數字時代的隱私

陳新美/編譯

●商討中的歐洲數據保護條例將公正地保護個人隱私——對利用個人數據進行科研的科學家們也沒有法外開恩。這將阻礙醫學研究的進展？

美國零售商塔吉特（Target）先確認一些準父母的身份，再開始向他們派發嬰兒服裝優惠券。谷歌通過對私人電子郵件以及網絡搜索進行追蹤分析，以確定他們的廣告客戶群體。但是，許多人不喜歡企業這種針對個人的所謂商業數據挖掘的做法。

歐洲議會目前正討論數據隱私條例，通過禁止分析客戶情況、倡導“被遺忘權”來限制數據挖掘行為。這一做法雖然用心良苦，但是卻可能妨礙甚至阻撓醫療方面的科研發展。

歐盟的數據保護條例 （Data Protection Regulation）草案是對1995年通過的《歐盟個人數據保護指令》（Data Protection Directive）的修正更新——要知道1995年時“亞馬遜”還只是著名河流的名字。改革法案的第一稿不僅包含科學家所使用的個人數據，還有為保護隱私而存在限制訪問、只在必要時使用的可識別數據。這種保護措施普遍應用于研究使用病患數據方面，是生物庫、基因數據庫及其他為了公益事業而建立的科研資源平臺的重要組成部分。

根據建議修訂草案，個人的可識別的健康數據只能用于“具體的，知情的和明確準許”的情況下。在研究人員使用別人的信息資料前詢問本人意見，這是很合理的。但修正草案關于在本人同意數據科研以及應當如何正確運用個人資料進行科研方面措辭不一。

現在有越來越多這樣的情況，志愿者們簽訂了“全部同意”的協議，同意他們的DNA、組織樣本和健康信息被用于科研。這意味著，研究人員不需要去從每個樣本個體那里征得許可——比如，為了驗證新發現的基因對癌癥風險的臨床表現，生物銀行通常會得到捐助者的“全部同意”的許可，但建議修訂草案在法律上不會認可這樣的操作。

得到本人的許可來使用其個人數據，其實并不是常態。因為高比例的參與率通常是無法實現的。例如，在2005年的一項研究早產和高血壓關系的項目中，科學家們使用了30多萬瑞典男性的醫療數據。在最嚴格的道德保障下卻進行了這樣未經許可的研究，法律草案將造成更高的門檻——同時也會衍生很多新的研究項目。

大部分受威脅的是新一代的生物醫學研究，科學家希望通過挖掘類似英國國家衛生服務的衛生系統網站上的醫療數據記錄來進行研究探索。上個月，英國醫學研究理事會創建了四個健康信息中心，為這些科研方面的努力奠定了基礎。

新的法律將會給研究人員提供一些機會。新法在歐盟所有國家都會實行，通過簡化復雜的數據保護規則，為他們減少國際合作間的摩擦。目前需要數據持有者為個體提供一種方式，使人們能夠訪問或撤銷他們的個人資料，通過門戶網站為研究人員提供對在線參與者個人資料的研究機會。除了允許個人通過點擊按鈕撤銷個人資料外，這些門戶網站還可以讓參與者共享研究結果，并讓參與者和研究者通過互動拿到最新信息資料。今年早些時候，荷蘭注冊創建MyBiobank的移動應用程序，深受參與者喜愛。

目前,數據保護條例仍只是雛形，在即將召開的司法內政事務委員會上，歐洲議會將討論3000多條修正案。議會通過的任何法律必須和歐盟理事會的初衷內容一致。在2014年立法完成前，仍然有充裕的時間將它修正得更適合科研的需要。