調(diào)“知情”、“同意”的重要性。GCP項下的知情同意，指受試者被告知可影響其做出參加臨床試驗決定的各方面情況后，確認同意自愿參加臨床試驗的過程 ^[2] 。知情、同意亦是《個保法》項下個人信息處理的一般性基礎(chǔ)，即除法定無需取得同意的情況外，個人信息處理者應當取得個人同意方可處理個人信息，且同意應當由個人在充分知情的前提下自愿、明確作出 ^[3] 。目前，我國尚無監(jiān)管細則或司法裁判就GCP與《個保法》之間的相互影響，及其各自項下的“知情”、“同意”的關(guān)系進行界定。

歐盟數(shù)據(jù)保護委員會（European Data Protection Board, 簡稱“EDPB”）曾于2019年1月23日應歐盟委員會健康和食品安全總司要求出具《關(guān)于臨床試驗條例與通用數(shù)據(jù)保護條例之間相互作用的問答之3/2019號意見》 ^[4] （Opinion 3/2019 concerning the Questions and Answers on the interplay between the Clinical Trials Regulation (CTR) and the General Data Protection Regulation (GDPR) [4] ，以下簡稱“EDPB Opinion”），就CTR項下的知情同意與GDPR項下的同意之間的關(guān)系進行了厘定，并就臨床試驗所涉?zhèn)€人數(shù)據(jù)處理的合法性基礎(chǔ)進行了分析。

一、臨床試驗項下的知情同意是否等同于《個保法》意義上的同意？

（一） “知情同意的作出”與“同意的作出”

EDPB認為，CTR項下的知情同意不能與GDPR項下的同意相混淆。

CTR旨在遵循《赫爾辛基宣言》項下涉及人的研究的倫理要求。在臨床試驗中獲得受試者知情同意是保障《歐盟基本權(quán)利憲章》項下人格尊嚴和個人完整權(quán)利的主要措施，EDPB認為其并非被設(shè)計為一項數(shù)據(jù)保護合規(guī)工具。我國GCP第3條亦有類似規(guī)定：“臨床試驗應當符合《世界醫(yī)學大會赫爾辛基宣言》原則及相關(guān)倫理要求，受試者的權(quán)益和安全是考慮的首要因素，優(yōu)先于對科學和社會的獲益。倫理審查與知情同意是保障受試者權(quán)益的重要措施”。

從GDPR的角度而言，GDPR (Recital 32)規(guī)定，同意必須是自愿作出的（freely given）、具體的（specific）、知情的（informed）和明確的（unambiguous）的，如涉及處理健康數(shù)據(jù)（data concerning health，類似于我國《個保法》下的醫(yī)療健康信息）等特殊類型的數(shù)據(jù)時，還需獲得明示同意（explicit consent）。值得注意的是，根據(jù)GDPR，當數(shù)據(jù)主體和控制者之間存在明顯不對等時，同意不能成為個人數(shù)據(jù)處理的有效合法性基礎(chǔ)。

如果一項臨床試驗是非干預性的，即不干涉患者的診療而只是觀察性地收集記錄患者的數(shù)據(jù)，則申辦者/研究者與患者之間不會被視為存在明顯的不對等。然而，在干預性的臨床試驗中，因受試者身體健康狀況欠佳等，申辦者/研究者與受試者之間通常會存在不對等的情況。對此，CTR規(guī)定，知情同意應自愿作出（given freely），并要求研究者充分考慮潛在受試者是否屬于經(jīng)濟性或社會性的弱勢群體，或者處于組織上或等級上的依賴地位，從而可能影響受試者參與臨床試驗的決定^[5] 。我國GCP也規(guī)定了類似歐盟CTR的弱勢受試者保護機制，包括：GCP第11(10)條規(guī)定了“弱勢受試者，指維護自身意愿和權(quán)利的能力不足或者喪失的受試者，其自愿參加臨床試驗的意愿，有可能被試驗的預期獲益或者拒絕參加可能被報復而受到不正當影響。包括：研究者的學生和下級、申辦者的員工、軍人、犯人、無藥可救疾病的患者、處于危急狀況的患者，入住福利院的人、流浪者、未成年人和無能力知情同意的人等?！保籊CP第12條要求倫理委員會應當特別關(guān)注弱勢受試者，以保護受試者的權(quán)益和安全。

盡管CTR已要求知情同意應自愿作出（given freely），但是EDPB仍認為，即便根據(jù)CTR獲得了知情同意，如果受試者與申辦者/研究者之間存在明顯不對等，CTR項下的知情同意尚不能滿足GDPR意義上“自愿作出（freely given）”的同意的標準，因而不能構(gòu)成GDPR項下處理個人數(shù)據(jù)的合法性基礎(chǔ)。EDPB Opinion考慮到了臨床試驗場景下知情同意背后的倫理規(guī)范與數(shù)據(jù)保護法設(shè)計之間的區(qū)別，并特別關(guān)注受試者與申辦者/研究者之間的實質(zhì)不對等性，因而否認知情同意作為個人數(shù)據(jù)處理的合法性基礎(chǔ)的邏輯有其合理性，值得借鑒和參考。

我國GCP第11(11)條^[6] 、第24(13)條^[7] 等亦規(guī)定知情同意應是“自愿”的?！秱€保法》出臺后，目前尚無類似EDPB Opinion的監(jiān)管細則或司法裁判就臨床試驗下的知情同意是否滿足《個保法》下的同意進行釋明。實務觀點傾向于認為，我國GCP項下的知情同意與《個保法》項下的知情同意并不等同，GCP作為醫(yī)藥行業(yè)監(jiān)管規(guī)范，《個保法》作為數(shù)據(jù)保護法，兩者雖然都有“知情”、“同意”的要求，但其各自的背景和目的并不相同。因此，藥物臨床試驗項下的知情同意并不適宜作為個人信息處理的合法性基礎(chǔ)，在《個保法》背景下，臨床試驗的申辦者/研究者作為醫(yī)療健康信息等敏感個人信息的處理者有必要重新審視其處理個人信息的合法性基礎(chǔ)。

（二） “知情同意的撤回”與“同意的撤回”

EDPB認為，CTR項下知情同意的撤回與GDPR項下同意的撤回亦有所區(qū)別。

CTR明確規(guī)定，為尊重個人數(shù)據(jù)保護權(quán)利，同時為保障臨床試驗數(shù)據(jù)的可靠性（reliability）、穩(wěn)健性（robustness）及受試者的安全，應該規(guī)定知情同意的撤回不影響先前已進行的臨床試驗活動，例如基于撤回前已獲得的知情同意而進行的數(shù)據(jù)存儲和使用^[8] 。

然而，根據(jù)GDPR第7(3)條、第17(1)(b)條，一般情況下，如果是基于同意進行數(shù)據(jù)處理（適用于“僅與研究活動相關(guān)的處理活動”的情形，詳見下文），數(shù)據(jù)主體有權(quán)隨時撤回同意；同意一旦被撤回，盡管撤回同意前進行的數(shù)據(jù)處理活動的效力不受影響，但是，控制者應當停止后續(xù)數(shù)據(jù)處理活動，并在沒有其他法律依據(jù)就數(shù)據(jù)進行留存的情況下把數(shù)據(jù)刪除^[9] 。對此，我國《個保法》亦有類似規(guī)定。

從上述CTR和GDPR的規(guī)定可見，兩者在“知情同意的撤回”與“同意的撤回”的內(nèi)涵及外延上存在一定區(qū)別。從藥品監(jiān)管角度而言，出于保障臨床試驗質(zhì)量、受試者安全等目的，臨床試驗數(shù)據(jù)必須保持其原始性、準確性、完整性，而不得隨意修改、掩蓋和刪除，我國GCP亦就臨床試驗數(shù)據(jù)質(zhì)量作出嚴格要求。目前，我國尚無監(jiān)管細則或司法裁判就“知情同意的撤回”與“同意的撤回”之間的關(guān)系進行界定，同上文關(guān)于“知情同意的作出”與“同意的作出”的分析，實務觀點傾向于認為，我國GCP項下的“知情同意的撤回” 與《個保法》項下的“同意的撤回”亦不等同。

二、臨床試驗所涉?zhèn)€人信息處理的具體合法性基礎(chǔ)

臨床試驗，尤其是如果臨床試驗場景下的知情同意不構(gòu)成個人信息/個人數(shù)據(jù)保護法意義上的“同意”的合法性基礎(chǔ)，相關(guān)個人數(shù)據(jù)/個人信息處理活動應基于什么合法性基礎(chǔ)進行？對此，EDPB Opinion基于臨床試驗場景下數(shù)據(jù)的應用階段、處理目的進行了區(qū)分。

（一）初始應用（Primary Use）

初始應用，指根據(jù)臨床試驗方案對受試者個人健康數(shù)據(jù)進行的處理，其過程涵蓋從試驗開始，歷經(jīng)試驗結(jié)束，直至留存期限屆滿而刪除數(shù)據(jù)的整個過程。其又可細分為兩種類型的數(shù)據(jù)處理活動：(a)“與可靠性和安全性目的相關(guān)的處理活動”（processing operations related to reliability and safety purposes），系指與醫(yī)療保健目的、通過可靠(reliable)而穩(wěn)健(robust)的臨床試驗數(shù)據(jù)達到藥品質(zhì)量和安全標準目的相關(guān)的處理活動；和(b)“僅與研究活動相關(guān)的處理活動”（processing operations purely related to research activities）。兩種數(shù)據(jù)處理活動所依據(jù)的法律基礎(chǔ)不同，具體區(qū)別如下。

1. 與可靠性和安全性目的相關(guān)的處理活動

EDPB認為，CTR及相關(guān)立法明確規(guī)定的與可靠性和安全性目的相關(guān)的數(shù)據(jù)處理活動，可以適用GDPR第6(1)(c)條規(guī)定的“為履行控制者所負的法定義務所必需”的合法性基礎(chǔ)。據(jù)此，臨床試驗過程中為安全報告、監(jiān)管機構(gòu)檢查、根據(jù)歸檔要求保留臨床試驗數(shù)據(jù)等進行個人數(shù)據(jù)處理，可被視為臨床試驗申辦者/研究者為履行法定義務所必須。此外，就特殊類型的個人數(shù)據(jù)處理而言，如健康數(shù)據(jù)，還應滿足GDPR第9(2)(i)條規(guī)定的“數(shù)據(jù)處理為實現(xiàn)在公共健康領(lǐng)域的公共利益所必需，比如[…]為保證醫(yī)療保健、藥品、醫(yī)療器械高標準的質(zhì)量和安全[…]”。

類似GDPR，我國《個保法》第13(3)條規(guī)定了“為履行法定職責或者法定義務所必需”的合法性基礎(chǔ)，視具體臨床試驗方案而定，可以考慮作為臨床試驗過程中處理個人信息的合法性基礎(chǔ)。此外，就醫(yī)療健康信息等敏感個人信息的處理而言，《個保法》第28條還要求具有“特定的目的和充分的必要性”，但并未就具體判定標準進行展開，對此，實踐中有必要結(jié)合具體臨床試驗方案就處理特定個人信息的必要性進行分析。

2. 僅與研究活動相關(guān)的處理活動

EDPB認為，僅與研究活動相關(guān)的處理活動，不能依賴“為履行控制者所負的法定義務所必需”作為數(shù)據(jù)處理的合法性基礎(chǔ)，其可適用的合法性基礎(chǔ)包括：

·    GDPR第6(1)(a)條項下的“同意”，以及，如涉及健康數(shù)據(jù)等特殊類型數(shù)據(jù)的處理，還應滿足GDPR第9(2)(a)條規(guī)定的“明示同意”。 如上文所述，在干預性的臨床試驗場景下，鑒于受試者與申辦者/研究者之間的不對等，臨床試驗項下的知情同意可能無法滿足GDPR項下“同意”的標準，因而導致“同意”在多數(shù)情況下可能不適宜作為數(shù)據(jù)處理的合法性基礎(chǔ)。

·    此外，較“同意”而言可能更為恰當?shù)暮戏ㄐ曰A(chǔ)是：GDPR第6(1)(e)條項下的“為執(zhí)行基于公共利益的任務所必需”、第6(1)(f)項下的“實現(xiàn)控制者或第三方的追求的合法利益所必需”，以及，如涉及健康數(shù)據(jù)等特殊類型數(shù)據(jù)的處理，還應滿足GDPR第9條規(guī)定的禁止處理之例外情形，視具體臨床試驗情況而定，包括：GDPR第9(2)(i)條“為實現(xiàn)公共健康領(lǐng)域的公共利益所必需”、第9(2)(j)條“為公共利益進行[…]科學研究[…]所必需”。具體而言：a. 當臨床試驗是依法直接基于行政命令、任務而進行，臨床試驗過程中的個人數(shù)據(jù)處理可被視“為執(zhí)行基于公共利益的任務所必需”；b. 其他情形下，個人數(shù)據(jù)的處理可基于“為實現(xiàn)控制者或第三方的追求的合法利益所必需”，但是數(shù)據(jù)主體（尤其是兒童）享有的個人數(shù)據(jù)保護相關(guān)的權(quán)益、基本權(quán)利和自由優(yōu)先于前述合法利益的除外。

類似GDPR，我國《個保法》第13(4)條、第13(5)條分別規(guī)定了以下個人信息處理的合法性基礎(chǔ)：“為應對突發(fā)公共衛(wèi)生事件，或者緊急情況下為保護自然人的生命健康和財產(chǎn)安全所必需”和“為公共利益實施新聞報道、輿論監(jiān)督等行為，在合理的范圍內(nèi)處理個人信息”，視具體情況而定，亦可考慮作為臨床試驗相關(guān)活動過程中處理個人信息的合法性基礎(chǔ)。比如，在新型冠狀病毒肺炎疫情背景下進行的特定個人信息處理活動，可以考慮依賴“為應對突發(fā)公共衛(wèi)生事件[…]所必需”的合法性基礎(chǔ)。此外，同上文，就醫(yī)療健康信息等敏感個人信息的處理而言，《個保法》第28條要求的“特定的目的和充分的必要性”亦需關(guān)注。

（二）二次使用（Secondary Use）

二次使用，是指在臨床試驗方案之外，為科研目的使用受試者個人數(shù)據(jù)。如果申辦者/研究者將臨床試驗過程中獲得的個人數(shù)據(jù)用于臨床試驗方案以外的其他科研目的，應當具備初始應用之外的法定理由，具體的合法性基礎(chǔ)與初始應用的合法性基礎(chǔ)可能相同亦或不同。

但是，GDPR第5(1)(b)條規(guī)定，根據(jù)GDPR第89(1)條采取適當保障措施的情況下，如果基于公共利益進行歸檔，出于科學、歷史研究或統(tǒng)計目的，而進一步進行數(shù)據(jù)處理不視為不符合初始目的（即“相符性推定”，presumption of compatibility）。也就是說，該等情況下二次使用臨床試驗數(shù)據(jù)無需滿足新的合法性基礎(chǔ)。同時，EDPB亦坦陳，鑒于該問題的復雜性，EDPB尚需進一步關(guān)注并出臺指引。我國《個保法》下尚未規(guī)定“相符性推定”規(guī)則，二次使用可依賴的具體合法性基礎(chǔ)應當作為獨立的使用場景依法就具體情況進行個案判定。

三、結(jié)語

綜上，臨床試驗涉及的個人信息處理問題較為復雜，臨床試驗場景下的知情同意不宜簡單直接等同于《個保法》意義上的同意。取決于臨床試驗的類型、方案等具體情況，臨床試驗可依賴的合法性基礎(chǔ)可能包括“法定義務”、“公共利益”等，需個案分析。對此，作為醫(yī)療健康信息等敏感個人信息的處理者，申辦者/研究者有必要在開展臨床試驗前就臨床試驗方案涉及的個人信息處理的合法性基礎(chǔ)進行審慎評估。此外，臨床試驗等藥物研發(fā)活動中涉及的個人醫(yī)療健康信息處理活動，亦需遵守《個保法》項下的公開透明原則、個人信息跨境提供規(guī)則、個人信息主體權(quán)利保障等規(guī)定的規(guī)制。國際醫(yī)藥貿(mào)易的臨床實驗受制于地點的限制，現(xiàn)在還存在一些企業(yè)利用大數(shù)據(jù)進行遠程監(jiān)查的問題，對于這類平臺采集存儲處理個人醫(yī)療健康數(shù)據(jù)、或者涉及數(shù)據(jù)出境問題的，尚需實務與監(jiān)管政策進一步明晰。

 

參考資料：

[1] 包括：(a)只有在特定的目的和充分的必要性，并采取嚴格保護措施的情形下，才能處理敏感個人信息；(b)處理敏感個人信息需取得個人的單獨同意（法定需取得書面同意的從其規(guī)定，比如《人類遺傳資源管理條例》規(guī)定采集我國人類遺傳資源，應當征得人類遺傳資源提供者書面同意）；(c)除應當向個人告知的一般事項（個人信息處理者的名稱或姓名、聯(lián)系方式；處理目的、處理方式、處理的個人信息種類、保存期限；個人行權(quán)的方式和程序；其他法定事項）外，還需額外告知處理敏感個人信息的必要性以及對個人權(quán)益的影響等。

[2] GCP 第11(11)條。

[3] 《個保法》第13、14條。

[4] 來源：https://edpb.europa.eu/our-work-tools/our-documents/avis-art-70/opinion-32019-concerning-questions-and-answers-interplay_en.

[5] Recital 31 of CTR: “In order to certify that informed consent is given freely, the investigator should take into account all relevant circumstances which might influence the decision of a potential subject to participate in a clinical trial, in particular whether the potential subject belongs to an economically or socially disadvantaged group or is in a situation of institutional or hierarchical dependency that could inappropriately influence her or his decision to participate”.

[6] 同注釋2。

[7] GCP第24(13)條：知情同意書和提供給受試者的其他資料應當包括：[…]受試者參加試驗是自愿的，可以拒絕參加或者有權(quán)在試驗任何階段隨時退出試驗而不會遭到歧視或者報復，其醫(yī)療待遇與權(quán)益不會受到影響[…]。

[8] CTR Recital 76: “Directive 95/46/EC [...] Those instruments strengthen personal data protection rights, encompassing the right to access, rectification and withdrawal, as well as specify the situations when restriction on those rights may be imposed. With a view to respecting those rights, while safeguarding the robustness and reliability of data from clinical trials used for scientific purposes and the safety of subjects participating in clinical trials, it is appropriate to provide that, without prejudice to Directive 95/46/EC, the withdrawal of informed consent should not affect the results of activities already carried out, such as the storage and use of data obtained on the basis of informed consent before withdrawal”. Directive 95/46/EC，即歐盟《數(shù)據(jù)保護指令》(Data Protection Directive)，已被GDPR取代。

[9] GDPR第17(3)條允許特定情況下無需刪除數(shù)據(jù)，其中包括：(a)為“法定義務所必需”、“為執(zhí)行基于公共利益的任務所必需”；(b)根據(jù)GDPR第9(2)(i)條“為實現(xiàn)公共健康領(lǐng)域的公共利益所必需”；(c)根據(jù)第9(2)(j)條、第89(1)條“為公共利益進行[…]科學研究[…]所必需”而進行數(shù)據(jù)處理的，無需刪除相關(guān)數(shù)據(jù)。