美國《健康保險攜帶和責任法案》中關于生物醫(yī)學研究的規(guī)定及其影響

劉抒悅，高上知，商 瑾，厲希豪，楊 睿，謝 雯，程 龍

(1 麻省理工學院工學院環(huán)境系，美國 馬薩諸塞劍橋 02139，nhdrc-yc@163.com；2 哈佛大學T.H.Chan公共衛(wèi)生學院環(huán)境健康系，美國馬薩諸塞劍橋 02115；3 哈佛大學T.H.Chan公共衛(wèi)生學院生物統(tǒng)計系， 美國 馬薩諸塞劍橋 02115；4 哈佛大學T.H.Chan公共衛(wèi)生學院流行病學系，美國 馬薩諸塞劍橋 02115；5 哈佛大學研究生院統(tǒng)計系，美國 馬薩諸塞劍橋 02138；6 哈佛大學T.H.Chan公共衛(wèi)生學院免疫與傳染病系， 美國 馬薩諸塞劍橋 02115；7 波士頓兒童醫(yī)院血液與癌癥科，美國 馬薩諸塞劍橋 02115；8 國家衛(wèi)生計生委衛(wèi)生發(fā)展研究中心， 北京 100191)

?

·法律與倫理·

美國《健康保險攜帶和責任法案》中關于生物醫(yī)學研究的規(guī)定及其影響

劉抒悅1，高上知2，商 瑾3，厲希豪3，楊 睿4，謝 雯5,6,7，程 龍8**

(1 麻省理工學院工學院環(huán)境系，美國 馬薩諸塞劍橋 02139，nhdrc-yc@163.com；2 哈佛大學T.H.Chan公共衛(wèi)生學院環(huán)境健康系，美國馬薩諸塞劍橋 02115；3 哈佛大學T.H.Chan公共衛(wèi)生學院生物統(tǒng)計系， 美國 馬薩諸塞劍橋 02115；4 哈佛大學T.H.Chan公共衛(wèi)生學院流行病學系，美國 馬薩諸塞劍橋 02115；5 哈佛大學研究生院統(tǒng)計系，美國 馬薩諸塞劍橋 02138；6 哈佛大學T.H.Chan公共衛(wèi)生學院免疫與傳染病系， 美國 馬薩諸塞劍橋 02115；7 波士頓兒童醫(yī)院血液與癌癥科，美國 馬薩諸塞劍橋 02115；8 國家衛(wèi)生計生委衛(wèi)生發(fā)展研究中心， 北京 100191)

《健康保險可攜性與責任法案》(HIPAA)是1996年美國國會頒布的聯邦法律，旨在為各種醫(yī)療機構及商業(yè)合作者提供病人隱私保護方面的行動指南。其中，HIPAA隱私規(guī)則對于涉及人的生物生物醫(yī)學研究做出了詳細的規(guī)定，既保護了受試者的健康信息，又保證了研究人員可以獲得必要的醫(yī)療信息來進行研究。但是，在其執(zhí)行的過程中又出現了阻礙生物醫(yī)學研究的一些現象。通過對HIPAA隱私規(guī)則中對于生物醫(yī)學研究規(guī)定的介紹，討論了該規(guī)則對于生物醫(yī)學研究在研究機構管理和運營、數據收集和傳送、研究花費、跨學科跨機構的研究、研究時間等方面的影響，進而為我國建立醫(yī)療研究隱私保護的法律系統(tǒng)提供借鑒。

HIPAA；生物醫(yī)學研究；受試者；隱私保護

生物醫(yī)學研究作為生物醫(yī)藥科技發(fā)展的基礎，對于醫(yī)學發(fā)展、疾病的控制和維護公共健康都有著非常重要的作用。生物醫(yī)學研究中，有一部分是以人為主要研究對象的，如臨床試驗、公共衛(wèi)生研究和藥學研究等。凡是以人類作為對象的生物醫(yī)學研究，都將不可避免地涉及倫理問題。生物醫(yī)學研究所涉及的倫理問題主要有幾個方面，如將病人的利益放在第一位、知情同意問題、有利無傷原則和弱勢群體保護問題等[1]。

為了保護病人在生物醫(yī)學研究中的利益，西方國家(尤其是美國)早在20世紀七八十年代就建立起較為完善的機構審查委員會(Institutional Review Boards，IRB)監(jiān)管體制。IRB由官方指定，負責審批、監(jiān)督和審查涉及人類受試者的生物醫(yī)學研究，通過進行風險收益分析，來確定該項研究是否應該進行。在美國，通用規(guī)則(Common Rule, 45 CFR Part 46, Subpart A)和美國食品和藥物管理局(FDA)的人類受試者保護條例(21 CFR Parts 50 and 56)授權IRB對研究具有批準、要求修改或不予批準的權力。

通用規(guī)則還要求，研究人員在實驗開始前需要得到受試者簽署的知情同意書(Informed Consent)。知情同意制度保證了受試者多方面的利益[2]，如：了解試驗的整體情況、如果在試驗中受到傷害可得到賠償或治療、可以隨時拒絕或退出試驗、可識別受試者身份的記錄將被保密等。

醫(yī)學試驗過程中所涉及的受試者隱私問題，也是醫(yī)學倫理學所關注的重點之一。能否對受試者的隱私進行保密，將直接影響到受試者的利益、受試者對試驗的參與度以及試驗的效果。為此，美國于1996年頒布了《健康保險攜帶和責任法案》(HIPAA)，其中，HIPAA隱私規(guī)則對生物醫(yī)學研究中如何保護受試者的隱私做出了詳細的規(guī)定。

1 HIPAA隱私規(guī)則中對于生物醫(yī)學研究的規(guī)定

HIPAA隱私規(guī)則是獨立于通用規(guī)則及其他關于人類受試者法規(guī)之外的聯邦法規(guī)，由美國衛(wèi)生和民眾保護部人權辦公室執(zhí)行，它的適用范圍更廣，對于一些通用規(guī)則中沒有涉及的研究也做出了要求。隱私規(guī)則既保護個人受保護的健康信息(Protected Health Information，PHI)，又確保研究人員可以持續(xù)獲得必要的醫(yī)療信息來進行重要的研究。為了實現以上兩點目的，HIPAA隱私規(guī)則規(guī)定：

①對于不具備身份識別功能的健康信息，涵蓋實體(Covered Entities)可以隨意地使用和泄露給研究機構。

②在獲得病人書面授權(Authorization)的情況下，涵蓋實體可以因為研究目的而使用或泄露病人受保護的健康信息。

③在某些特殊情況下，HIPAA也允許無須同意授權的信息共享[3]，包括： IRB或保密委員會(PrivacyBoard, PB)批準,如當研究人員必須使用病人可識別身份的信息，否則研究就無法進行時，IRB可以豁免其病人的書面授權；研究的籌備階段；PHI的使用或披露純粹是為了準備研究方案或類似用途，且研究人員不會刪除和更改從涵蓋實體那里獲得的任何PHI；對于死者PHI的研究；有限數據集的數據使用協(xié)議。有限數據集是涵蓋實體根據該協(xié)議規(guī)定，去除了親戚、雇主或家庭成員等具有個人識別功能的信息后的個人信息。對于符合以上幾點的研究，研究人員的免授權申請必須經過IRB或PB批準。

值得注意的是，隱私規(guī)則只對由涵蓋實體執(zhí)行并產生PHI傳送，或與涵蓋實體合作(從涵蓋實體處獲得PHI)的研究才有限制，獨立的研究則不在隱私規(guī)則的管轄范圍之內[4]。當某項研究從涵蓋實體獲取PHI時，它既要遵守通用規(guī)則又要遵守隱私規(guī)則。雖然通用規(guī)則允許一些研究免于IRB的審查，但HIPAA隱私規(guī)則的審查和記錄仍是必須的。此外，通用規(guī)則中要求的知情同意書和HIPAA隱私規(guī)則中要求的授權書是分別獨立的。某些情況下，用于研究目的的HIPAA授權書和知情同意書可以合為一體，稱為“復合授權書”。HIPAA授權書或復合授權書都必須通過IRB的審查。

當PHI是被用于研究目的時，隱私規(guī)則要求這只涉及到某一項具體的研究，而不能是不確定的或者是將來的研究。對于需要獲得授權的某項具體的研究，如果涵蓋實體需要連續(xù)不斷地使用或泄露PHI，則需要得到分別的授權。從授權書最后生效之日開始，涵蓋實體需要對其保存至少6年。授權書的內容包括：①對要使用或泄露的PHI進行描述；②被授權使用和泄露PHI的人的姓名或其他身份信息；③每次使用和泄露PHI的目的；④授權終止時間；⑤個人簽名和日期。一旦授權書終止，則不允許任何形式的PHI使用。

2 實行隱私規(guī)則對研究的影響

HIPAA隱私規(guī)則的頒布和執(zhí)行確保了受試者的隱私權，避免了不必要的個人數據共享。HIPAA頒布以前，很多潛在的受試者因為擔心自己的隱私有被泄露的風險而拒絕參加試驗，而現在，受試者則可以免除這部分疑慮。而且，出于公共事業(yè)考慮，HIPAA允許IRB對部分試驗的同意授權予以豁免，例如國家法律要求或執(zhí)法行為中的研究、健康系統(tǒng)的監(jiān)管和緊急救治等[5]。這些規(guī)定都盡力地確保了研究者可以獲得必要的醫(yī)療信息。盡管如此，還是有人提出HIPAA隱私規(guī)則會對研究產生不利的影響，因為研究者需要的醫(yī)療記錄和某些其他數據現在被定義為PHI，并且受制于存放這些記錄的涵蓋實體。筆者通過研究HIPAA隱私規(guī)則對生物醫(yī)學研究所提出的新要求，認為其對研究的不良影響主要表現在以下幾個方面：

2.1 對研究機構管理和運營的影響

HIPAA隱私規(guī)則執(zhí)行以后，IRB的職責被擴大，既要審核知情同意書又要審核授權書(或復合授權書)。根據通用規(guī)則，研究者需要在研究開始之前向受試者獲得知情同意書，而HIPAA規(guī)定每一個參與研究的受試者都必須簽署授權聲明來授權研究者使用其PHI，又規(guī)定在符合某些條件時，IRB也可以豁免該授權聲明，這無疑擴大了IRB的工作量。為了減輕IRB的負擔和更好地遵守HIPAA，有些研究機構甚至成立了獨立部門Privacy Board來執(zhí)行相關職責。隱私規(guī)則還規(guī)定病人有權獲得其近6年之內的PHI泄漏情況，這就要求研究機構保存著每個受試者的PHI及其泄露情況，這無疑是一個異常龐大的數據庫，一些機構為了保存此類信息，甚至做出了組織結構上的調整。這些組織結構上的變化就使得研究機構的管理和運營變得更加復雜。

2009年，美國Association of Academic Health Centers(AAHC)[6]做了一項關于HIPAA對生物醫(yī)學研究的影響的調查，在該項調查中，來自27個機構的54個回應者完成了問卷。結果顯示，有81%的被調查者表示他們所在的機構指定了專門的工作人員來幫助研究人員遵守隱私規(guī)則的規(guī)定。但是，只有17%的被調查者表示有受試者向他們索要其本人PHI的泄露情況，這說明，研究機構所保存的每個受試者的PHI泄露情況在某種程度上是不需要的。

2.2 對數據收集和傳送的影響

HIPAA出臺以后，生物醫(yī)學研究既要符合通用規(guī)則又要符合HIPAA隱私規(guī)則。通用規(guī)則要求的知情同意書是口頭和書面均可，而HIPAA則要求授權書必須是書面。表面上這只是一個小小的不同，卻會深刻影響數據收集的難度和數據的客觀程度。

2005年，David Armstrong[7]等做了一項關于HIPAA隱私規(guī)則對數據收集的影響的研究。該研究使用了前后對比的方法，來評估患者對于密歇根大學急性冠脈綜合征研究的參與率。前HIPAA時期，研究者對患者進行了電話采訪，以獲取他們的口頭知情同意。后HIPAA時期，授權書則是寄送到患者的地址。研究結果顯示，在前HIPAA時期，知情同意的獲得率為96.4%，而后HIPAA時期則下降到34.0%。而且，前HIPAA時期，參與的患者年齡分布較為均勻，但在后HIPAA時期，將授權書寄回的患者年齡均偏大，在研究結束(6個月)時死亡率也偏低。這說明，HIPAA隱私規(guī)則對患者參與研究產生了影響，實驗參與率更依賴于患者的年齡和健康狀況。

2.3 對研究花費的影響

上述提到HIPAA影響了研究機構的管理和運營，如成立單獨的Privacy Board、雇傭專門的工作人員負責HIPAA的有關事務等，由此則產生了額外的行政花費。此外，工作人員的監(jiān)督和培訓也將帶來額外的花銷。

美國最優(yōu)秀的醫(yī)學院約翰霍普金斯大學(JHU)醫(yī)學院及其教學醫(yī)院的學生對HIPAA對科研的影響做出了研究。JHU的醫(yī)學院和醫(yī)院的研究者本可以通過對其附屬醫(yī)院的患者病例進行研究來發(fā)展生物醫(yī)學研究，但HIPAA出臺以后，研究者對于患者病例的閱讀和使用權限受到了限制。作為美國最大的醫(yī)院和生物醫(yī)學研究/教學系統(tǒng)，JHU在實施HIPAA的第一年花費了近30萬美元開發(fā)了符合HIPAA標準的網站，65萬美元用于HIPAA監(jiān)督和培訓人員的薪水和福利。另外20萬美元用于制作HIPAA培訓材料和各項文檔。David Armstrong的研究也評估了因HIPAA而產生的多余費用，HIPAA實施以后該項研究第一年增加了8704美元的花銷，其中4146美元是啟動資金，包括程序編寫、員工培訓、律師聘請等，4558美元則用于信封、郵票等消耗品。

2.4 對研究時間的影響

HIPAA規(guī)定授權書的內容需要獲得IRB的審核，多出的這道審核程序則拖慢了實驗的進度。此外，由于違反HIPAA面臨的是巨額罰款，導致研究人員本來應該投入在實驗上的時間都被用在了注意是否遵守隱私規(guī)則上面。

Roberta B.[8]等在2007年做了一項研究，調查HIPAA隱私規(guī)則對健康研究的影響。在該項研究中，全國十三個流行病學機構的1527個研究者以匿名方式回答了問題，考察的指標包括研究的延遲、費用的增加、IRB審查的頻率、獲得數據的困難程度、對隱私權利的理解程度等。結果共有67.8%的受訪者認為HIPAA隱私規(guī)則使研究更加困難，51%的受訪者認為HIPAA隱私規(guī)則極大地增加了研究完成的成本和時間。

2.5 對跨學科、跨機構的研究的影響

一些多機構合作的研究涉及到機構之間PHI的傳輸和共享，而隱私規(guī)則中對信息傳輸又有嚴格的限制。有些合作機構甚至因此而不愿意參加此類研究，以免增加麻煩。盡管HIPAA規(guī)定，如果機構的IRB批準，該機構可以參與另外一個機構IRB的聯合審查，但由于很多研究機構對于HIPAA的過分解讀，導致各個機構的IRB都需要分別對研究進行批準，拖慢了研究進程，影響了機構間的數據交流。

3 結論和建議

由上述討論，HIPAA隱私規(guī)則對于保護醫(yī)學試驗受試者的隱私所做出的貢獻是有目共睹的，但筆者認為其中一些規(guī)定過于苛刻，在某些程度上妨礙了醫(yī)學試驗的正常開展，增加了研究人員的負擔?；颊叩碾[私固然重要，但患者的數據也應當被合理地用于生物醫(yī)學研究中。阻礙生物醫(yī)學研究本身也是對倫理準則的違背，會導致臨床決策的盲目，最終受害的是患者本人。對于HIPAA中過于苛刻的規(guī)定，應該適當予以放寬，比如將授權書的形式放寬到口頭或書面均可，縮短研究機構對受試者PHI的保存時間，減少研究的審核程序和審核內容等。

值得注意的是，美國社會對于公民隱私權的保障非常重視，在這方面已經建立起嚴格的監(jiān)管法規(guī)和完善的監(jiān)管體制。不同的是，中國的法律和醫(yī)療系統(tǒng)對于病人隱私權的保護尚未有足夠的重視。所以，如果中國學習類似于HIPAA的法律政策，必然是要分步實施的。我國首先要加強對公民隱私權的重視，建立起完善的法律保護制度。其次，要避免美國HIPAA實施初期醫(yī)療服務和科研受阻的問題，為數據和信息的合理共享提供適當的便利；對于HIPAA中過于苛刻和不適用于我國國情的規(guī)定不能照搬；機構設置上也要以“精簡”為原則，避免過度的花銷，使資金更多地應用在救治患者和改善公眾健康狀況等方面。總而言之，任何法律在實施的初期必然會遭遇質疑和執(zhí)行上的困難，我國若想在生物醫(yī)學研究受試者的隱私保護方面探索出一套適合自己國情的法律系統(tǒng)，需要充分借鑒西方國家的經驗和教訓，并且在系統(tǒng)建立以后對其進行完善。

[1] 黃潔夫. 臨床科研中的倫理學問題[J].中國醫(yī)學倫理學, 2006，19(1):1-3.

[2] US Food and Drug Administration. Code of federal regulations title 21[M].IND Safety Reports, 2012.

[3] Centers for Disease Control and Prevention. HIPAA privacy rule and public health. Guidance from CDC and the US Department of Health and Human Services [M].MMWR: Morbidity and Mortality Weekly Report, 2003: 1-17.

[4] Nass, Sharyl J., Laura A. Levit, and Lawrence O. Gostin. HIPAA, the Privacy Rule, and Its Application to Health Research [Z]. 2009.

[5] 閻娜,王伊龍，李子孝，等. 美國健康保險流通與責任法案對臨床研究的影響 [J].中國卒中雜志, 2011，6(12): 971-974.

[6] Steinberg, Mindy J., and Elaine R. Rubin.The HIPAA privacy rule: Lacks patient benefit, impedes research growth [Z]. Association of Academic Health Centers, 2009.

[7] Armstrong D Kline-Rogers E,Jani SM,et al. Potential impact of the HIPAA privacy rule on data collection in a registry of patients with acute coronary syndrome [J]. Archives of Internal Medicine, 2005,165(10): 1125-1129.

[8] Ness, Roberta B., Joint Policy Committee,Societies of Epidemiology. Influence of the HIPAA privacy rule on health research [J]. JAMA, 2007,298(18): 2164-2170.

〔修回日期 2016-09-03〕

〔編 輯 吉鵬程〕

網址與投稿：http：//yxllx.xjtu.edu.cn

Provisions on Biomedical Research in the US Health Insurance Portability and Accountability Act and its Impact

LIUShuyue1,GAOShangzhi2,SHANGJin3,LIXihao3,YangRui4,XIEWen5,6,7,CHENGLong8

(1FacultyofEngineering,DepartmentofEnvironmentalEngineering,MassachusettsInstituteofTechnology,Cambridge02139,USA,E-mail:wex232@mail.harvard.edu; 2DepartmentofEnvironmentalHealth,HarvardT.H.ChanSchoolofPublicHealth,Cambridge02115,USA; 3DepartmentofBiostatistics,HarvardT.H.ChanSchoolofPublicHealth,Cambridge02115,USA; 4DepartmentofEpidemiology,HarvardT.H.ChanSchoolofPublicHealth,Cambridge02115,USA; 5DepartmentofStatistics,HarvardGraduateSchool,Cambridge02138,USA; 6DepartmentofImmunologyandInfectiousDiseases,HarvardT.H.ChanSchoolofPublicHealth,Cambridge02115,USA; 7DepartmentofHematologyandOncology,BostonChildren′sHospital,Cambridge02115,USA; 8ChinaNationalDevelopmentResearchCenter,Beijing100191,China)

Health Insurance Portability and Accountability Act (HIPAA) is a federal law enacted by the US Congress in 1996. It provided a variety of medical institutions and their business collaborators with guidance for the protection of patient privacy. HIPAA Privacy Rule made detailed provisions for biomedical research involving in human subjects, not only protecting the health information of human subjects, but also ensuring researchers to obtain necessary medical information for study. However, there occur some phenomena that impeded the biomedical research in the process of its execution. This article described the HIPAA Privacy Rule's provisions for biomedical research and discussed its impacts on research organization management and operation, data collection and transmission, research spending, cross disciplinary research, and research time, and thus to offer reference for establishing a legal system for privacy protection in China.

HIPAA; Biomedical Research; Human Subject; Privacy Protection

10.12026/j.issn.1001-8565.2016.06.28

國家衛(wèi)生計生委規(guī)劃與信息司2015年度重點課題“健康醫(yī)療大數據應用相關法律法規(guī)問題研究”

，E-mail: wex232@mail.harvard.edu;dr.chenglong@hotmail.com

R-052

A

1001-8565(2016)06-1011-04

2016-06-27〕